Spyware. Identificare, detectare, curăţare

Lăsate în umbra frăţiorului mai mare (pe numele de botez „virus”), programele de tip spyware nu par să acuze lipsa de popularitate şi, uşor-uşor, devin o problemă foarte serioasă. Astfel, dacă la începutul acestui deceniu, viruşii constituiau principala ameninţare informatică, treptat accentul s-a mutat pe troieni, viermi de internet şi mai nou spyware.

Înainte însă de a vedea ce anume este un spyware, modurile în care se manifestă şi care sunt mijloacele de detectare şi curăţare, trebuie să stabilim câteva noţiuni de bază. Plecăm de la elementul cunoscut tuturor din domeniul IT şi nu numai: virusul.

În acelaşi mod în care, toţi pantofii sport sunt Adidas, orice copiator este Xerox sau orice maşină de teren a devenit Jeep, termenul de virus este atribuit eronat oricărui software, care odată ajuns într-un calculator produce daune sau are un comportament nedorit. De fapt, acest gen de programe se numesc simplu: malware (de la malicious software), iar principalele categorii de malware sunt reprezentate de viruşi, rootkits, dialers, viermi de internet, troieni şi programele de tip spion (sau spyware).

Malware, malware… dar ce este un spyware ?

Un spyware este, evident, tot un malware, creat să afişeze mesaje cu conţinut publicitar pe ecranul calculatorului, să colecteze informaţii personale sau să modifice setările din calculator. De obicei un astfel de program este ataşat unor alte programe şi se instalează fără obţinerea consimţământului dumnevoastră. Mai există şi cazul unor false programe antispyware pe care utilizatorii le instalează fiind induşi în eroare.

Ei bine, iată că acest material, scris în ajunul anului nou, suferă o nouă actualizare. Nu se schimbă însă prea multe. Programele de tip spyware sunt la fel de „prezente”, iar cele două antispyware descrise în corpul articolului sunt încă printre cele eficiente. N-ar strica totuşi să folosiţi un antivirus, neapărat unul care să asigure protecţie activă, dar să aibă şi capacităţi antispyware. Utilizatorii browser-ului de internet Mozilla Firefox ar putea instala extensia NoScript, care scade simţitor riscul infecţiei cu un spyware.

Programe antispyware false, numite şi „rogue”

În principal, un spyware este folosit pentru a capta date de marketing (prin a analiza site-urilor pe care utilizatorul le accesează). Azi află câte ceva despre dumneavoastră, mâine vă completează profilul, iar la scurt timp vă treziţi invadaţi de reclame (în format electronic, dar uneori şi prin poştă) la diferite produse conform datelor de marketing extrase de spyware. Mai puţin periculoasă, dar cu siguranţă foarte enervantă, varianta de spyware care nu extrage date de marketing, ci doar transmite reclame pe ecranul utilizatorului se numeşte adware.

Nu de puţine ori, atunci când doriţi să instalaţi diferite programe şi întraţi în „febra” next, next, next este foarte posibil să vă daţi acceptul pentru rularea unor componente adware.

Dacă s-ar limita la mesajele publicitare, programele de tip spyware ar fi socotite cel mult enervante, fără un grad ridicat de periculozitate. Din păcate însă, există şi programe extrem de periculoase, care vă monitorizează comportamentul şi colectează informaţii sensibile despre dumneavoastră (inclusiv date personale de identificare, parole, etc.).  S-ar putea sa fiţi în pericol şi să nu bănuiţi nimic.

Cum vă puteţi infecta cu un spyware ?

1. Cel mai uşor, din neglijenţă sau din necunoaştere. „Vreţi să instalaţi cel mai frumos screensaver 3D ?” Apăsaţi „Yes” şi la pachet poate aţi primit şi un spyware. Să-l stăpâniţi sănătos !

2. Din grabă şi neatenţie. Atunci când descărcaţi un software gratuit, citiţi cu atenţie termenii licenţei.

3. Involuntar, dacă programul de tip spyware foloseşte vulnerabilităţi ale browser-ului de internet.

4. Folosind software contrafăcut sau provenit din surse îndoielnice.

Care sunt semnele infecţiei cu un spyware ?

O bară de instrumente nu strică... dar 20 ?

1. Prima indicaţie o constituie browser-ul de internet, şi în special dacă folosiţi Internet Explorer. Dacă observaţi noi bare de instrumente, linkuri sau preferinţe pe care nu le-aţi adăugat intenţionat, este posibil sa aveţi un spyware.

2. Dacă pagina de pornire implicită din browser-ul de internet se modifică singură sau dacă tastaţi adresa unui anumit site şi sunteţi redirecţionat fără avertizare către alt site web, este foarte posibil să aveţi un spyware.

3. Calculatorul reacţionează mai greu la anumite comenzi, apar întreruperi la conectarea pe internet.

4. Dacă vă apar pe ecran ferestre pop-up, deşi nu vă aflaţi pe conectat la Internet, atunci sigur aveţi un spyware sau sunteţi martorii unui fenomen poltergeist.

Din păcate, exista şi programe de tip spyware care nu afişează nici un simptom şi acelea sunt cele mai periculoase.

Cum scăpăm de spyware ?

Răspunsul îl intuieşte toată lumea: „Folosind programe antispyware !” Până aici totul este simplu, dar lucrurile tind să se complice rapid când vine vorba să alegem un program antipyware. Aşadar ce program să folosim ? Îl rulăm de pe sistemul sistemul infectat sau de pe un LiveCD ? Sau din safe-mode ?

Cel mai bun program antispyware este acela care este folosit corect ! Şi Windows Defender îşi face treaba foarte bine în condiţii normale, dar dacă aţi adunat o veritabilă colecţie de spyware aveţi nevoie de artileria grea.

Microsoft Windows Defender. Casetă tehnică:

Denumire: Microsoft Windows Defender
Producător: Microsoft
Pagina oficială: http://www.microsoft.com/windows/…/defender/
Cost (licenţă): Gratuit (freeware)
Cerinţe de sistem: Windows XP / 2003 / Vista / Vista 64
Versiune existentă în momentul redactării articolului: 1.1.1593.0

Personal, am obţinut rezultate foarte bune cu: Malwarebytes’ Anti-Malware şi  SUPERAntiSpyware, două programe disponibile şi într-o variantă gratuită, cu singura menţiune că lipseşte protecţia activă. Însă din moment ce calculatorul este infectat sau presupus infectat, nu vă interesează prea mult protecţia activă, ci doar modulul de scanare „la cerere” (eng. „on demand”).

Malwarebytes’ Anti-Malware

URL: http://www.malwarebytes.org/

Malwarebytes’ Anti-Malware. Casetă tehnică:

Denumire: Malwarebytes’ Anti-Malware
Producător: Malwarebytes Corporation
Pagina oficială: http://www.malwarebytes.org/
Cost (licenţă): Gratuit (freeware)
Cerinţe de sistem: Windows
Ultima versiune existentă: 1.4.4

S-ar putea să aveţi ghinion şi un spyware „mai rău din fire” să nu vă permită să instalaţi Malwarebytes’ Anti-Malware sau SUPERAntiSpyware Free Edition. Sunt cazuri. Am descoperit pe site-ul faravirusi.com o posibilă rezolvare. N-am testat-o şi de aceea o prezint cu ghilimele de rigoare:

„Descărcaţi kit-ul de instalare.

Apoi navigaţi în calculator la Start-> Run şi scrieţi: devmgmt.msc şi apăsaţi Enter.

Apoi, în meniul „View” bifaţi „Show hidden devices”. Căutaţi apoi în „Non-Plug and Play Drivers” ceva asemănător sau chiar TDSSserv.sys.

Click-dreapta pe el şi alegeţi „Disable”, apoi restartaţi PC-ul.

Apoi redenumiţi mbam-setup.exe sau superantispy.exe în test.exe, îl instalaţi şi după update faceţi o scanare completă ştergând infecţiile găsite.”

Odată ce aţi reuşit să instalaţi Malwarebytes’ Anti-Malware şi SUPERAntiSpyware Free Edition este recomandat să faceţi o scanare completă şi nu una rapida ! Scanarea se face direct din Windows. Fără safe mode, fără LiveCD. Ordinea, nu ştiu dacă are vreo importanţă, dar eu încep cu SAS şi termin cu Anti-Malware.

Un alt program care se poate dovedi foarte bun este SmitFraudFix. Ştiu că are o denumire care vă dă fiori, dar în detectarea falselor programe antispyware (acelea despre care vorbeam la început că vă induc în eroare) se poate dovedi imbatabil.

SmitFraudFix

URL: http://siri.geekstogo.com/SmitfraudFix.php

SmitFraudFix. Casetă tehnică:

Denumire: SmitFraudFix
Producător: S!Ri
Pagina oficială: http://siri.geekstogo.com/SmitfraudFix.php
Cost (licenţă): Gratuit (freeware)
Cerinţe de sistem: Windows
Ultima versiune existentă: 2.4.2.3

Pentru curăţare SUPERAntiSpyware vă dă o mână de ajutor cu opţiunea BootSafe.

Revin la scanarea cu SAS şi Anti-Malware. Dacă totul decurge normal după o oră sau două aţi scăpat definitiv de spyware periculos precum CoolWebSearch, Perfect Keylogger, SpyShredder, etc.

Atenţie ! Scanarea antispyware nu este echivalentă cu scanarea antivirus !!! Chiar dacă unele programe antispyware pot detecta şi viruşi, troieni sau viermi de internet, aveţi nevoie un antivirus specializat !!! Idem şi pentru soluţiile antivirus ce includ şi o componentă antispyware.

Ideal ar fi să folosiţi un antivirus, care să ofere protecţie activă, un firewall şi un program antispyware.

Ghid de conduită antispyware

Ar fi şi păcat de atâta muncă să mai lăsaţi un spyware să vă infecteze calculatorul. Din păcate nu există soluţii garantate, dar dacă adoptaţi un ghid de conduită antispyware este foarte posibil să nu mai aveţi astfel de probleme în viitorul apropiat.

1. Folosiţi un program antispyware care oferă protecţie activă. De exemplu unul dintre următoarele: Microsoft Windows Defender, sau versiunile comerciale ale celor două programe menţionate anterior: Malwarebytes’ Anti-Malware, respectiv SUPERAntiSpyware. Nu uitaţi şi de articolul pe care l-am scris: Programe antispyware gratuite.

SUPERAntiSpyware

URL: http://www.superantispyware.com/

SUPERAntiSpyware. Casetă tehnică:

Denumire: SUPERAntiSpyware
Producător: SUPERAntiSpyware.com
Pagina oficială: http://www.superantispyware.com/
Cost (licenţă):  Gratuit (freeware)
Cerinţe de sistem: Windows
Ultima versiune existentă: 4.28.1010

2. Update-uri, update-uri şi iar update-uri. Microsoft lansează adesea actualizări de securitate, în special pentru Internet Explorer. Se recomandă activarea actualizării automate Windows şi actualizarea regulată a programelor antispyware şi antivirus.

3. Atunci când vizitaţi site-uri web, nu vă daţi acordul de a descărca automat tot ceea ce oferă site-ul respectiv. Ştiu că tentaţia este mare, dar nu tot ce zboară se mănâncă, nici tot ce vă este oferit spre descărcare nu trebuie obligatoriu descărcat.

4. Deoarece este în continuare cel mai folosit, browser-ul Internet Explorer este şi cel mai vânat de programele de tip spyware sau adware. Configuraţi-l în mod corespunzător şi încercaţi să folosiţi şi un browser alternativ (de exemplu, Mozilla Firefox sau Opera).

5. Nu instalaţi software ilegal sau provenit din surse îndoielnice ! Dacă descărcaţi un program gratuit, ca de pildă screensaver-ele, citiţi cu atenţie termenii licenţei. Căutaţi clauze care spun că trebuie să acceptaţi reclame şi ferestre pop-up de la firma producătoare sau că programul va trimite anumite informaţii înapoi la editorul de software.

AntivirusXP 2008 este un FALS program antivirus. Un rogue

6. Mare atenţie la programele frauduloase de genul: AntivirusXP 2008, MS Antivirus sau Vista Antivirus 2008 care „pozează (prin nume sau culori)” o asociere cu Microsoft. Nu descărcaţi update-uri pentru Windows sau alte programe Microsoft decât de pe site-ul oficial www.microsoft.com.

Materiale bibliografice:

• http://ro.wikipedia.org/wiki/Spyware
• http://www.avira.ro/ro/informatii_virusi/despre_malware.html
• http://windowshelp.microsoft.com/Windows/ro-RO/help/84d299ce-216c-4473-aa62-374c524550071048.mspx
• http://windowshelp.microsoft.com/Windows/ro-RO/help/84d299ce-216c-4473-aa62-374c524550071048.mspx

Despre autor şi articol

Bogdan-Andrei a scris 281 articole pe blogul Stefa Media.

Student la Comunicare şi Relaţii Publice, cunoscător al jocurilor din perioada anilor '80 sau '90, interesat de IT şi WordPress, scriu despre ce-mi place şi, de cele mai multe ori, îmi place ceea ce scriu. Şi nu doar mie. De aceea continui.

• Site web
• Twitter
• Facebook

Categorii: Ameninţări informatice, Materiale teoretice, Soluţii de securitate Etichete: Ameninţări informatice, antivirus, INTERNET, Internet Explorer, malicious software, malware, Malwarebytes' Anti-Malware, rogue, SmitFraudFix, spyware, SUPERAntiSpyware, WINDOWS, Windows Defender