Wstęp

Wielu mniej zaawansowanych użytkowników komputerów instaluje darmowe programy, przyciągające często swoją funkcjonalnością oraz dużymi możliwościami. Firmy pragną jednak zarobić na swojej twórczości, niestety korzystając z nieuwagi bądź niewiedzy użytkowników. Do tego celu powstało oprogramowanie typu adware, spyware i stealware, które w różnoraki sposób jest dołączane do normalnych programów. W niniejszym artykule wyjaśnimy, jak duże zagrożenie niesie ze sobą tego typu oprogramowanie i wskażemy metody usuwania oraz zabezpieczania się przed ich działaniem.
 

Adware

Są to darmowe programy, które w zamian za możliwość korzystania z nich, niejako zmuszają do oglądania reklam. Takie aplikacje określane są mianem adware (z ang. "Advertisement Software" - oprogramowanie reklamujące). Adware działa w ten sposób, że dana aplikacja pobiera z zewnętrznego serwera reklamy i wyświetla je w programie, a użytkownik nie może tego wyłączyć (o ile aplikacja nie oferuje innych możliwości opłaty za korzystanie z niej). Za możliwość korzystania z programu przez użytkownika płaci w tym wypadku reklamodawca. Korzystanie z takich aplikacji nie niesie ze sobą ryzyka bycia szpiegowanym, ani w jakikolwiek sposób inwigilowanym. Nie oznacza to jednak, że należy czuć się od razu bezpiecznie. Są programy, które pomimo deklaracji, że są typu adware, zawierają moduły spyware a nawet stealware. Dlatego zawsze trzeba się mieć na baczności. Moduły adware są teraz szeroko rozpowszechnione. Znajdziemy je między innymi w najbardziej popularnym polskim komunikatorze internetowym Gadu-Gadu i drugim pod względem popularności komunikatorze Tlen, w szybko rozwijającej się norweskiej przeglądarce Opera i w dość znanym amerykańskim kliencie pocztowym Eudora.

Spyware

Jest to bardziej rozbudowana forma adware, w której zawiera się również tak zwane nieautoryzowane adware. Użytkownik oprócz reklam wyświetlanych na ekranie komputera, jest ponadto narażony na działanie szpiegów, które zbierają informację o nim, tworząc jego profil. Takie aplikacje są określane mianem spyware (z ang. "Spying Software" - oprogramowanie szpiegujące). Zbierane informacje to przede wszystkim witryny, które użytkownik oglądał, reklamy, na które długo patrzył, identyfikatory, hasła i wszelkie inne dane osobowe. Ponadto często programy przeprowadzają "anonimową" ankietę, pytając o płeć, datę urodzenia, hobby czy nawet wyznanie. Wszystkie te informacje są skrzętnie gromadzone i wysyłane do zewnętrznego serwera, który na podstawie naszego profilu zaserwuje nam odpowiednie reklamy. Cały proces przebiega najczęściej za zgodą użytkownika - prawie zawsze w umowie licencyjnej programu zawarta jest informacja o wszelkich modułach typu spyware, niestety mało kto ją uważnie czyta. Korzystanie z tego typu aplikacji niesie ze sobą duże ryzyko, dlatego najlepiej jest z nich po prostu nie korzystać. Takich modułów jest teraz kilka tysięcy. Ukrywają się między innymi w aktualnie najbardziej powszechnych programach typu Peer-2-Peer: Kazaa, LimeWire i Morpheus, dość znajej amerykańskiej przeglądarce NetCaptor oraz w bardzo popularnym amerykańskim menedżerze pobierania plików FlashGet.
 

Stealware

Jest to swego rodzaju nowość dla użytkowników. O Stealware aktualnie jeszcze mało osób wie, dlatego moduły tego typu mają duże pole działania. Stealware (z ang. "Stealing Software" - oprogramowanie okradające) służy do okradania użytkowników z pieniędzy. Moduł okradający śledzi wszelkie poczynania użytkownika w systemie. Gdy ten chce zapłacić za jakąś usługę przez Internet, odpowiedni moduł okradający uaktywnia się i przekierowuje dany przekaz pieniężny na odpowiednie konto (poprzez odpowiednią modyfikacje "ciasteczek"). Oprogramowanie Stealware posiadają bardzo popularne programy P2P: Morpheus, Kazaa, BearShare oraz LimeWire. Co ważne moduły stealware działają nawet wtedy, gdy wymienione programy nie są uruchomione. Najlepiej po prostu je usunąć i korzystać z darmowych aplikacji takich jak: DC++, Direct Connect czy WinMX. Najbardziej popularne są 3 moduły Stealware: BUYERSPORT (biblioteka mbho.dll dołączona do Morpheusa), LIMESHOP (dołączone do LimeWire), SAVENOW (dołączone do Kazaa). Aktualnie modułów typu Stealware jest niedużo, ale ich liczba szybko wzrasta.

Objawy

Oprogramowanie zawierające wspomniane moduły może zamienić nam stronę startową w przeglądarce. Takie działanie jest określane mianem "homepage hijacking" (z ang. uprowadzanie strony startowej). Tego typu operację mogą wykonywać moduły adware i spyware, zawarte w zainstalowanym oprogramowaniu lub samodzielne aplikacje pobrane przez użytkownika z Internetu. W zależności od modułu strona startowa może zamienić się tylko raz, a po zmianie przez użytkownika z powrotem na normalną już się nie zmieniać lub strona startowa może zamieniać się cały czas niezależnie od zmian wprowadzanych w ustawieniach przeglądarki.

Kolejnym objawem mogą być pojawiające się banery reklamowe w miejscach gdzie wcześniej nie występowały, na przykład na często odwiedzanej przez użytkownika stronie (moduł adware lub stealware w "locie" modyfikuje odpowiednio kod strony, tak aby pokazywały się odpowiednie reklamy). Moduły mogą też samodzielnie wywoływać przeglądarkę (na przykład podczas startu systemu) z reklamami, mimo że użytkownik sam jej nie włączył.

Zarażony system z reguły staje się powolny, posiada mniej wolnych zasobów, prędkość połączenia z Internetem spada, a samo łącze jest wykorzystywane, mimo że użytkownik nie korzysta z Internetu w danej chwili.

Jeśli w systemie występuje chociaż jeden ze wspomnianych objawów warto zainteresować się możliwością ochrony systemu.

Jak się chronić?

Standardowa ochrona często okazuje się nieskuteczna. Użytkownicy instalując oprogramowanie antywirusowe i zapory ogniowe czują się bezpiecznie. Tymczasem oprogramowanie szpiegujące i okradające łatwo omija tego typu zabezpieczenia w komputerze. Dzieje się tak, ponieważ programy antywirusowe nie traktują tego typu modułów jako wirusy (z małymi wyjątkami), tylko jak normalne programy. Natomiast zapory ogniowe zezwalają na kontakt z Internetem tego typu modułom przede wszystkim, dlatego że użytkownik nieświadomie przy akceptowaniu połączeń danego programu z modułami spyware lub stealware, akceptuje również połączenia tych modułów. Przy korzystaniu z zapory ogniowej, można jedynie jeszcze przeglądać listę aplikacji, jakie kontaktują się z siecią. Wówczas dość łatwo użytkownik jest w stanie zauważyć podejrzane połączenia i rozpocząć walkę z oprogramowanie szpiegującym lub okradającym.

1. Odpowiednie ustawienie przeglądarki
Zdecydowana większość użytkowników korzysta ze standardowej przeglądarki Internet Explorer w systemach Windows. Ważne jest jej odpowiednie ustawienie tak, aby zmniejszyć ryzyko "zarażenia się" modułami spyware oraz stealware. Poziom bezpieczeństwa w przeglądarce można ustawić w zależności jak dużo (lub jak mało) informacji zgadzamy się wysyłać do stron internetowych. Im wyższy poziom, tym mniejsze ryzyko. Warto jednak pamiętać, że ustawienie wysokiego poziomu może uczynić strony internetowe bezużytecznymi. Standardowo Internet Explorer jest ustawiony na poziomie średnim. Przy takim ustawieniu przeglądarka zawsze pyta użytkownika, czy zgadza się na pobranie i instalację danego oprogramowania lub czy dany wydawca jest zaufany. Ustawienie przeglądarki na mniejszym o średniego poziomie zezwala na automatyczne instalowanie modułów, bez pytania o zgodę użytkownika. Niesie to ze sobą bardzo poważne ryzyko zainfekowania systemu. Aby ustawić poziom bezpieczeństwa przeglądarki należy wejść do "Start -> Ustawienia -> Panel Sterowania -> Opcje internetowe -> Zabezpieczenia" i ustawić odpowiednio suwak.

2. Stałe aktualizowanie systemu Windows
Kolejnym krokiem w walce z modułami spyware oraz stealware jest posiadanie wszystkich aktualizacji systemu Windows zainstalowanego w komputerze. Aby zainstalować najnowsze aktualizacje, należy wejść na witrynę Windows Update (www.windowsupdate.com) lub uaktywnić funkcję Automatycznych aktualizacji w systemie - "Start -> Ustawienia -> Panel Sterowania -> System -> Aktualizacje automatyczne".

3. Uważne czytanie umowy licencyjnej
Oprogramowanie zawierające Adware, Spyware lub Stealware często podczas instalacji informuje nas o tym w umowie licencyjnej. Znajdziemy w niej wzmiankę, często małą czcionką. Producenci jednak nie są prawnie zobowiązani do umieszczania takiej informacji. Warto, zatem przestudiować umowę, ale należy liczyć się z tym, że informacja o modułach reklamujących lub szpiegujących nie została zawarta.

4. Ręczne wykrywanie modułów
Jeśli podejrzewamy, że w naszym systemie znalazły się moduły adware, spyware lub stealware, warto sprawdzić system pod tym kątem. Na początek należy wejść do Menedżera Zadań (Ctrl+Alt+Del) i bardzo dokładnie przejrzeć listę procesów w poszukiwaniu podejrzanych nazw. Każdej nazwie procesu warto się przyjrzeć, bowiem często moduły szpiegujące mają bardzo podobne nazwy do standardowych procesów. Na przykład svch0st.exe lub svchosl.exe obok prawidłowego svchost.exe. Niektóre moduły mogą korzystać z tak zwanego "stealth process", czyli procesu którego nie widać na wspomianiej liście. Aby przejżec listę takich procesów trzeba posłużyć się odpowiednim narzędziem (na przykład WinTasksPro). Następna czynność to przejrzenie listy aplikacji włączanych podczas startu systemu. W tym celu należy wejść do Start/Uruchom i wpisać "msconfig.exe", po czym przejść do zakładki "Startup". Listę sprawdzamy pod kątem podejrzanych nazw programów. Nastpęnie należy przejść do zakładki "Usługi" i również ją przejrzeć w poszukiwaniu niestandardowych nazw usług. Na koniec można również przejrzeć listę zainstalowanych aplikacji. W tym celu przechodzimy do "Start -> ustawienia -> Panel Sterowania -> Dodaj/Usuń Programy". Niektóre moduły da się wykryć i usunąć w ten sposób.

5. Ręczne usuwanie 3 najbardziej znanych modułów Stealware

BUYERSPORT (dołączone do Morpheusa)
Wchodzimy do "Start -> Szukaj -> Znajdź pliki lub foldery" wpisujemy mbho.dll i rozpoczynamy wyszukiwanie. Wszystkie odnalezione pliki usuwamy.

LIMESHOP (dołączone do Limewire)
Wchodzimy do "Start -> Ustawienia -> Panel sterowania -> Dodaj lub usuń programy", na liście odnajdujemy pozycję "LimeShop" i klikamy na Dodaj/Usuń w celu usunięcia tej pozycji.

SAVENOW (dołączone do Kazaa)
Wchodzimy do "Start -> Ustawienia -> Panel sterowania -> Dodaj lub usuń programy", na liście odnajdujemy pozycję "SaveNow" i klikamy na Dodaj/Usuń w celu usunięcia pozycji.


6. Zaawansowane programy wykrywające moduły reklamujące, szpiegujące i okradające
Bardzo wygodną metodą jest zastosowanie programów usuwających wszelkie moduły adware, spyware i stealware. Poniżej podane zostały przykładowe pozycje.

Popularne programy anti-adware / anti-spyware

Lavasoft Ad-aware

Jest to rozbudowany program do wykrywania i całkowitego usuwania oprogramowania typu adware, spyware i stealware. Narzędzie to gruntowanie i szybko skanuje pamięć komputera, rejestr systemu, dyski twarde lokalne oraz sieciowe, napędy optyczne i przenośne w poszukiwaniu niepożądanego oprogramowania. Wszelkie wykryte obiekty są konkretnie opisane (nazwa, w jakiej części systemu się znajduje). Każdy obiekt można od razu całkowicie usunąć z systemu lub poddać kwarantannie. W wersji Plus użytkownik ma możliwość korzystania z modułu Ad-watch, który stale monitoruje połączenie sieciowe. Administratorów sieci zainteresuje na pewno możliwość ochrony całych środowisk sieciowych, opcja ta jednak jest dostępna tylko w płatnej wersji programu. Dużą zaletą Ad-aware jest możliwość zainstalowania wtyczek, dzięki którym znacznie można rozszerzyć możliwości narzędzia. Program można w dość dużym stopniu skonfigurować według własnych preferencji. Stale aktualizowana baza sygnatur, która można pobrać bezpośrednio w programie, znacznie podnosi jego skuteczność, czyniąc go jednym z najlepszych w swojej klasie. Ad-aware jest dostępny między innymi w polskiej wersji językowej.

Producent: Lavasoft (www.lavasoftusa.com)
Licencja: Darmowa - Standard Edition/Komercyjna $26.95 - Plus Edition/Komercyjna $39,98 - Professional Edition

Spybot - Search & Destroy

Jest to kolejne narzędzie do walki z reklamami oraz szpiegami. Spybot podobnie jak Ad-aware skanuje pamięć komputera, rejestr systemu oraz wszystkie dyski. Czynność ta zajmuje mu nieco więcej czasu niż w przypadku Ad-aware, jednak powszechnie uważa się go za skuteczniejsze narzędzie. Aplikacja ta posiada bardzo rozbudowany panel sterowania (dostępny w trybie zawansowanym), w którym mnogość opcji zadowoli nawet najbardziej wybrednych użytkowników. Każdy wykryty obiekt posiada szczegółowy opis (widoczny w chowanym menu po prawej stronie). Naturalnie wszystkie wykryte moduły można usunąć (istnieje również możliwość przywrócenia usuniętych wcześniej obiektów). Ciekawą funkcją jest możliwość usuwania wykrytych modułów podczas startu systemu, co jest ważne przy usuwaniu niektórych wpisów. Spybot posiada funkcję aktualizacji sygnatur. Do minusów programu można zaliczyć brak modułu skanującego połączenie sieciowe, co powoduje brak ciągłej ochrony systemu. Spybot - Search & Destroy dostępny jest w polskiej wersji językowej.

Producent: Patrick M. Kolla (www.rootboxen.net)
Licencja: Darmowa
 

Lista programów z oprogramowaniem typu spyware/stealware :

www.spywareguide.com

Najsłabsze ogniowo

W dzisiejszych czasach pozycja człowieka w świecie komputerów urasta do rangi najsłabszego ogniwa. Wykorzystują to twórcy oprogramowania typu adware, spyware i stealware. Dlatego gdy użytkownik instaluje oprogramowanie, powinien mieć się na baczności. Warto zastosować się do wskazówek wymienionych w artykule. Należy stale aktualizować bazę programu antywirusowego, bazę sygnatur programu usuwającego oprogramowanie szpiegowskie, instalować najnowsze aktualizacje systemu oraz sprawdzać jakie aplikacje i usługi działają w tle. Ponadto warto zachować szczególną ostrożność, gdy chcemy skorzystać z programów typu adware i najlepiej całkowicie zrezygnować z programów zawierających oprogramowanie typu spyware i stealware.

Strona główna XP.net.pl >>

Na podst. : własnych doświadczeń
Wersja artykułu : 1.0
Ostatnia aktualizacja : 08.12.2005
Wydanie oryginalne: wersja 1.0 (27.06.2004)

Autor : Imperator © 2004
Dodane przez : GreGM © 2004