Давайте рассмотрим типичную программу из данного семейства. Gator/Gain, возможно, одна из самых часто встречаемых. Программа настолько вредоносна, что компания создавшая ее даже сменила имя, чтобы себя не компроментировать. Gator состоит из нескольких модулей с разными именами: Gator, OfferCompanion, Trickler, Gain, GMT.exe, CMESys.exe. Основная цель Gator - помогать запоминанию информацию и автоматизация процесса заполнения веб-форм, таких как город, логин, пароль, почтовый адрес. Но Gator загружает еще и OfferCompanion и начинает показывать рекламу, когда вы посещаете сайты. Gator можно свободно скачать с http://www.gainpublishing.com, но он также входит в комплект вместе с KaZaA и вы даже не можете использовать KaZaA, не согласившись устанавливать Gator. Еще Gator можно найти вместе с программами Imesh, AudioGalaxy, GetRight, Go!Zilla, WeatherBug и получить при включенном Active-X в Internet Explorer на множестве сайтов! Gator собирает статистику посещений, кликов, поисковых запросов и отправляет все это на сервер разработчика. Еще показывает рекламу сам по себе, а один из новейших трюков - это замена рекламы конкурентов на свою. Например если вы зайдете на 1-800-Flowers.com появится реклама, о том что на сайте ftd.com можно заказать тот же букет на 10 баксов дешевле! Такие же трюки происходят и при посещении americanairlines.com где рекламируется Delta Airlines.
Gator состоит из нескольких модулей.
Gator (iegator.dll) - основной модуль, который служит для автозаполнения веб-форм. Сегодня этот модуль сто лет никому не нужен, так как все основные браузеры обладают подобной технологией.
OfferCompanion - следит за вашими действиями, показывает рекламу и передает это все на сервер Gator.
Trickler (fsg.exe,fsg-ag.exe,fsg*.exe) - маленький модуль, который прописывается в Run области реестра и запускается при каждой перезагрузке. Trickler работает медленно, но уверенно, скачивая и устанавливая остальные модули.
GAIN (GMT.exe, CMESys.exe, GAIN_TRICKLER_*.exe,) - Gator Advertising Information Network - основной модуль поддержки показа рекламы.
Каждый исполняемый файл прописывается в разные директории. GAIN можно найти в C:\Program Files\Gator\ и в реестре HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows-Current Version-Run.
GMT находится в C:\Program Files\CommonFiles\GMT\ а также бывает прописывается в C:\Windows\Start\Menu\Programs\StartUp\. CMiie можно обнаружить в С:\Program Files\Common Files\
Еще одна наиболее популярная и противная программа в этой области это Newton Knows Best. Этой программой заражены многие файлы p2p сетей особенно Grokster. Newton добавляет дополнительный бар в Internet Explorer, запускает процесс Newton и начинает скачивать понемногу свои обновления. Newton, по рассказам разработчиков создан, чтобы помочь нам серфить в сети (мы что калеки?). Сидит себе тихо в бэкграунде и как только ему в голову приходит мысль о том, что нам нужна помощь - показывает нужную нам информацию. Конечно же, мы видим надоедающую рекламу, которую эта тупая программа несет нам в помощь, забивая канал и еще самообновляясь и развиваясь. Прописывает себя во множестве мест, включая реестр и различные папки.
Удалить эти программы вручную нелегко - забудете где-то один модуль и через некоторое время снова получите несколько.
Методы борьбы:
0. Выбросите Internet Explorer и поставьте Mozilla Firefox или запретите исполнение Active-X скриптов в настройках безопасности браузера!
1. Следить за процессами в системе. Нажмите Ctrl-Shift-Esc и просмотрите список процессов. Увидите что-то необычное - пора бить тревогу! Бывают также скрытые процессы, поэтому их лучше просматривать специальными программами. Я советую Starter.
2. Установить Adaware - самая мощная программа для обнаружения и удаления всевозможных вредоносных модулей.
3. Firewall - лучше всего использовать Outpost Firewall!
4. http://www.cexx.org - следите на этом сайте за выходом новых spyware, adware и прочей нечисти.
5. Перестаньте гоняться за новинками софта в P2P сетях -через них вы получаете вирусы и другие вредоносные программы в подарок.
