Контакты
Подписка
МЕНЮ
Контакты
Подписка

Как бороться со шпионами

Как бороться со шпионами

В рубрику "Техническое обозрение" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Как бороться со шпионами

Сегодня многие знают об угрозе, которую представляет собой шпионское ПО, и понимают необходимость наличия на своем ПК антишпионских программ. Однако не все антишпионские приложения являются тем, чем кажутся на первый взгляд. Некоторые программы специально разрабатываются для того, чтобы навредить тем компьютерам, которые они призваны защищать.

Речь идет о вредоносных программах, которые выдают себя за легитимное, полезное ПО, обнаруживающее и удаляющее программы-шпионы. Сотрудники, устанавливающие его на свой компьютер, полагают, что таким образом борются с вредоносными программами. На самом же деле это совсем не так.

Установка фальшивого антишпионского ПО на компьютер может привести к самым непредсказуемым и разрушительным последствиям, например к ошибочным результатам в процессе сканирования (false positives), когда легитимное ПО определяется как шпионское, или на компьютере обнаруживаются программы-шпионы, которых на самом деле на данном ПК нет. В худшем случае фальшивое приложение само устанавливает на компьютер adware (программы - рекламные агенты), программы-шпионы, трояны и другое вредоносное ПО.

Сейчас довольно сложно сориентироваться среди разнообразия предлагаемых антишпионских программ. Непросто выбрать именно то приложение, которое будет решать проблемы, а не создавать их. Тем не менее есть несколько способов идентифицировать фальшивые программы до того, как они навредят компьютеру, или справиться с ними в случае, если они все-таки проникли в систему.

Как узнать

Как правило, сценарий "заражения" фальшивым антишпионом таков. Пользователь заходит на Web-сайт, видит всплывающее сообщение, в котором говорится, что его ПК может быть (или уже) заражен вредоносным ПО. Такое сообщение выглядит либо как стандартная Web-реклама, либо как сообщающее об ошибке серое окошко, очень знакомое пользователям Windows.

Оно часто содержит преувеличенно громкие слова и фразы, цель которых - сгустить краски и испугать пользователя; обычные для таких сообщений термины "внимание", "опасность" могут сопровождаться многочисленными восклицательными знаками. Приложение предлагает проверить ПК на наличие шпионского ПО и удалить шпиона в случае его обнаружения. Для этого предлагается лишь нажать кнопку "ОК". Пользователь нажимает, и фальшивая программа, конечно же, обнаруживает "проблему".

Схема 1. Программа предупреждает пользователя о наличии на его компьютере шпионского приложения. Фальшивый антишпион может идентифицировать легитимные программы как вредоносные или обнаружить компоненты, которых на компьютере просто нет. В любом случае фальшивая программа начнет настойчиво предлагать пользователю приобрести антишпионское ПО, чтобы устранить возникшую проблему.

Схема 2. Фальшивая программа устанавливает на компьютер вредоносное ПО (или сама оказывается таким ПО), что нарушает нормальное функционирование ПК. Такую программу нельзя удалить обычными способами. Затем пользователю в обмен на устранение проблемы предлагается внести определенную денежную сумму.

Помочь идентификации фальшивого антишпиоского ПО может небольшое on-line-исследование. Ряд сайтов предлагают исчерпывающие списки известных "подделок". Sunbelt Software (http://research.sunbelt-software.com) приводит список, в который входят около 200 таких программ. Похожие списки можно найти на сайтах SpywareSignatures (http://www.spywaresignatures.com) и Spyware Warrior (http://www.spywarewarrior.com). Полезную информацию также можно найти на форуме CastleCops' Rogue Antispyware forum (http://www.castlecops.com/f190-Rogue_Anti_Spyware.html).

Как избавиться

Лучший способ уберечь компьютеры компании от подобных программ - своевременно проинформировать сотрудников о вышеназванных способах идентификации фальшивых антишпионов. Необходимо убедить пользователей внимательно читать все подозрительные всплывающие сообщения и не следовать указаниям тех, которые вызывают хотя бы малейшие подозрения. Можно даже порекомендовать им в сложных случаях советоваться с IT-специалистами. Кроме того, можно заблокировать доступ к сайтам, которые распространяют фальшивое ПО, чтобы избежать проблем в будущем.

Если же все-таки по невнимательности или неопытности пользователя в компьютеры компании проникла вредоносная программа, маскирующаяся под антишпиона, не стоит впадать в отчаяние. Есть несколько способов решения проблемы.

Во-первых, существует ряд легитимных антишпионских приложений известных производителей, которые смогут обнаружить и удалить своих фальшивых двойников.

Кроме того, если вы знаете название фальшивого ПО, ответ на вопрос о том, как бороться именно с ним, можно без труда найти в Сети. Многие жертвы подобных программ разместили в Интернете подробные инструкции по борьбе с тем или иным вредоносным ПО (например, исчерпывающую информацию можно найти о программах SpySherrif и Spy Axe).

Фальшивые антишпионы - побочный продукт века вредоносного ПО. И чем быстрее компании и конкретные пользователи научатся идентифицировать такие программы, тем скорее их создатели окажутся не у дел.

По материалам http://www.itsecurity.com

Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2008
Посещений: 14874

Приобрести этот номер или подписаться

Статьи по теме

В рубрику "Техническое обозрение" | К списку рубрик  |  К списку авторов  |  К списку публикаций