Spyware (программы-шпионы)

[Delta_7]

Вот почитал темы созданные Serp.
Решил выделить отдельной темой проблему Spyware (программы-шпионы).

На сайте http://www.lavasoft.ru/default.shtml.ru (Ad-Aware) читаем:

...некоторые из вышеупомянутых услуг могут содержать код или компоненты, которые позволяют разработчикам этих приложений и инструментальных средств фактически собирать и распространять информацию об использующих эти средства пользователях.
Они могут отслеживать ваши привычки в отношении серфинга, нарушать режим эксплуатации вашего Интернет-соединения посредством посылки этих данных третьему лицу, определять ваши предпочтения в отношении приобретения товаров, подменять вашу начальную страницу(ы) браузера, изменять важные системные файлы, и они могут делать это без вашего разрешения или уведомления. Аспекты таких действий, связанные с обеспечением защиты и конфиденциальности, должны быть совершенно очевидны и нежелательны в любой системе или сети!
Lavasoft является лидером в данной области и наиболее уважаемым поставщиком решений в области программного обеспечения для предотвращения трассировки информации пользователя. Мы разработали несколько приложений, которые обеспечат для Вас средства защиты вашего компьютера или сети от подобных дискредитирующих и навязчивых угроз вашей конфиденциальности.

Я попытаюсь обобщить известную информацию. Если я неправ или есть дополнения исправления - пишите, у меня самого накопилась куча вопросов.

Если я правильно понимаю, программы (модули) Spyware нельзя напрямую отнести к вирусам.
1. Т.е. они самостоятельно не размножаются, а устанавливаются либо с программным обеспечением, либо при заходе на тот или иной сайт.
2. Не несут в себе деструктивных функций.

Но подменяют настройки Internet Explorer-а и передают некую статистическую информацию.

Как может проявляться наличие в системе Spyware?
Какую опасность несут Spyware для рядового пользователя?
Какую долю трафика пожирает передаваемая ими информация?
Почему в антивирусные программы не включают определение Spyware?

Вот я проверил у себя на компьютере с помощью Ad-Aware:

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Alexa(TAC index:5):11 total references
Aureate(TAC index:5):34 total references
MRU List(TAC index:0):29 total references
Other(TAC index:5):12 total references
Tracking Cookie(TAC index:3):34 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Пока ничего не удалял.
Если найденные объекты удалить, не повлияет ли это на работу системы или программ в отрицательную сторону?

[Serp]

Могу ответить на последний вопрос - не повлияет.
Думаю этот ответ снимает все остальные вопросы.

[Delta_7]

Spyware Stormer, в числе опасных объектов, нашёл Gator. Тип - Tracking Cookie.

Что такое Gator?
Что он делает?

Насколько я знаю, Gator устанавливается с некоторыми программами, например с кодеками DivX v5.0.2 Bundle.

[Serp]

Spyware Stormer, в числе опасных объектов, нашёл Gator. Тип - Tracking Cookie.

Что такое Gator?
Что он делает?

Насколько я знаю, Gator устанавливается с некоторыми программами, например с кодеками DivX v5.0.2 Bundle.

Гатора - за ноги и башкой в... ну в колодец можно, а то
лучше всё таки в... :mad:
Это один из самых отвратительных шпионов. Один из самых
наглых и лезущих во все дыры. Он прописывается во многих местах, манит на свой сайт, отпихивает пользоватеьские интересы и т.п.
Гатора не можно, а НЕОБХОДИМО сразу серпом по...его крокодильской харе!..
А вообще это рекламный модуль такой... :mad:

[GrimGOR]

Вся проблема, когда эти модули проблематично удалить даже спец. прогами... Ну никак не могу от Алекса избавиться...

[schuss]

Для того, чтобы полностью избавиться от алексы, нужно избавиться от ослика IE, ибо алекса поставляется мелкомягкими в комплекте ослика. Еще очень рекомендуется перед чисткой системы антивирусами и адаварью отключать в ХР восстановление системы, ибо шибко умная система может эту заразу восстановить из своего бэкапа. После чистки восстановление можно снова включить.
Некоторые хорошо цепляющиеся в систему модули удается вычистить только из Safe Mode.

[GrimGOR]

Странно, что Алекса проявилась через несколько лет юзанья ХР и Ослика... В общем, теперь юзаю MyIE и эта фигня не проявляется, но все-равно неприятно... Восстановление системы выключено у меня всегда... А из Сейф-мода только ручками работать придется?

[Blowball]

У генерального постояно прогоняю, хорошо вычищает порнушку ...
ну любит шеф по вечерам ходить куда не надо

[FilippOk]

Микро-ликбез по спаям:
По закону, вирусом является деструктивная программа, способная к самораспространению. А если вирус не распространяется? Правильно, тогда он не вирус. А кто? Тогда он - спай. (Spy - англ. шпион).
Спай-программы - это программы, обеспечивающие у вас на компе постоянно открытый порт. Это всё равно, что завести себе в квартире таракана, который будет открывать входную дверь всякому, кто знает особое слово. И при этом, это слово написать на внешней стороны входной двери.
А раз так, то возможно всё: можно снять с вас любой файл, закинуть вам любой модуль, встроить в систему так, что вы и не заметите, и также незаметно убрать его, забросать вас вирусами, и тут же их активировать... всё что угодно. Да, для этого надо довольно много знать о том, как спай работает. Но те, кто этим занимается - знают. И инфы об этом в Сети - великое множество.
И при этом, это - не шпион, и всякие Касперские его не ловят.
И мало того, юридически это всё - услуга. Просто вам её навязали. А вы и не в курсе.
Хотя иногда некоторые спай-модули, скажем Gator, честно заявляют о своём присутствии на компе и даже нагло вписываются в список установленных программ. Угу. Только... Попробуйте его удалить. Удалился? Фигушки.

Как садится спай-модуль? Да очень просто: если вы работаете с MS IE - он, пользуясь дырками этого супер-браузера, просто вписывается вам в автостарт и при следующей загрузке вы будете иметь его в памяти. Со всеми радостями, которые вам пропишет его отправитель. От выскакивающих окон с порнухой до прописанной автоматом домашней страницы www.govno.ru. Плюс куча ссылок в избранном, вида
W W W . P I D O R . R U - С А М Ы Е К Л А С С Н Ы Е Ч Л Е Н Ы!.
Получите, распишитесь.
О том, что творится у вас вы реестре я, пожалуй, умолчу. Там вообще Нагорный Карабах творится.
Если вы не работаете с MS IE, то спай садится с исполняемыми модулями других программ. Достаточно согласиться с лицензией на высылку файла (окно типа "Доверяете ли вы содержимому сайта www.piska-soska.ru? Да/Нет?" )
Или с помощью автостартующих модулей других спаев, через их открытый порт - самый распространённый случай.
То есть, получив в системе один GATOR или CMEII - будьте готовы встречать множество их братьев в довесок.

Несут ли шпионы в себе деструктивные функции? Скорее да, чем нет. Прямых деструктивных действий они не совершают, если не считать деструктивными действиями уничтожение пары миллионов ваших нервных клеток в день.
Зато они занимают ресурс процессора и памяти, снижают ширину канала связи, и прочее. Плюс, естественно, скидывают вам тонны гадости на комп, заставляя платить за этот траффик. Это деструктив или нет? Скорее, всё же, да.

Как может проявляться наличие в системе Spyware? Очень просто:
- выскакивающие дурацкие окошки поп-ап.
- замедленное соединение.
- замена поисковых систем на чумовые. Т.е. поиск Яндексом будет идти не через Яндекс, а через, скажем, www.ssuka.ru. Что он нам найдёт? Фаллоимитаторы всех размеров?
- замена настроек оборзевателя на чумовые. Прежде всего, это стартовая страница.
- в совсем уж запущенных случаях, может происходить замена телефона модемного пула вашего провайдера на телефон модемного пула где-нибудь в Австралии. Посидеть пару часиков на Австралийском порно-канале из хрущёвки в Москве будет стоить ох как недёшево...

Влияет ли удаление спаев на работу системы? Влияет. В лучшую сторону. Проблем при этом обычно - нет.

Какую долю трафика пожирает передаваемая ими информация? От 1-2% до 100%. Зависит от типа и количества спаев, ширины канала, и активности пользователя.
Наиболее распространенные виды спаев:
Alexa
Aureate
Gator
CMEII
MRU List
Tracking Cookie

Как избавиться от спаев? Навсегда вы от них не избавитесь никогда, смиритесь. Но частично...
Пожалуй, самая лучшая в этом смысле программа - Ad-Aware. Она бесплатна и проста, её можно найти в любом поисковике или на их родном сайте www.lavasoft.com. Скачиваем, ставим, забираем у них языковой модуль, ставим сверху. Проверяем на спаев. Всё найденное бессовестно грохаем. При этом, Ad-Aware создает архив удалённого, можно всегда вернуть всё взад.
И проверять будете раз в три-четыре дня. Вот и весь рецепт.

P.S. Будьте осторожнее! Очень часто делают так: заходим на сайт, и тут вам выпадает окошко типа:
"Ой, мля, братан, я просканировал твой диск - у тебя тут такая куча шпиёнов!!! Удалить их с помощью нашей программы-супер-пупер-мега-гига-чистильщика спаев по имени Spy-Voffka-Skot? Да/Нет?"
Как вы догадываетесь, ответив "Да", вы добровольно посадите себе ещё одного спая. И только.
P.P.S. Нет предела хитрости человеческой...
P.P.P.S. Среди наших мастеров проводился конкурс на самую забитую шпаями машину. Вот победитель:

[Отшельник]

FilippOk
Боольшущее спасибо !
Выловил 63 паразита ! Странички стали грузиться чуть ли не в три раза быстрее . Один паразит залез в System Volume Information, куда у меня нет доступа (не знаю почему :confused: )

Еще бы маленький штришочек, как бы русифицировать, а то английского не понимаю. По ссылке (ссылка кажись неточная, скачивал с спохожим названием) облазил не нашел модулей, в справке Ad-Aware есть ссылка на language - скачал, установил, результат ноль. После увидел что модуль кажись для версии 6, а установленная версия Ad-Aware СЕ 1.05.
Но все равно спасибо .

[USSR_Rik]

выпадает окошко типа:
"Ой, мля, братан, я просканировал твой диск - у тебя тут такая куча шпиёнов!!! Удалить их с помощью нашей программы-супер-пупер-мега-гига-чистильщика спаев по имени Spy-Voffka-Skot? Да/Нет?"
Как вы догадываетесь, ответив "Да", вы добровольно посадите себе ещё одного спая.

Добавлю, что если ответить "Нет" - результат скорее всего будет такой же.

[Serp]

... самую забитую шпаями машину. Вот победитель:

Даже не верится...
Типа человек приходит к врачу (считая себя абсолютно здоровым)
ну например за справкой для бассейна... и вдруг узнаёт, что
болен практически всеми болезнями на свете (кроме родильной
горяки)...

[schuss]

Один паразит залез в System Volume Information, куда у меня нет доступа (не знаю почему :confused: )

Чтобы очистить System Volume Information, нужно просто отключить ХРшную систему восстановления и ребутнуть комп.

[Blowball]

Блин, забыл указать
Ad-Aware пользуюсь ...

P.S.
FilippOk
у моих подопечных такого не было, зафиксированный максимум - 287 зверушек

[FilippOk]

А теперь могу ещё показать фото лога Кошмарского с конкурса на максимум вирусов... С той же машины...
Да просто мастера иногда на такие рассаднички натыкаются, что волосы не просто шевелятся, а плавно колышутся по всему телу...

P.S. Отшельник, заберись в Ad-Aware в закладку General, найди там выпадающее меню Language, и смени English на Russian. Версия не роляет.

[Отшельник]

Кнопка "шестеренка" - Interface - Language File: и имеется выпадающее окошко с двумя значениями "default" и "(English Default)". :confused:

Версия: Ad-Aware SE Personal 1.05. Наверно установку модуля неправильно сделал. При установке была запрошена папка по умолчанию "Lang". Указал папку установки Ad-Aware, и в этой папке была создана "Lang" с файлами языков. Но Ad-Aware никаких языков не видит, кроме двух начальных установок. :confused:

[Отшельник]

Чтобы очистить System Volume Information, нужно просто отключить ХРшную систему восстановления и ребутнуть комп.

Наверно это особо в критичных случаях. Уж скока переустанавливал ОС, занятие довольно утомительное, часов на 8 (вместе с драйверами/программами + рабочие документы). Если не ошибаюсь, если отключить систему восстановления, то комп "потеряет" информацию о восстановлении.

[mdfv]

Попробуйте Spybot - Search & Destroy http://www.safer-networking.org/en/index.html.
Я им после Ад-авари чистил, он еще больше гадости находил
и дырки некоторые затыкал.

[mdfv]

Еще одна очень полезная прога в борьбе с нехорошестями поселившимися
на вашей машине: Codestuff Starter http://members.lycos.co.uk/codestuff/
Это типа обычного виндового таскменеджера, только удобнее и лучше.

Показывает полный путь к запущенному процессу(файлу), все его модули,
может грохать все процессы, которые таскменеджер не посмеет тронуть.
И здесь же удобное управление автозапуском(и реестр и папка Startup и раздел win.ini).

Я этой прогой все вирусы(которые отдельным процессом) прибиваю вручную, тот же Гатор, и здесь же отключаю в автозагрузке ссылки на них.
И осталось только потом непосредственно файлы удалить.

[lastochkin]

Во! У меня один раз трафик круто вылетел. Аж доплачивать пришлось. А другой раз , когда летал на "Вулчере", комп вдруг завис и потом выдал табличку, что типа атака хакеров была. Хард жалобно запищал и вылетел на минут 30. Тока я, начитавшись всяческих книг о диверсионной работе диверсантов на жизнено-важной территории своего здоровья через подобные пакости другим людям, долго смеялся над этим процессом и решил всячески охранять здоровье дорогих и близких мне шпиёнотворцов и злых комето-гениев. Дай Бог нам всем вместе смеяться хорошо, ну,... если денег хватит на взаимный интернет. :p