Test:Zastavte spyware!

Napadení některým z programů, které mají sledovat vaši aktivitu na počítači, je
ve své podstatě otázkou okamžiku. Zato odstranění takového slídila může být až

nesnesitelně obtížné a hlavně časově náročné. V tomto článku vám nabízíme test

podle našeho názoru nejlepších programů určených pro boj se spywarem a adwarem.



Není tomu zas až tak dávno, kdy největšími nepříteli uživatelů pracujících s

počítači byly viry šířící se prostřednictvím internetu a elektronické pošty.

Jenže zatímco viry a červi způsobují škody tím, že mažou důležitá data nebo

poškodí celý operační systém, novější hrozba, běžně nazývaná spyware, je daleko

rafinovanější, neboť doslova krade uživateli možnost něco tvořit a takzvaně být

v klidu. Nálepku s označením spyware můžeme za prvé přiznat každému

legitimnímu, byť otravnému programu, který se souhlasem uživatele (i když možná

nevědomky) pronikl do počítače. Za druhé do kategorie spywaru zařazujeme i

skupinu daleko nebezpečnějších programů, které se do počítače instalují zcela

bez našeho vědomí. Obě skupiny aplikací spotřebovávají výkon vašeho systému,

zpomalují internetové připojení, sledují, které stránky na internetu prohlížíte

anebo dokonce násilím přesměrovávají kupříkladu domovskou stránku vašeho

prohlížeče. První zmíněnou skupinu budeme nadále nazývat adware, druhou skupinu

pak spyware. Adware většinou o sobě dává jasně vědět, tzn. oznámí uživateli, že

se do systému instaluje a seznámí ho se vším, co bude v systému vykonávat.

Většinou obsahuje možnost odinstalace a dá se z počítače bez problémů kompletně

odstranit. Naproti tomu spyware se instaluje tajně a jeho odstranění může být v

některých případech bez odborné pomoci takřka nemožné.

Na základě tohoto konstatování se nelze divit, že se na trhu záhy objevila celá

řada antispywarových programů. V našem článku popisujeme vyhodnocení deseti v

současné době dostupných antispywarových utilit, vyvinutých za účelem vyhledání

a odstranění spywaru či adwaru z počítače. U jednotlivých utilit jsme se

zajímali o účinnost při detekci a odstraňování spywaru, dále o rychlost

skenování systému, schopnost zabránit samočinné instalaci nechtěných aplikací a

konečně o snadnost či obtížnost jejich používání. Již předem můžeme prohlásit,

že jsme byli mile překvapeni, protože řada testovaných aplikací odvedla při

pokusu vyčistit infikovaný počítač a zabránit průniku nové infekce pomocí

ochrany v reálném čase skutečně kus dobré práce.

Otestovali jsme sedm produktů v ceně od 20 do 40 USD, a to od velkých i malých

prodejců: Internet Cleanup od firmy Allume Systems (dříve Aladdin Systems),

Spyware Eliminator od firmy Aluria Software, ETrust PestPatrol Anti-Spyware od

firmy Computer Associates, SpySubtract Pro od firmy InterMute, McAfee

AntiSpyware od firmy Network Associates, CounterSpy od firmy Sunbelt Software a

nakonec Spy Sweeper od firmy Webroot Software. Kromě toho jsme testovali i dvě

velmi známé utility dostupné zdarma Ad-Aware SE Personal od firmy Lavasoft a

Spybot Search & Destroy od firmy Safer Networking. Posledním sledovaným

programem (pracujícím sice na zcela odlišném principu, přitom však neméně

účinně) byl HijackThis od firmy Merijn.org. Všechny tři poslední zmiňované

utility naleznete na našem CD. Do našich testů jsme však HijackThis nezahrnuli,

a to proto, že na rozdíl od ostatních systém neskenuje a nevyhledává v něm

nákazu. Také jsme testovali jeden produkt v beta verzi, konkrétně Microsoft

Windows AntiSpyware, který byl až do konce loňského roku znám jako

antispywarový program od firmy Giant Software (viz rámeček Microsoft Windows

Antispyware má šanci stát se nejlepším antispywarovým programem).

Testované antispywarové utility jsme vystavili 45 adwarovým a spywarovým

programům, s nimiž se lze při běžné práci na počítači setkat. Těchto 45

aplikací představovalo po instalaci celkem 81 jednotlivých souborů a procesů,

které měly antispywarové programy kompletně odstranit.

Nákaza systému spywarem může začít například jednoduchou instalací programu

podporovaného reklamou. Často je uživatel upozorňován samotným adwarem na jeho

přítomnost a instalace adwaru je pak jakýmsi výměnným obchodem za to, že může

program, jehož součástí adware je, používat zdarma (často uživatel nevědomky

nainstaluje adware i tak, že si vůbec nepřečte licenční ujednání). Je smutnou

skutečností, že i když mnoho adwarových programů se před samotnou instalací

uživatelů ptá, zda jej chtějí nainstalovat, ne všechny se chovají takto čestným

způsobem. A dokonce i zdarma dostupná aplikace, jež slibuje pouze omezené

množství reklamy, může celý systém doslova zamořit spywarem tím, že začne

stahovat a instalovat spyware a adware jiných firem.

Adware se však liší i způsobem, jak se do vašeho počítače dostane. Dva známé

panely nástrojů poskytující vyhledávání na internetu – Slotchbar a WinTools –

při instalaci neobsahovaly v licenčním ujednání (EULA), v němž se obvykle

upozornění na adware vyskytuje, žádnou zmínku o tom, že budou do počítače

stahovat nějaké další komponenty. Tyto dva programy nainstalované v našem

systému používaly při svém běhu bez našeho souhlasu spoustu dalších procesů a

ukázalo se, že jejich odinstalování je krajně obtížné, jelikož při pokusu

některý proces ukončit nebo příslušný soubor smazat se procesy vzájemně

reinicializují.

Na druhou stranu známé adwarové aplikace WhenUSearch (panel nástrojů pro

vyhledávání na internetu) a Bonzi Buddy (jakýsi interaktivní virtuální pomocník

na pracovní ploše, který mimo jiné dokáže prohledávat internet) zobrazují při

instalaci snadno srozumitelné licenční ujednání (EULA) a pro jejich pozdější

odinstalování disponují odinstalačním programem, který lze spustit přes ve

Windows standardně dostupnou funkci Přidat nebo odebrat programy.



Vyčištění systému

Nejprve jsme testovali, jak účinně dokáže každý program odstranit aktivní

komponenty spywarových programů, dále jsme testovali úroveň ochrany systému v

reálném čase se zvláštním zřetelem na schopnost zabránit instalaci nežádoucích

programů do počítače.

Jako nejschopnější se ukázal CounterSpy od firmy Sunbelt Software, jelikož

dokázal najít a zastavit 93 procent všech běžících procesů, spuštěných našimi

45 testovanými spywarovými a adwarovými programy. CounterSpy byl v našich

testech jediným produktem, který byl schopen zastavit a odstranit ze systému

skutečně houževnatý spyware WinTools. Spy Sweeper od firmy Webroot Software byl

v testu na druhém místě pouze s nepatrným odstupem, neboť zachytil 89 procent

všech aktivních procesů (bohužel nedokázal odstranit tak odolný spyware jako

WinTools a Scotchbar). Nejméně účinné pak byly McAfee AntiSpyware od firmy

Network Associates a Internet Cleanup od firmy Allume Systems, které zachytily

v prvním případě 33 procent a v druhém případě pouhých 11 procent spywaru.

Spyware často ovládne uživatelovo nastavení domovské stránky a funkci pro

vyhledávání na internetu tak, že veškeré pokusy o surfování nebo vyhledávání na

internetu se díky spywaru automaticky přesměrují na stránky s pornografickými

materiály nebo na stránky s jiným nevyžádaným obsahem. A co je horší, zrušení

takového automatického přesměrování je velmi obtížné, neboť všechny takové

pokusy jsou monitorovány spuštěnými procesy, které je okamžitě vrací zpět.

Odstranění spywaru způsobujícího změnu nastavení domovských stránek a funkce

pro vyhledávání na internetu bylo pro všechny testované utility velmi těžkým

oříškem. Internet Cleanup, McAfee AntiSpyware, ETrust Pest Patrol Anti-Spyware

od firmy Computer Associates a SpySubtract Pro od firmy InterMute nedokázaly

žádné z těchto změn ani detekovat, Spyware Eliminator od firmy Aluria Software

zvládl opravit pouze 7 procent přesměrování. Zvítězil opět CounterSpy, i když i

ten dokázal opravit pouhých 53 procent přesměrování.

Browser Helper Object (BHO) jsou dalším typem problematických objektů. Zaměřují

se na modifikování Internet Exploreru a ostatních prohlížečů, i když jsou často

jejich důvody zcela legitimní. Například velmi často používaný Google Toolbar

je rovněž BHO. Tvůrci adwaru a spywaru však zneužívají BHO k tomu, že vytvářejí

takové komponenty pro panely nástrojů, které se spouštějí společně s Internet

Explorerem a zneužívají prvky ActiveX ke stahování a instalaci BHO do vašeho

počítače. Je to totiž velmi snadný způsob, jak v prohlížeči vytvořit často

nechtěné panely nástrojů, které uniknou firewallům založeným na nutnosti

schválit každý pokus o přístup do systému. Tímto způsobem se firewall obejde a

další vrátka pro odesílání a příjem dat z internetu jsou otevřená.

Když jsme testovali schopnost detekovat potenciálně podezřelé objekty BHO, jak

CounterSpy, tak Spy Sweeper zapracovaly na 100 procent. Ad-Aware, eTrust Pest

Patrol Anti-Spyware, Spybot a SpySubtract dosáhly každý hodnoty 62 procent v

porovnání s AntiSpywarem od McAfree a Spyware Eliminatoru, jejichž výsledkem

bylo pouhých 31 procent. Internet Cleanup nezachytil ani jeden BHO nebo panel

nástrojů.

Dalším oblíbeným umístěním pro adware či spyware jsou klíče v registru a

systémové složky, jejichž obsah se načítá při spouštění Windows. Z tohoto

důvodu jsou pro uživatele tato místa skutečně kritická. Bohužel antispywarové

programy v této oblasti ukázaly pouze nadprůměrné výsledky. CounterSpy

detekoval 86 procent, na druhém místě se umístil Spy Sweeper s 82 procenty a na

třetím místě Ad-Aware se 77 procenty. Internet Cleanup detekoval pouze 5

procent.

Testovali jsme rovněž schopnost detekovat uměle vytvořené položky v menu

internetových prohlížečů. Tyto změny sice automaticky neznamenají, že se

nainstaloval spyware, ale pokud uživatel na takovou položku klepne, může tuto

infekci snadno spustit. CounterSpy a Spy Sweeper detekovaly 100 procent

takových tlačítek a položek menu. SpySubtractPro a Ad-Aware dosáhly 75 procent.

Internet Cleanup, ETrust Pest Patrol a McAfree AntiSpyware nezachytily ani

jeden takový objekt.



Alternativní cesta k úspěchu

Desátý program v našich testech, HijackThis od firmy Merijn.org (najdete jej ve

verzi 1.99.1 na našem CD, popřípadě na internetu na adrese jako soubor

HIJACKTHIS.ZIP o velikosti 207 KB), není žádným klasickým prohledávačem

systému. HijackThis vám poskytuje zprávu o všech aktivních procesech, klíčích v

registru, v nichž se uchovávají všechny položky, které se spouští při startu

Windows, dále ukazuje obsah všech složek, jejichž obsah se načítá při spouštění

systému, zobrazí všechny BHO či služby existující v systému. S tímto protokolem

pak můžete snadno určit všechny podezřelé položky a pak je odstranit. I když

identifikování podezřelých objektů vyžaduje zkušeného a věci znalého uživatele,

je samotný program hravě ovladatelný i pro naprostého laika. Méně zkušení

uživatelé tak mohou poslat své protokoly se záznamy do různých internetových

fór, kde se jim může podařit nalézt kvalifikovanou pomoc pro identifikaci

nevyžádaných procesů.

My jsme použili HijackThis společně s funkcí Přidat nebo odebrat programy,

dostupnou v Ovládacích panelech Windows XP. Byli jsme velmi mile překvapeni,

když se ukázalo, že prakticky všech 45 adwarových či spywarových aplikací mělo

odpovídající položku pro odinstalování právě ve funkci Přidat nebo odebrat

programy. (K tomu, abyste zmiňované položky pro odinstalování programů mohli

efektivně používat, potřebujete vědět, ke kterým programům patří, což není vždy

zrovna jednoduché). Když jsme všechny položky pro odinstalování navržené

utilitou HijackThis použili a dále jsme s pomocí stejné utility identifikovali

a odstranili všechny ostatní aktivní komponenty, které odinstalátory nedokázaly

odebrat, dosáhli jsme doposud nevídaného výsledku – podařilo se nám totiž

odstranit 100 procent adwaru či spywaru, jímž byl náš počítač nakažen. Stejného

výsledku jsme dosáhli i tehdy, když jsme použili CounterSpy společně se

zmiňovaným HijackThis. Žádnou jinou kombinací testovaných programů se nám

stejného výsledku dosáhnout nepodařilo – procesy ovládané spywarem WinTools,

které žádný jiný antispyware nedokázal odstranit, zmařily naše snahy dosáhnout

kompletního vyčištění systému. HijackThis samotný (už z principu jak je

postaven) běžící procesy zastavit nedokáže.



Rychlost skenování systému a výsledné zprávy

Během testů jsme zaznamenali i značné rozdíly v rychlosti skenování systému.

Nejúčinnějším a zároveň i nejrychlejším programem byl CounterSpy, kterému

kompletní skenování systému s 2,7 GB dat trvalo pouhou minutu. Rychlé byly i

utility Spybot a SpySweeper, jež stejný systém skenovaly něco málo přes dvě

minuty. Na druhou stranu Spyware Eliminator byl z hlediska rychlosti skenování

systému nejpomalejší a jeho chování bylo poněkud zvláštní, neboť při

opakovaných testech mu jednotlivé testy trvaly v rozsahu 10 minut až 1 hodinu.

Zbylým programům trvala prohlídka systému 4–5 minut.

Jednotlivé programy také odlišně interpretovaly jednotlivé nalezené infekce.

Například pokud jsme nainstalovali panel nástrojů WhenUSearch, CounterSpy jej

viděl jako dva odlišné spywarové programy – WhenUSearch a SaveNow. Naopak

Ad-Aware detekoval stejný panel nástrojů jako souhrn 73 objektů. Když jsme pak

dovolili programu CounterSpy odstranit všechny aktivní komponenty panelu

WhenUSearch, AdAware stále ještě hlásil pět kritických objektů – těmi pak byly

tři prázdné klíče v registru a dvě prázdné složky. Takové výstrahy jsou však

zbytečné a mohou pouze přispět k tomu, že problém spywaru se pak v některých

případech jeví jako daleko závažnější, než skutečně je.



Sledování systému v reálném čase

Schopnost odstranit spyware v okamžiku, kdy je systém infikován, je sice velmi

podstatná, ale určitě není pochyb o tom, že důležitější je pro nás otázka

prevence, tj. jak zajistit, aby se žádný škodlivý objekt do systému vůbec

nedostal. Jedním z nejúčinnějších nástrojů se na tomto poli stal Spybot. Při

použití v něm obsaženého doplňku Resident TeaTimer nás utilita varovala

pokaždé, kdy se nějaký program pokoušel o změnu v kritických oblastech registru

systému. Dokonce i procesům, které představovaly spyware a které byly schopné

se samy nahrát do paměti, bylo zabráněno modifikovat registr – a tak byly

okamžitě likvidovány obyčejným okamžitým restartem systému.

Spybot dokonce disponuje i možností chránit před modifikací soubor Hosts. Tento

soubor totiž představuje pro internetový prohlížeč jakousi mapu. Každý záznam

se v něm totiž skládá z názvu webového serveru a odpovídající IP adresy, na níž

se má přesměrovat. Škodlivé programy často tento soubor zneužívají k tomu, aby

zabránily uživatelům v návštěvě bezpečnostně orientovaných stránek, jako jsou

například stránky výrobců antivirových programů.

CounterSpy a Spy Sweeper také blokovaly pokusy o modifikaci zmíněného souboru

Hosts, zastavovaly pokusy o editaci registru systému, zabraňovaly v

internetovém prohlížeči změně nastavení domovské stránky a funkce pro

vyhledávání na internetu a pokoušely se detekovat podezřelé procesy běžící v

operační paměti.

Ad-Aware – SE Personal není vybaven funkcí sledování systému v reálném čase, i

když se v něm dá nastavit ochrana proti zápisu do souboru Hosts. Placené verze

Ad-Aware SE Plus (27 USD) a SE Professional (40 USD) mají integrovánu funkci

Ad-Watch, připomínající podobné funkce v programech CounterSpy a Spy Sweeper.

ETrust PestPatrol Anti-Spyware byl schopen detekovat podezřelé procesy běžící v

operační paměti, ale nedokázal nás varovat, pokud byly provedeny změny v

některých ze systémových nastavení. SpySubtract Pro nás varoval v případě, kdy

byla provedena změna nastavení domovské stránky a funkce pro vyhledávání na

internetu, a zároveň detekoval podezřelé procesy v operační paměti. McAfee

AntiSpyware má zabudovanou funkci sledování systému v reálném čase, ale

vzhledem k její nízké rozpoznávací schopnosti se účinnost této funkce prakticky

rovnala nule.

Co se týče programů Spyware Eliminator či Internet Cleanup, ani jeden z nich na

poli sledování systému v reálném čase příliš nebodoval. Spyware Eliminator má k

dispozici pouze „černou listinu“ podezřelých WWW stránek a prvků ActiveX – i

když samotná unikátní možnost existence takového seznamu je také velmi hezkým

rysem programu. Podobně jako Spyware Eliminator i Internet Cleanup ignoroval

možné změny nastavení domovské stránky a funkce pro vyhledávání na internetu,

zcela propadl v testech zaměřených na detekci podezřelých procesů a chyběla mu

rovněž možnost ochrany souboru Hosts. Na druhou stranu nabízí integrovaný

blokátor pop-up oken a dále dokáže blokovat odesílání osobních dat, čímž

zabraňuje jejich potenciálnímu zneužití.



Jednoduchost použití

Rozhraní programu CounterSpy je velmi přitažlivé a snadno se s ním pracuje.

Tlačítko Scan Now se nápadně objevuje již na uvítací obrazovce, jednotlivá menu

se procházejí snadno a ukončení programu není spojeno s ukončením ochrany v

reálném čase. Uživatelské prostředí programu Ad-Aware je rovněž atraktivní,

ovšem jednotlivé nabídky programu jsou ukryty za nepopsanými ikonkami a je

potřeba trocha odhadu, abyste zjistili, do kterého z nich se máte podívat.

Pokud chcete používat Spybot, pak se pro jeho konfiguraci musíte nejprve

přepnout do pokročilého režimu. Jak Ad-Aware, tak CounterSpy poskytují

srozumitelné výsledky skenování, i když Ad-Aware označil několik cookies jako

kritické objekty, což může naznačovat, že cookies jsou velmi riziková – to však

nemusí být vždy pravda.

HijackThis má jednoduché textově orientované rozhraní, které poskytuje velmi

dobrý přehled o všech možnostech programu a vůbec se celá aplikace neobvykle

snadno ovládá. Na druhou stranu výsledná zpráva z programu je pro běžného

uživatele téměř nesrozumitelná.

Spyware Eliminator je vybaven jednoduchým rozhraním s čitelným menu, ale

spuštění programu trvá dlouho. Rozhraní Internet Cleanupu je nepřehledné a

špatně se s ním pracuje. Jednotlivá menu se měnila podle toho, v jaké sekci

jsme se pohybovali, a co bylo neobvyklé – jediným východiskem, pokud jsme

zabloudili příliš hluboko do struktury menu, bylo tlačítko Home, jehož pomocí

jsme se mohli „vysvobodit“.

Uživatelské rozhraní programu ETrust PestPatrol Anti-Spyware nám připadalo

neútulné a málo přitažlivé, i když orientace v něm byla dobrá. I tady byla na

začátku drobná chybička. Na uvítací obrazovce bylo nejviditelnější tlačítko

Enter License Key. Až po přečtení textu psaného drobným písmem jsme byli

ujištěni, že jsme program již správně zaregistrovali.

Rozhraní aplikace Spy Sweeper bylo sice intuitivní, avšak nebylo možné ukončit

program, aniž bychom současně neukončili ochranu systému v reálném čase.

Jediným výsledkem byly početné dotazy, zda skutečně chceme vypnout ochranu

systému nebo chceme program pouze minimalizovat. Dalším extrémem byl McAfee

AntiSpyware, nainstalovaný jako součást aplikace McAfee Security Center – ta

byla představována ikonkou v pravé části Hlavního panelu. Security Center nám

totiž neumožnil se k antispywarové komponentě vůbec dostat.



Závěr

Antispywarové programy se dají sehnat zdarma, ale obáváme se, že právě toto je

jedna z oblastí, kde se šetřit nevyplácí. Zdarma dostupný Spybot Search&Destroy

poskytuje detekci okolo 54 procent a nabízí ochranu systému v reálném čase.

Pokud přesto chcete zůstat u zdarma dostupných alternativ, pak byste měli

kombinovat Spybot s Ad-Aware SE Personal, jehož schopnost detekce je v případě

aktivní hrozby o něco vyšší než u Spybotu. Avšak pokud byste kombinovali

Ad-Aware, Spybot a zdarma dostupný HijackThis, podobně jako my při našich

testech, dosáhnete při odstraňování spywaru či adwaru 100% úspěšnosti.

CounterSpy od firmy Sunbelt Software, který se stal v našich testech favoritem,

se projevil jako utilita s nejvyšší schopností detekce, nejvytříbenějším

uživatelským rozhraním a nejvyšší rychlostí skenování. Cena 20 USD za roční

licenci pro používání programu a technickou podporu nepředstavuje ani v našich

podmínkách žádnou finanční katastrofu. Pokud se rozhodnete pro Spy Sweeper od

firmy Webroot, ani tentokrát neprohloupíte, neboť je prakticky srovnatelný s

programem Counter Spy: rychlost skenování systému je dostatečná, jeho použití

je rovněž jednoduché. Kombinací libovolného z obou produktů s utilitou

HijackThis a s dávkou rozvahy při instalaci čehokoliv do systému bez problémů

udržíte svůj systém nezasažený jakýmkoliv druhem spywaru či adwaru.





Chraňte se před spywarem: aktualizujte pravidelně svůj prohlížeč nebo přejděte

na jiný a bezpečnější



Jednou z možností, jak se chránit před spywarem, je možnost přejít z Internet

Exploreru na jiný prohlížeč, například na Mozillu Firefox. Ale i přechod na

jiný prohlížeč s sebou přináší problémy. Alternativní prohlížeče mají také své

bezpečnostní trhliny, které vás mohou přivést do problémů. Navíc se můžete

dostat do nepříjemností tehdy, kdy si budete potřebovat prohlédnout internetové

stránky, které se korektně zobrazují pouze v Internet Exploreru.

Pro ty, kteří nechtějí přejít na alternativní prohlížeč, je tu Internet

Explorer ve verzi 6 a vyšší, který má výchozí bezpečnostní nastavení

nakonfigurováno tak, že poskytuje slušnou ochranu proti spywaru. Rozhodně tedy

doporučujeme používat nejnovější verzi Internet Exploreru a instalovat všechny

dostupné aktualizace určené pro systém Windows (viz stránky

windowsupdate.microsoft.com). Dále je nutno věnovat maximální pozornost tomu,

co do počítače instalujeme a neinstalovat do systému neznámé programy – i to

pomáhá bojovat proti spywaru.

Pokud se rozhodnete instalovat nějaký program, určitě si pečlivě přečtěte

licenční ujednání (EULA); mělo by pro vás být dostatečným varováním, pokud se v

něm dočtete, že instalovaný program má v úmyslu stahovat další software. Pokud

se přece jen nějaký spyware do vašeho počítače dostane, zkuste nejprve

jednoduchou věc: klepněte v Ovládácích panelech na ikonu Přidat nebo odebrat

programy, pozorně projděte seznam nainstalovaných programů a pokuste se

vyhledat nějaký odinstalační program, který by mohl odpovídat vámi naposledy

instalovanému programu.