PDA

Просмотр полной версии : Интернет: за Вами наблюдает Spyware



Geser
29.09.2004, 11:33
Дата: 04.05.2004
Источник: crime-research.ru (http://www.crime-research.ru/news/04.05.2004/99)
Автор: Андрей Анненков

По данным New Scientist, в мире 5,1% подсоединенных к Интернету компьютеров несут на своем винчестере программный код, предназначенный для несанкционированного сбора пользователем сведений и (или) демонстрации непрошеной рекламы с помощью внезапно открывающихся ("pop-up") окон браузера.

Spyware определяют как программное обеспечение, позволяющее собирать сведения об отдельно взятом пользователе или организации без ведома тех, за кем ведется слежка. Adware (от advertising - реклама) - программный код, без ведома пользователя включенный в программное обеспечение с целью демонстрации рекламных объявлений. Привыкайте, скоро эти термины будут привычны всем и каждому так же, как стали привычны слова "спам" и "почтовый червь".

Spyware - это по сути тот же снифер, только устанавливаемый объектом слежки на свой компьютер добровольно. Делается это так. Некий "социальный инженер" пишет программу, с виду безвредную, даже полезную или забавную. Например, софт, который автоматически сверяет время встроенных в компьютер часов с эталонным, или сообщает прогноз завтрашней погоды в вашем городе, или умеет делать что-нибудь еще в этом роде. Программа предлагается желающим для бесплатной загрузки из Сети. Желающие из числа ничего не подозревающих о том, что в софте есть участок шпионского кода, обеспечивающий работу встроенного снифера, неизбежно находятся. После чего "троянский конь" торжественно входит в ваш дом.

Результаты наблюдений над вами и вашим поведением в Сети spyware незаметно отсылает своему хозяину. Целью шпионажа, как правило, становятся пароли доступа к Интернету (на сетевых форумах, посещаемых компьютерными люмпенами, можно встретить изумительно наглые откровения: "Посоветуйте, где взять снифер для паролей, а то жалко на Интернет свои деньги тратить").

Удивляет и степень распространения spyware. По данным, полученным специалистами Вашингтонского университета (Сиэтл) в ходе наблюдений за распространением лишь четырех известных программ-шпионов (Gator, Cydoor, SaveNow и eZula) на компьютерах студенческого городка, на 5,1% машин было установлено программное обеспечение для слежки за действиями пользователя, а 69% всех отделов и офисов университета имели по крайней мере один компьютер, на котором было установлено spyware.

Всего было обследовано 31 303 компьютера, связанных в локальную сеть с выходом в Интернет. Вполне представительная выборка. Предположение о том, что за пределами университетского кампуса дело обстоит иначе, лишено оснований. Если отличия и есть, то не в лучшую сторону: во-первых, квалификация пользователей в университете выше среднестатистической, а во-вторых, spyware-программ намного больше чем четыре. Так что процент зараженных машин в мире может быть гораздо выше. "Spyware - реальная проблема, которая недооценивается, в то время как она стала актуальной для существенной части населения" - таков вывод авторов исследования. Spyware, кроме того, не ограничиваются сбором информации, они представляют угрозу безопасности. Как минимум две из изученных программ - Gator и eZula - позволяют злоумышленнику не просто собирать информацию, но и контролировать чужой компьютер.

О наличии spyware на своей машине пользователь может и не догадываться, но adware не заметить невозможно. Этот софт, распространяющийся точно так же, как и программы-шпионы, подвергает пользователя принудительной демонстрации рекламы. Это много хуже спама. Письмо с предложением виагры или массовых рассылок e-mail можно отправить в папку "удаленные" и забыть о нем, а от adware так просто не избавишься. Этот софт вцепляется в память компьютера как клещ, и время от времени на экране жертвы неожиданно появляется еще одно окно браузера - с рекламой, разумеется.

Технические средства борьбы со spyware и adware существуют конечно же. Основное из них - программы-чистильщики, которые предлагаются к продаже и доступны для бесплатной загрузки. Их применение в большинстве случаев (но не всегда) помогает. Антивирусные же средства помочь не могут, поскольку spyware и adware - не вирусы, они не распространяются самостоятельно. Надеяться на законодательный запрет таких программ тоже не приходится. Единственно эффективное противодействие состоит в соблюдении правил личной компьютерной гигиены.

Minos
06.10.2004, 22:14
5,1% ???
Наверное автор письма не знает, что сама MS Windows собирает информацию о пользователе не хуже любого Spy модуля?
В мире ПК была в начале лета статья Большой брат, там довольно подробно расматривались технологии сбора информации о пользователе и будущее этой отрасли в целом, причем главными "любопытствующие" это не маленькие конторки или отдельные программисты, а крупные концерны и компании и зачастую это связано не только с желанием, что нибудь продать...

Geser
06.10.2004, 22:31
5,1% ???
Наверное автор письма не знает, что сама MS Windows собирает информацию о пользователе не хуже любого Spy модуля?


Собирает то собирает. Вопрос отсылает или нет?:)

Minos
06.10.2004, 22:37
Собирает то собирает. Вопрос отсылает или нет?:)

Если не отсылал бы, то и не собирал. Зачем дурную работу делать?

Geser
06.10.2004, 22:38
Если не отсылал бы, то и не собирал. Зачем дурную работу делать?

Ну ради оптимизации. Например в XP собирается информация в какой последовательности обычно запускаются программы что бы потом что-то там оптимизировать, ускорит и т.д :)

Minos
06.10.2004, 22:47
А так же о ключах, установленных программах, посещаемых сайтах, а дополнительную информацию запихиваемую в DOC файл смотрел? Зачев там все это оставлять, непонятно. Если сама компания и не извлекает ее с компьютера пользователя, то уж "сторонние" производители испольуют ее на всю катушку, а как известно "чисто не там где часто убирают, а там где не сорят." ;)

Geser
06.10.2004, 22:49
А так же о ... посещаемых сайтах
Ты про history, или есть что-то чего я не знаю?:)

Minos
06.10.2004, 23:18
Ты про history, или есть что-то чего я не знаю?:)

Нет, все это широко известные источники: history, кеш, cooke и другие "открытые" источники. Почему то при всей шумихе вокруг троянов, вирусов, шпионских моддулях никто не говорит о том, что многих проблемм можно было бы избежать, если бы данные пользователя шифровались. Почтовые архивы многих программ так же открыты. Зачем собирать спамерам адреса в сети, когда обработав только почтовые базы можно получить целую кучу валидных адресов?

Geser
06.10.2004, 23:26
Нет, все это широко известные источники: history, кеш, cooke и другие "открытые" источники. Почему то при всей шумихе вокруг троянов, вирусов, шпионских моддулях никто не говорит о том, что многих проблемм можно было бы избежать, если бы данные пользователя шифровались. Почтовые архивы многих программ так же открыты. Зачем собирать спамерам адреса в сети, когда обработав только почтовые базы можно получить целую кучу валидных адресов?

Не думаю что шифровать всё это так просто. А ключи где-то хранить нужно. Так троян сможет украсть ключь ил пароль, и расшифровать всё что нужно :)

Minos
07.10.2004, 19:52
Не думаю что шифровать всё это так просто. А ключи где-то хранить нужно. Так троян сможет украсть ключь ил пароль, и расшифровать всё что нужно :)

Если с умом к делу подойти, то может и не расшифровать. А попытки расшифровки сторонними программами можно антивирусами отслеживать.

Зайцев Олег
13.10.2004, 13:43
Кроме описанного выше я могу заметить еще один отрицательный момент SpyWare:
Большинство SpyWare скрытно закачивают свои обновления или своих "коллег" - это естественно расход трафика Интернет, причем в корпоративных масштабах солидный. При помощи элементарного DNS спуффинга злоумышленник может использовать это скрытное обновление для внедрения на пораженный SpyWare ПК троянских программ - механизм обновления как правило очень простой. По расходу трафика я делел замеры - для сети, в которой 300 ПК имеют выход в Инет один только Gator порождает около 200-300 МБ трафика в месяц.

Линд
29.10.2004, 13:24
Об этих программах-чистильщиках, которые предлагаются к продаже и доступны для бесплатной загрузки можно поподробнее? И желательно понятным языком,а то у меня с компом тяжелые взаимоотношения.

Geser
29.10.2004, 13:34
Об этих программах-чистильщиках, которые предлагаются к продаже и доступны для бесплатной загрузки можно поподробнее? И желательно понятным языком,а то у меня с компом тяжелые взаимоотношения.

Тут есть подробное описание одной из них http://virusinfo.info/index.php?board=28;action=display;threadid=26

Линд
30.10.2004, 16:22
Спасибо за ссылку. Хорошая программа. Только жаль, что бесплатная версия не блокирует всплывающие сообщения. А они мне жуть как надоели >:( >:( >:(. Платная стоит в районе 27 дол. Никто из вас не приобретал? Нормально работает, не знаете?

drongo
30.10.2004, 16:40
Спасибо за ссылку. Хорошая программа. Только жаль, что бесплатная версия не блокирует всплывающие сообщения. А они мне жуть как надоели >:( >:( >:(. Платная стоит в районе 27 дол. Никто из вас не приобретал? Нормально работает, не знаете?

spybot тоже прогони , есть русский (http://www.download.com/Spybot-Search-Destroy/3000-8022-10122137.html?part=dl-spybot&subj=dl&tag=but)
всплывающие сообщения бывают разные ,есть которые виндовса ХП (там и отключать службу )а есть от шпионов которые не удалила(спайбот, adware) , также есть на сайтах ( есть куча насадок( по моему лучшая для эксплорера- zero-popup), можно поменять браузер (бесплатные насадки : maxthon , greenbrowser , avant ...; другие бесплатные браузеры : firefox , opera ...)

Geser
30.10.2004, 16:57
Спасибо за ссылку. Хорошая программа. Только жаль, что бесплатная версия не блокирует всплывающие сообщения. А они мне жуть как надоели >:( >:( >:(. Платная стоит в районе 27 дол. Никто из вас не приобретал? Нормально работает, не знаете?

Если установить SP2, там встроена блокировка всплывающих окон. Еще давольно удобно блокировать всплывающие окна при помощи Google toolbar. Он чистый, без всяких гадостей, и искать удобно.

Линд
31.10.2004, 19:04
Ad-ware SE все подчистила, а с сообщениями справиться не могу. Я не знаю, от Windows они или нет. Инфо на английском типа у вас этот шпион Spyware и вам нужно зайти на такой-то сайт. Можно поподробнее об этих насадках, как установить SP2? Я не в курсе. Относительно с недавнего времени являюсь пользователем интернет и надо было нарваться на такую заразу :( Help

Geser
31.10.2004, 19:08
Ad-ware SE все подчистила, а с сообщениями справиться не могу. Я не знаю, от Windows они или нет. Инфо на английском типа у вас этот шпион Spyware и вам нужно зайти на такой-то сайт.
А когда появляется? Когда на какой-то определённый сайт заходишь?

Линд
31.10.2004, 19:30
Нет, не зависимо от того, на какие сайты захожу. Вот сегодня только сюда заглянула, а они тут как тут.

drongo
31.10.2004, 20:47
Нет, не зависимо от того, на какие сайты захожу. Вот сегодня только сюда заглянула, а они тут как тут.
линд , иди пожалуйста по ссылке (http://virusinfo.info/index.php?board=26;action=display;threadid=20), почитай и сделай в том же разделе новую тему с полным логом hjackthis(о нём тоже написано там же ) , также то окно что появляеться тоже сохрани и присоедeни к посту(attach ...) а то мне не видно что написано отсюда :)
как это сделать :
сделай всплывающее окно активным , затем жми на 2 кнопки сразу :Alt+print screen
, открывай Paint (в стандартных программах) вставь и сохрани :)

Alexey P.
01.11.2004, 00:09
Ad-ware SE все подчистила, а с сообщениями справиться не могу. Я не знаю, от Windows они или нет. Инфо на английском типа у вас этот шпион Spyware и вам нужно зайти на такой-то сайт.

Эти рекламные сообщения рассылаются недобросовестными изготовителями программ, желающими продать свои поделки и использующими для рекламы такие дешевые трюки.

В Windows остановите и запретите службу Messenger, она не нужна.
Start - Settings - Control Panel
Administrative Tools - Services
Найти в списке (он по алфавиту) Messenger, выделить левым щелчком мыша, щелкнуть правой кнопкой, в меню выбрать "Properties".
В открывшемся окне свойств службы нажать "Stop", дождаться остановки.
Чтобы при включении компьютера эта служба не запускалась, выставить Startup type - "Manual". Нажать "ОК", окно закроется.
Все, больше этих сообщений не будет.
Естественно, все это надо делать из-под пользователя с правами администратора.

biomednet
10.12.2004, 17:52
Доброе время суток!
Замучался с программой от mail.ru - mail ru agent (007 видимо)
Касперский определяет mrasearch.dll и mrasearch.t__ как adware, удаляет, но mra их все равно закачивает и устанавливает. В результате Каспер 4.5 базы paraniod ловит его каждае 30 минут и ругается.
Я заменил mrasearch.dll на пустой файл, теперь закачки прекратились, зато выходит сообщение, что mrasearch.dll не является компонентом windows переустановите программу...
Удалять совсем эту программу не хочу - с ней удобно следить за приходом новых писем (pop и imap во всех вариантах, включая защищенные, отключены ( я на работе пользуюсь) и заходить с быстрой авторизацией.
Как можно исправить этту программу так. чтобы она не вызывала mrasearch ?
спасибо.

Geser
10.12.2004, 18:01
Занести директорию программы в список исключаемых из проверки путей в КАВ

biomednet
10.12.2004, 18:08
Заниати директорию программы в список исключаемых из проверки путей в КАВ


Geser, это не то, извините.
Я хочу, mra обезвредить, навсегда отучив ее скачивать и устанавливать разную гадость.
Это равносильно отключению анивируса при инфицировании :beer:
Реестр и файл mra.exe на предмет mrasearch чистил, не помогает.

Geser
10.12.2004, 18:11
Geser, это не то, извините.
Я хочу, mra обезвредить, навсегда отучив ее скачивать и устанавливать разную гадость.
Это равносильно отключению анивируса при инфицировании :beer:
Реестр и файл mra.exe на предмет mrasearch чистил, не помогает.

Стенкой попробовать закрыть возможность скачивать длл

pig
10.12.2004, 20:22
Ещё не факт, что это на самом деле adware. Хотелось бы дословно узнать мнение антивируса - возможно или точно, не модификация ли. Можно также отослать подозреваемых аналитикам ЛК для пристрастного разбора. Можно задать вопрос администрации Mail.ru.

grishach
12.12.2004, 20:41
Спсибо за информацию. :)

biomednet
14.12.2004, 10:52
Ещё не факт, что это на самом деле adware. Хотелось бы дословно узнать мнение антивируса - возможно или точно, не модификация ли. Можно также отослать подозреваемых аналитикам ЛК для пристрастного разбора. Можно задать вопрос администрации Mail.ru.


файлы
MraSearch.dll и MraSearch.t__
инфицированы not-a-virus:AdWare.MraSearch.a
Kaspersky antivirus 4.5 pro базы paranoid
Вот, это было раньше, я эти файлы сохранил, а теперь, сегодня Каспер их отказывается опознавать. Х.з. в чем дело. Несколько месяцев орал на них. Может быть mail.ru заплатили Касперу за молчание.
Кому надо - скину по почте. А Касперу я сейчас отпишу.

Geser
14.12.2004, 11:00
файлы
MraSearch.dll и MraSearch.t__
инфицированы not-a-virus:AdWare.MraSearch.a
Kaspersky antivirus 4.5 pro базы paranoid
Вот, это было раньше, я эти файлы сохранил, а теперь, сегодня Каспер их отказывается опознавать. Х.з. в чем дело. Несколько месяцев орал на них. Может быть mail.ru заплатили Касперу за молчание.
Кому надо - скину по почте. А Касперу я сейчас отпишу.

Да скорее всего они добавили их по ошибке, не разобравшись. Не всё что крутит рекламу является AdWare. Только то что устанавливается без разрешения, и не имеет деинсталяции.

biomednet
14.12.2004, 11:11
Ну, посмотрим, что Гостев ответит.
а вот здесь топ 100 вирусов от Каспера, и mra туда включен.
Еще где-то пробегало опознание Mra.URLSearch.Hook ( в смысле что, ворует адреса, куда я хожу? )
http://www.antivirus.lv/virustop.php?l=ru
А по поводу рекламы, не знаю. у меня ничего не крутило, может и правда по ошибке.
А кто может проверить, какие еще программы определяют/неопределяют в файле adware?
http://dearweb.newmail.ru/MraSearch.rar

Geser
14.12.2004, 11:20
А кто может проверить, какие еще программы определяют/неопределяют в файле adware?
http://dearweb.newmail.ru/MraSearch.rar

http://www.virustotal.com/
http://virusscan.jotti.dhs.org/