Hlavní navigace

Test:Zastavte spyware!

1. 6. 2005

Sdílet

Napadení některým z programů, které mají sledovat vaši aktivitu na počítači, jeve své podstatě otázkou okamžiku. Zato odstranění takového slídila může být až nesnesitelně obt
Napadení některým z programů, které mají sledovat vaši aktivitu na počítači, je
ve své podstatě otázkou okamžiku. Zato odstranění takového slídila může být až
nesnesitelně obtížné a hlavně časově náročné. V tomto článku vám nabízíme test
podle našeho názoru nejlepších programů určených pro boj se spywarem a adwarem.

Není tomu zas až tak dávno, kdy největšími nepříteli uživatelů pracujících s
počítači byly viry šířící se prostřednictvím internetu a elektronické pošty.
Jenže zatímco viry a červi způsobují škody tím, že mažou důležitá data nebo
poškodí celý operační systém, novější hrozba, běžně nazývaná spyware, je daleko
rafinovanější, neboť doslova krade uživateli možnost něco tvořit a takzvaně být
v klidu. Nálepku s označením spyware můžeme za prvé přiznat každému
legitimnímu, byť otravnému programu, který se souhlasem uživatele (i když možná
nevědomky) pronikl do počítače. Za druhé do kategorie spywaru zařazujeme i
skupinu daleko nebezpečnějších programů, které se do počítače instalují zcela
bez našeho vědomí. Obě skupiny aplikací spotřebovávají výkon vašeho systému,
zpomalují internetové připojení, sledují, které stránky na internetu prohlížíte
anebo dokonce násilím přesměrovávají kupříkladu domovskou stránku vašeho
prohlížeče. První zmíněnou skupinu budeme nadále nazývat adware, druhou skupinu
pak spyware. Adware většinou o sobě dává jasně vědět, tzn. oznámí uživateli, že
se do systému instaluje a seznámí ho se vším, co bude v systému vykonávat.
Většinou obsahuje možnost odinstalace a dá se z počítače bez problémů kompletně
odstranit. Naproti tomu spyware se instaluje tajně a jeho odstranění může být v
některých případech bez odborné pomoci takřka nemožné.
Na základě tohoto konstatování se nelze divit, že se na trhu záhy objevila celá
řada antispywarových programů. V našem článku popisujeme vyhodnocení deseti v
současné době dostupných antispywarových utilit, vyvinutých za účelem vyhledání
a odstranění spywaru či adwaru z počítače. U jednotlivých utilit jsme se
zajímali o účinnost při detekci a odstraňování spywaru, dále o rychlost
skenování systému, schopnost zabránit samočinné instalaci nechtěných aplikací a
konečně o snadnost či obtížnost jejich používání. Již předem můžeme prohlásit,
že jsme byli mile překvapeni, protože řada testovaných aplikací odvedla při
pokusu vyčistit infikovaný počítač a zabránit průniku nové infekce pomocí
ochrany v reálném čase skutečně kus dobré práce.
Otestovali jsme sedm produktů v ceně od 20 do 40 USD, a to od velkých i malých
prodejců: Internet Cleanup od firmy Allume Systems (dříve Aladdin Systems),
Spyware Eliminator od firmy Aluria Software, ETrust PestPatrol Anti-Spyware od
firmy Computer Associates, SpySubtract Pro od firmy InterMute, McAfee
AntiSpyware od firmy Network Associates, CounterSpy od firmy Sunbelt Software a
nakonec Spy Sweeper od firmy Webroot Software. Kromě toho jsme testovali i dvě
velmi známé utility dostupné zdarma Ad-Aware SE Personal od firmy Lavasoft a
Spybot Search & Destroy od firmy Safer Networking. Posledním sledovaným
programem (pracujícím sice na zcela odlišném principu, přitom však neméně
účinně) byl HijackThis od firmy Merijn.org. Všechny tři poslední zmiňované
utility naleznete na našem CD. Do našich testů jsme však HijackThis nezahrnuli,
a to proto, že na rozdíl od ostatních systém neskenuje a nevyhledává v něm
nákazu. Také jsme testovali jeden produkt v beta verzi, konkrétně Microsoft
Windows AntiSpyware, který byl až do konce loňského roku znám jako
antispywarový program od firmy Giant Software (viz rámeček Microsoft Windows
Antispyware má šanci stát se nejlepším antispywarovým programem).
Testované antispywarové utility jsme vystavili 45 adwarovým a spywarovým
programům, s nimiž se lze při běžné práci na počítači setkat. Těchto 45
aplikací představovalo po instalaci celkem 81 jednotlivých souborů a procesů,
které měly antispywarové programy kompletně odstranit.
Nákaza systému spywarem může začít například jednoduchou instalací programu
podporovaného reklamou. Často je uživatel upozorňován samotným adwarem na jeho
přítomnost a instalace adwaru je pak jakýmsi výměnným obchodem za to, že může
program, jehož součástí adware je, používat zdarma (často uživatel nevědomky
nainstaluje adware i tak, že si vůbec nepřečte licenční ujednání). Je smutnou
skutečností, že i když mnoho adwarových programů se před samotnou instalací
uživatelů ptá, zda jej chtějí nainstalovat, ne všechny se chovají takto čestným
způsobem. A dokonce i zdarma dostupná aplikace, jež slibuje pouze omezené
množství reklamy, může celý systém doslova zamořit spywarem tím, že začne
stahovat a instalovat spyware a adware jiných firem.
Adware se však liší i způsobem, jak se do vašeho počítače dostane. Dva známé
panely nástrojů poskytující vyhledávání na internetu - Slotchbar a WinTools -
při instalaci neobsahovaly v licenčním ujednání (EULA), v němž se obvykle
upozornění na adware vyskytuje, žádnou zmínku o tom, že budou do počítače
stahovat nějaké další komponenty. Tyto dva programy nainstalované v našem
systému používaly při svém běhu bez našeho souhlasu spoustu dalších procesů a
ukázalo se, že jejich odinstalování je krajně obtížné, jelikož při pokusu
některý proces ukončit nebo příslušný soubor smazat se procesy vzájemně
reinicializují.
Na druhou stranu známé adwarové aplikace WhenUSearch (panel nástrojů pro
vyhledávání na internetu) a Bonzi Buddy (jakýsi interaktivní virtuální pomocník
na pracovní ploše, který mimo jiné dokáže prohledávat internet) zobrazují při
instalaci snadno srozumitelné licenční ujednání (EULA) a pro jejich pozdější
odinstalování disponují odinstalačním programem, který lze spustit přes ve
Windows standardně dostupnou funkci Přidat nebo odebrat programy.

Vyčištění systému
Nejprve jsme testovali, jak účinně dokáže každý program odstranit aktivní
komponenty spywarových programů, dále jsme testovali úroveň ochrany systému v
reálném čase se zvláštním zřetelem na schopnost zabránit instalaci nežádoucích
programů do počítače.
Jako nejschopnější se ukázal CounterSpy od firmy Sunbelt Software, jelikož
dokázal najít a zastavit 93 procent všech běžících procesů, spuštěných našimi
45 testovanými spywarovými a adwarovými programy. CounterSpy byl v našich
testech jediným produktem, který byl schopen zastavit a odstranit ze systému
skutečně houževnatý spyware WinTools. Spy Sweeper od firmy Webroot Software byl
v testu na druhém místě pouze s nepatrným odstupem, neboť zachytil 89 procent
všech aktivních procesů (bohužel nedokázal odstranit tak odolný spyware jako
WinTools a Scotchbar). Nejméně účinné pak byly McAfee AntiSpyware od firmy
Network Associates a Internet Cleanup od firmy Allume Systems, které zachytily
v prvním případě 33 procent a v druhém případě pouhých 11 procent spywaru.
Spyware často ovládne uživatelovo nastavení domovské stránky a funkci pro
vyhledávání na internetu tak, že veškeré pokusy o surfování nebo vyhledávání na
internetu se díky spywaru automaticky přesměrují na stránky s pornografickými
materiály nebo na stránky s jiným nevyžádaným obsahem. A co je horší, zrušení
takového automatického přesměrování je velmi obtížné, neboť všechny takové
pokusy jsou monitorovány spuštěnými procesy, které je okamžitě vrací zpět.
Odstranění spywaru způsobujícího změnu nastavení domovských stránek a funkce
pro vyhledávání na internetu bylo pro všechny testované utility velmi těžkým
oříškem. Internet Cleanup, McAfee AntiSpyware, ETrust Pest Patrol Anti-Spyware
od firmy Computer Associates a SpySubtract Pro od firmy InterMute nedokázaly
žádné z těchto změn ani detekovat, Spyware Eliminator od firmy Aluria Software
zvládl opravit pouze 7 procent přesměrování. Zvítězil opět CounterSpy, i když i
ten dokázal opravit pouhých 53 procent přesměrování.
Browser Helper Object (BHO) jsou dalším typem problematických objektů. Zaměřují
se na modifikování Internet Exploreru a ostatních prohlížečů, i když jsou často
jejich důvody zcela legitimní. Například velmi často používaný Google Toolbar
je rovněž BHO. Tvůrci adwaru a spywaru však zneužívají BHO k tomu, že vytvářejí
takové komponenty pro panely nástrojů, které se spouštějí společně s Internet
Explorerem a zneužívají prvky ActiveX ke stahování a instalaci BHO do vašeho
počítače. Je to totiž velmi snadný způsob, jak v prohlížeči vytvořit často
nechtěné panely nástrojů, které uniknou firewallům založeným na nutnosti
schválit každý pokus o přístup do systému. Tímto způsobem se firewall obejde a
další vrátka pro odesílání a příjem dat z internetu jsou otevřená.
Když jsme testovali schopnost detekovat potenciálně podezřelé objekty BHO, jak
CounterSpy, tak Spy Sweeper zapracovaly na 100 procent. Ad-Aware, eTrust Pest
Patrol Anti-Spyware, Spybot a SpySubtract dosáhly každý hodnoty 62 procent v
porovnání s AntiSpywarem od McAfree a Spyware Eliminatoru, jejichž výsledkem
bylo pouhých 31 procent. Internet Cleanup nezachytil ani jeden BHO nebo panel
nástrojů.
Dalším oblíbeným umístěním pro adware či spyware jsou klíče v registru a
systémové složky, jejichž obsah se načítá při spouštění Windows. Z tohoto
důvodu jsou pro uživatele tato místa skutečně kritická. Bohužel antispywarové
programy v této oblasti ukázaly pouze nadprůměrné výsledky. CounterSpy
detekoval 86 procent, na druhém místě se umístil Spy Sweeper s 82 procenty a na
třetím místě Ad-Aware se 77 procenty. Internet Cleanup detekoval pouze 5
procent.
Testovali jsme rovněž schopnost detekovat uměle vytvořené položky v menu
internetových prohlížečů. Tyto změny sice automaticky neznamenají, že se
nainstaloval spyware, ale pokud uživatel na takovou položku klepne, může tuto
infekci snadno spustit. CounterSpy a Spy Sweeper detekovaly 100 procent
takových tlačítek a položek menu. SpySubtractPro a Ad-Aware dosáhly 75 procent.
Internet Cleanup, ETrust Pest Patrol a McAfree AntiSpyware nezachytily ani
jeden takový objekt.

Alternativní cesta k úspěchu
Desátý program v našich testech, HijackThis od firmy Merijn.org (najdete jej ve
verzi 1.99.1 na našem CD, popřípadě na internetu na adrese jako soubor
HIJACKTHIS.ZIP o velikosti 207 KB), není žádným klasickým prohledávačem
systému. HijackThis vám poskytuje zprávu o všech aktivních procesech, klíčích v
registru, v nichž se uchovávají všechny položky, které se spouští při startu
Windows, dále ukazuje obsah všech složek, jejichž obsah se načítá při spouštění
systému, zobrazí všechny BHO či služby existující v systému. S tímto protokolem
pak můžete snadno určit všechny podezřelé položky a pak je odstranit. I když
identifikování podezřelých objektů vyžaduje zkušeného a věci znalého uživatele,
je samotný program hravě ovladatelný i pro naprostého laika. Méně zkušení
uživatelé tak mohou poslat své protokoly se záznamy do různých internetových
fór, kde se jim může podařit nalézt kvalifikovanou pomoc pro identifikaci
nevyžádaných procesů.
My jsme použili HijackThis společně s funkcí Přidat nebo odebrat programy,
dostupnou v Ovládacích panelech Windows XP. Byli jsme velmi mile překvapeni,
když se ukázalo, že prakticky všech 45 adwarových či spywarových aplikací mělo
odpovídající položku pro odinstalování právě ve funkci Přidat nebo odebrat
programy. (K tomu, abyste zmiňované položky pro odinstalování programů mohli
efektivně používat, potřebujete vědět, ke kterým programům patří, což není vždy
zrovna jednoduché). Když jsme všechny položky pro odinstalování navržené
utilitou HijackThis použili a dále jsme s pomocí stejné utility identifikovali
a odstranili všechny ostatní aktivní komponenty, které odinstalátory nedokázaly
odebrat, dosáhli jsme doposud nevídaného výsledku - podařilo se nám totiž
odstranit 100 procent adwaru či spywaru, jímž byl náš počítač nakažen. Stejného
výsledku jsme dosáhli i tehdy, když jsme použili CounterSpy společně se
zmiňovaným HijackThis. Žádnou jinou kombinací testovaných programů se nám
stejného výsledku dosáhnout nepodařilo - procesy ovládané spywarem WinTools,
které žádný jiný antispyware nedokázal odstranit, zmařily naše snahy dosáhnout
kompletního vyčištění systému. HijackThis samotný (už z principu jak je
postaven) běžící procesy zastavit nedokáže.

Rychlost skenování systému a výsledné zprávy
Během testů jsme zaznamenali i značné rozdíly v rychlosti skenování systému.
Nejúčinnějším a zároveň i nejrychlejším programem byl CounterSpy, kterému
kompletní skenování systému s 2,7 GB dat trvalo pouhou minutu. Rychlé byly i
utility Spybot a SpySweeper, jež stejný systém skenovaly něco málo přes dvě
minuty. Na druhou stranu Spyware Eliminator byl z hlediska rychlosti skenování
systému nejpomalejší a jeho chování bylo poněkud zvláštní, neboť při
opakovaných testech mu jednotlivé testy trvaly v rozsahu 10 minut až 1 hodinu.
Zbylým programům trvala prohlídka systému 4-5 minut.
Jednotlivé programy také odlišně interpretovaly jednotlivé nalezené infekce.
Například pokud jsme nainstalovali panel nástrojů WhenUSearch, CounterSpy jej
viděl jako dva odlišné spywarové programy - WhenUSearch a SaveNow. Naopak
Ad-Aware detekoval stejný panel nástrojů jako souhrn 73 objektů. Když jsme pak
dovolili programu CounterSpy odstranit všechny aktivní komponenty panelu
WhenUSearch, AdAware stále ještě hlásil pět kritických objektů - těmi pak byly
tři prázdné klíče v registru a dvě prázdné složky. Takové výstrahy jsou však
zbytečné a mohou pouze přispět k tomu, že problém spywaru se pak v některých
případech jeví jako daleko závažnější, než skutečně je.

Sledování systému v reálném čase
Schopnost odstranit spyware v okamžiku, kdy je systém infikován, je sice velmi
podstatná, ale určitě není pochyb o tom, že důležitější je pro nás otázka
prevence, tj. jak zajistit, aby se žádný škodlivý objekt do systému vůbec
nedostal. Jedním z nejúčinnějších nástrojů se na tomto poli stal Spybot. Při
použití v něm obsaženého doplňku Resident TeaTimer nás utilita varovala
pokaždé, kdy se nějaký program pokoušel o změnu v kritických oblastech registru
systému. Dokonce i procesům, které představovaly spyware a které byly schopné
se samy nahrát do paměti, bylo zabráněno modifikovat registr - a tak byly
okamžitě likvidovány obyčejným okamžitým restartem systému.
Spybot dokonce disponuje i možností chránit před modifikací soubor Hosts. Tento
soubor totiž představuje pro internetový prohlížeč jakousi mapu. Každý záznam
se v něm totiž skládá z názvu webového serveru a odpovídající IP adresy, na níž
se má přesměrovat. Škodlivé programy často tento soubor zneužívají k tomu, aby
zabránily uživatelům v návštěvě bezpečnostně orientovaných stránek, jako jsou
například stránky výrobců antivirových programů.
CounterSpy a Spy Sweeper také blokovaly pokusy o modifikaci zmíněného souboru
Hosts, zastavovaly pokusy o editaci registru systému, zabraňovaly v
internetovém prohlížeči změně nastavení domovské stránky a funkce pro
vyhledávání na internetu a pokoušely se detekovat podezřelé procesy běžící v
operační paměti.
Ad-Aware - SE Personal není vybaven funkcí sledování systému v reálném čase, i
když se v něm dá nastavit ochrana proti zápisu do souboru Hosts. Placené verze
Ad-Aware SE Plus (27 USD) a SE Professional (40 USD) mají integrovánu funkci
Ad-Watch, připomínající podobné funkce v programech CounterSpy a Spy Sweeper.
ETrust PestPatrol Anti-Spyware byl schopen detekovat podezřelé procesy běžící v
operační paměti, ale nedokázal nás varovat, pokud byly provedeny změny v
některých ze systémových nastavení. SpySubtract Pro nás varoval v případě, kdy
byla provedena změna nastavení domovské stránky a funkce pro vyhledávání na
internetu, a zároveň detekoval podezřelé procesy v operační paměti. McAfee
AntiSpyware má zabudovanou funkci sledování systému v reálném čase, ale
vzhledem k její nízké rozpoznávací schopnosti se účinnost této funkce prakticky
rovnala nule.
Co se týče programů Spyware Eliminator či Internet Cleanup, ani jeden z nich na
poli sledování systému v reálném čase příliš nebodoval. Spyware Eliminator má k
dispozici pouze "černou listinu" podezřelých WWW stránek a prvků ActiveX - i
když samotná unikátní možnost existence takového seznamu je také velmi hezkým
rysem programu. Podobně jako Spyware Eliminator i Internet Cleanup ignoroval
možné změny nastavení domovské stránky a funkce pro vyhledávání na internetu,
zcela propadl v testech zaměřených na detekci podezřelých procesů a chyběla mu
rovněž možnost ochrany souboru Hosts. Na druhou stranu nabízí integrovaný
blokátor pop-up oken a dále dokáže blokovat odesílání osobních dat, čímž
zabraňuje jejich potenciálnímu zneužití.

Jednoduchost použití
Rozhraní programu CounterSpy je velmi přitažlivé a snadno se s ním pracuje.
Tlačítko Scan Now se nápadně objevuje již na uvítací obrazovce, jednotlivá menu
se procházejí snadno a ukončení programu není spojeno s ukončením ochrany v
reálném čase. Uživatelské prostředí programu Ad-Aware je rovněž atraktivní,
ovšem jednotlivé nabídky programu jsou ukryty za nepopsanými ikonkami a je
potřeba trocha odhadu, abyste zjistili, do kterého z nich se máte podívat.
Pokud chcete používat Spybot, pak se pro jeho konfiguraci musíte nejprve
přepnout do pokročilého režimu. Jak Ad-Aware, tak CounterSpy poskytují
srozumitelné výsledky skenování, i když Ad-Aware označil několik cookies jako
kritické objekty, což může naznačovat, že cookies jsou velmi riziková - to však
nemusí být vždy pravda.
HijackThis má jednoduché textově orientované rozhraní, které poskytuje velmi
dobrý přehled o všech možnostech programu a vůbec se celá aplikace neobvykle
snadno ovládá. Na druhou stranu výsledná zpráva z programu je pro běžného
uživatele téměř nesrozumitelná.
Spyware Eliminator je vybaven jednoduchým rozhraním s čitelným menu, ale
spuštění programu trvá dlouho. Rozhraní Internet Cleanupu je nepřehledné a
špatně se s ním pracuje. Jednotlivá menu se měnila podle toho, v jaké sekci
jsme se pohybovali, a co bylo neobvyklé - jediným východiskem, pokud jsme
zabloudili příliš hluboko do struktury menu, bylo tlačítko Home, jehož pomocí
jsme se mohli "vysvobodit".
Uživatelské rozhraní programu ETrust PestPatrol Anti-Spyware nám připadalo
neútulné a málo přitažlivé, i když orientace v něm byla dobrá. I tady byla na
začátku drobná chybička. Na uvítací obrazovce bylo nejviditelnější tlačítko
Enter License Key. Až po přečtení textu psaného drobným písmem jsme byli
ujištěni, že jsme program již správně zaregistrovali.
Rozhraní aplikace Spy Sweeper bylo sice intuitivní, avšak nebylo možné ukončit
program, aniž bychom současně neukončili ochranu systému v reálném čase.
Jediným výsledkem byly početné dotazy, zda skutečně chceme vypnout ochranu
systému nebo chceme program pouze minimalizovat. Dalším extrémem byl McAfee
AntiSpyware, nainstalovaný jako součást aplikace McAfee Security Center - ta
byla představována ikonkou v pravé části Hlavního panelu. Security Center nám
totiž neumožnil se k antispywarové komponentě vůbec dostat.

Závěr
Antispywarové programy se dají sehnat zdarma, ale obáváme se, že právě toto je
jedna z oblastí, kde se šetřit nevyplácí. Zdarma dostupný Spybot Search&Destroy
poskytuje detekci okolo 54 procent a nabízí ochranu systému v reálném čase.
Pokud přesto chcete zůstat u zdarma dostupných alternativ, pak byste měli
kombinovat Spybot s Ad-Aware SE Personal, jehož schopnost detekce je v případě
aktivní hrozby o něco vyšší než u Spybotu. Avšak pokud byste kombinovali
Ad-Aware, Spybot a zdarma dostupný HijackThis, podobně jako my při našich
testech, dosáhnete při odstraňování spywaru či adwaru 100% úspěšnosti.
CounterSpy od firmy Sunbelt Software, který se stal v našich testech favoritem,
se projevil jako utilita s nejvyšší schopností detekce, nejvytříbenějším
uživatelským rozhraním a nejvyšší rychlostí skenování. Cena 20 USD za roční
licenci pro používání programu a technickou podporu nepředstavuje ani v našich
podmínkách žádnou finanční katastrofu. Pokud se rozhodnete pro Spy Sweeper od
firmy Webroot, ani tentokrát neprohloupíte, neboť je prakticky srovnatelný s
programem Counter Spy: rychlost skenování systému je dostatečná, jeho použití
je rovněž jednoduché. Kombinací libovolného z obou produktů s utilitou
HijackThis a s dávkou rozvahy při instalaci čehokoliv do systému bez problémů
udržíte svůj systém nezasažený jakýmkoliv druhem spywaru či adwaru.


Chraňte se před spywarem: aktualizujte pravidelně svůj prohlížeč nebo přejděte
na jiný a bezpečnější

Jednou z možností, jak se chránit před spywarem, je možnost přejít z Internet
Exploreru na jiný prohlížeč, například na Mozillu Firefox. Ale i přechod na
jiný prohlížeč s sebou přináší problémy. Alternativní prohlížeče mají také své
bezpečnostní trhliny, které vás mohou přivést do problémů. Navíc se můžete
dostat do nepříjemností tehdy, kdy si budete potřebovat prohlédnout internetové
stránky, které se korektně zobrazují pouze v Internet Exploreru.
Pro ty, kteří nechtějí přejít na alternativní prohlížeč, je tu Internet
Explorer ve verzi 6 a vyšší, který má výchozí bezpečnostní nastavení
nakonfigurováno tak, že poskytuje slušnou ochranu proti spywaru. Rozhodně tedy
doporučujeme používat nejnovější verzi Internet Exploreru a instalovat všechny
dostupné aktualizace určené pro systém Windows (viz stránky
windowsupdate.microsoft.com). Dále je nutno věnovat maximální pozornost tomu,
co do počítače instalujeme a neinstalovat do systému neznámé programy - i to
pomáhá bojovat proti spywaru.
Pokud se rozhodnete instalovat nějaký program, určitě si pečlivě přečtěte
licenční ujednání (EULA); mělo by pro vás být dostatečným varováním, pokud se v
něm dočtete, že instalovaný program má v úmyslu stahovat další software. Pokud
se přece jen nějaký spyware do vašeho počítače dostane, zkuste nejprve
jednoduchou věc: klepněte v Ovládácích panelech na ikonu Přidat nebo odebrat
programy, pozorně projděte seznam nainstalovaných programů a pokuste se
vyhledat nějaký odinstalační program, který by mohl odpovídat vámi naposledy
instalovanému programu.