БОРЬБА СО ШПИОНАМИ

spyware

Спецвыпуск Xakep, номер #021, стр. 021-070-2

Если ты ставил себе программы типа GetRight'a, GoZill'ы или FlashGet'a, то тебя можно поздравить - на твоем компе наверняка есть шпионы. Указанные выше проги спонсируются за счет рекламы, поэтому они и ставят к тебе на машину следящие аплеты, которые управляют размещением рекламы и передают данные о твоих пристрастиях кому надо. Даже если удалить софт, то шпионы останутся в надежно спрятанных местах и будут продолжать передавать инфу о тебе. Вот и получается, что бесплатные проги не такие уж и бесплатные, за них приходится платить оглашением сведений о тебе, а также снижением скорости Инета и использованием ресурсов компьютера. А так как шпионы - это не трояны, то здесь и Касперский с доктором Вебом бессильны в борьбе с ними. Поэтому трудной задачей оказывается не только удаление шпионов, но и их обнаружение. Но не все так плохо, как кажется на первый взгляд. Даже шпионов можно проследить, и вот как это делается.

ОБНАРУЖЕНИЕ ШПИОНОВ

Стоит задуматься о наличии шпионов, если:

1) ты поставил себе довольно популярный "ускоритель Интернета", а скорость передачи данных после этого почему-то стала медленнее;

2) непонятные приложения вечно коннектятся к удаленному серверу, а проверка антивирусом показывает, что никаких троянов у тебя и нету;

3) почтовый ящик заваливают кучами спама, а в спам-письмах к тебе даже по имени обращаются.

Если все так и есть, то ты наверняка поймал рекламного паразита, который теперь вовсю работает. Но эти наблюдения не дают 100% гарантии обнаружения.

Почти все без исключения шпионы намеренно прячутся вглубь компьютера и работают в режимах, позволяющих избежать возможного обнаружения. К примеру, шпионская система Aureate снижает скорость передачи данных при отсутствии активности пользователя, чтобы тот не заметил мигание лампочек на модеме и не задумался, что же передается в тот момент, пока он ничего не делает. С тех пор, как создатели прог-шпионов стали стремиться к минимальной вероятности их обнаружения, появился спрос на специальные средства для охоты на них. К таким средствам относятся два типа программ:

- файрвол (Zone Alarm, Outpost);

- специальные утилиты (снифферы) для контроля интернетовских соединений.

Пользуясь файрволом, нужно включить либо запрос на разрешение соединения незнакомым программам (в таком случае ты сможешь обнаружить новых шпионов по сообщению файрвола), либо разрешить соединения только нужным приложениям, а все остальные - блокировать (имхо, не решает проблему - а что, если через некоторое время шпионский модуль начнут включать прямо в код фриварной проги? Нужен файрвол, который умеет фильтровать по таким параметрам, как хост/порт назначения, протокол и т.д. - прим. ред.). В том и в другом случае никакие гады не сделают своих грязных дел.

Если ты не боишься оказаться в таких дебрях, где что к чему известно только твоему процессору, или если ты реально хочешь знать, что происходит с системой, когда ты юзаешь Инет, то тогда понадобится утила для снифания пакетов. Такая прога сможет мониторить все запущенные процессы и выдавать отчеты об их соединениях.