Софт-Портал

Searchinformagent как удалить

Рейтинг: 4.1/5.0 (1172 проголосовавших)

Описание

SearchInform - скачать бесплатно SearchInform 4

SearchInform 4.1.2

SearchInform - это программа полнотекстового поиска документов. SearchInform совмещает фразовый поиск с учетом морфологии и словаря синонимов, а также поиск похожих по содержанию документов. Предназначен для быстрого поиска информации на персональном компьютере в больших объемах данных.

Быстрое индексирование (6 Гб/час). Поддержка любых текстовых форматов документов (txt, doc, rtf, pdf, htm, html) и различных источников данных. Индексирование полей информационных систем (Access, MS SQL, Oracle, любых СУБД поддерживающих SQL).

Поиск похожих по содержанию документов основан на технологии SoftInform Search Technology и осуществляется при помощи математического анализа структуры документа и выбора похожих слов, словосочетаний и массивов текста. При поиске похожих по содержанию документов задействовано все множество слов, встречающихся в документе с учетом всех словоформ и синонимов. Для конкретизации поиска в SearchInform присутствует функция «важных слов», на которые программа будет обращать внимание в первую очередь, проводя дополнительный анализ сходства документов.

SearchInform – это возможность действовать, когда остальные только ищут.

Searchinformagent как удалить:

  • скачать
  • скачать
  • Другие статьи, обзоры программ, новости

    Удаление Searchya! Toolbar

    Удаление Searchya! Toolbar: Удалите Searchya! Toolbar Навсегда

    Что такое Searchya! Toolbar Описание угрозы

    Searchya! Toolbar

    Win32 (Windows XP, Windows Vista, Windows Seven, Windows 8)

    Метод заражения Searchya! Toolbar

    Searchya! Toolbar копирует свои файл(ы) на ваш жёсткий диск. Типичное имя файла searchya.dll. Потом он создаёт ключ автозагрузки в реестре с именем Searchya! Toolbar и значением searchya.dll. Вы также можете найти его в списке процессов с именем searchya.dll или Searchya! Toolbar .

    Если у вас есть дополнительные вопросы касательно Searchya! Toolbar, пожалуйста, заполните эту форму и мы вскоре свяжемся с вами.

    Скачать программу SpyHunter 4 от компании Enigma Software Group

    Скачайте эту программу и удалите Searchya! Toolbar and searchya.dll (закачка начнется автоматически):

    * SpyHunter был разработан американской компанией EnigmaSoftware и способен удалить удалить Searchya! Toolbar в автоматическом режиме. Программа тестировалась на Windows XP, Windows Vista, Windows 7 и Windows 8.

    Удаляет все файлы, созданные Searchya! Toolbar.

    Удаляет все записи реестра, созданные Searchya! Toolbar.

    Программа способна защищать файлы и настройки от вредоносного кода.

    Программа может исправить проблемы с браузером и защищает настройки браузера.

    Удаление гарантированно - если не справился SpyHunter предоставляется бесплатная поддержка.

    Антивирусная поддержка в режиме 24/7 входит в комплект поставки.

    Скачайте утилиту для удаления Searchya! Toolbar от российской компании Security Stronghold

    Если вы не уверены какие файлы удалять, используйте нашу программу Утилиту для удаления Searchya! Toolbar .. Утилита для удаления Searchya! Toolbar найдет и полностью удалит Searchya! Toolbar и все проблемы связанные с вирусом Searchya! Toolbar. Быстрая, легкая в использовании утилита для удаления Searchya! Toolbar защитит ваш компьютер от угрозы Searchya! Toolbar которая вредит вашему компьютеру и нарушает вашу частную жизнь. Утилита для удаления Searchya! Toolbar сканирует ваши жесткие диски и реестр и удаляет любое проявление Searchya! Toolbar. Обычное антивирусное ПО бессильно против вредоносных таких программ, как Searchya! Toolbar. Скачать эту упрощенное средство удаления специально разработанное для решения проблем с Searchya! Toolbar и searchya.dll (закачка начнется автоматически):

    Удаляет все файлы, созданные Searchya! Toolbar.

    Удаляет все записи реестра, созданные Searchya! Toolbar.

    Программа может исправить проблемы с браузером.

    Иммунизирует систему.

    Удаление гарантированно - если Утилита не справилась предоставляется бесплатная поддержка.

    Антивирусная поддержка в режиме 24/7 через систему GoToAssist входит в комплект поставки.

    Наша служба поддержки готова решить вашу проблему с Searchya! Toolbar и удалить Searchya! Toolbar прямо сейчас!

    Оставьте подробное описание вашей проблемы с Searchya! Toolbar в разделе Техническая поддержка. Наша служба поддержки свяжется с вами и предоставит вам пошаговое решение проблемы с Searchya! Toolbar. Пожалуйста, опишите вашу проблему как можно точнее. Это поможет нам предоставит вам наиболее эффективный метод удаления Searchya! Toolbar.

    Как удалить Searchya! Toolbar вручную

    Эта проблема может быть решена вручную, путём удаления ключей реестра и файлов связанных с Searchya! Toolbar, удалением его из списка автозагрузки и де-регистрацией всех связанных DLL файлов. Кроме того, отсутствующие DLL файлы должны быть восстановлены из дистрибутива ОС если они были повреждены Searchya! Toolbar.

    Чтобы избавиться от Searchya! Toolbar. вам необходимо:

    1. Завершить следующие процессы и удалить соответствующие файлы:

    • escortShld.dll

    • FavIcon

    Предупреждение: вам необходимо удалить только файлы, контольные суммы которых, находятся в списке вредоносных. В вашей системе могут быть нужные файлы с такими же именами. Мы рекомендуем использовать Утилиту для удаления Searchya! Toolbar для безопасного решения проблемы.

    2. Удалите следующие папки:

    • C:\Program Files\SearchYa!\

    • C:\Program Files\SearchYa!\1.5.20.0\

    3. Удалите следующие ключи и\или значения ключей реестра:

    • Key: HKEY_CLASSES_ROOT\esrv.searchyaESrvc
    • Key: HKEY_CLASSES_ROOT\esrv.searchyaESrvc\CurVer
    • Key: HKEY_CLASSES_ROOT\ironsource.searchyaappCore
    • Key: HKEY_CLASSES_ROOT\ironsource.searchyaHlpr
    • Key: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
    Value: Start Page
  • Key: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\esrv.searchyaESrvc
  • Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar Value: SearchYa Toolbar
  • Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\searchya
  • Предупреждение: Если указаны значения ключей реестра, вы должны удалить только указанные значения и оставить сами ключи нетронутыми. Мы рекомендуем использовать Утилиту для удаления Searchya! Toolbar для безопасного решения проблемы.

    Как предотвратить заражение рекламным ПО? Мы рекомендуем использовать Adguard:

    4. Сбросить настройки браузеров

    Searchya! Toolbar иногда может влиять на настройки вашего браузера, например подменять поиск и домашнюю страницу. Мы рекомендуем вам использовать бесплатную функцию "Сбросить настройки браузеров" в "Инструментах" в программе Stronghold AntiMalware для сброса настроек всех браузеров разом. Учтите, что перед этим вам надо удалить все файлы, папки и ключи реестра принадлежащие Searchya! Toolbar. Для сброса настроек браузеров вручную используйте данную инструкцию:

    Для Internet Explorer

    Если вы используете Windows XP, кликните Пуск. и Открыть. Введите следующее в поле Открыть без кавычек и нажмите Enter. "inetcpl.cpl".

    Если вы используете Windows 7 или Windows Vista, кликните Пуск. Введите следующее в поле Искать без кавычек и нажмите Enter. "inetcpl.cpl".

    Выберите вкладку Дополнительно

    Под Сброс параметров браузера Internet Explorer. кликните Сброс. И нажмите Сброс ещё раз в открывшемся окне.

    Выберите галочку Удалить личные настройки для удаления истории, восстановления поиска и домашней страницы.

    После того как Internet Explorer завершит сброс, кликните Закрыть в диалоговом окне.

    Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Stronghold AntiMalware.

    Для Google Chrome

    Найдите папку установки Google Chrome по адресу: C:\Users\"имя пользователя"\AppData\Local\Google\Chrome\Application\User Data .

    В папке User Data. найдите файл Default и переименуйте его в DefaultBackup .

    Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Stronghold AntiMalware.

    Откройте Firefox

    В меню выберите Помощь > Информация для решения проблем .

    Кликните кнопку Сбросить Firefox .

    После того, как Firefox завершит, он покажет окно и создаст папку на рабочем столе. Нажмите Завершить .

    Клавиатурные шпионы

    Клавиатурные шпионы

    Клавиатурные шпионы образуют большую категорию вредоносных программ, представлющую большую угрозу для безопасности пользователя. Как и Rootkit. о которых шла речь в предыдущей статье, клавиатурные шпионы не являются вирусами, т.к. не обладают способностью к размножению.

    Клавиатурные шпионы - это программа для скрытной записи информации о нажимаемых пользователем клавишах. У термина «клавиатурный шпион» есть ряд синонимов: K eyboard L ogger, KeyLogger. кейлоггер; реже встречается термины "снупер", "snoop", "snooper" (от англ. snoop - буквально "человек, вечно сующий нос в чужие дела")

    Как правило, современные клавиатурные шпионы не просто записывает коды вводимых клавиш - он "привязывает" клавиатурный ввод к текущему окну и элементу ввода. Кроме того, многие клавиатурные шпионы отслеживают список запущенных приложений, умеют делать "снимки" экрана по заданному расписанию или событию, шпионить за содержимым буфера обмена и решать ряд задач, нацеленных на скрытное слежение за пользователем. Записываемая информация сохраняется на диске и большинство современных клавиатурных шпионов могут формировать различные отчеты, могут передавать их по электронной почте или http/ftp протоколу. Кроме того, ряд современных клавиатурных шпионов пользуются RootKit технологиями для маскировки следов своего присутствия в системе.

    Для системы клавиатурный шпион, как правило, безопасен. Однако он чрезвычайно опасен для пользователя – е его помощью можно перехватить пароли и прочую конфиденциальную информацию, вводимую пользователем. К сожелению, в последнее время известны сотни разнообразных келоггеров, причем многие из них не детектируются антивирусами.

    Перед описанием основных принципов работы клавиатурного шпиона необходимо рассмотреть модель аппаратного ввода системы Windows. Достаточно подробное описание этой модели можно найти в книге Д.Рихтера « Windows для профессионалов».

    При возникновении неких событии ввода (нажатии клавиш, перемещении мыши) события обрабатываются соответствующим драйвером и помещается в системную очередь аппаратного ввода. В системе имеется особый поток необработанного ввода, называемый RIT ( Raw Input Thread ), который извлекает события из системной очереди и преобразует их в сообщения. Полученные сообщения помещаются в конец очереди виртуального ввода одного из потоков (виртуальная очередь потока называется VIQ – Virtualized Input Queue ). При этом RIT сам выясняет, в очередь какого конкретно потока необходимо поместить событие. Для событий мыши поток определяется поиском окна, над которым расположен курсор мыши. Клавиатурные события отправляются только одному потоку – так называемому активному потоку (т.е. потоку, которому принадлежит окно, с которым работает пользователь). На самом деле это не совсем так - в частности, на рисунке показан поток A. не имеющий очереди виртуального ввода. В данном случае получатся, что потоки A и B совместно используют одну очередь виртуального ввода. Это достигается при помощи вызова API функции AttachThreadInput. которая позволяет одному потоку подключиться к очереди виртуального ввода другого потока.

    Следует отметить, что поток необработанного ввода отвечает за обработку специальных сочетаний клавиш, в частности Alt + Tab и Ctrl + Alt + Del .

    Слежение за клавиатурным вводом при помощи ловушек

    Данная методика является классической для клавиатурных шпионов. Суть метода состоит в применении механизма ловушек ( hook ) операционной системы. Ловушки позволяют наблюдать за сообщениями, которые обрабатываются окнами других программ. Установка и удаление ловушек производится при помощи хорошо документированных функций API библиотеки user 32. dll (функция SetWindowsHookEx позволяет установить ловушку, UnhookWindowsHookEx - снять ее). При установке ловушки указывается тип сообщений, для которых должен вызываться обработчик ловушки. В частности, есть два специальных типа ловушки WH_KEYBOARD и WH_MOUSE - для регистрации событий клавиатуры и мыши соответственно. Ловушка может быть установлена для заданного потока и для всех потоков системы. Ловушка для всех потоков системы очень удобна для построения клавиатурного шпиона.

    Код обработчика событий ловушки должен быть расположен в DLL. Это требование связано с тем, что DLL с обработчиком ловушки проецируется системой в адресное пространство всех GUI процессов. Интересной особенностью является то, что проецирование DLL происходит не в момент установки ловушки, а при получении GUI процессом первого сообщения, удовлетворяющего параметрам ловушки.

    На прилагаемом компакт-диске имеется демонстрационный «клавиатурный шпион», построенный на основе ловушки. Он регистрирует клавиатурный ввод во всех GUI приложениях и дублирует вводимый текст на своем окне. Данный пример можно использовать для тестирования программ, противодействующих клавиатурных шпионам.

    Методика ловушек достаточно проста и эффективна, но у нее есть ряд недостатков. Первым недостатком можно считать то, что DLL с ловушкой проецируется в адресное пространство всех GUI процессов, что может применяться для обнаружения клавиатурного шпиона. Кроме того, регистрация событий клавиатуры возможна только для GUI приложений, это легко проверить при помощи демонстрационной программы.

    Слежение за клавиатурным вводом при помощи опроса клавиатуры

    Данная методика основана на периодическом опросе состояния клавиатуры. Для опроса состояния клавиш в системе предусмотрена специальная функция GetKeyboardState, возвращающая массив из 255 байт, в котором каждый байт содержит состояние определенной клавиши на клавиатуре. Данный метод уже не требует внедрения DLL в GUI процессы и в результате шпион менее заметен.

    Однако изменение статуса клавиш происходит в момент считывания потоком клавиатурных сообщений из его очереди, и в результате подобная методика работает только для слежения за GUI приложениями. От этого недостатка свободна функция GetAsyncKeyState, возвращающая состояние клавиши на момент вызова функции.

    На прилагаемом компакт-диске имеется демонстрационный «клавиатурный шпион», построенный на основе циклического опроса клавиатуры – приложение KD 2.

    Недостатком клавиатурных шпионов такого типа является необходимость периодического опроса состояния клавиатуры с достаточно высокой скоростью, не менее 10-20 опросов в секунду.

    Слежение за клавиатурным вводом при помощи перехвата API функций

    Данная методика не получила широкого распространения, но тем не менее она может с успехом применяться для построения клавиатурных шпионов. Методики перехвата функций API подробно рассматривались в статье, посвященной RootKit. Разница между RootKit и клавиатурным шпионов в данном случае невелика – шпион будет перехватыватьфункции с целью мониторинга, а не с целью модификации принципов работы и результатов вызова.

    Простейшим способом может быть перехват функций GetMessage, PeekMessage и TranslateMessage библиотеки User 32, что позволит вести мониторинг всех сообщений, получаемых GUI приложениями.

    Клавиатурный шпион на базе драйвера

    Данный метод еще более эффективен, чем описанные выше методы. Возможны как минимум два варианта реализации этого метода – написание и установка в систему своего драйвера клавиатуры вместо штатного или установка драйвера - фильтра. Применение драйвера - фильтра на мой взгляд является наиболее корректной методикой, хороший вариант реализации описан на сайте www. wasm. ru. другой вариант можно найти в Windows DDK (пример называется kbfiltr).

    Аппаратные клавиатурные шпионы

    В ходе решения задач по защите от утечки информации часто рассматривают только различные программные средства для шпионажа за работой пользователя. Однако кроме программных возможны и аппаратные средства:

      Установка устройства слежения в разрыв кабеля клавиатуры (например, устройство может быть выполнено в виде переходника PS /2); Встраивание устройства слежения в клавиатуру; Считывание данных путем регистрации ПЭМИН (побочных электромагнитных излучений и наводок); Визуальное наблюдение за клавиатурой

    Аппаратные клавиатурные шпионы встречаются намного реже, чем программные. Однако при проверке особо ответственных компьютеров (например, применяемых для совершения банковских операций) о возможности аппаратного слежения за клавиатурным вводом не следует забывать.

    Пример клавиатурного шпиона

    В настоящее время сотни клавиатурных шпионов, рассмотрим в качестве примера достаточно распространенную коммерческую программу ActualSpy (http://www.actualspy.ru ). Данная программа может регистрировать клавиатурный ввод (с регистрацией заголовка окна и имени программы), снимать скриншоты экрана по расписанию, регистрировать запуск/останов программ, следить за буфером обмена, принтером, создаваемыми пользователем файлами. Кроме того, в программе реализовано слежение за Интернет-соединениями и посещаемыми сайтами. ActualSpy выбран в качестве примера

    Программа имеет простейшую маскировку от обнаружения – она не видна в стандартном списке задач Windows. Для анализа собранной информации программа формирует протоколы в формате HTML. Принцип работы программы ActualSpy основан на ловушке, регистрирующей события клавиатуры.

    В качестве других примеров могут выступить SpyAgent (http://www.spytech-web.com ), ActMon (http://www.actmon.com ), SpyBuddy (http://www.actmon.com ), PC Activity Monitor (http://www.keyloggers.com ), KGB Spy (http://www.refog.ru/ )…. Этот список можно продолжать очень долго, однако в большинстве случаев современные клавиатурные шпионы имеют примерно одинаковую базовую функциональность и различаются сервисными функциями и качеством маскировки в системе.

    Методики поиска клавиатурных шпионов
      Поиск по сигнатурам. Данный метод не отличается от типовых методик поиска вирусов. Сигнатурный поиск позволяет однозначно идентифицировать клавиатурные шпионы, при правильном выборе сигнатур вероятность ошибки практически равна нулю. Однако сигнатурный сканер сможет обнаруживать заранее известные и описанные в его базе данных объекты; Эвристически алгоритмы. Как очевидно из названия, это методики поиска клавиатурного шпиона по его характерным особенностям. Эвристический поиск носит вероятностный характер. Как показала практика, этот метод наиболее эффективен для поиска клавиатурных шпионов самого распространенного типа – основанных на ловушках. Однако подобные методики дают много ложных срабатываний. Мои исследования показали, что существуют сотни безопасных программ, не являющихся клавиатурными шпионами, но устанавливающих ловушки для слежения за клавиатурным вводом и мышью. Наиболее распространенный примеры - программы Punto Switcher. словарь Lingvo. программное обеспечение от мультимедийных клавиатур и мышей; Мониторинг API функций, используемых клавиатурными шпионами. Данная методика основана на перехвате ряда функций, применяемых клавиатурным шпионом – в частности, функций SetWindowsHookEx, UnhookWindowsHookEx, GetAsyncKeyState, GetKeyboardState. Вызов данных функций каким либо приложением позволяет вовремя поднять тревогу, однако проблемы многочисленных ложных срабатываний будут аналогичны методу 2; Отслеживание используемых системой драйверов, процессов и сервисов. Это универсальная методика, применимая не только против клавиатурных шпионов. В простейшем случае можно применять программы типа Kaspersky Inspector или Adinf. которые отслеживают появление в системе новых файлов.
    Программы для поиска и удаления клавиатурных шпионов
      Любой антивирусный продукт. Все антивирусы в той или иной мере могут находить клавиатурные шпионы, однако клавиатурный шпион не является вирусом и в результате пользы от антивируса мало; Утилиты, реализующие механизм сигнатурного поиска и эвристические механизмы поиска. Примером может служить утилита AVZ. сочетающая сигнатурный сканер и систему обнаружения клавиатурных шпионов на базе ловушек; Специализированные утилиты и программы, предназначенные для обнаружения клавиатурных шпионов и блокирования их работы. Подобные программы наиболее эффективны для обнаружения и блокирования клавиатурных шпионов, поскольку как правило могут блокировать практически все разновидности клавиатурных шпионов.

    Из специализированных программ интерес могут представлять коммерческие продукты PrivacyKeyboard и Anti-keylogger (http://www.bezpeka.biz/ ). Интерфейс программы Anti-keylogger показан на рисунке:

    Программа Anti-keylogger работает в фоновом режиме и производит обнаружение программ, подозреваемых в слежении за клавиатурой. В случае необходимости можно вручную разблокировать работу любой из обнаруженных программ (например, на рисунке видно, что в список «шпионов» попали MSN Messanger и программа зачачки из Интернет FlashGet ). Для обнаружение клавиатурных шпионов не применяются базы сигнатур, обнаружение ведется эвристическими методами.

    Тестирование программы показало, что она эффективно противодействует клавиатурным шпионам, основанным на применении ловушек, циклического опроса и клавиатурного драйвера-фильтра.

    Другим примером может служить программа Advanced Anti Keylogger (http://www.anti-keylogger.net ).

    В режиме обучения данная программа по логике работы напоминает Firewall – при обнаружении подозрительной активности выводится предупреждение с указанием имени и описания программы. Пользователь может выбрать действие на сеанс (разрешить, запретить), или создать постоянное правило для правило для приложения. В ходе тестов Advanced Anti Keylogger уверенно обнаружил все основные разновидности клавиатурных шпионов (на базе ловушки, циклического опроса, драйвера-фильтра). Настройки программы защищаются паролем, который задается в ходе инсталляции.

    Заключение

    Клавиатурный шпион не является вирусом, но, тем не менее, представляет большую угрозу для пользователей, поскольку позволяет злоумышленнику следить за работой пользователя и может применяться для похищения конфиденциальной информации, в том числе паролей пользователя. Опасность клавиатурного шпиона может существенно возрасти при его сочетании с RootKit -технологией, которая позволит замаскировать присутствие клавиатурного шпиона. Еще более опасной является троянская или backdoor программа, содержащая клавиатурный шпион – его наличие существенно расширяет функции троянской программы и ее опасность для пользователя.

    Что такое «кейлоггер»

    Что такое «кейлоггер»

    Многие пользователи персональных компьютеров слышали о таком явлении как «кейлоггер», но далеко не все знают, что он собой представляет. Кейлоггером называют любой программный или аппаратный инструмент, основным предназначением которого является считывание информации с клавиатуры компьютера. Кейлоггер записывает все нажатия на клавиши клавиатуры, а затем сохраняет их в файл на этом же компьютере, либо передает по сети интернет на удаленный компьютер злоумышленника. Впрочем, кейлоггером далеко не всегда пользуются хакеры – иногда его используют начальники крупных фирм, чтобы следить за своими сотрудниками, также различные виды кейлоггеров довольно популярны в правоохранительных органах (для ведения слежки за перепиской подозреваемого).

    Виды кейлоггеров

    В целом все кейлоггеры или, как их еще называют, «клавиатурные шпионы» делятся на два основных вида: программные или аппаратные. Программные кейлоггеры могут быть частью кода замаскированной вредоносной программы или же могут внедряться прямо в ядро операционной системы. В последнем случае шпионскую программу крайне сложно обнаружить даже с помощью специальных программных средств.

    Аппаратные кейлоггеры представляют собой специальные считывающие электронные устройства, которые устанавливаются вручную на компьютер жертвы. Наиболее часто аппаратный кейлоггер маскируют под USB или PS2-переходник для клавиатуры. Также иногда кейлоггер устанавливается непосредственно внутрь корпуса клавиатуры, а бывают случаи, когда кейлоггеры встраивали прямо в BIOS материнской платы.

    Поскольку аппаратные кейлоггеры требуют непосредственного доступа к компьютеру, на который требуется установить «жучок», их применяют довольно редко – жертвами чаще всего оказываются те, кто хранит на компьютере важную информацию, представляющую экономическую или какую-либо другую ценность. А вот программные кейлоггеры гораздо более популярны, особенно среди хакеров и интернет-мошенников. К примеру, заразив компьютер потенциальной жертвы вредоносной программой с кейлоггером, злоумышленник сможет легко завладеть информацией об электронных и банковских счетах владельца компьютера, и при помощи этой информации снять наличные со счета или даже оформить кредит на имя жертвы.

    Методы проникновения программного кейлоггера

    Чаще всего программный кейлоггер попадает в компьютер жертвы вместе с нелицензионным программным обеспечением (точно так же, как и большинство вирусов). Также нередко кейлоггеры находятся на определенных сайтах, при посещении которых происходит скрытая загрузка и установка шпионского ПО. А в редких случаях клавиатурный шпион может быть встроен даже во вполне легальные приложения.

    Как не заразиться кейлоггером

    Чтобы не стать жертвой какого-нибудь киберпреступника или мошенника, необходимо соблюдать основные правила безопасности при использовании интернета:

    • Никогда не загружайте и не устанавливайте на свой компьютер программное обеспечение с источников, которым вы не доверяете. Мелкие файлообменные сайты зачастую содержат на своих страницах не только множество навязчивой рекламы, но и различные вирусы, среди которых вполне может встретиться кейлоггер.
    • Избегайте заходить на сайты сомнительного содержания.
    • Ни в коем случае не открывайте файл, присланный вам на почту неизвестным адресатом (то же самое касается и файлов, прикрепленных к рекламным письмам).
    • Установите на свой компьютер надежное антивирусное программное обеспечение.
    Как обнаружить и удалить кейлоггер

    Если у вас по каким-то причинам возникли подозрения, что в вашем компьютере имеется клавиатурный шпион, не спешите переустанавливать операционную систему. В большинстве случаев программу-кейлоггер можно выявить. Первое, что вам нужно сделать – это проверить систему на наличие вредоносного кода при помощи антивируса или антивирусного сканера. В качестве последнего можно использовать эффективную бесплатную лечащую утилиту – Dr.Web CureIt. Кроме того, существует специализированное программное обеспечение, предназначенное для обнаружения и устранения кейлоггеров. Наиболее известной из таких программ является утилита Anti-Keylogger. А если вам нужно срочно что-либо сделать на компьютере, и нет времени дожидаться результатов проверки на вирусы, то можете воспользоваться экранной клавиатурой. Данная утилита является стандартной для всех операционных систем семейства Windows, и находится она по следующему адресу: Меню Пуск>Все программы>Стандартные>Специальные возможности>Экранная клавиатура .

    Популярно о клавиатурных шпионах и ПО для их детектирования

    Популярно о клавиатурных шпионах и ПО для их детектирования

    Как известно, изначально под клавиатурными шпионами (кейлоггер, кейлогер, key logger, keylogger) понимались программы, которые незаметно для пользователя записывали все нажатия клавиш в файл и зачастую использовались злоумышленниками для кражи паролей, логинов и тому подобной информации. Позднее функциональность клавиатурных шпионов расширилась — сегодня они нередко умеют не только фиксировать нажатые клавиши, но и отслеживать список запущенных приложений и посещенных веб-сайтов, делать снимки экрана по заданному расписанию, осуществлять мониторинг буфера обмена, фиксировать задания, отправляемые на печать, и т.д. Иными словами, данные программы проводят вполне полноценный мониторинг компьютерной деятельности пользователей.

    Учитывая, что как ранее, так и сейчас подобные приложения достаточно широко применяются злоумышленниками отнюдь не в благих целях, отношение к данной категории софта неоднозначное. С одной стороны, кейлоггеры причисляют к числу опасных программ, что неудивительно, ведь с их помощью перехватить конфиденциальную информацию, вводимую пользователем, — не проблема. А потому подобное ПО нередко служит для осуществления компьютерных преступлений, связанных с хищением денежных средств (рис. 1), а также используется в качестве инструмента экономического и политического шпионажа.

    Рис. 1. Пример использования хакером клавиатурного шпиона

    С другой стороны, большая часть существующих сегодня кейлоггеров позиционируется разработчиками как легальное ПО, которое можно использовать для решения целого класса задач. В частности, клавиатурные шпионы могут оказаться весьма полезными для родителей, а также для преподавателей в компьютерных классах и администраторов в интернет-кафе. Например, родителям не помешает быть в курсе того, какие сайты посещает их ребенок, какими программами пользуется и с кем ведет переписку или общается в чате, и действительно ли он занимается на компьютере в их отсутствие, а не играет в любимую игрушку. А преподавателям и администраторам обязательно нужно четко знать, что происходит на подведомственных компьютерах, поскольку подрастающее поколение, экспериментируя, в два счета умудряется вывести последние из строя. Правда, в обоих случаях проводить подобный мониторинг нужно крайне ненавязчиво, не посягая на свободу личности (подрастающей, а значит, и более ранимой) и не нарушая тонкую грань взаимопонимания.

    В итоге получается, что одни и те же приложения могут использоваться и в благих, и в преступных целях. А это значит, что владельцам компьютеров следует быть в курсе существования подобного ПО и принимать меры для предотвращения утечки конфиденциальной информации. Тем же, кому в силу родительских обязанностей или по долгу службы приходится нести ответственность за собственное чадо или за группу компьютеров, лучше заранее побеспокоиться о возможных проблемах и установить подходящую программу для мониторинга компьютерной деятельности, чтобы в случае необходимости оказаться во всеоружии. Это несложно, тем более что в данной статье мы как раз и рассмотрим доступные приложения, которые помогут как в одной, так и в другой ситуации.

    Программы для скрытого наблюдения за работой на компьютере

    Сегодня на рынке предлагается огромное множество клавиатурных шпионов. В большинстве случаев они имеют сходную базовую функциональность, то есть перехватывают нажатие клавиш на клавиатуре, осуществляют мониторинг буфера обмена, фиксируют посещенные веб-страницы, запуск и закрытие программ, а также ведут запись снимков экрана. Подобные приложения обеспечивают полную мультипользовательскую поддержку — это значит, что вести наблюдение можно как сразу за всеми, так и только за избранными пользователями. А записанная в ходе проводимого ими мониторинга информация сохраняется в лог-файлах, и в дальнейшем ее можно будет просмотреть непосредственно в приложениях либо преобразовать в отчет (чаще всего в формате HTML), который, как правило, может быть отправлен на указанный электронный ящик, по FTP, а иногда и по локальной сети. Различаются же клавиатурные шпионы некоторыми сервисными функциями и удобством работы с отчетами, а также качеством маскировки в системе, то есть особенностями их работы в скрытом режиме. В простейшем случае под маскировкой подразумевается отсутствие приложений в списке программ меню Пуск. на рабочем столе и в системном трее. А также скрытие папки программы в директории Program Files (в таком случае для ее запуска придется использовать команду Пуск=>Выполнить либо предназначенную для этой цели функциональную комбинацию) и в списке удаляемых программ панели управления. В других решениях тоже предусмотрены возможности скрытия в списке запущенных процессов и в списке программ автозагрузки, а также имеется инструментарий для предотвращения выявления шпионов антикейлоггерами.

    В качестве примеров мы остановимся на широко известных решениях Beyond Keylogger, PC Spy Keylogger, KGB Spy и ActualSpy. Первые два англоязычны, а два последних имеют русскоязычный интерфейс и российским пользователям предлагаются по весьма привлекательной цене. Пакет Beyond Keylogger характеризуется наиболее широким спектром фиксируемых в ходе наблюдения параметров (табл. 1 ), повышенной надежностью и расширенными возможностями работы с полученной в ходе мониторинга информацией. PC Spy Keylogger отличается минимальным потреблением системным ресурсов (что весьма актуально на недостаточно мощных компьютерах) — в итоге визуально как-то зафиксировать его работу (например, по миганию экрана при формировании скриншотов, чем нередко грешат другие решения) невозможно в принципе. В пакете KGB Spy удобно организован просмотр логов отдельных пользователей и реализован достаточно высокий уровень маскировки. ActualSpy, в отличие от других рассмотренных в статье решений, умеет проводить мониторинг принтеров, что может оказаться актуальным в некоторых случаях (например, если на подведомственном вам принтере слишком быстро заканчиваются чернила). При этом все названные решения отличаются интуитивно-понятным интерфейсом и крайней простотой настройки.

    Beyond Keylogger 2.9.1

    Разработчик: Supremtec

    PC Spy Keylogger 2.3

    Разработчик: KeyLogger Online

    KGB Spy 4.21

    Разработчик: Mipko

    Размер дистрибутива: 5,05 Мбайт

    Работа под управлением: Windows (все версии)

    Способ распространения: shareware (7-дневная демо-версия — http://www.kgbspy.ru/files/kgb_setup-421.exe )

    Цена: 59 долл. для русскоязычных пользователей: KGB Spy Free — бесплатно, KGB Spy Home — 500 руб. KGB Spy Pro — 700 руб. KGB Spy Net. — 5000 руб.

    Рис. 4. Мониторинг веб-сайтов программой KGB Spy

    Actual Spy 3.0

    Разработчик : Keylogger Actual Spy Software

    Размер дистрибутива: 1,55 Мбайт

    Работа под управлением: Windows (все версии)

    Способ распространения: shareware (40-минутная демо-версия — http://www.actualspy.ru/actualspy.exe )

    Цена: 39,95 долл. для русскоязычных пользователей — 600 руб.

    Actual Spy — программа-шпион, предназначенная для скрытого наблюдения за компьютером (рис. 5). Имеет базовую функциональность как в плане мониторинга (исключение — возможность мониторинга принтеров), так и в отношении работы с отчетами, которые, правда, могут быть отосланы не только на указанный e-mail и по FTP, но и по сети.

    Рис. 5. Мониторинг нажатий клавиатуры в Actual Spy

    Типы программ для выявления клавиатурных шпионов

    Список известных сегодня клавиатурных шпионов очень велик, а неизвестных (то есть не фигурирующих в официальных базах кейлоггеров), по всей видимости, еще больше. Дело в том, что существует немало мониторинговых программ, разработанных под эгидой правительственных организаций, решений, созданных в компаниях для узкокорпоративного применения, программ, написанных профессиональными хакерами для строго определенных целей (например, для кражи информации с компьютера конкретного пользователя) и т.д. Ситуация осложняется еще и вследствие того, что нередко в кейлоггерах применяются те или иные RootKit-технологии, позволяющие маскировать присутствие клавиатурных шпионов в системе, причем маскировка может быть глобальной — вплоть до того, что окажутся скрытыми даже ключи, созданные кейлоггером. Все это делает выявление и обезвреживание в системе клавиатурных шпионов непростой задачей.

    Возможности обнаружения клавиатурных шпионов в той или иной мере предоставляются тремя группами программных продуктов: антикейлоггерами, antispyware-приложениями и антивирусными продуктами. Наиболее эффективными в плане обнаружения и блокирования клавиатурных шпионов считаются антикейлоггеры, поскольку они могут защитить практически от всех разновидностей клавиатурных шпионов, включая аппаратные кейлоггеры, — последнее, впрочем, наиболее актуально в корпоративной среде, где компьютеры могут применяться для выполнения банковских операций, проведения электронных торгов и т.п. Достаточно эффективны в плане детектирования кейлоггеров и ведущие антишпионские решения, однако лидерство, видимо, все же за антикейлоггерами. Об этом свидетельствуют результаты независимого тестирования, проведенного независимой организацией Anti-Keylogger.Org (http://anti-keylogger.org ), согласно которым среди участвовавших в тестировании продуктов выявить всех кейлоггеров смог лишь антикейлоггер PrivacyKeyboard (табл. 2 ). Ведущий же антишпионский пакет Spy Sweeper от компании Webroot набрал на 20 баллов меньше, поскольку не смог обнаружить двух из десяти предложенных клавиатурных шпионов. Стоит заметить, что действенным против конкретного кейлоггера тестируемое решение считалось только в том случае, если им не только обнаруживался соответствующий опасный компонент, но и предоставлялись доступные возможности для его блокирования. К сожалению, данное тестирование охватывает пока слишком малое число решений, да и база анализируемых на предмет выявления кейлоггеров невелика. Других же официальных данных, касающихся эффективности работы различных решений данного плана, по всей видимости, пока не существует.

    Что касается антивирусов, то еще совсем недавно их функциональность была ограничена выявлением только известных кейлоггеров, сигнатуры которых включаются в сигнатурные базы антивирусных решений. А вот с обнаружением неизвестных клавиатурных шпионов все обстояло сложнее, ведь по данным сигнатурных баз выявить их невозможно. Сегодня ситуация постепенно меняется в лучшую сторону — ведущие разработчики антивирусов выпустили новые версии своих продуктов, в которых для детектирования вредоносных компонентов наряду с традиционным сигнатурным способом параллельно стал использоваться метод проактивной защиты, обеспечивающий защиту пользователя от новых типов угроз и новых модификаций существующих вредоносных программ без обновления сигнатурных баз. В основе данного подхода — постоянный мониторинг всех процессов в системе пользователя, так что теоретически антивирусы с поддержкой проактивного детектирования могут обнаружить не только неизвестные вирусы, но и неизвестные клавиатурные шпионы, если, конечно, характерные для их поведения системные операции будут анализироваться.

    В частности, подобная возможность реализована в версии 6.0 продуктов «Лаборатории Касперского» («Антивирус Касперского 6.0» и Kaspersky Internet Security 6.0), позволяющих детектировать как существующие кейлоггеры (с помощью сигнатурных баз), так и новые типы клавиатурных шпионов (используя модуль проактивной защиты). Теоретически возможность поддержки проактивного детектирования, требуемого для выявления неизвестных вредоносных компонентов (включая кейлоггеры), появилась и в последних версиях антивирусных пакетов F-Secure Anti-Virus 2008 и F-Secure Internet Security 2008, Panda Antivirus 2008, Panda Antivirus+Firewall 2008 и Panda Internet Security 2008 и т.д. Однако о степени эффективности их в отношении неизвестных кейлоггеров судить сложно, поскольку в тестированиях, проводимых международными тестовыми организациями, данный аспект нигде не обозначен. Поэтому, учитывая, что процесс выявления опасных компонентов по сигнатурам проверен временем и действительно эффективен, пренебрегать своевременным обновлением сигнатурных баз не стоит.

    Вместе с тем стоит иметь в виду, что клавиатурные шпионы к числу вирусов не относятся, так как не обладают способностью к размножению. Согласно официальной классификации они представляют собой потенциально опасное ПО (riskware) — в итоге по умолчанию функция обнаружения кейлоггеров в антивирусах отключена. Поэтому при настройке работы антивируса следует обратить на данный факт внимание.

    Рассмотрим, как настроить детектирование кейлоггеров на примере вышеназванных продуктов «Лаборатории Касперского». Вначале требуется включить настройку детектирования программ, входящих в категорию riskware, открыв экран настроек (команда Настройка=>Защита ) и в списке категорий вредоносного ПО отметив галочкой пункт Потенциально опасное ПО (riskware), — рис. 6. После этого при установке имеющихся в базе сигнатур кейлоггеров будет выдаваться примерно такое же, как показано на рис. 7, предупреждение файлового антивируса. Работа кейлоггера при этом блокируется, и пользователь имеет возможность удалить установленный файл. Однако, даже если пользователь сразу не среагировал на необходимость удаления кейлоггера, такая возможность ему еще представится, поскольку антивирус в состоянии обнаружить и нейтрализовать и клавиатурные шпионы, уже установленные и работающие в скрытом режиме.

    Что касается неизвестных кейлоггероов и руткитов, то для их обнаружения в продуктах «Лаборатории Касперского» в подсистеме «Анализ активности приложений» должны быть включены опции «появление скрытого процесса (rootkit)», «внедрение оконных перехватчиков» и «обнаружение клавиатурных перехватчиков» (рис. 8). После этого у антивируса появится возможность выявлять системные процессы, характерные для кейлоггеров: перехватывать попытки установки глобальных ловушек, фиксировать проведение циклических опросов состояния клавиатуры и находить скрытые в системе процессы, каждый раз информируя об этом пользователя (рис. 9). В итоге если кейлоггер будет обнаружен антивирусом, то пользователь сможет либо временно заблокировать работу кейлоггера (например, запретив установку ловушки), либо поместить на карантин исполняемый файл скрытого процесса с целью его дальнейшего удаления.

    Рис. 6. Включение функции детектирования потенциально опасного ПО

    Рис. 7. Предупреждение файлового антивируса

    об установке ПО категории riskware

    Рис. 8. Включение настроек подсистемы

    «Анализ активности приложений»

    Рис. 9. Информирование пользователя

    о скрытом процессе`

    Антикейлоггеры

    Список представленных на рынке антикейлоггеров в сравнении с кейлоггерами достаточно скромен — например на Softpedia.com имеется менее десятка первых, но зато более пятидесяти вторых. При этом почти все антикейлоггеры умеют детектировать не только программные клавиатурные шпионы, но и помогут обойти аппаратные кейлоггеры, поскольку в своем составе имеют встроенные экранные клавиатуры. Функциональность наиболее известных антикейлоггеров практически одинакова. Все они умеют выявлять как известные, так и неизвестные клавиатурные шпионы, поскольку базируются на использовании не сигнатурных баз, а интеллектуальных алгоритмов, основанных на анализе общих принципов работы мониторинговых программ. Различие же между решениями касается эффективности их работы и удобства регулирования уровня защиты.

    В качестве примеров решений данного класса мы остановимся на хорошо известных в мире антикейлоггерах Advanced Anti Keylogger, Anti-Keylogger Elite, Raytown PrivacyKeyboard и Raytown Anti-keylogger. Первые два решения англоязычные, а в пакетах от компании Raytown, в разработке которых принимали участие и украинские программисты, имеется поддержка русского языка, что, естественно, привлекает к ним особое внимание. Кроме того, по адресам: http://bezpeka.biz/files/doc/prvkbd_help_rus.zip и http://bezpeka.biz/files/doc/ak_help_rus.zip можно скачать русскоязычные файлы помощи, относящиеся к данным продуктам. Наибольшие возможности в плане регулирования уровня защиты предоставляются в пакетах Advanced Anti Keylogger, Raytown PrivacyKeyboard и Raytown Anti-keylogger (табл. 3 ). Однако Advanced Anti Keylogger более привлекателен в плане цены и смог обнаружить все тестовые кейлоггеры. Для сравнения: решения от Raytown работу пакета Beyond Keylogger (даже при отключенной в нем блокировке антикейлоггеров) зафиксировать не смогли, хотя, конечно, судить об эффективности того или иного решения на примере всего нескольких кейлоггеров необъективно. Что же касается решения Anti-Keylogger Elite, то оно привлекает максимально простой настройкой и лаконичностью (при той же функциональности), а значит, освоить его можно гораздо быстрее. Все названные решения позволяют корректировать уровень блокирования приложений пользователем и временно отключать защиту от мониторинга. И то и другое весьма актуально по нескольким причинам, среди которых следует отметить две наиболее важные. Первая заключается в том, что функционирование антикейлоггеров повышает требования к системным ресурсам и может снизить производительность графической подсистемы, что критично при работе сложных графических приложений. А вторая связана с возможной несовместимостью антикейлоггера с некоторыми используемыми в работе приложениями. В итоге не исключены ситуации, когда в антикейлоггере придется снижать уровень защиты, отказываясь, в частности, от блокирования захвата скриншотов, либо даже полностью его отключать.

    Advanced Anti Keylogger 3.7

    Разработчик: Spydex, Inc.

    Размер дистрибутива : Advanced Anti Keylogger Classic — 800 Кбайт, Advanced Anti Keylogger Lite — 650 Кбайт

    Работа под управлением: Windows NT/2000/XP/2003 Server

    Цена : Advanced Anti Keylogger Classic — 59,95 долл. Advanced Anti Keylogger Lite — 39,95 долл.

    Advanced Anti Keylogger — эффективное и очень удобное решение для выявления (рис. 10) и блокирования известных и неизвестных кейлоггеров. Может работать в двух режимах: High security и Custom security. Первый режим, в котором блокируются попытки опроса клавиатуры, захвата скриншотов и другие аналогичные операции в отношении всех приложений без исключения, рассчитан на широкий круг пользователей и обеспечивает максимально высокий уровень безопасности. Второй режим предназначен для подготовленных пользователей — в нем сами пользователи через систему правил (рис. 11) смогут определить перечень приложений, для которых критичные операции (такие, например, как захват скриншотов) будут допустимы (в целом или в конкретный момент времени). В программе также предусмотрена функция мгновенного отключения работы антикейлоггера (если сканирование системных процессов пока не требуется) и имеется встроенная экранная клавиатура для ввода особо секретной информации. Установленный в программе уровень безопасности отображается в системном трее.

    Рис. 10. Информирование пользователя о выявленных

    подозрительных процессах в Advanced Anti Keylogger

    PrivacyKeyboard 7.4, Anti-keylogger 7.4

    Разработчик : Raytown Corporation LLC

    Размер дистрибутива: PrivacyKeyboard — 4,11 Мбайт, Anti-keylogger — 4,01 Мбайт

    Работа под управлением: Windows 2000/XP/2003

    Цена : PrivacyKeyboard — 89,95 долл. Anti-keylogger — 59,95 долл.

    Решения PrivacyKeyboard и Anti-keylogger предназначены для выявления и блокирования клавиатурных шпионов (рис. 12) и представляют собой разные версии одного и того же программного продукта. В роли базовой версии выступает пакет Anti-keylogger, а решение PrivacyKeyboard дополнительно включает модуль защиты от перехвата графических изображений экрана и виртуальную клавиатуру для защиты от аппаратных кейлоггеров.

    Оба решения поддерживают базовый и расширенный режимы работы: базовый рассчитан на обычных пользователей, расширенный — на пользователей с правами администратора. В расширенном режиме можно регулировать уровень блокирования приложений (например, включить/выключить блокировку перехвата данных из буфера обмена, создания скриншотов и т.д.) — рис. 13, а также запретить пользователям без прав администратора отключать защиту PrivacyKeyboard. Кроме того, отдельным надежным приложениям можно разрешить выполнять любые действия без ограничений, указав их в белом списке. Имеется и функция временного отключения защиты от мониторинга. Текущий уровень защиты отображается в системном трее.

    Рис. 12. Список обнаруженных программой PrivacyKeyboard

    подозрительных процессов

    Рис. 13. Настройка уровня блокирования в PrivacyKeyboard

    Anti-Keylogger Elite 3.3.3

    Разработчик: ISecSoft, Inc.