Удаление шпионских модулей и рекламы.

С момента появления первых вирусов вредоносные программы постоянно развивались, стали появляться новые их разновидности, злоумышленники начали использовать новейшие методы получения конфиденциальной информации. Нередко разработчики программного обеспечения встраивают в свои продукты разнообразные шпионские модули, предназначенные для сбора той или иной информации о пользователе и передачи ее по указанному адресу.

Однако даже самые осторожные пользователи, которые стараются работать только с проверенными утилитами, рискуют столкнуться с подобными вредоносными разработками. Причина этого кроется в том, что подобные модули имеются в самой операционной системе Windows.

О некоторых из них, а также о способах их отключения пойдет речь в данном разделе.

Ad-Aware 2007

Производитель: Lavasoft (http://www.lavasoft.com).

Статус: бесплатная.

Страница для скачивания: http://www.download.com/Ad-Aware-2007-Free/3000-8022_4-10045910.html?part=dl-ad-aware&subj=dl&tag=top5.

Размер: 17,3 Мбайт.

 

Если вы активно работаете в Интернете, устанавливаете различные приложения и общаетесь с другими пользователями посредством служб мгновенных сообщений, на ваш компьютер могут быть установлены шпионские модули, которые используют уязвимости системы и браузера.

Чтобы этого не случилось, можно использовать программу Ad-Aware 2007 от компании Lavasoft. Данное приложение позволяет обнаруживать и удалять все известные шпионские модули (рис. 3.45).

Рис. 3.45. Поиск шпионских модулей в программе Ad-Aware 2007

 

Благодаря технологии Code Sequence Identification (CSI) программа обеспечивает защиту от новых версий Spyware. Кроме того, Ad-Aware 2007 предоставляет возможность мониторинга системы, блокирует несанкционированную установку программного обеспечения, а также предотвращает утечку конфиденциальной информации.

Еще одним достоинством программы является регулярное обновление базы шпионских модулей.

В бесплатной версии программы доступны не все возможности.

XoftSpy

Производитель: ParetoLogic (http://www.paretologic.com).

Статус: коммерческая.

Ссылка для скачивания: http://www.paretologic.com/downloads/download.asp.

Размер: 2,75 Мбайт.

 

Утилиты, основное предназначение которых заключается в поиске и удалении всевозможных шпионских модулей, нередко дополняют друг друга. Это объясняется несколькими причинами. Во-первых, разработчики используют различные алгоритмы поиска Spyware, во-вторых, каждая утилита содержит уникальную базу данных шпионских модулей. Утилиту XoftSpy можно использовать одновременно с Ad-Aware SE, так как она находит и такие модули, которые не может обнаружить Ad-Aware.

По утверждениям разработчиков утилиты XoftSpy, 90 % всех компьютеров заражены шпионскими модулями. Думаем, что если это преувеличение, то небольшое, поскольку значительное количество программного обеспечения (в том числе и операционные системы) может содержать шпионские модули.

Одним из преимуществ XoftSpy является высокая скорость сканирования. Другой плюс – регулярные обновления, что особенно важно для утилиты, основное предназначение которой заключается в обеспечении безопасности пользователя.

Работа с программой максимально проста. Элементы управления XoftSpy представлены в виде отдельных кнопок в основном окне. Процесс сканирования запускается нажатием кнопки Start (рис. 3.46).

Рис. 3.46. Поиск шпионских модулей в программе XoftSpy

 

В настройках сканирования можно указать, какой тип шпионского программного обеспечения необходимо искать на компьютере. Кроме этого, можно ограничить поиск указанными папками.

XoftSpy не только находит разнообразные вредоносные модули, но и предоставляет исчерпывающую информацию о каждом из них. Чтобы просмотреть ее, необходимо щелкнуть на интересующем вас объекте правой кнопкой мыши и в контекстном меню выбрать строку Object Details. При этом возникнет окно с подробным описанием вредоносного объекта (рис. 3.47).

Рис. 3.47. Отображение подробностей о выбранном объекте

 

Очень удобным является то, что просматривать информацию о найденных объектах, а также выполнять другие действия при помощи команд контекстного меню можно и во время проверки. Среди доступных команд можно отметить выделение всех найденных элементов, добавление выделенных объектов в Ignore List (подробнее см. ниже), а также выделение элементов по типу, по производителю и другим параметрам.

В настройках XoftSpy можно задать автоматическое сканирование согласно выбранным параметрам каждый раз при запуске Windows. Кроме того, используя Планировщик заданий, можно вручную составить расписание проверок, указывая дни и часы, когда необходимо проводить сканирование. Дополнительно можно указать дату окончания проверки.

Если ваш браузер подвергнется атаке извне и у него будет изменена стартовая страница, то программа автоматически восстановит эту информацию согласно данным, которые вы можете заранее ввести в ее базу данных.

Если в процессе проверки обнаружилось, что утилита XoftSpy допустила ошибку и внесла в список вредоносных модулей элемент, который на самом деле таковым не является, вы можете включить его в список Ignore List и не беспокоиться о том, что программа удалит его из системы. В этом случае XoftSpy просто не будет обращать на него внимание при последующих проверках.

Еще одним плюсом программы является возможность отката. Каждый файл, который изменяется в результате действий XoftSpy, сохраняется в программе в своем первоначальном виде на вкладке Backup List. Используя данный список, вы можете просмотреть все измененные элементы и в случае необходимости восстановить любой из них. Для этого применяется кнопка Restore.

Таким образом, XoftSpy является полноценным решением для обнаружения и удаления вредоносных модулей на компьютере. Программа позволяет идентифицировать элементы разных типов, от Keyloggers до Spyware. Гибкие настройки и возможность создания резервной копии измененных элементов системы гарантируют корректную работу.

Примечание

Используя демонстрационную версию программы, вы можете оценить ее возможности поиска вредоносных модулей. Однако в демонстрационном режиме XoftSpy не будет удалять найденные элементы. После приобретения полнофункциональной версии программы пользователь получает право на бесплатные обновления самой утилиты и антивирусных баз. При этом обновление баз вредоносных модулей происходит в автоматическом режиме.

Xp-AntiSpy

Производитель: xp-AntiSpy (http://www.xp-antispy.org).

Статус: бесплатная.

Страница для скачивания: http://xp-antispy.org/component/option,com_remository/ltemid,26/.

Размер: 260 Кбайт.

 

Каждый пользователь устанавливает параметры операционной системы, исходя из поставленных задач. Однако по умолчанию Windows имеет определенную конфигурацию, которая в большинстве случаев пользователям не подходит. Для тонкой настройки системы можно использовать специальные утилиты. Независимо от того, для каких целей вы хотите оптимизировать работу системы, существуют некоторые параметры Windows, которые включены по умолчанию и которые необходимо изменить. К сожалению, далеко не все утилиты позволяют это сделать.

Одна из программ, которая помогает решить данную задачу – xp-AntiSpy. Главным преимуществом данной программы перед утилитами подобного рода является то, что уже после первого запуска она предлагает пользователю избавиться от лишних настроек. К ним относятся отключение модуля Alexa, поддержки удаленного Рабочего стола в Проводнике, службы сообщений, запрет на автоматическое обновление Internet Explorer. При подведении указателя мыши к той или иной настройке в окне xp-AntiSpy в нижней части окна программы отображается краткое описание выбранного параметра (рис. 3.48).

Рис. 3.48. Окно программы xp-AntiSpy

 

После изменения параметров системы необходимо нажать кнопку Принять изменения, чтобы они вступили в силу.

Рассмотрим некоторые настройки, которые можно изменить при помощи xp-AntiSpy.

Удалить элемент реестра Alexa

Параметр Alexa – это дополнение к браузеру, собирающее данные о ваших предпочтениях при посещении страниц в Интернете. Данная информация отправляется на сайт Alexa (http://www.alexa.com). Приложение xp-AntiSpy, а также некоторые другие программы, обнаруживающие и удаляющие установленные на компьютере шпионские модули, определяют модуль Alexa как вредоносный.

Является ли Alexa шпионским модулем? Данный вопрос нередко возникает у многих пользователей, обнаруживающих этот модуль сразу после установки системы. Alexa – это служба поиска сходных по тематике веб-страниц, позволяющая просмотреть близкие по содержанию по отношению к текущей странице ресурсы. Данная служба была интегрирована в Internet Explorer начиная с версии 5.5 и реализована в виде команды Сервис ? Показать связанные ссылки (рис. 3.49).

Рис. 3.49. Команда Показать связанные ссылки в Internet Explorer

 

Следует заметить, что применение подобного сервиса снижает скорость загрузки веб-страниц, что особенно заметно при использовании коммутируемого соединения. Каждый раз, когда вы открываете новую веб-страницу, данный модуль заново извлекает информацию из своих архивов, даже в тех случаях, когда вы перемещаетесь в пределах одного домена.

Почему же служба поиска Alexa попала в список шпионских модулей? Дело в том, что при поиске похожих страниц с помощью команды Показать связанные ссылки на адрес службы, а также на сайт MSN (www.msn.com) передается информация о том, на какой странице в данный момент находится пользователь. Таким образом, происходит утечка конфиденциальной информации, о чем пользователь может не подозревать.

Модуль Alexa активизируется только при использовании Internet Explorer и выборе соответствующей команды из пункта меню. В противном случае утечка информации не происходит. В целях безопасности данный модуль все же лучше удалить.

Совет

Если вы привыкли использовать параметр поиска схожих страниц Internet Explorer, вы можете настроить браузер таким образом, что вместо службы Alexa будет задействована поисковая система Google. Это можно сделать, открыв файл Related.htm в Блокноте или любом HTML-редакторе. Строку RelatedServiceURL=http://related.msn.com/related.asp?url=; нужно заменить на RelatedServiceURL=http://www.google.com/search?q=related:+;.

Запретить автоматическое обновление Internet Explorer

Данный параметр блокирует автоматическое соединение браузера Internet Explorer с сервером Microsoft для запроса и установки обновлений. Использование автоматического обновления заметно снижает скорость передачи данных в Сети, а также может привести к непредсказуемым последствиям.

Нередко свежие обновления могут стать причиной нестабильной работы системы, поэтому лучше использовать проверенные, стабильные версии приложений.

Кроме того, при обновлении Internet Explorer может быть заново установлен и автоматически включен модуль Alexa, даже если вы его предварительно отключили.

Отключить службу сообщений

Служба сетевых сообщений позволяет передавать краткие текстовые сообщения в локальных сетях. Нередко данная функция используется для рассылки спама, поэтому, если вы не хотите стать жертвой спамеров, данную возможность нужно отключить. В xp-AntiSpy службу сообщений Windows можно отключить, установив соответствующий флажок.

Отключить службу сообщений Windows можно без использования xp-AntiSpy. Для этого на Панели управления щелкните на пункте Администрирование, а затем – на значке Службы. Откроется окно, в котором будут представлены все запущенные службы Windows. В этом списке найдите строку Служба сообщений (рис. 3.50), щелкните на ней правой кнопкой мыши и выберите в контекстном меню строку Свойства. В списке Тип запуска вкладки Общие появившегося окна выберите значение Отключено. Чтобы остановить работу службы, нажмите кнопку Стоп.

Рис. 3.50. Окно отображения служб Windows

 

Explorer: выключить поддержку удаленного Рабочего стола

После того как на компьютере, работающем под управлением системы Windows ХР Professional, разрешено удаленное управление, а на клиентском компьютере, работающем под управлением Windows, установлено клиентское программное обеспечение, можно начать сеанс работы с удаленным Рабочим столом. Для этого необходимо с помощью частной виртуальной сети или службы удаленного доступа подключить клиентский компьютер к сети организации или к компьютеру-узлу.

Подобная функция представляет собой определенную угрозу безопасности пользователя, поэтому если вам не нужно, чтобы вашим компьютером управляли удаленно, убедитесь в том, что вы отключили поддержку удаленного Рабочего стола.

AGAVA AntiSpy

Производитель: AGAVA Software (http://www.antispy.ru/).

Статус: коммерческая.

Страница для скачивания: http://www.antispy.ru/download.shtml.

Размер: 3 Мбайт.

 

Программа AGAVA AntiSpy позволяет найти и обезвредить все шпионские программы, которые находятся на компьютере. Приложение сканирует все области, где могут скрываться шпионы, в том числе системный реестр, запущенные процессы, папки, где обычно располагаются такие программы. После завершения сканирования выводится сообщение о количестве найденных вредоносных модулей, зараженных файлов, опасных записей в реестре и пр. (рис. 3.51).

Рис. 3.51. Сообщение о найденных вредоносных модулях

 

Все найденные элементы группируются по типам и отображаются в виде списка (рис. 3.52). Относительно каждого элемента можно просмотреть информацию о его местонахождении в системе, а также оценить уровень опасности. Каждому элементу программа присваивает свой уровень опасности – низкий, средний или высокий. Для многих вредоносных модулей AGAVA AntiSpy также выдает краткое описание и адрес веб-сайта, где можно узнать о нихм подробнее.

Рис. 3.52. Список найденных программ-шпионов

 

Все найденные элементы помещаются на карантин, то есть их работа блокируется. Если программа ошибочно причислила к категории вредоносных программ утилиту, которая таковой не является, вы можете внести ее в Белый список, и ее нормальная работа будет продолжена. Например, при проверке компьютера автора AGAVA AntiSpy обнаружила Keylogger в программе для переключения клавиатуры Punto Switcher. В этой утилите есть функция ведения дневника, при активизации которой записываются все нажатия клавиш, то есть она работает фактически как Keylogger. Однако в данном случае эта функция служит для вполне безобидных целей и помогает сохранить в случае сбоя набираемый с клавиатуры текст, поэтому я переместил найденный модуль в Белый список. Работая с любыми элементами, AGAVA AntiSpy всегда сохраняет резервную копию системы, поэтому при необходимости вы всегда можете вернуть модули, после деактивации которых появились проблемы.

AGAVA AntiSpy следит за безопасностью компьютера в автоматическом режиме. Программа запускается вместе со стартом Windows и сразу же выполняет полное сканирование всех потенциально опасных областей системы. Эти параметры можно изменить в настройках программы. Здесь также можно задать параметры поиска, например исключить из поиска шпионских модулей какие-либо папки, реестр или другие области (рис. 3.53). В большинстве случаев это не нужно, так как даже в режиме полного поиска по всем областям AGAVA AntiSpy работает очень быстро – проверка вряд ли займет более пяти минут.

Рис. 3.53. Настройка параметров сканирования

SpyBlocker

Производитель: SpyBlocker Software (http://www.spyblocker-software.com).

Статус: коммерческая.

Страница для скачивания: http://www.spyblocker-software.com/spyblocker.

Размер дистрибутива: 3,75 Мбайт.

 

Предназначение утилиты SpyBlocker – защита компьютера от различных вражеских действий со стороны шпионов, обитающих на различных сайтах. Для этого в данной утилите предусмотрены следующие возможности: запрещение выполнения сценариев при посещении сайтов; блокировка проникновения троянских коней и червей в компьютер; блокировка всплывающих окон, рекламных баннеров, Flash-клипов и Cookies; регистрация попыток сканирования портов.

SpyBlocker имеет небольшое количество параметров. Вы можете подкорректировать входящий в дистрибутив утилиты список блокируемых программой URL-адресов. Главное окно программы содержит основные параметры и окно статистики, показывающее текущее состояние системы при веб-серфинге. Утилита работает и через защищенные прокси-серверы. В то же время SpyBlocker позволяет временно отключить защиту при работе с любыми браузерами, если вы уверены, что они не содержат подозрительных модулей и вирусов.

SpywareGuard

Производитель: Javacool Software (http://www.javacoolsoftware.com).

Статус: бесплатная.

Страница для скачивания: http://www.javacoolsoftware.com/downloads.html.

Размер дистрибутива: 2 Мбайт.

 

Программа SpywareGuard предназначена для предотвращения активизации на компьютере пользователя различных шпионских модулей, проникающих в систему во время веб-серфинга и при установке Adware-утилит.

Утилита не способна удалять уже имеющихся шпионов, однако хорошо оберегает компьютер от появления новых.

Встроенные средства позволяют загружать обновления программы с сайта разработчика. Дистрибутив программы доступен как в минимальной комплектации, так и в полной, рекомендуемой компанией-разработчиком для большинства пользователей.

Keylogger Killer

Производитель: Tooto Technologies (http://www.tooto.com).

Статус: коммерческая.

Страница для скачивания: http://www.tooto.com/keyloggerkiller.

Размер дистрибутива: 53 Кбайт.

 

Существенную угрозу конфиденциальности составляют клавиатурные шпионы. Они загружаются в память компьютера и, работая в скрытом режиме, незаметно для пользователя отслеживают все нажатия клавиш. Не имея опыта, обнаружить клавиатурного шпиона достаточно сложно.

Программа Keylogger Killer поможет выявить в системе клавиатурных шпионов и обезвредить их (рис. 3.54).

Рис. 3.54. Окно программы Keylogger Killer

 

Внимание!

Программа может причислить к клавиатурным шпионам различные автоматические переключатели раскладок, а также менеджеры горячих клавиш.

AdwareX Eliminator

Производитель: Athivision Inc. (http://www.adwarexeliminator.com).

Статус: коммерческая.

Размер дистрибутива: 1,88 Мбайт.

 

AdwareX Eliminator предназначена для анализа и удаления различных шпионов и вирусов, попадающих в систему пользователя с дистрибутивами разных программ. Входящая в состав программы AdwareX Eliminator база содержит более 20 000 сигнатур.

В утилите предусмотрена возможность автоматического обновления базы и компонентов программы. Интерфейс AdwareX Eliminator не перегружен пунктами меню, все основные параметры сосредоточены на одной вкладке, вызываемой нажатием кнопки Settings (Настройки).

Возможности программы: быстрое и полное сканирование всех дисков компьютера, глубокий анализ реестра, а также возможность самому выбирать конкретные локальные диски для проверки; помещение найденных подозрительных объектов перед удалением в карантин; мониторинг запущенных служб и процессов в реальном времени (можно установить интервал проверки) и отключение подозрительных; блокировка всплывающих окон.