Иногда к spyware относят программы, собирающие данные для так называемого поведенческого таргетинга (молодая отрасль интернет-маркетинга, аккумулирующая информацию о пользовательских предпочтениях - например, анализируя маршрут перемещений по Сети). Делаться это может с разными целями - как для исследования рынка, так и для разработки индивидуального подхода к покупателю в интернет-магазине (вплоть до указания персональной цены на товары). В частности, некоторые антишпионские программы относят к spyware браузерный плагин крупнейшего онлайн-магазина Amazon.com, хотя его установка - дело добровольное.
Spyware, в отличие от вирусов, само не размножается, а потому «шпионы», заразив одну систему, не смогут перебраться на другие. Распространяются они в Сети либо путем обмана пользователя, либо через программные уязвимости (например, дыры в браузере). При первом варианте пользователь скачивает из Интернета какой-то полезный софт, а «в довесок» получает шпионский модуль. Чаще всего носителями spyware являются разнообразные «ускорители Интернета». Впрочем, переносчиком может оказаться практически любой софт: так, широко известен случай, когда «шпион» прятался в программе Bonzi Buddi, позиционируемой как детский проводник в мире Интернета. Иногда создатели шпионского ПО платят разработчикам shareware-программ за добавление в инсталлятор своего модуля, а порой просто объединяют шпионский дистрибутив с уже готовыми полезными программами. Частенько шпионские модули попадают на компьютер вместе с клиентами пиринговых сетей, а в начале 2005 года фантазия «шпионоводов» стала развиваться в стиле завзятых вирусописателей: в Сети появилась программа SpywareNo, позиционирующаяся как антишпионское ПО, а на деле являющаяся типичным продуктом spyware-индустрии…
Современные браузеры не позволяют «шпионам» самовольно загружаться с сайтов, однако иногда пользователь сам разрешает их установку, потому что загрузочную ссылку нередко маскируют под pop-up-окна, похожие на обычные опросы. Независимо от того, за какой вариант ответа пользователь голосует, своим кликом он запускает установку spyware. С последними версиями Internet Explorer (IE) возможностей для таких манипуляций у распространителей шпионских программ стало гораздо меньше, однако актуальность этот способ заражения еще не потерял - ведь, несмотря на многочисленные предупреждения, старые версии браузеров стоят на множестве компьютеров. Так, IE5 остается основным примерно для 10% интернет-серферов, а уж сколько людей не поставило заплатки на ранние версии IE6 - и говорить не хочется.
Кстати, антишпионское ПО MS Anti-spyware (его презентация прошла в марте нынешнего года) будет интегрировано в готовящуюся к выходу операционную систему Windows Vista, а в следующей версии IE появится «шпионозащищенный» режим. При его активации браузер будет изолирован от других процессов операционной системы и не получит прав на запись за пределами каталога Temporary Internet Files. Это должно снизить риск скрытой установки вредоносных плагинов. Кроме того, по умолчанию будет запрещено большинство объектов ActiveX, а встроенный брандмауэр станет функционально богаче.
Второй популярный метод инфицирования - атаки на бреши в защите браузера или другого сетевого ПО. При загрузке веб-страницы содержащийся в ней программный код инициирует установку spyware. Этот способ известен как drive-by download, и самые удобные дырки для него обнаруживаются в MS Java и старых версиях IE. По данным Webroot, за первое полугодие 2005 года источниками шпионской заразы было 4300 сайтов и 89800 страниц. В группу риска вошли сайты с порнографическим контентом и хранилища warez-софта, а в качестве лазейки широко использовалась дыра в системе защиты от копирования цифрового контента - DRM, используемой Windows Media Player и iTunes. Кстати, некоторые «шпионы» ищут на компьютере жертвы spyware-модули от компаний-конкурентов и безжалостно уничтожают их, но чаще вредоносный софт живет душа в душу.
Признаки заражения пользователи в основном замечают лишь тогда, когда операционная система (замечу - практически все шпионские модули работают только под Windows) просто кишит spyware-объектами. Работа резко замедляется из-за нехватки ресурсов, частенько происходят системные или программные сбои, наблюдаются трудности с интернет-соединением. Не имеющий в большинстве случаев никакого представления о spyware, пользователь ищет причины неудовлетворительной работы в аппаратном обеспечении, проблемах установки Windows или же полагает, что его компьютер заражен вирусом. Обычный результат «накопления» шпионского ПО - переустановка системы.
Программы, специализирующиеся на показе рекламных объявлений, могут запускать всплывающие окна как по четкому графику (каждые несколько минут), так и при открытии браузера. Кроме того, объявления могут выскакивать, если пользователь заходит на определенные адреса. Эта возможность привлекает рекламодателей, платящих производителям шпионского ПО за показ своих объявлений при посещении серфером той или иной группы сайтов. А некоторые программы даже заменяют имеющуюся на сайте pop-up-рекламу собственной. Показываемые баннеры, естественно, должны привлекать внимание, а потому в них используются анимированные изображения, мерцание и пр. Если на компьютере установлен всего один spyware-модуль, то объявления появляются не слишком часто и их еще можно игнорировать. Но, как уже упоминалось, обычно речь идет о десятках зловредных программ, то инициируемые ими запуски pop-up-окон вызывают крайнее раздражение.
Кстати, не следует думать, что производители шпионского ПО представляют собой маргиналов интернет-сообщества, бойкотируемых крупными и уважаемыми онлайн-деятелями. Производство и распространение spyware - это бизнес, причем прибыльный, а разработчики нежелательных программ получают заказы от довольно известных рекламодателей. В частности, компании WhenU и 180 Solutions, не последние фигуры в spyware-индустрии, сообщали, что среди их клиентов числится даже New York Times. За сам софт денег обычно не платят, но пользователь попадает на сайт заказчика или же что-то у него покупает посредством pop-up-объявлений, а производитель программы-шпиона получает комиссионные. Эта схема называется affiliate marketing и используется такими корпорациями, как eBay, Dell или Mercedes-Benz. Впрочем, рекламодатели «страхуются», заключая договор с рекламным агентством, а уже последнее само выходит на spyware-фирмы.
Некоторые компании и вовсе применяют spyware для защиты своих интернет-проектов. В частности, Blizzard использует в работе игровых серверов World of Warcraft (WoW) специальную программу - так называемого привратника, который каждые 15 секунд загружается на компьютеры четырех с половиной миллионов игроков. Привратник получает список всех dll-файлов, отображенных в адресном пространстве exe-файла игры, использует функцию GetWindowTextA для получения заголовков всех окон в системе, проверяет, нет ли их в черном списке, а также подключается к каждому запущенному процессу и с помощью функции ReadProcessMemory считывает ряд адресов памяти.
Впрочем, некоторые производители шпионского софта не затрудняют себя работой в «грязной рекламе», а просто-напросто похищают у пользователей зараженных компьютеров пароли, имена, чат-сессии (в том числе в интернет-пейджерах), банковские данные и т. д.
Другой распространенный вид shareware - софт, который заражает программы, дозванивающиеся до провайдера. В этом случае дозвон идет по какому-либо международному номеру, что приводит к огромным счетам за телефон. На Западе, где популярность dial-up-подключения сходит на нет, эта угроза теряет актуальность, но в России такие программы по-прежнему представляют серьезную опасность. Одинаково опасны для всех пользователей и шпионские приложения, работающие с cookies.