Шпионские программы
Это общий термин для целого ряда вредоносных программ, которые позволяют следить за действиями пользователя в сети Интернет, а также собирать его конфиденциальные данные.
Впервые этот термин был употреблен в публикации службы новостей Usenet в 1995 году.
Узнать больше
Основные виды шпионских программ:
- программы для считывания нажатий клавиатуры позволяют злоумышленникам получить пароли и логины для доступа к личным аккаунтам жертвы;
- программное обеспечение для сканирования жесткого диска дает возможность получить доступ к установленным программам на устройстве жертвы;
- экранные шпионы собирают информацию о деятельности пользователя (снимки экрана посещенных веб-сайтов);
- почтовые шпионы позволяют собирать данные о контактах жертвы с электронной почты с целью рассылки спам-сообщений;
- рекламное программное обеспечениев виде нежелательных всплывающих окон используется для сбора личной информации пользователя, отслеживания его действий, а также нанесения вреда системе безопасности устройства;
- банковские трояны, маскируясь под легитимные ресурсы, могут получить доступ к банковским счетам жертвы.
Как распознать шпионскую программу?
Наиболее распространенными признаками наличия вредоносного кода на устройстве пользователя является снижение продуктивности или сбои в работе компьютера, массовые всплывающие окна, а также подозрительные действия на жестком диске.
Способы распространения
Как и большинство вредоносных приложений, шпионская программа попадает на устройство без ведома или разрешения пользователя.
Часто злоумышленный код использует уязвимости программного обеспечения или веб-браузера. На устройство пользователя шпионская программа попадает вместе с фальшивой версией легитимного ПО. Также угроза подобного вида может проникать на компьютер в результате посещения жертвой вредоносной страницы или переходе по фишинговым ссылкам. Кроме этого, шпионские программы могут распространяться через USB-устройства.
Ad-Aware Free скачать бесплатно
Антивирус с простым управлением и мощным антишпионским модулем. Предназначен для базовой защиты пользователей, проводящих много времени онлайн. Способен различать потенциально вредоносные ссылки и хакерские скрипты. Ad-Aware — программа от разработчиков из Lavasoft, сумевшая объединить антивирус и антишпион в одном простом решении. Она отличается удобной навигацией по меню и минимумом настроек.
Приложение для эффективного поиска и ликвидации шпионского и рекламного ПО. Предназначено для блокировки всплывающих рекламных окон, баннеров, несанкционированного автозапуска и неподтвержденной установки тулбаров.
Программа Spybot способна защитить ваш компьютер от любых компонентов, который интегрируются в вашу систему или отдельные приложения с целью собрать о вас информацию, украсть ваши пароли, подключиться к камере или клавиатуре. Кроме того, она блокирует adware и malware.
Последствия воздействия
Что касается вреда, наносимого шпионами, как уже было сказано, на системе это в целом не отражается никоим образом, но вот пользовательская информация и личные данные подвержены риску.
Наиболее опасными среди всех приложений такого типа являются так называемые кей-логгеры, а проще говоря, клавиатурные шпионы. Как раз они и способны следить за набором символов, что дает злоумышленнику возможность получения тех же логинов и паролей, банковских реквизитов или пин-кодов карт, и всего-того, что пользователь не хотел бы сделать достоянием широкого круга людей. Как правило, после определения всех данных происходит их отсылка либо на удаленный сервер, либо по электронной почте, естественно, в скрытом режиме. Поэтому рекомендуется применять для хранения столь важной информации специальные утилиты-шифровальщики. К тому же сохранять файлы желательно не на жестком диске (их запросто найдут сканеры винчестеров), а на съемных носителях, да хотя бы на флэшке, причем обязательно вместе с ключом дешифратора.
Кроме всего прочего, многие специалисты считают наиболее безопасным использование экранной клавиатуры, хотя и признают неудобство этого метода.
Отслеживание экрана в плане того, чем именно занимается юзер, опасность представляет только в случае, когда вводятся конфиденциальные данные или регистрационные реквизиты. Шпион просто через определенное время делает скриншоты и отправляет их злоумышленнику. Использование экранной клавиатуры, как в первом случае, результата не даст. А если два шпиона работают одновременно, то вообще никуда не скроешься.
Отслеживание электронной почты производится по списку контактов. Основной целью является подмена содержимого письма при отправке его с целью рассылки спама.
Прокси-шпионы вред наносят только в том смысле, что превращают локальный компьютерный терминал в некое подобие прокси-сервера. Зачем это нужно? Да только затем, чтобы прикрыться, скажем, IP-адресом юзера при совершении противоправных действий. Естественно, пользователь об это не догадывается. Вот, допустим, кто-то взломал систему защиты какого-то банка и украл энную сумму денег. Отслеживание действий уполномоченными службами выявляет, что взлом был произведен с терминала с таким-то IP, находящегося по такому-то адресу. К ничего не подозревающему человеку приезжают спецслужбы и отправляют за решетку. Правда, ничего хорошего в этом нет?
Первые симптомы заражения
Если ни с того ни с сего замечено снижение быстродействия, или система периодически «виснет», или вообще отказывается работать, для начала следует посмотреть на использование нагрузки на процессор и оперативную память, а также провести мониторинг всех активных процессов.
В большинстве случаев пользователь в том же «Диспетчере задач» увидит незнакомые службы, которых до этого в дереве процессов не было. Это только первый звоночек. Создатели программ-шпионов далеко не глупы, поэтому создают программы, которые маскируются под системные процессы, а выявить их без специальных знаний в ручном режиме просто невозможно. Потом начинаются проблемы с подключением к Интернету, изменяется стартовая страница и т. д.
Шпионское ПО может быть очень опасным вирусом, так как с целью избежать обнаружения, может изменять ваши настройки безопасности. Обращайте внимание на любые из этих признаков, которые могут сигнализировать о заражении:
- Внезапно на вашем компьютере появляются всплывающие окна
- Резкое снижение скорости устройства
- Ваш компьютер начинает “зависать” или “зависает” чаще, чем обычно
- Резко увеличилось потребление ресурса процессора
- Ваша страница браузера по умолчанию изменяется и перенаправляет на другой сайт
- Ваш антивирус или защитное программное обеспечение начало работать со сбоями
- Автоматические перенаправления в сети стали чаще
Хотя каждый из этих факторов по отдельности может не означать чего-то очень серьезного, однако наличие нескольких из них является верным признаком проблемы.
Бесплатный сканер троянов PC Tools ThreadFire
Если Вы предпочитаете готовое решение, требующего минимальных действий от пользователя, то PC Tools ThreatFire является отличным вариантом для Вас. Он предлагает активную защиту от известных и неизвестных угроз, таких как трояны, вирусы, черви, шпионское ПО, руткиты и другие вредоносные программы.
ThreatFire предоставляет собой защиту в реальном времени на основе поведенческого анализа системы. Это достигается путем работы программы в фоновом режиме, что позволяет обходиться без проверки «по требованию».
Любые обнаруженные вредоносные программы автоматически помещаются в карантин для обеспечения защиты вашего компьютера. Вы можете загрузить файлы на анализ по адресу: www.threatexpert.com/filescan.aspx. После того как вы убедились, что файлы действительно относится к разряду вредоносных программ (а не скомпрометированных), Вам необходимо их удалить.
Интерфейс программы показывает карту мира, на которой отображается расположение распространенных угроз, так сказать, «в дикой природе». Для обычных пользователей это не более чем способ заявить о своем существовании. Для пользователей, работающих с распределенными сетями по всему миру — это способ понять «к чему готовиться».
Еще одной полезной особенностью является ThreatExpert отчет, который дает подробную информацию о последних 200 угроз. Из этого отчета видно, что более чем 30% угроз связаны с троянами.
ThreatFire предполагает обратную связь с сообществом, что обеспечивает хорошую базу для выявления новых угроз. Если Вы откажетесь предоставлять информацию, то автоматическое обновление для Вас будет закрыто.
Как обнаружить шпиона VkurSe ведущего скрытное наблюдение за компьютером.
Сегодня мы рассмотрим компьютерного шпиона VkurSe, который может воровать информацию о действиях пользователя и передавать через Интернет своему хозяину, оставаясь при этом совсем незамеченным. К нам в лабораторию по изучению шпионских угроз эта программа слежения попала по просьбе одного предпринимателя, он заподозрил утечку информации из своего офиса, но уверял, что на его компьютерах ничего нет, так как классические антишпионские защиты установлены и постоянно проводиться визуальная проверка работающих процессов. Такое бывает очень часто, основная задача разработчиков программ слежения заключается именно в сокрытии своих продуктов в системе и от того насколько тщательно шпион будет скрыт, зависит его главное цель, это кража информации. А наша задача состоит в обратном, это быстрое обнаружение любой скрытой слежки и защита от неё. На основе изучения всевозможных шпионских — компьютерных угроз мы разработали и постоянно усовершенствуем функционал программы антишпиона — маскировщика Mask S.W.B Pro. Её мы и посоветовали установить предпринимателю обратившегося к нам. После проверки компьютера системой мониторинга Mask S.W.B Pro стало ясно, что слежка за офисом осуществлялась с помощью шпионского приложения VkurSe, которое удалённо вело наблюдение за экраном компьютера и высылало ворованные данные на сервер компании разработчика, в личный кабинет злоумышленника.
О том, как обнаружить этот шпион, удалить его из системы или защититься от него, не удаляя с компьютера, расскажем в этой статье.
Шпион VkurSe не обнаруживается в стандартных и не стандартных местах автозагрузки процессов или служб системы. Если изучать систему не имея спец средств или даже специальными приложениями, не имеющими достаточного функционала, то может показаться, что в компьютере слежки нет, которая могла бы запуститься самостоятельно. В маскировщике Mask S.W.B Pro, через который мы проводим исследования системы, есть много специального функционала для выявления различных методов слежения. В окне “Монитор автозагрузки” нажимаем на кнопку “Скрытый автозапуск” и в списке обнаруживаем подсвеченную желтым цветом, библиотеку w2b.dll от шпиона VkurSe. (DLL — это библиотека, содержащая код и данные, которые могут использоваться одновременно более чем одной программой).
Библиотека шпиона w2b.dll используется для установления различных хуков и перехватов в системе, в дальнейшем она была обнаружена выделенная желтым цветом и в списке окна “Монитор DLL” без опознавательных вводимых имён, описаний и других данных.
Но основная и главная её миссия это загружать себя в месте с системой и запускать для слежки скрытый шпионский процесс main.exe, который можно обнаружить только в мониторе скрытых процессов. Во всех других не специальных диспетчерах он не обнаруживается.
Открываем просмотр скрытых процессов в маскировщике, через нажатие кнопки “Скрытые процессы” в окне “Процессы системы”. Сразу видим выделенный красным цветом, скрывающий себя в системе, процесс main.exe от шпионской программы VkurSe.
Но это не все сюрпризы, которые шпион использует в системе, в окне “Драйверный монитор” в списке всех драйверов был обнаружен драйвер npf.sys, который использует в своих целях VkurSe.
Шпион может сохранять украденные данные у пользователя в компьютере, на котором установлен или передавать через сеть Интернет на сервер, где их сможет увидеть злоумышленник. Во втором случае обнаружить передачу данных можно в сетевом мониторе, это шпионский процесс main.exe, если он находиться в активном соединении и не внесён в базу угроз Mask S.W.B Pro.
Красным цветом он будет подсвечен в момент блокировки его программой Mask S.W.B Pro (Блокировка происходит, если в базу угроз добавлено имя шпионского процесса), или когда шпион себя скрывает в системе, его не возможно идентифицировать, он получает имя Unknown (Неизвестный). Все неизвестные процессы блокируются защитой по умолчанию, так получилось и при исследовании шпиона VkurSe. В момент блокировки шпионского процесса злоумышленник не может вести наблюдение за компьютером онлайн и тем более получать украденную информацию.
По всем признакам, описанным выше можно обнаружить шпиона VkurSe в системе.
Для его удаления нужно использовать контекстное меню списков показанных на картинках.
- 1) Удалить скрытый автозапуск библиотеки w2b.dll.
- 2) Отключить шпионскую библиотеку w2b.dll в мониторе DLL
- 3) Открыть папку с приложением и завершить скрытый шпионский процесс main.exe в мониторе скрытых процессов.
- 4) Удалить драйвер npf.sys
- 5) Полностью удалить папку со всеми шпионскими файлами, которая была открыта через контекстное меню в пункте 3.
- 6) Перезагрузить компьютер и проверить через систему мониторинга Mask S.W.B Pro все места возможного нахождения описанные выше.
После проделанных действий скрытый шпион VkurSe будет удалён полностью.
ТОП 4: лидеры среди программ антишпионов
Длительное время в среде бесплатных антишпионов занимали лидирующие позиции две программы – AdAware и ее конкурент Spybot S&D. Эти программы бесплатны и скачать их у вас не вызовет никакого труда. AdAware продолжает выдавать отличнейшие показатели, то вторая в последнее время сдала свои позиции. Несомненные плюсы у обеих программ – это защита в режиме реального течения времени, чего нет в бесплатных версиях иных программ-антишпионов.
- Можно выделить еще довольно новый Malwarebytes Anti-Malware. Антишпион может похвастаться быстрым сканером и частыми обновлениями баз шпионских программ, поддерживающим программу постоянно в актуальном состоянии.
- Также удачный кандидат для выбора антишпиона – SuperAntiSpyware. Название программы полностью соответствует содержимому. SuperAntiSpyware обеспечивает высокие показатели по выявлению и удалению нежелательных вам программ.
- Еще один недавний лучший среди антишпионского ПО Spyware Terminator в новых тестах показывает плохие результаты, но совместно с Malwarebytes Anti-Malware его еще можно использовать или вместе с SuperAntiSpyware – благодаря тому, что он умеет обеспечивать защиту от шпионского ПО в режиме реального времени тоже.
- Также надо отметить популярную антишпионскую программу от Microsoft по имени Windows Defender. Хоть ее часто критикуют, ее модули отслеживания подозрительных изменений в системе по прежнему высоки, плюс есть защита real-time.
Внимание: Если использовать более одного антишпиона при защите в режиме реального времени, это вызовет как конфликты, так и излишнее использование ресурсов.
Особенности антишпионов
Есть два типа антишпионов: активные и пассивные. Активные антишпионы, например Spyhunter работают в фоновом режиме на компьютере и постоянно сканируют его на наличие шпионских угроз. Пассивные антишпионы требуют от пользователя вручную запускать сканирование компьютера для поиска и удаления spyware.
Когда программа антишпион находит потенциальную угрозу, то, как правило, предоставляет пользователю различные варианты того, что делать с этой угрозой:
- Вы можете не обращать внимания на угрозу и ничего не делать. Не все обнаруженные угрозы могут быть шпионами — например, вы сами могли сознательно установить специальное отслеживание или родительский контроль за детьми.
- Другим вариантом является карантин (изоляция) потенциальной угрозы. Это часто используется, когда пользователь не знает, что делать. Изолировав угрозу в хранилище, вы можете впоследствии решить, что с ней делать — удалить или же разрешить доступ, если это было ложное обнаружение.
Чтобы не отставать от новейших угроз, antispyware (как и антивирусы) опираются на шпионские определения (обновления). Важно как можно чаще обновлять эти определения, чтобы обеспечить актуальную защиту вашего компьютера.
Важно отметить, что некоторые spyware создатели также создают фальшивые антишпионы. Они убеждают людей, что их компьютер заражен, и единственный способ защитить себя — это скачать их программу. Если, попадая на сайт, вы получаете всплывающие сообщения (pop-ups) о заражении вашего ПК и просьбу установить, купить или просканировать компьютер, не отвечайте. Это, скорее всего, является вредоносным само по себе.
Для уменьшения риска установки вредоносных программ, замаскированных под антишпионское программное обеспечение, изучите продукт, прежде чем устанавливать его на свой компьютер. Вы можете использовать два популярных профессиональных антишпионских продукта, MalwareBytes и Spybot, которые зарекомендовали себя и были бы отличным выбором для вас.