Интернет: за Вами наблюдает Spyware

Дата: 04.05.2004
Источник: [url=http://www.crime-research.ru/news/04.05.2004/99]crime-research.ru [/url]
Автор: Андрей Анненков

По данным New Scientist, в мире 5,1% подсоединенных к Интернету компьютеров несут на своем винчестере программный код, предназначенный для несанкционированного сбора пользователем сведений и (или) демонстрации непрошеной рекламы с помощью внезапно открывающихся ("pop-up") окон браузера.

Spyware определяют как программное обеспечение, позволяющее собирать сведения об отдельно взятом пользователе или организации без ведома тех, за кем ведется слежка. Adware (от advertising - реклама) - программный код, без ведома пользователя включенный в программное обеспечение с целью демонстрации рекламных объявлений. Привыкайте, скоро эти термины будут привычны всем и каждому так же, как стали привычны слова "спам" и "почтовый червь".

Spyware - это по сути тот же снифер, только устанавливаемый объектом слежки на свой компьютер добровольно. Делается это так. Некий "социальный инженер" пишет программу, с виду безвредную, даже полезную или забавную. Например, софт, который автоматически сверяет время встроенных в компьютер часов с эталонным, или сообщает прогноз завтрашней погоды в вашем городе, или умеет делать что-нибудь еще в этом роде. Программа предлагается желающим для бесплатной загрузки из Сети. Желающие из числа ничего не подозревающих о том, что в софте есть участок шпионского кода, обеспечивающий работу встроенного снифера, неизбежно находятся. После чего "троянский конь" торжественно входит в ваш дом.

Результаты наблюдений над вами и вашим поведением в Сети spyware незаметно отсылает своему хозяину. Целью шпионажа, как правило, становятся пароли доступа к Интернету (на сетевых форумах, посещаемых компьютерными люмпенами, можно встретить изумительно наглые откровения: "Посоветуйте, где взять снифер для паролей, а то жалко на Интернет свои деньги тратить").

Удивляет и степень распространения spyware. По данным, полученным специалистами Вашингтонского университета (Сиэтл) в ходе наблюдений за распространением лишь четырех известных программ-шпионов (Gator, Cydoor, SaveNow и eZula) на компьютерах студенческого городка, на 5,1% машин было установлено программное обеспечение для слежки за действиями пользователя, а 69% всех отделов и офисов университета имели по крайней мере один компьютер, на котором было установлено spyware.

Всего было обследовано 31 303 компьютера, связанных в локальную сеть с выходом в Интернет. Вполне представительная выборка. Предположение о том, что за пределами университетского кампуса дело обстоит иначе, лишено оснований. Если отличия и есть, то не в лучшую сторону: во-первых, квалификация пользователей в университете выше среднестатистической, а во-вторых, spyware-программ намного больше чем четыре. Так что процент зараженных машин в мире может быть гораздо выше. "Spyware - реальная проблема, которая недооценивается, в то время как она стала актуальной для существенной части населения" - таков вывод авторов исследования. Spyware, кроме того, не ограничиваются сбором информации, они представляют угрозу безопасности. Как минимум две из изученных программ - Gator и eZula - позволяют злоумышленнику не просто собирать информацию, но и контролировать чужой компьютер.

О наличии spyware на своей машине пользователь может и не догадываться, но adware не заметить невозможно. Этот софт, распространяющийся точно так же, как и программы-шпионы, подвергает пользователя принудительной демонстрации рекламы. Это много хуже спама. Письмо с предложением виагры или массовых рассылок e-mail можно отправить в папку "удаленные" и забыть о нем, а от adware так просто не избавишься. Этот софт вцепляется в память компьютера как клещ, и время от времени на экране жертвы неожиданно появляется еще одно окно браузера - с рекламой, разумеется.

Технические средства борьбы со spyware и adware существуют конечно же. Основное из них - программы-чистильщики, которые предлагаются к продаже и доступны для бесплатной загрузки. Их применение в большинстве случаев (но не всегда) помогает. [color=red]Антивирусные же средства помочь не могут, поскольку spyware и adware - не вирусы, они не распространяются самостоятельно[/color]. Надеяться на законодательный запрет таких программ тоже не приходится. Единственно эффективное противодействие состоит в соблюдении правил личной компьютерной гигиены.

5,1% ???
Наверное автор письма не знает, что сама MS Windows собирает информацию о пользователе не хуже любого Spy модуля?
В мире ПК была в начале лета статья Большой брат, там довольно подробно расматривались технологии сбора информации о пользователе и будущее этой отрасли в целом, причем главными "любопытствующие" это не маленькие конторки или отдельные программисты, а крупные концерны и компании и зачастую это связано не только с желанием, что нибудь продать...

[QUOTE=Minos]
5,1% ???
Наверное автор письма не знает, что сама MS Windows собирает информацию о пользователе не хуже любого Spy модуля?

[/QUOTE]
Собирает то собирает. Вопрос отсылает или нет?:)

[QUOTE=Geser]
Собирает то собирает. Вопрос отсылает или нет?:)
[/QUOTE]
Если не отсылал бы, то и не собирал. Зачем дурную работу делать?

[QUOTE=Minos]
Если не отсылал бы, то и не собирал. Зачем дурную работу делать?
[/QUOTE]
Ну ради оптимизации. Например в XP собирается информация в какой последовательности обычно запускаются программы что бы потом что-то там оптимизировать, ускорит и т.д :)

А так же о ключах, установленных программах, посещаемых сайтах, а дополнительную информацию запихиваемую в DOC файл смотрел? Зачев там все это оставлять, непонятно. Если сама компания и не извлекает ее с компьютера пользователя, то уж "сторонние" производители испольуют ее на всю катушку, а как известно "чисто не там где часто убирают, а там где не сорят." ;)

[QUOTE=Minos]
А так же о ... посещаемых сайтах[/QUOTE]
Ты про history, или есть что-то чего я не знаю?:)

[QUOTE=Geser]
Ты про history, или есть что-то чего я не знаю?:)
[/QUOTE]
Нет, все это широко известные источники: history, кеш, cooke и другие "открытые" источники. Почему то при всей шумихе вокруг троянов, вирусов, шпионских моддулях никто не говорит о том, что многих проблемм можно было бы избежать, если бы данные пользователя шифровались. Почтовые архивы многих программ так же открыты. Зачем собирать спамерам адреса в сети, когда обработав только почтовые базы можно получить целую кучу валидных адресов?

[QUOTE=Minos]
Нет, все это широко известные источники: history, кеш, cooke и другие "открытые" источники. Почему то при всей шумихе вокруг троянов, вирусов, шпионских моддулях никто не говорит о том, что многих проблемм можно было бы избежать, если бы данные пользователя шифровались. Почтовые архивы многих программ так же открыты. Зачем собирать спамерам адреса в сети, когда обработав только почтовые базы можно получить целую кучу валидных адресов?
[/QUOTE]
Не думаю что шифровать всё это так просто. А ключи где-то хранить нужно. Так троян сможет украсть ключь ил пароль, и расшифровать всё что нужно :)

[QUOTE=Geser]
Не думаю что шифровать всё это так просто. А ключи где-то хранить нужно. Так троян сможет украсть ключь ил пароль, и расшифровать всё что нужно :)
[/QUOTE]
Если с умом к делу подойти, то может и не расшифровать. А попытки расшифровки сторонними программами можно антивирусами отслеживать.

Кроме описанного выше я могу заметить еще один отрицательный момент SpyWare:
Большинство SpyWare скрытно закачивают свои обновления или своих "коллег" - это естественно расход трафика Интернет, причем в корпоративных масштабах солидный. При помощи элементарного DNS спуффинга злоумышленник может использовать это скрытное обновление для внедрения на пораженный SpyWare ПК троянских программ - механизм обновления как правило очень простой. По расходу трафика я делел замеры - для сети, в которой 300 ПК имеют выход в Инет один только Gator порождает около 200-300 МБ трафика в месяц.

Об этих программах-чистильщиках, которые предлагаются к продаже и доступны для бесплатной загрузки можно поподробнее? И желательно понятным языком,а то у меня с компом тяжелые взаимоотношения.

[quote author=Линд link=board=22;threadid=76;start=0#msg896 date=1099041850]
Об этих программах-чистильщиках, которые предлагаются к продаже и доступны для бесплатной загрузки можно поподробнее? И желательно понятным языком,а то у меня с компом тяжелые взаимоотношения.
[/quote]
Тут есть подробное описание одной из них [url]http://virusinfo.info/index.php?board=28;action=display;threadid=26[/url]

Спасибо за ссылку. Хорошая программа. Только жаль, что бесплатная версия не блокирует всплывающие сообщения. А они мне жуть как надоели >:( >:( >:(. Платная стоит в районе 27 дол. Никто из вас не приобретал? Нормально работает, не знаете?

[quote author=Линд link=board=22;threadid=76;start=0#msg955 date=1099138961]
Спасибо за ссылку. Хорошая программа. Только жаль, что бесплатная версия не блокирует всплывающие сообщения. А они мне жуть как надоели >:( >:( >:(. Платная стоит в районе 27 дол. Никто из вас не приобретал? Нормально работает, не знаете?
[/quote]
[url=http://www.download.com/Spybot-Search-Destroy/3000-8022-10122137.html?part=dl-spybot&subj=dl&tag=but]spybot тоже прогони , есть русский [/url]
всплывающие сообщения бывают разные ,есть которые виндовса ХП (там и отключать службу )а есть от шпионов которые не удалила(спайбот, adware) , также есть на сайтах ( есть куча насадок( по моему лучшая для эксплорера- zero-popup), можно поменять браузер (бесплатные насадки : maxthon , greenbrowser , avant ...; другие бесплатные браузеры : firefox , opera ...)

[quote author=Линд link=board=22;threadid=76;start=0#msg955 date=1099138961]
Спасибо за ссылку. Хорошая программа. Только жаль, что бесплатная версия не блокирует всплывающие сообщения. А они мне жуть как надоели >:( >:( >:(. Платная стоит в районе 27 дол. Никто из вас не приобретал? Нормально работает, не знаете?
[/quote]
Если установить SP2, там встроена блокировка всплывающих окон. Еще давольно удобно блокировать всплывающие окна при помощи Google toolbar. Он чистый, без всяких гадостей, и искать удобно.

Ad-ware SE все подчистила, а с сообщениями справиться не могу. Я не знаю, от Windows они или нет. Инфо на английском типа у вас этот шпион Spyware и вам нужно зайти на такой-то сайт. Можно поподробнее об этих насадках, как установить SP2? Я не в курсе. Относительно с недавнего времени являюсь пользователем интернет и надо было нарваться на такую заразу :( Help

[quote author=Линд link=board=22;threadid=76;start=0#msg985 date=1099238673]
Ad-ware SE все подчистила, а с сообщениями справиться не могу. Я не знаю, от Windows они или нет. Инфо на английском типа у вас этот шпион Spyware и вам нужно зайти на такой-то сайт. [/quote]
А когда появляется? Когда на какой-то определённый сайт заходишь?

Нет, не зависимо от того, на какие сайты захожу. Вот сегодня только сюда заглянула, а они тут как тут.

[quote author=Линд link=board=22;threadid=76;start=0#msg990 date=1099240258]
Нет, не зависимо от того, на какие сайты захожу. Вот сегодня только сюда заглянула, а они тут как тут.
[/quote]линд , иди пожалуйста [url=http://virusinfo.info/index.php?board=26;action=display;threadid=20]по ссылке [/url], почитай и сделай в том же разделе новую тему с полным логом hjackthis(о нём тоже написано там же ) , также то окно что появляеться тоже сохрани и присоедeни к посту(attach ...) а то мне не видно что написано отсюда :)
как это сделать :
сделай всплывающее окно активным , затем жми на 2 кнопки сразу :Alt+print screen
, открывай Paint (в стандартных программах) вставь и сохрани :)

[quote author=Линд link=board=22;threadid=76;start=0#msg985 date=1099238673]
Ad-ware SE все подчистила, а с сообщениями справиться не могу. Я не знаю, от Windows они или нет. Инфо на английском типа у вас этот шпион Spyware и вам нужно зайти на такой-то сайт.
[/quote]
Эти рекламные сообщения рассылаются недобросовестными изготовителями программ, желающими продать свои поделки и использующими для рекламы такие дешевые трюки.

В Windows остановите и запретите службу Messenger, она не нужна.
Start - Settings - Control Panel
Administrative Tools - Services
Найти в списке (он по алфавиту) Messenger, выделить левым щелчком мыша, щелкнуть правой кнопкой, в меню выбрать "Properties".
В открывшемся окне свойств службы нажать "Stop", дождаться остановки.
Чтобы при включении компьютера эта служба не запускалась, выставить Startup type - "Manual". Нажать "ОК", окно закроется.
Все, больше этих сообщений не будет.
Естественно, все это надо делать из-под пользователя с правами администратора.

Доброе время суток!
Замучался с программой от mail.ru - mail ru agent (007 видимо)
Касперский определяет mrasearch.dll и mrasearch.t__ как adware, удаляет, но mra их все равно закачивает и устанавливает. В результате Каспер 4.5 базы paraniod ловит его каждае 30 минут и ругается.
Я заменил mrasearch.dll на пустой файл, теперь закачки прекратились, зато выходит сообщение, что mrasearch.dll не является компонентом windows переустановите программу...
Удалять совсем эту программу не хочу - с ней удобно следить за приходом новых писем (pop и imap во всех вариантах, включая защищенные, отключены ( я на работе пользуюсь) и заходить с быстрой авторизацией.
Как можно исправить этту программу так. чтобы она не вызывала mrasearch ?
спасибо.

Занести директорию программы в список исключаемых из проверки путей в КАВ

[QUOTE=Geser]
Заниати директорию программы в список исключаемых из проверки путей в КАВ
[/QUOTE]

Geser, это не то, извините.
Я хочу, mra обезвредить, навсегда отучив ее скачивать и устанавливать разную гадость.
Это равносильно отключению анивируса при инфицировании :beer:
Реестр и файл mra.exe на предмет mrasearch чистил, не помогает.

[QUOTE=biomednet]
Geser, это не то, извините.
Я хочу, mra обезвредить, навсегда отучив ее скачивать и устанавливать разную гадость.
Это равносильно отключению анивируса при инфицировании :beer:
Реестр и файл mra.exe на предмет mrasearch чистил, не помогает.
[/QUOTE]
Стенкой попробовать закрыть возможность скачивать длл

Ещё не факт, что это на самом деле adware. Хотелось бы дословно узнать мнение антивируса - возможно или точно, не модификация ли. Можно также отослать подозреваемых аналитикам ЛК для пристрастного разбора. Можно задать вопрос администрации Mail.ru.

Спсибо за информацию. :)

[QUOTE=pig]
Ещё не факт, что это на самом деле adware. Хотелось бы дословно узнать мнение антивируса - возможно или точно, не модификация ли. Можно также отослать подозреваемых аналитикам ЛК для пристрастного разбора. Можно задать вопрос администрации Mail.ru.
[/QUOTE]

файлы
MraSearch.dll и MraSearch.t__
инфицированы not-a-virus:AdWare.MraSearch.a
Kaspersky antivirus 4.5 pro базы paranoid
Вот, это было раньше, я эти файлы сохранил, а теперь, сегодня Каспер их отказывается опознавать. Х.з. в чем дело. Несколько месяцев орал на них. Может быть mail.ru заплатили Касперу за молчание.
Кому надо - скину по почте. А Касперу я сейчас отпишу.

[QUOTE=biomednet]
файлы
MraSearch.dll и MraSearch.t__
инфицированы not-a-virus:AdWare.MraSearch.a
Kaspersky antivirus 4.5 pro базы paranoid
Вот, это было раньше, я эти файлы сохранил, а теперь, сегодня Каспер их отказывается опознавать. Х.з. в чем дело. Несколько месяцев орал на них. Может быть mail.ru заплатили Касперу за молчание.
Кому надо - скину по почте. А Касперу я сейчас отпишу.
[/QUOTE]
Да скорее всего они добавили их по ошибке, не разобравшись. Не всё что крутит рекламу является AdWare. Только то что устанавливается без разрешения, и не имеет деинсталяции.

Ну, посмотрим, что Гостев ответит.
а вот здесь топ 100 вирусов от Каспера, и mra туда включен.
Еще где-то пробегало опознание Mra.URLSearch.Hook ( в смысле что, ворует адреса, куда я хожу? )
[url]http://www.antivirus.lv/virustop.php?l=ru[/url]
А по поводу рекламы, не знаю. у меня ничего не крутило, может и правда по ошибке.
А кто может проверить, какие еще программы определяют/неопределяют в файле adware?
[url]http://dearweb.newmail.ru/MraSearch.rar[/url]

[QUOTE=biomednet]
А кто может проверить, какие еще программы определяют/неопределяют в файле adware?
[url]http://dearweb.newmail.ru/MraSearch.rar[/url]
[/QUOTE]
[url]http://www.virustotal.com/[/url]
[url]http://virusscan.jotti.dhs.org/[/url]