Nemcsak a vírusok, férgek és trójai programok veszélyeztetik mindennapjainkat, hanem kéretlen reklámprogramok és a számítógépes szokásainkat fürkésző kémprogramok is lesben állnak. Létezik egy érdekes kategória, a greyware szoftvereké. Ez a szürke zóna: ide a legalitás és illegalitás peremén egyensúlyozó alkalmazások tartoznak. Ezek a veszélytelen szoftverek és a kifejezetten rosszindulatú kártevők közé esnek, és fajtájukat tekintve mint reklámprogramok (adware), kémprogramok (spyware) vagy nyomkövető programok (trackware) jelennek meg egyre nagyobb számban az interneten. Némely vírusvédelmi kereskedő óvatosan úgy hívja őket: PUP (Potentially Unwanted Programs) – magyarul valószínűleg felesleges vagy kéretlen programok. Ez az új kategória azért nyerhetett létjogosultságot, hogy elkerülhetők legyenek az olyan törvényes bonyodalmak, ahol a gyártók azt vitathatják, törvényes-e a szoftverük, vagy sem; illetve törvényes-e, hogy a vírusvédelmi alkalmazások kártevőként jelölik meg az ő kétes programjukat. Néhány esetben ráadásul legális szoftverekben is előfordulhat ilyen szoftver-„csatolmány”. Ezek legális vagy rosszindulatú mivolta szintén a rejtőzködés mértékétől függhet. Amíg a jelenlétük néha egészen nyilvánvaló, például jönnek a felugró (pop-up) ablakok, váratlan helyekre irányít bennünket a webböngésző, és így tovább – szinte mindig komoly figyelmet fordítanak arra, hogy megakadályozzák tényleges állományaik észlelését és eltávolítását. Némelyek ezt úgy kommentálják, hogy ezen a terepen lehet a rootkit vagy rootkitjellegű technológiát legális célokkal is használni, és ily módon valóban legyőzhetők az operációs rendszerek hiányosságai, amikor az adatok elrejtéséről van szó.
A Win32/Adware.Gator az egyik legrégibb versenyző a kéretlen reklámprogramok mezőnyében
„Jóindulatú” reklámprogramok
Vitatható a védelmi cégeknél ez a különbségtétel a reklám- és a kémprogramok között, ha az ember a törvényesség határán egyensúlyoz. Újraalkotva a „greyware” fogalmát, és általánosabb magyarázattal élve a megkülönböztetés kihangsúlyozására, a NOD32 lényegesen részletesebb irányítási lehetőséget adott a felhasználók kezébe már a korábbi verzióktól kezdődően, és még pontosabban írja le ezt az egyre homályosabb területet.
A Command Service sem egy átlagos szereplő: megpróbál eltávolítani minden más reklámprogramot gépünkről (eddig örülünk) azért, hogy aztán egyedül terpeszkedhessen rajta, és jelenítsen meg hirdetéseket (mégsem lesz a barátunk)
Néhány reklámcég és felhasználói aktivitást követő vállalat arról panaszkodik, hogy a felismerők szoftverüket reklám- vagy kémprogramként azonosítják. A NOD32 már a 2.7-es változatában bevezetett egy új felismerési kategóriát Kéretlen alkalmazások (Potentially Unwanted Applications) néven. Ide tartozik minden reklámjellegű alkalmazás, amely nem szükségképpen rosszindulatú; működésüket egy felhasználói licencszerződés (EULA) figyelmetlen elfogadásakor mi magunk engedélyeztük, létezik hozzá uninstall lehetőség, és így tovább. Bár nem mindig rosszindulatú, az adware általában feleslegesen terheli a számítógépek tároló- és memóriakapacitását, ami hátrányosan hat annak teljesítményére, megbízhatóságára és stabilitására. Ezzel még nem okoz biztonsági kockázatot, de önmagában is rendkívül bosszantó és zavaró probléma a felhasználók számára.
Ha kiválasztottuk a veszélyes alkalmazások keresése opciót, a Mr. és Mrs. Smith videofilmet védő Settec Alpha rootkit is felkoppan a NOD32 védelmén
Vitatható adware-technikák
Ráadásul néhány állítólagos reklámprogram esetében erősen megkérdőjelezhető módszereket használnak mind a felhasználók tájékoztatásakor, mind pedig a program telepítésekor. Az ilyen reklámprogramok hosszú (kinyomtatva akár több tucat oldalas) és bonyolult megfogalmazású felhasználói licencszerződést tartalmaznak. Olyan összetevőket is magukban foglalhatnak, amelyek a működési környezetben jogosulatlan változtatásokat visznek véghez, csendesen telepítik magukat, sőt felügyelhetik az esetleges eltávolítási kísérleteket is - ekkor észrevétlenül újratelepülhetnek, vagy pedig egyáltalán nem, vagy csak alig működő uninstallálási lehetőséget nyújtanak.
Amikor a felhasználó maga egyezik bele figyelmetlenül – íme az Ezula licencszerződése
Biztonságos?
A NOD32 ezekre is már egy átkeresztelt kategóriát alkalmaz, a korábbi valószínűleg veszélyes alkalmazás (Potentially Dangerous Applications) helyett a Valószínűleg nem biztonságos alkalmazás (Potentially Unsafe Applications) elnevezés szerepel. Ez a kategória tartalmaz minden kereskedelmi forgalomban megjelent billentyűleütés-naplózót (keylogger), távoli adminisztrációt lehetővé tevő alkalmazást (remote administration tools), IRC-csevegőkliens programokat, és minden olyan eszközt, amelyet eredeti rendeltetésüktől eltérően rosszindulatú célra is használhatnak a crackerek és a kártevők készítői. Az óvatosabb felhasználók szeretik, ha az ilyen alkalmazásoktól is megvédik őket, vagy legalább egy figyelmeztetést kapnak, ha már ilyen program fut a gépükön.
Ez a továbbfejlesztett felosztás úgy jelenik meg, hogy a felhasználónak magának kell eldöntenie, akar-e élni ezzel a lehetőséggel; a telepítéskori alapértelmezett állapota a kikapcsolt.
Ez a Spyware Terminator nem az, amit mindenki ismer. A csupán hasonló nevű holland termék egy csalárd alkalmazás, amely ráadásul még kémkedik is utánunk
Nézzünk egy példát!
A kéretlen reklámprogramok néha teljes titokban, néha azonban figyelmetlenségünk miatt képesek települni gépünkre. Telepítsünk egy reklámkomponenst hordozó ingyenes alkalmazást: példánkban ez most az Ultimate FX Painter rajzprogram lesz.
Gyanú esetén ne sajnáljuk az időt, illetve a fáradságot, és végezzünk egy teljes vírus- és kémprogram-ellenőrzést, minden opciót bekapcsolva
Természetesen gépünkön fut vírusirtó, naprakész adatállományokkal. Mint azt korábban már említettük, a NOD32 lényegesen részletesebb irányítási lehetőséget ad a felhasználók kezébe a törvényesség határán egyensúlyozó kétes reklám- és kémprogramok esetén, így mód nyílik a veszélyes alkalmazások, a kéretlen alkalmazások és külön a reklám- és kémprogramok keresésére is. A kísérlet első részében az állandó védelem beállításánál a reklám- és kémprogramok elleni védelmet nem kapcsoljuk be. Indulhat a telepítés, és itt máris egy fontos momentumhoz érkeztünk: tíz emberből kilenc nem szokta alaposan végigolvasni a felhasználói licencszerződést, pedig sokszor már itt is le van írva, hogy az ingyenességért cserébe reklámok megjelenítését kell elviselnünk. Így esetünkben sem titokban települ a kéretlen reklámkomponens, az Aurate, hanem a felhasználó jóváhagyására, még ha az figyelmetlen is volt.
Mintha Hamupipőkének kellene kiválogatni a lencsét a hamuból. Aki a sokoldalas szerződésben észreveszi a gyanús kitételt – ahelyett hogy automatikusan rákattintana a NEXT gombra –, annak őszinte elismerésünk
Szedjük le tehát a programot, majd telepítsük újra, ezúttal azonban a valós idejű védelemnél válasszuk ki a reklám- és kémprogramok elleni modult is. Érdemes megjegyezni, hogy az úgynevezett veszélyes alkalmazások keresése opció szintén hasznos lehet, különösen rootkites védelmek esetében – annak idején a Mr. és Mrs. Smith videofilmnél azonnal felismerte a kártevőt. Alighogy elindítjuk a második telepítést, azonnal kapjuk a riasztási ablakot, sőt többet is, hiszen az Adware Aurate minden komponensét azonosítja.
A Virtumonde trójai futása közben különféle kéretlen felnyíló ablakokat jelenít meg, és megkísérel további kártékony komponenseket letölteni
A reklámprogramok irtása, illetve törlése után két eset lehetséges. Az eredeti program működőképes marad, de az is elképzelhető, hogy a reklámprogramok épségét figyelve megtagadja az üzemszerű működést. Most szerencsénk volt: a rajzprogram a mentesítés után tökéletesen működik, és a nemkívánatos reklámprogramoktól is sikeresen megszabadultunk.
A NOD32 és az ESET Smart Security is képes szűrni a különböző kéretlen alkalmazási kategóriákat – ezt az opciót viszont nekünk kell bekapcsolni!
Összefoglalás
Az adware és az ehhez hasonló programokat tehát a NOD32 nem nevezi kártevőnek, nehogy jogi problémákba ütközzön, de azért képes hatékony védelmet nyújtani ellenük. Mindamellett nem árt tudni, hogy számos legálisnak mondott szoftver is képes jelentős sebezhetőségeket okozni egy PC-n.
*
Kérjük kedves olvasóinkat, ha a témában kérdésük, hozzászólásuk van, juttassák el hozzánk (velemeny@pcworld.hu).
Csizmazia István, vírusvédelmi tanácsadó
Sicontact Kft., a NOD32 antivírus magyarországi képviselete
