Kontrwywiad w sieci, czyli walka ze spyware
-
- Józef Muszyński,
- 01.02.2005
SpyCatcher 3.0 Enterprise
SpyCatcher 3.0 Enterprise - SpyCatcher w wersji Enterprise pozwala administratorowi dodawać podejrzane lub niepożądane, z biznesowego punktu widzenia, pliki do bazy danych skanowania, co pozwala skanować i wyłączać nie tylko programy spyware.
Oprogramowanie klienckie SpyCatcher instalowane jest za pomocą pakietu instalacyjnego Windows MSI, który może być dystrybuowany przez współdzielone foldery lub system dystrybucji oprogramowania. Nie można jednak obsługiwać zarządzania relacji konsola - klient w czasie rzeczywistym, co uniemożliwia wykonywanie pilnych zmian i uaktualnień na kliencie. Klient sprawdza okresowo, czy w konsoli zarządzania są jakieś uaktualnienia.
Pod koniec instalacji konsoli kreator prowadzi proces definiowania metody komunikacji pomiędzy klientem a konsolą. Do wyboru są trzy możliwości: bezpośrednie połączenie sieciowe, użycie pośredniczącego serwera FTP dla danych wchodzących i wychodzących oraz wykorzystanie współdzielonego katalogu plików na dysku sieciowym. W większości przypadków używane będzie zapewne bezpośrednie połączenie sieciowe.
Kreator pozwala także na zabezpieczenie aplikacji strony klienckiej hasłem. SpyCatcher instaluje aplikację kliencką, którą użytkownik końcowy może sam uruchomić - o ile administrator nie zablokuje mu takiej możliwości (odmiennie niż PestPatrol). W ustawieniu domyślnym SpyCatcher jedynie rejestruje wykryte programy adware i spyware, ale administrator może także ustawić automatyczne wyłączanie szkodliwych programów po ich wykryciu. W przypadku fałszywego rozpoznania SpyCatcher może przechować na kliencie informacje niezbędne do odtworzenia, pozwalające na odtworzenie wszystkich usuniętych plików. Jeden z mechanizmów (nieobecny w PestPatrol) może zniekształcać usunięte pliki, zabezpieczając przed ich odtworzeniem, zapisując je wg specjalnego algorytmu.
SpyCatcher pozwala administratorowi skupiać uwagę na szczególnie kłopotliwych klientach przez wpisanie ich na tzw. Watch List. Niestety, program nie umożliwia bezpośredniego wyłączenia oprogramowania z ekranu Watch List - w tym celu trzeba przejść na stronę Detected Spyware, gdzie wyłączenie programów jest bardzo proste - wystarczy kliknąć na przycisk Disable.
Administratorzy mogą decydować, jakiego typu spyware mają być wyszukiwane, wybierając ich predefiniowane grupy, takie jak Backdoor Targets czy Malicious ActiveX Components (w PestPatrol takie grupy mogą być tworzone przez użytkownika).
Administrator SpyCatcher może wyłączać grupy, ale nie może wyłączyć pojedynczego obiektu w grupie (umożliwia to PestPatrol). SpyCatcher w wersji Enterprise pozwala administratorowi dodawać podejrzane lub niepożądane, z biznesowego punktu widzenia, pliki do bazy danych skanowania, co pozwala skanować i wyłączać nie tylko programy spyware.
SpyCatcher umożliwia ograniczanie użytkowania CPU w czasie skanowania na kliencie, aby nie wpływało ono istotnie na wydajność systemu. Z drugiej strony jednak zajmuje on trochę więcej pamięci niż PestPatrol. Zainstalowany na kliencie okupuje 34 MB pamięci, nawet wtedy gdy nie jest prowadzone skanowanie.
Odmiennie niż w PestPatrol, każdy klient jest tu odpowiedzialny za sprowadzanie uaktualnień. Firma zapewnia co prawda, że są one objętościowo niewielkie, ale pomnożone przez liczbę klientów dają w sumie większą zajętość pasma. Klienty sprawdzają nowe uaktualnienie w określonych przedziałach czasowych lub interaktywnie z konsoli centralnej.
Mechanizmy raportowania SpyCatcher są trochę obszerniejsze niż w PestPatrol. Poza raportami tekstowymi może on przechowywać je w plikach CVS (Coma Separated Values) i w formacie gotowym do importu przez SQL. Administrator może otrzymywać raporty za pośrednictwem poczty elektronicznej lub dysku sieciowego. Raporty mogą być tworzone wg ustalonego harmonogramu.
Wyświetla okienka reklamowe. Takie okienka - czasami pełnoekranowe - mogą ukazywać się na ekranie co minutę. Instaluje także skróty na desktopie i zmienia domyślne ustawienia przeglądarki. Niektórzy użytkownicy zainfekowanych maszyn twierdzą, że aplikacje związane z tymi skrótami są instalowane bez pozwolenia. Jednak testy przeprowadzone na połatanych systemach Windows 2000 i XP nie potwierdziły samoinstalowania się programów.
Look2Me monitoruje wizytowane ośrodki webowe i następnie przesyła te informacje na swój serwer. Automatycznie uaktualnia swój kod.
Brak znaczącego wpływu na wydajność. Można zaobserwować spowolnienie IE. Look2Me nie jest widoczny jako pracujący proces czy aplikacja, ponieważ ściśle integruje się z IE, co czyni trudnym monitorowanie i kontrolowanie jego działania.
Cydoor produkuje zwykłe uzupełnienia reklam pop-up. Nie sygnalizowano problemów bezpieczeństwa związanych z najnowszymi wersjami tego oprogramowania. Program wydaje się ograniczać do połączeń ze swoją witryną macierzystą w celu uzupełnienia bufora reklam, a nie kodu programu. Informacja osobowa, niepodawana bezpośrednio przez użytkownika, nie jest przychwytywana. Najnowsze wersje Cydoor zbliżają się do punktu, w którym mogą nie być uznawane za spyware.
Przeglądanie tworzonych przez Cydoor reklam nie wymaga połączenia z Internetem. Program wyciąga reklamy z bufora założonego w zainfekowanym komputerze. Bufor jest uaktualniany za każdym razem, gdy użytkownik wejdzie w stan online.
Cydoor jest często dystrybuowany jako komponent programów P2P niektórych darmowych gier i innych aplikacji. Nie jest oferowany jako niezależny program do sprowadzania.
Rodzina aplikacji Spyware przestawiająca domyślne strony startowe i wyszukiwania na lop.com lub jedną z dwustu stowarzyszonych z Live Online Portal (LOP). Umieszcza na desktopie skróty do ośrodków reklamowych i łączniki w Ulubionych, a także dołącza nowy pasek narzędzi IE o nazwie Accesories z dużą liczbą linków reklamowych.
LOP może sprowadzać ze swojego serwera dowolne kody i wykonywać je. Powoduje też obniżenie wydajności. Użytkownicy mobilni mogą uzyskiwać częste zlecenia połączeń dialup, jeżeli ich komputery nie są online w momencie, gdy LOP chce wykonać jakąś akcję. Jeżeli takie zlecenia są odrzucane przez użytkownika, to komputer może być "zamrożony" na kilka minut.
Większość metod instalacji LOP polega na tworzeniu pętli wyskakujących okienek - jeden fałszywy lub nerwowy klik wśród mnóstwa okienek i maszyna jest zainfekowana.
