Проблемы spyware. Интервью с Лабораторией Касперского

Предисловие

Проблема шпионских и рекламных кодов волнует пользователей по всему миру. На страницах нашего web-сайта уже были опубликованы статьи по некоторым конкретным утилитам, позволяющим бороться с этими паразитами: "Windows AntiSpyware Beta: Microsoft против шпионов") и "SpywareBlaster - в борьбе с adware/spyware".

Следует отметить, что пресса, online и бумажная, подняла вокруг проблемы большую шумиху: большая часть пользователей Интернет, почти наверняка, уже осведомлена о той опасности, что представляют шпионские и рекламные коды. Тем не менее, такой подход не совсем корректен, так как не позволяет проникнуть в природу проблему и разобраться в том, что такое spyware, как оно работает и чем отличается от вредоносных кодов. Пользователь должен хорошо себе представлять, какими возможностями обладает этот тип паразитов и какие проблемы он реально способен вызвать на компьютере.

Помимо чисто энциклопедической технической части есть еще один серьезный вопрос: "Как бороться со шпионскими и рекламными кодами?". Казалось бы, можно скачать широко известную утилиту Microsoft и закрыть этот вопрос. Но, как будет показано ниже, продукт Microsoft еще немножко "сыроват". К тому же пользователи зачастую имеют уже установленные антивирусные средства, разработчики которых давно включили в свою функциональность защиту от spyware. По крайней мере, эта функциональность декларируется во всех маркетинговых и рекламных материалах. Но эффективны ли штатные антивирусы в борьбе с новой угрозой? Что выбрать, автономную утилиту или комплексный антивирусный пакет?

Чтобы ответить на все указанные выше вопросы, мы обратились к двум известным специалистам Лаборатории Касперского: Андрею Никишину, руководителю отдела маркетинговых исследований и стратегического развития, и Александру Гостеву, одному из ведущих вирусных аналитиков компании, изо дня в день копающемуся во внутренностях компьютерных паразитов.

Предлагаем Вашему вниманию два интервью. В первом Андрей Никишин расскажет о рынке программ для борьбы со spyware, отношению ведущих антивирусных компаний к проблеме, будущих перспективах данного сегмента рынка, а также специфике борьбы со шпионскими и рекламными кодами в корпоративной среде. Во втором интервью Александр Гостев сформулирует технические определения основных понятий, расскажет о внутренностях spyware, способах внедрения в систему и удаления паразитов из нее, прокомментирует функциональность утилиты Microsoft, отдельно рассмотрит рекламные и шпионские коды и т.д.

Интервью с Андреем Никишиным

Алексей Доля: Андрей, как вы считаете, не зря ли СМИ по всему миру подняли такой ажиотаж вокруг проблемы шпионского и рекламного ПО?

Андрей Никишин: Для начала давайте разберемся с терминологией. На западе принят термин Spyware. Под ним понимается обычно не только шпионское и рекламное ПО, но и другое потенциально опасное ПО. Однако если подходить к вопросу академически, то все это называется термином Riskware. До изобретения этого термина использовался термин Greyware как противовес Blackware (вредоносному ПО) и Whiteware (легитимному ПО). Riskware - это условно опасное или условно вредоносное ПО, которое при определенных условиях может нанести вред пользователю. Если вы знаете, что такое условно съедобные грибы, вы поймете, что я имею в виду. Пример Riskware - программа FTP-сервер. Очень полезная программа, но если ее установить скрытно, то злоумышленник может получить несанкционированный доступ к диску жертвы. Или то же рекламное ПО. В подавляющем большинстве случаев, пользователь добровольно соглашается на установку и использование программ, показывающих рекламу, в обмен на, скажем, бесплатное использование некого ПО. (Обычно все условия описываются в лицензионном соглашении, но когда последний раз вы читали его?). И шумиха, которую поднимают различные СМИ вокруг проблемы spyware, по-моему, надумана. Почтовые черви и фишинг приносят гораздо больший вред пользователям по сравнению с какой-нибудь программой, которая показывает рекламу.


Алексей Доля: Как вы считаете, есть ли какая-нибудь специфика в распространении и борьбе со Spyware в корпоративной среде?

Андрей Никишин: Для начала надо понять, что Riskware тоже является угрозой и с этой угрозой тоже надо бороться. А какой-либо особой специфики нет, так как пути проникновения, в основном, схожи - Интернет и почта.


Алексей Доля: Некоторые программы для борьбы со Spyware детектируют шпионские cookies. Как вы считаете, это корректно? Какой урон cookies могут нанести владельцу компьютера?

Андрей Никишин: На мой взгляд, cookies - штука полезная и некоторые интерактивные сайты просто не работают без cookies. Я думаю, что если кто-то считает, что cookies - это опасные вещи, то я бы рекомендовал просто запретить их сохранение.


Алексей Доля: Вы можете описать ситуацию, которая сегодня сложилась на рынке средств борьбы со шпионскими и другими потенциально опасными кодами?

Андрей Никишин: По данным различных докладов, например, Earthlink и Webroot - на 90% компьютеров установлено шпионское программное обеспечение, то есть шпионские программы установлены практически на каждом компьютере, подключенном к сети Интернет. Осознание этого факта подвигло многих разработчиков в области информационной безопасности к выпуску специального решения для борьбы с нежелательным ПО или к добавлению в антивирусный продукт соответствующей функциональности. Как уже отмечалось в данном документе выше, Microsoft в предельно сжатые сроки выпустила для своих пользователей бесплатную бета-версию продукта Windows AntiSpyware для борьбы со шпионским ПО на базе разработок компании GIANT Software Company, которая была приобретена Microsoft в декабре. Все настольные антивирусные продукты крупных поставщиков, как Symantec, Panda, Trend Micro, F-Secure, Kaspersky Lab и Sophos уже способны детектировать и уничтожать известные виды spyware, adware, а также dialers, хакерские программы и другое нежелательное программное обеспечение. Другие производители также предлагают средства борьбы со шпионскими программами. McAfee встроила модуль с такой функцией в свой корпоративный антивирус VirusScan Enterprise 8.0i, а также добавила подобную функциональность во все продукты для персонального использования в новой линейке 2005. После покупки в августе PestPatrol компания Computer Associates выпустила программу eTrust PestPatrol Anti-Spyware r5, предназначенную для поиска и удаления шпионского ПО (spyware), троянских и рекламных программ с рабочих станций.
Blue Coat Systems, Cyberguard и Websense, в свою очередь, предложили системы детектирования шпионского ПО на почтовых серверах и корпоративных HTTP-шлюзах. Устройство от Blue Coat не пропускает данные с URL из "черного списка" и предотвращает непрошенные попытки переслать код для установки. Недавно Websense представила отдельную систему фильтрации доступа к сайтам, содержащим клавиатурные шпионские программы. В ближайшее время свои корпоративные решения по борьбе со шпионским ПО представят Aluria и Sunbelt.
Такое внимание к проблеме шпионского и другого нежелательного ПО со стороны крупнейших разработчиков в области разработки продуктов информационной безопасности впечатляет. По сути, многие компании пытаются разыгрывать эту карту для того, чтобы упрочить свое положение на рынке информационной безопасности за счет тех, у кого подобной функциональности нет, а также проводя PR-акции и другие мероприятия для привлечения внимания к данной проблеме.


Алексей Доля: Как вы оцениваете перспективы рынка средств борьбы со шпионскими и рекламными кодами?

Андрей Никишин: Мне ситуация с Spyware (хотя я предпочитаю называть вещи своими именами и говорить - Riskware) напоминает события 7-10 летней давности, когда была масса программ по детектированию разных троянов. Где они сейчас? Трояны не менее качественно обнаруживаются всеми антивирусами. Аналогичная ситуация складывается и вокруг Riskware. Сегодня уже подавляющее большинство антивирусных программ обнаруживает Riskware. (Хотя справедливости ради теперь антивирусы уже пора называть "анти-всё", так как они обнаруживают не только вредоносные программы, но и атаки хакеров, уязвимости, спам и многое другое). Думаю, в ближайшее время мы увидим, что количество "Anti Spyware", "Anti Ad-Ware" и прочих программ "Anti X-Ware" будет сокращаться. Полагаю, что даже Microsoft через какое-то время откажется от отдельной программы Anti Spyware в пользу интегрированного решения.


Алексей Доля: Некоторые антивирусные компании предлагают отдельные средства для борьбы со шпионскими и рекламными программами. Как вы считаете, такой шаг оправдан? Стоит ли выделять анти-шпионскую функциональность в автономный модуль?

Андрей Никишин: Я вообще сторонник интегрированных продуктов. По нашим опросам - меня поддерживают 56% пользователей. Такой подход предоставляет большую безопасность и надежность обнаружения, так как и в антивирусном модуле и в анти-Riskware используются одинаковые модули перехвата событий файловой системы для защиты компьютера в реальном времени (перехватчики). Известно, что два таких модуля от разных продуктов не работают вместе. То есть хороший антивирус и хороший Anti Spyware работать не будут. Если они работают, то какой-либо из продуктов не пользуется перехватчиками, а, следовательно, не может гарантировать высокий уровень безопасности.


Алексей Доля: Вы считаете, что штатного антивируса достаточно для обеспечения безопасности персонального компьютера в контексте шпионского и рекламного ПО?

Андрей Никишин: Скажем так - современного антивируса. Я видел много Anti-Riskware. Многие из них обладают очень хорошим интерфейсом, но не это главное для программы, обеспечивающей безопасность. А вот главное - детектирование при отсутствии ложных тревог - страдает.


Алексей Доля: Я правильно понимаю, что будущее рынка средств борьбы с Riskware принадлежит лидерам антивирусного рынка (Symantec, McAfee, TrendMicro и т.д., возможно, Microsoft)?

Андрей Никишин: Как и в любом другом бизнесе, когда возникает какая-либо новая потребность (а ведь до недавнего времени о Spyware или Riskware даже специалисты не говорили), то у новичка всегда есть шанс стать номером 1 на новом сегменте. Сейчас довольно много интересных программ, которые специализируются на обнаружении Riskware и они по многим параметрам пока лучше антивирусов. Но я уверен, что будущее все же за интегрированными решениями, а чисто анти-Riskware компании просто не в состоянии сами сделать классный антивирус. Варианта всего два. Первый - лицензировать чужой антивирус, второй - вовремя выйти из бизнеса, сняв сливки, и опять искать новую неизведанную нишу.


Алексей Доля: Вы рассматриваете Microsoft AntiSpyware в качестве конкурента? Можете прокомментировать выход этой утилиты?

Андрей Никишин: Все, что делает Microsoft - так или иначе влияет на всю индустрию, в том числе и на нас. Как я говорил ранее, считаю, что после выхода полноценного антивируса от Microsoft они интегрируют AntiSpyware в свой антивирус. А после этого мы возвращаемся к вопросу о конкуренции антивирусов. А пока, так как в наших продуктах тоже есть возможность обнаружения Riskware, то мы конкурируем. В продукте от Microsoft есть некоторые преимущества, по сравнению с Антивирусом Касперского (например, чистка реестра, но это - временно), но вот качество детектирования у них пока хуже.


Алексей Доля: Вы можете сделать прогноз о будущем Microsoft AntiSpyware? Аналитики SecurityFocus предполагают, что в течение пары лет этот продукт будет поставляться бесплатно, а потом Microsoft будет продавать подписку на обновления к нему. Как вы думаете, это реально?

Андрей Никишин: Помните известный принцип торговцев наркотиков - первая доза бесплатно? Тут может быть что-то подобное - люди привыкнут к хорошему, а потом у них попросят денег. А с финансами у Microsoft все хорошо, они в состоянии пару лет поддерживать инфраструктуру "за свои".


Алексей Доля: Можно ли утверждать, что "Лаборатория Касперского" уже присутствует на рынке средств борьбы со шпионскими и рекламными кодами?

Андрей Никишин: Уже давно. Мы впервые сделали доступной наши специальные базы для обнаружения Riskware около двух лет назад. Наши основные продукты имеют специальную функциональность, направленную на обнаружение Riskware.


Алексей Доля: В "Лаборатории" есть отдельные специалисты, которые специализируются конкретно на шпионских и рекламных кодах? Рабочий процесс чем-нибудь отличается от исследования вредоносных кодов и выпуска вакцин?

Андрей Никишин: Начну с конца. В принципе, процесс очень похож, за исключением одного момента: понять - вредоносный код или нет, все же несколько проще, чем отличить Riskware от "нормального" ПО. Недаром оно иногда зовется "серое" ПО. А теперь первый вопрос - разделение или специализации - конечно же, есть. У нас есть люди, которые специализируются, скажем, на Троянах или Riskware. Но, в принципе, любой вирусный аналитик в состоянии проанализировать Riskware. Просто у специалиста опыта больше и анализ займет меньше времени. Вот, собственно, ради чего и существует специализация.


Алексей Доля: А сам Евгений Касперский занимается Spyware или ему по вкусу более привычные файловые вирусы и Трояны, а также сетевые черви?

Андрей Никишин: В том числе и Евгений. Специализация - специализацией, но в случае чего каждый аналитик должен уметь работать не только с вирусами, но и с Riskware.


Алексей Доля: Хотите сказать что-нибудь нашим читателям напоследок?

Андрей Никишин: По идее я должен что-то сказать о безопасности и компьютерах. Но на дворе отличная погода и так заманчиво светит солнце, что хочется все бросить и выбраться на свежий воздух. Коллеги - жизнь есть не только в виртуальном мире ваших компьютеров, она - реальна и, что самое главное, жизнь интереснее.


Алексей Доля: Спасибо, что уделили нам время. Удачи и всего доброго!

Интервью с Александром Гостевым

Алексей Доля: Вы не могли бы дать точное определение термина "riskware"? Как он соотносится с "spyware" и "adware"?

Александр Гостев: Термин "riskware" определяет различное программное обеспечение, которое не имеет какой-либо вредоносной функции, но может быть использовано злоумышленниками в качестве вспомогательных компонентов вредоносной программы. В эту категорию попадают, например, программы удаленного администрирования, IRC-клиенты, FTP-сервера, всевозможные утилиты для остановки процессов или скрытия их работы. Наличие на вашем компьютере какой-либо программы, входящий в список riskware, при условии, что Вы не знаете, как она к Вам попала - это первый сигнал к тотальной проверке всей системы на наличие новых, неизвестных вредоносных программ.
Между riskware и adware/spyware нет ничего общего и главное отличие заключается именно в том, что riskware могут использоваться в абсолютно легальных целях, под контролем пользователя и с его ведома.


Алексей Доля: Вы можете прокомментировать новый термин компании Microsoft - "Potentially Unwanted Software"?

Александр Гостев: Еще один хороший термин для того, о чем мы собираемся поговорить. :) И ничего больше.

Алексей Доля: Считаете ли вы spyware и adware угрозой для информационной безопасности пользователей?

Александр Гостев: Любые программы, в ходе работы которых персональная информация пользователя может стать доступной кому-то еще, без уведомления пользователя об этом - являются опасными. Что касается adware, то большинство из них, помимо показа рекламы, изменяют различные настройки браузера (стартовые и поисковые страницы, уровни безопасности и т.д.), а также создают неконтролируемый пользователем трафик. Все это может привести как к нарушению политики безопасности, так и к прямым финансовым потерям.


Алексей Доля: Можно ли, на ваш взгляд, spyware и adware считать вредоносными кодами?

Александр Гостев: Что касается spyware, то да - несомненно. С adware ситуация более сложная, поскольку в каждом конкретном случае их поведение может очень сильно варьироваться. Некоторые adware (как их называют авторы) являются настоящими троянскими конями.


Алексей Доля: Программы из категории riskware, которые нельзя отнести к spyware и adware, не являются вредоносными кодами и не представляют прямой угрозы информационной безопасности. Так?

Александр Гостев: Все зависит от того, как и кем они используются. Их можно сравнить с кухонным ножом, которым можно или резать хлеб или порезаться самому. А то и нанести рану кому-то еще.


Алексей Доля: Чем spyware и adware отличаются от известных всем вирусов, червей и троянцев в плане распространения от компьютера к компьютеру?

Александр Гостев: Если раньше отличия были выражены довольно ярко (практически все adware/spyware попадали на компьютер пользователя с другими программными продуктами и были встроены в них производителями данного ПО), то сейчас ситуация кардинально изменилась. Создатели adware/spyware все чаще и чаще начинают использовать вирусописательские приемы для установки своего софта в систему. В ход идут различные уязвимости в браузерах, рассылка по адресной книге с компьютера, где уже установлено adware, писем другим пользователям с просьбой посетить какой-либо сайт и установить программу себе (очень похоже на поведение почтовых червей, одновременно с явно выраженной spam-функцией). Некоторые adware настолько трудно удалить из системы, что им могут "позавидовать" многие троянские программы.


Алексей Доля: Может ли антивирус защитить от spyware и adware? Например, Антивирус Касперского?

Александр Гостев: Да, наличие в современном антивирусе модуля для детектирования данных программ является очень важным фактором для полноценной защиты пользователя. Поэтому "Лаборатория Касперского" уже несколько лет выпускает специальный набор антивирусных баз, в который входит детектирование adware\spyware, а также еще довольно большого класса pornware, куда входят различные программы-звонилки.


Алексей Доля: А персональный брандмауэр?

Александр Гостев: Брандмауэр в состоянии блокировать отправку информации с вашего компьютера и таким образом предотвратить утечку конфиденциальной информации. Многие брандмауэры также блокируют попытки браузера работать в "скрытом режиме", что часто используется в работе adware.


Алексей Доля: Выше вы назвали набор баз для детектирования adware/riskware "специальным". Это случайность или вы хотели подчеркнуть, что "специальный" набор распространяется иначе, нежели стандартный?

Александр Гостев: Для использования этого набора баз - пользователю необходимо вручную изменить стандартные настройки антивируса. Это дополнительная функция, которая ориентирована все-таки на тех пользователей, чей уровень знаний о работе антивируса или программном обеспечении, выше среднего. Кстати, в будущих версиях нашего антивируса не будет такого разделения на основные и дополнительные базы.


Алексей Доля: Насколько я понимаю, в Антивирусе Касперского 5.0 Personal MP2 разделения баз на основные и расширенные уже нет?

Александр Гостев: Есть. Возможно, в следующей версии базы будут объединены.


Алексей Доля: Различаются ли версии Антивируса Касперского Personal и Personal Pro между собой в плане борьбы со шпионскими кодами?

Александр Гостев: Нет. Все продукты используют одинаковое антивирусное ядро и одинаковые базы. Отсюда одинаковая функциональность в плане борьбы со шпионскими кодами.


Алексей Доля: Так же вы упомянули термин "pornware". Дайте, пожалуйста, исчерпывающее определение.

Александр Гостев: Сюда мы относим исключительно программы-звонилки (dialers), которые осуществляют модемное соединение с различными порно-сайтами за рубежом. Все наверное слышали истории о том, как людям приходили гигантские счета за телефонные переговоры с Барбадосом или другой экзотической страной. Это результат "работы" вот именно таких программ.


Алексей Доля: В контексте эволюции spyware и adware от встроенных модулей в третьих программах к по-настоящему вредоносным кодам, хотелось бы упомянуть недавнюю (16 декабря 2004 года) публикацию Роэля Шовенберга (Roel Schouwenberg) на VirusList. Он сказал, что на протяжении долгого времени adware/spyware во многих случаях было принято считать троянскими программами. Но теперь появились версии adware, которые ведут себя как файловые вирусы. Например, печально известное семейство кодов CoolWebSearch теперь содержит вредителей, инфицирующих легитимные файлы пользователя таким способом, чтобы при их запуске загружалась и рекламная программа тоже. На практике это означает, что пользователю необходимо не просто удалить шпиона, но и вылечить легитимный файл, а это может быть серьезной проблемой. Неужели adware\spyware так плотно подобрались к вредоносным кодам, другими словам пересекли черту, грань дозволенного? Можете прокомментировать?

Александр Гостев: Сейчас это все-таки единичный случай и слишком рано говорить о какой-то выраженной тенденции. Я не думаю, что подобная практика получит распространение в будущем. Авторы таких программ все-таки понимают, что, переходя эту грань, они могут приобрести очень серьезные проблемы с законом.


Алексей Доля: В связи с предыдущим вопросом возникает еще один. Сложно ли удалить spyware и adware с компьютера? Какие есть для этого инструменты?

Александр Гостев: В большинстве случаев достаточно удаления соответствующих ключей в системном реестре. Соответственно, грамотный пользователь зачастую сам в состоянии обнаружить и удалить данные ключи. В случае использования антивирусной программы - принцип действия полностью аналогичен работе при удалении любой вредоносной программы.


Алексей Доля: Spyware и adware интегрируются в систему так же глубоко, как и стандартные вредители (вирусы, черви, троянцы...)? Или глубже?

Александр Гостев: С одной стороны, большинство adware устанавливает себя как BHO (Browser Helper Object), встраивая свои процессы в процесс браузера и перехватывая на себя различные вызываемые функции. С другой стороны - весьма малое число троянских программ поступают именно таким образом. Однако, с точки зрения антивируса, принципиальной разницы здесь нет.


Алексей Доля: Какие технологии используются для идентификации, поиска и устранения spyware и adware? Априори кажется, что сигнатурный поиск здесь не так эффективен. Вы согласны?

Александр Гостев: Нет, общий сигнатурный принцип для детектирования любых программ применим и в данном случае. И весьма эффективен. Другое дело, что постепенно меняются сами принципы и технологии работы антивируса. Например, появляются анализаторы поведения работы программы, ориентированные на поиск вредоносных функций. А в ситуации с adware вредоносные функции могут быть выражены не столь явно, как у троянской программы.


Алексей Доля: Второго ноября Евгений Касперский описал в "Дневнике Аналитика" на web-сайте VirusList оригинальную adware-программу TrojanClicker.Win32.Agent.af. По словам Евгения, он первый раз в жизни увидел, как две различные рекламные программы сражаются друг с другом. Новый исполняемый Win32-файл (размером 21 Кб) удалял файлы данных и ключи в реестре, которые принадлежат EliteBar AdWare (согласно нотации анти-AdWare базы данных "Антивируса Касперского"), а затем открывал одну из двух рекламных ссылок. Евгений сделал вывод, что рынок рекламного ПО накалился до того, что различные рекламные коды борются друг с другом за место под солнцем врукопашную. Даже если сейчас это не так, в ближайшем будущем это произойдет точно. В конце заметки Евгений напоминает читателям о войне Bagle-NetSky-Mydoom.
Встречались ли подобные случаи позже? Действительно ли некоторые представители spyware и adware ведут себя настолько агрессивно?

Александр Гостев: Да, подобные случаи встречаются все чаще и чаще. Причем уже появились adware, которые блокируют работу нескольких десятков других аналогичных программ. Заметьте, кстати, что мы классифицируем такие программы уже не как adware, а как троянцы. Программа выходит за рамки своего обычного функционала и начинает уничтожать другие программы.


Алексей Доля: С точки зрения разработки, spyware и adware написать сложнее, чем червя или вируса?

Александр Гостев: Да нет. Какие-то adware\spyware сложней, какие-то проще, чем вирусы или троянцы. Это всё равно, что сравнивать, что было сложней написать - Windows или Linux. Но если сравнивать всю историю развития этих двух ветвей (adware и malware), то однозначно эволюция adware протекает гораздо быстрей, чем у malware. Современные вредоносные программы и аналогичные им пятилетней давности отличаются все-таки не очень сильно. Я бы даже сказал, что в области сложности кода у них наметилась деградация. Но если посмотреть на adware, то там просто потрясающий рост сложности и распространенности в столь короткие сроки.


Алексей Доля: Как вы считаете, spyware и adware сегодня тоже разрабатываются профессионалами? Тоже, чтобы заработать деньги?

Александр Гостев: Все известные adware\spyware были созданы какой-либо коммерческой организацией, либо по её заказу. Целью любой бизнес-структуры является получение прибыли, так что тут не может быть двух мнений.


Алексей Доля: Является ли незаконным внедрение spyware и adware на компьютер пользователя, если сей факт не оговорен отдельно в лицензионном соглашении какой-то устанавливаемой программы?

Александр Гостев: Я думаю, что да. Пользователь вправе знать, что именно устанавливается в его компьютер, и какие последствия могут быть у этого действия. Если я не ошибаюсь, в США уже существует закон (законопроект), запрещающий adware, не соответствующие данному критерию.


Алексей Доля: Получается, что любая прикладная программа, которая взаимодействует с Интернетом, помимо своих полезных действий может всё время отсылать сведения приватного характера, например, о предпочтениях пользователя? И никак проверить, что там программа делает в Сети - нельзя?

Александр Гостев: Проверить, конечно же, можно, но такая задача под силу только профессионалам.


Алексей Доля: Как вы считаете, чему spyware и adware обязаны таким широким распространением?

Александр Гостев: Развитию сети Интернет, в первую очередь. Бум технологий Интернет привел к тому, что для успешного ведения бизнеса в Сети многие компании идут на такие "своеобразные" шаги для получения денег за показ рекламы на компьютерах миллионов пользователей, саморекламы или получения конкурентного преимущества.


Алексей Доля: Вам лично часто приходится иметь дело именно со spyware и adware во время своей работы в последнее время?

Александр Гостев: Простая статистика. В ноябре 2004 года в антивирусные базы Антивируса Касперского было добавлено около 3000 вредоносных программ и около 1000 различных программ класса adware\pornware\riskware. Соответствующие выводы можете сделать сами.


Алексей Доля: На себе ощущаете увеличившееся количество представителей spyware и adware?

Александр Гостев: С точки зрения личных предпочтений? Да, конечно. На них приходится тратить всё больше и больше времени и, что самое главное, - резко увеличилось число запросов от пользователей относительно той или иной adware, обнаруженной на компьютере. Вероятно, в ближайшее время нам придется начать делать детальные описания и для adware, аналогичные тем, что мы публикуем для обычных вредоносных программ.


Алексей Доля: Вы не могли бы привести самую часто возникающую проблему ваших пользователей (в контексте spyware и adware)?

Александр Гостев: Корректное и полное удаление подобных программ из компьютера, конечно. Да и этого зачастую оказывается недостаточно, поскольку они проникают на компьютер снова и снова при посещении различных интернет-сайтов.


Алексей Доля: Есть ли у вас отдельные методики и инструменты, предназначенные для выявления именно spyware и adware?

Александр Гостев: Какой-то особой методики нет. Программа запускается, анализируется её поведение и код. Всё точно так же, как и в случае с malware.


Алексей Доля: Как вы считаете, связано ли массовое распространение spyware и adware с ненадежностью браузера Internet Explorer?

Александр Гостев: Я бы не сказал, что с ненадежностью. Скорее, с его тотальным доминированием на рынке, а также архитектурой, позволяющей "подключать" к нему внешние модули (BHO), что является излюбленным приемом авторов adware.


Алексей Доля: Некоторые эксперты вообще советуют пользователям перейти на другой браузер. Как вы считаете, это поможет?

Александр Гостев: Да, это может решить многие проблемы. Хотя бы из-за того, что производителям adware придется иметь дело не с одним браузером, а с несколькими. А значит, и разрабатывать им придется несколько разных вариантов adware, что повлечет за собой рост затрат на разработку и может оказаться просто экономически невыгодным. Ну и конечно, многие приемы для проникновения и работы в компьютере могут просто оказаться неработоспособными в других браузерах.


Алексей Доля: Влияют ли как-нибудь уязвимости в ПО на распространение spyware и adware? Или даже и без них всякие cookies смогут проникнуть на компьютер пользователя?

Александр Гостев: Относительно cookies - я бы не стал причислять их к adware, всё-таки. А вот что касается уязвимостей в ПО, то да. Как я уже говорил - многие adware используют для установки в систему некоторые уязвимости в IE (Exploit.HTML.Mht, Exploit.HTML.Iframe и т.д.). Производители adware используют все доступные им методы, зачастую не всегда легальные.


Алексей Доля: Cookies, действительно, довольно спорная "штука". К вредоносным кодам их точно не отнести, к adware и spyware, по-видимому, тоже. Тем не менее, остается открытым вопрос. Как злоумышленник может использовать cookies, чтобы нарушить приватность информации пользователя? Опасны ли бесконтрольные cookies? Ведь не секрет, что многие утилиты для борьбы со spyware детектируют некоторые cookies, как "вражеские".

Александр Гостев: Сами по себе cookies ничего "вражеского" в себе не содержат. Что может сделать вредного локальная "хранилка" данных какого-либо сайта? По умолчанию данные cookies может читать только их владелец (домен), однако были уязвимости, позволяющие читать чужие cookies, а ведь там иногда хранятся пароли (в открытом или зашифрованном виде). Однако, вредоносных программ, которые бы воровали cookies с компьютера и передавали их злоумышленнику - я не припоминаю, в последнее время.


Алексей Доля: Можете перечислить и прокомментировать симптомы заражения spyware и adware?

Александр Гостев: Произвольно открываемые в браузере сайты, всплывающие окна с рекламой, измененные адреса стартовой страницы и поисковой системы, новые записи в Favorites (Bookmarks). Появление новых кнопок или пунктов меню в браузере. Общее замедление работы системы при работе с Интернет. Постоянные попытки исходящих соединений на различные сервера, фиксируемые брандмауэром.


Алексей Доля: Что следует делать пользователю Антивируса Касперского, если он заразился spyware и adware? По шагам желательно...

Александр Гостев: В большинстве случаев достаточно проверить компьютер при помощи расширенного набора баз, в который входят следующие компоненты: Adware.avc, Riskware.avc, Obscene.avc, X-Files.avc.
Если будут обнаружены какие-то программы, которые антивирус идентифицирует как "not-a-virus" и их назначение непонятно пользователю, то их необходимо удалить. В некоторых случаях может потребоваться дополнительная чистка системного реестра и исправление ключей в нем. Для этого можно обратиться в нашу службу технической поддержки. У них существует специальное руководство пользователя, в котором описаны основные ключи реестра, подлежащие правке.


Алексей Доля: Напоследок очень хочется обсудить с вами "модную" на данный момент утилиту. Речь, конечно же, о бета-версии Microsoft AntiSpyware. Вас не затруднить прокомментировать технологический аспект этого продукта, принципы его работы и эффективность?

Александр Гостев: Судя по тому, что мы видим - этот продукт сейчас абсолютно "сырой" и не может в полной мере заменить другие специализированные anti-adware программы. Во-первых, это довольно высокий процент ложных срабатываний на безобидные файлы (в том числе и на собственные файлы Windows), во-вторых, редкая частота выхода обновлений (месяц) - это совершенно неприемлемо в настоящее время. Ну а в-третьих, это бесплатный продукт и я не думаю, что на его поддержку и решение возникающих проблем Microsoft будет тратить серьезные финансовые и людские ресурсы. Пока это все-таки скорее маркетинговый ход и дань современным требованиям к операционной системе. Возможно в будущем ситуация изменится, но на данном этапе пока сложно сказать что-то более определенное.


Алексей Доля: Роэль Шовенберг (Roel Schouwenberg) опубликовал 11 января на VirusList очень интересные данные о работе Microsoft AntiSpyware. В "Лабораторию Касперского" обратился один из ее клиентов, который сообщил, что Microsoft AntiSpyware определила файл "c:\winnt\system32\notpad.exe" как средство удаленного администрирования (Remote Administration Tool). Но сам файл является ничем иным, как французской версией программы Блокнот (notepad). По каким-то причинам (не ясно каким) файл был переименован в "notpad.exe". Эксперты проверили файл и действительно убедились, что это Блокнот. Однако утилита Microsoft уверена, что это вредитель ItEye RAT.

Вначале показалось, что утилита была протестирована еще на всех версиях (например, языковых) системы. Но потом выяснилось, что Блокнот детектируется вредителем только из его имени и местоположения. Другими словами, бета-версия Microsoft AntiSpyware определяет любой файл с именем "notpad.exe" (даже абсолютно пустой) и местоположением в системной директории (%sysdir%), как утилиту удаленного администрирования. Вообще, кажется, довольно странно, распознавать паразитов лишь по имени файла и местоположению. Не находите? Можете прокомментировать?

Александр Гостев: Да, это крайне примитивный и устаревший способ детектирования. Антивирусные программы не пользуются такими приемами еще с первой половины 90-х годов. Однако, учитывая то, что Microsoft просто воспользовалась продуктом компании Giant, получается, что вина за подобные "ляпы" в большей степени лежит именно на данной компании. С другой стороны, понятно, что для создания полноценных методов детектирования необходимо наличие полноценного собственного "движка", который создается годами. А Adware - явление все-таки относительно новое и компании, которые создают софт для борьбы с adware, еще не имеют ни таких движков, ни должного опыта. Антивирусным компаниям, которые сейчас занимаются детектированием рекламных систем, в этом плане гораздо проще. У них есть уже готовые движки и методики.


Алексей Доля: Недавно компания Sophos сообщила о появлении нового вредоносного кода Troj/BankAsh-A, который атакует Microsoft AntiSpyware. Это первый троянец, направленный против данного продукта Microsoft, который в свою очередь находится еще на стадии бета-версии. Troj/BankAsh-A распространяется во вложениях к электронным почтовым сообщениям, крадет пароли и имеет key logger, но главное - он пытается отключить и удалить утилиту Microsoft AntiSpyware, а также подавить все предостерегающие сообщения, которые она выдает. Получается, что любое средство защиты, например, антивирус или утилита Microsoft, уязвимы к тому, что шпионская программами или вирус могут их просто отключить или даже удалить? Насколько серьезно защищены современные средства безопасности от подобных атак?

Александр Гостев: Конечно, любая вредоносная программа в состоянии удалить или заблокировать существующую версию Microsoft AntiSpyware. Да и ряд антивирусных программ также уязвимы перед различными вирусами, которые могут их удалять, блокировать или запрещать загрузку обновлений. Некоторые антивирусные программы очень хорошо защищены от подобных угроз, некоторые - не защищены совсем. Что касается KAV, то могу привести, например, ссылку на независимое исследование на эту тему со стороны представителей underground-а (http://www.securitylab.ru/49738.html).


Алексей Доля: Недавно прошла информация о том, что новые троянцы, например, Trojan-Dropper.Win32.Agent.ed (www.viruslist.com/ru/viruses/encyclopedia?virusid=70328) и Trojan-Clicker.Win32.Agent.bm (www.viruslist.com/ru/viruses/encyclopedia?virusid=70306) во время работы маскируются под утилиты борьбы со шпионскими и рекламными кодами. Скажите, пожалуйста, а зачем нужны эти средства социальной инженерии? Почему вредители сразу не открывают рекламный ресурс в окне web-браузера (ведь это их конечная цель)?

Александр Гостев: Чтобы открыть рекламный ресурс в окне браузера - они должны сначала как-то попасть в систему, не так ли ? ;)
Программы для борьбы Adware сейчас крайне популярны и пользуются спросом у пользователей, поэтому вполне логично, что сами Adware стали выдавать себя за Antiadware-софт. И тут они уже переходят грань и начинают считаться полноценными троянскими программами.


Алексей Доля: Можно ли утверждать, что пользователю нормального антивирусного пакета (в маркетинговых материалах к которому указано, что на защищенный компьютер "вход spyware запрещен") не стоит опасаться spyware, а, следовательно, использовать утилиту Microsoft?

Александр Гостев: Это сложный вопрос, ведь как известно 100% защиты не бывает никогда. Поэтому если есть возможность максимально приблизить уровень защиты Вашего компьютера к этой цифре, то не стоит ей пренебрегать. Другое дело, что если антивирусная программа не нашла что-то, что нашла утилита от Microsoft, то лучше все-таки проконсультироваться относительно найденного файла у производителя Вашего антивируса.


Алексей Доля: Можете дать пользователям какие-нибудь рекомендации, которые бы свели риск заражения spyware и adware к минимуму? Может, есть способы, позволяющие защититься на 100%?

Александр Гостев: Почти абсолютно точно такие же, как и для предотвращения заражения вирусами. Не посещать сайты с сомнительным содержанием, не устанавливать и не запускать программы из Сети без предварительной проверки их антивирусом. Внимательно читать все сообщения, которые выводит программа при инсталляции или предложении установить ее на компьютер. Постараться пользоваться не одним, а несколькими браузерами. Следить за выходящими обновлениями для операционной системы или браузера и оперативно устанавливать новые.


Алексей Доля: Хотите сказать нашим читателям что-нибудь напоследок?

Александр Гостев: Хочется пожелать всем читателям и пользователям сети Интернет всего самого хорошего в Новом году, отсутствия проблем и много-много радости. А мы, со своей стороны, будем прилагать все усилия для того, чтобы новые ухищрения вирусописателей никогда не достигали цели - чтобы пользователи были полностью защищены от вредоносных программ.


Алексей Доля: Спасибо за столь интересное интервью. Мы и дальше будем следить за успехами Вашей компании! До свидания!