Agent działa po cichu

Autorzy złośliwego oprogramowania prześcigają się w sposobach jego niezauważalnej instalacji. Szukanie w liście Dodaj/Usuń programy jest bezcelowe, ponieważ nie anonsują się systemowi operacyjnemu jako osobny, podlegający deinstalacji składnik. W większości przypadków moduły szpiegujące integrują się z systemem tak skutecznie, że nawet deinstalacja programu je przenoszącego nie powoduje ich dezaktywacji.

Bywa, że dla odzyskania sprawności systemu sprzed instalacji spyware trzeba skorzystać z ostatniej kopii bezpieczeństwa. Kopia stanu systemu (SystemState) nie jest stuprocentowo pewna, należy raczej wykorzystać pełną kopię partycji. W grę wchodzą obrazy (wykonane za pomocą programów, takich jak PartImage czy Symantec Ghost) lub pełne kopie wykonane przy użyciu programów do kopii bezpieczeństwa - najlepiej z opcją disaster recovery. Ponieważ mało administratorów wykonuje takie kopie wszystkich stacji regularnie, pozostaje tylko jedna możliwość - ponowna instalacja systemu Microsoft Windows połączona z formatowaniem dysku.

Z punktu widzenia autora oprogramowania szpiegującego jest ono skuteczne tylko wtedy, gdy działa bez przerwy. Najlepiej, aby było uruchamiane wraz ze startem systemu operacyjnego, by mogło korzystać z mechanizmów systemowych. W grę wchodzi uruchomienie spyware jako usługi systemowej o nic niemówiącej nazwie (np. Windows Security Service). Takiej samej metody oszustwa chwytają się autorzy nowych wirusów - w praktyce możliwe jest bowiem zarejestrowanie usługi systemowej w Windows XP bez SP2 przez konto z uprawnieniami gościa (!). Inny sposób na uruchomienie programu szpiegującego to dodanie go jako rozszerzenia przeglądarki Internet Explorer, dzięki czemu staje się on bardzo trudny do usunięcia.

Oddzielna kategoria słabości umożliwiających instalowanie "szpiega" w systemie Windows to niedociągnięcia konfiguracyjne. Jednym ze sposobów jest uruchomienie za pomocą wpisu do rejestru jako HKEY w katalogu: LocalMachine/Software/Microsoft/Windows/CurrentVersion/Run. Program szpiegujący można też umiejscowić w systemie tak, by uruchamiał się automatycznie wraz ze startem systemu - czy to przez wpis do rejestru, czy też poprzez podmianę popularnej aplikacji w Menu Start/Programy/Autostart. Ciekawym sposobem jest podpięcie programu szpiegującego jako strony startowej przeglądarki Internet Explorer. Można to zrobić tak, że najpierw uruchomi się szpieg, a zaraz potem oryginalna strona startowa.

System Windows daje znacznie więcej możliwości takich modyfikacji, np. podszycie się pod program antywirusowy, modyfikacja skrótów systemowych i skojarzeń typów plików, podmiana bibliotek odpowiedzialnych za wyświetlanie HTML w przeglądarce Internet Explorer, podmiana sterowników systemowych lub instalacja nowych. Szczególnie wymyślnym sposobem jest instalacja oprogramowania szpiegującego w profilu użytkownika skopiowanym na kontroler domeny, potem uszkadza się profil lokalny, po starcie następuje ściągnięcie profilu z serwera PDC i uruchomienie DLL zapisanych w folderze Dane Aplikacji.

Przymiarki do kontrwywiadu

Logika nakazywałaby niszczenie szpiegów przez programy antywirusowe. Tak też jest w rzeczywistości, ale dotyczy to tylko nikłego procenta programów spyware. Lwia część szpiegów nie powoduje alarmów. Można odnieść wrażenie, że jest to celowe działanie producentów programów antywirusowych. Po to, oczywiście, by wypromować własne rozwiązania antispyware i filtry treści pobieranych z Internetu. Innym powodem takiego stanu rzeczy jest przypuszczalnie niejasna w niektórych krajach sytuacja prawna oprogramowania wyświetlającego reklamy i wysyłającego jakiekolwiek dane.

Ponieważ natura nie znosi próżni, na rynku pojawiły się programy, które skanują komputer w poszukiwaniu programów spyware. Ich skuteczność jest różna, niemniej na pewno wykrywają spyware lepiej niż programy antywirusowe. Polecam dwa narzędzia: Spybot Search and Destroy oraz Lavasoft Ad-aware (nie mylić z ad-ware). Każdy administrator powinien mieć oba te programy na specjalnej stacji roboczej do testowania oprogramowania przeznaczonego do instalowania na stacjach roboczych użytkowników. Nie może to być komputer działający w sieci, a już na pewno nie ten, z którego administrator korzysta w codziennej pracy.

Spyware uruchamiane jako proces można czasami wykryć za pomocą programów do analizy aktywności stacji roboczej. Nieocenionym pomocnikiem jest darmowy Process Explorer firmy Sysinternals, który pokazuje dużo więcej informacji niż prosty menedżer zadań. Dokładna analiza newralgicznych wartości kluczy rejestru odpowiedzialnych za uruchamianie procesów oraz usług i skojarzeń plików dostarczy doświadczonemu administratorowi wskazówek, gdzie szukać szpiegów. Szczególnie ważna jest analiza zmian tych kluczy - można to ułatwić, wykonując eksport do plików tekstowych i porównując wyniki.

Restrykcyjnie skonfigurowany firewall (np. ZoneAlarm) wyśle sygnał ostrzegawczy o tym, że program szuka dostępu do Internetu. Może to oznaczać sprawdzenie na stronie producenta czy jest nowsza wersja, ale równie dobrze może to być dowód na istnienie wbudowanego weń programu szpiegującego. Firewalle wbudowane w programy antywirusowe pełnią podobną rolę, niemniej nie zawsze są tak dopracowane jak osobne produkty.

Na trop spyware lub wirusów można wpaść, badając listę plików zmodyfikowanych po instalacji podejrzanego programu. Różne programy nierzadko wykorzystują te same mechanizmy szpiegowskie w postaci bibliotek DLL. Należy przyjąć zasadę, że przed każdą instalacją i po każdej instalacji trzeba obliczyć sumy kontrolne MD5 (lub mocniejsze) wszystkich plików na partycji systemu operacyjnego i potem porównać obie listy. Do tego celu wcale nie są potrzebne komercyjne dedykowane programy, wystarczą narzędzia zawarte w pakiecie Cygwin albo dystrybucja systemu Linux uruchamiana z płytki, taka jak Knoppix lub SystemRescue CD.