• Thứ Năm, 19/05/2005 08:09 (GMT+7)

    Công cụ chống spyware hiệu quả nhất?

    Cách đây không lâu, virus phát tán từ web và email là kẻ thù nguy hiểm nhất của người dùng máy tính. Giờ đây có thêm một mối đe doạ mới - spyware. Nhãn “spyware” có thể gán cho các chương trình hợp pháp nhưng gây phiền toái mà người dùng đồng ý (nhưng không ý thức được hiểm hoạ) cài đặt trên PC của mình, hay dùng để chỉ các chương trình tự cài đặt mà không được phép.

    Cách đây không lâu, virus phát tán từ web và email là kẻ thù nguy hiểm nhất của người dùng máy tính. Giờ đây có thêm một mối đe doạ mới - spyware (phần mềm gián điệp) - đánh cắp hiệu suất làm việc và sự thanh thản của người dùng. Nhãn “spyware” có thể gán cho các chương trình hợp pháp nhưng gây phiền toái mà người dùng đồng ý (nhưng không ý thức được hiểm hoạ) cài đặt trên PC của mình, hay dùng để chỉ các chương trình tự cài đặt mà không được phép. Cả hai dạng chương trình này đều làm tiêu hao tài nguyên máy tính, làm chậm kết nối Internet, theo dõi việc duyệt web của bạn, thậm chí còn cưỡng ép chuyển hướng trình duyệt web. Ở đây, chúng ta gọi loại đầu là adware và loại sau là spyware. Adware thông báo rõ ràng ý định của nó cùng với công cụ gỡ cài đặt, và có thể gỡ bỏ hẳn khỏi hệ thống. Ngược lại, spyware tự cài đặt một cách bí mật và gần như không thể gỡ bỏ nếu không có công cụ trợ giúp.

    Có một loạt công cụ trợ giúp chống spyware. Một số công cụ rất hiệu quả trong việc làm sạch hệ thống bị lây nhiễm và ngăn chặn các hiểm hoạ mới với cơ chế bảo vệ thời gian thực. Chúng ta sẽ xem xét 10 công cụ chống spyware “tên tuổi” hiện nay có chức năng phát hiện và gỡ bỏ spyware và adware khỏi PC, đánh giá về tốc độ quét (kiểm tra), tỷ lệ phát hiện, khả năng ngăn không cho ứng dụng không mong muốn tự cài đặt và tính dễ dùng.

    Chúng ta sẽ so sánh 7 sản phẩm giá từ 20-40 USD: Internet Cleanup của Allume Systems (trước đây thuộc Aladdin Systems), Spyware Eliminator của Aluria Software, eTrust PestPatrol AntiSpyware của Computer Associates, SpySubtract Pro của InterMute, McAfee AntiSpyware của Network Associates, CounterSpy của Sunbelt Software và Spy Sweeper của Webroot Software. Ngoài ra, còn có 2 chương trình miễn phí phổ biến – Ad-Aware SE Personal của Lavasoft và Spybot Search & Destroy của Safer Networking – và chương trình miễn phí thứ ba làm việc rất khác nhưng không kém hiệu quả, HijackThis của Merijn.org (bạn có thể tải về 3 chương trình miễn phí này tại website TGVT, thư viện Download->Bảo mật & chống virus). HijackThis không được đưa vào bảng so sánh vì nó không có chức năng kiểm tra phát hiện lây nhiễm như các chương trình khác.


    Các công cụ chống spyware được thử thách gỡ bỏ 81 file và tiến trình được tạo ra từ 45 chương trình adware và spyware phổ biến. Lây nhiễm spyware có thể bắt đầu với một cài đặt của phần mềm có quảng cáo. Thông thường, adware cảnh báo người dùng về ý định của nó và người dùng chấp nhận để đổi lại sử dụng chương tình miễn phí (hay vô tình nhấn chấp nhận thỏa thuận mà không hề đọc cảnh báo). Nhiều chương trình adware đợi sự chấp nhận của bạn trước khi cài đặt, nhưng không phải tất cả đều “lịch sự” như vậy. Ngay cả khi chương trình miễn phí hứa hẹn chỉ quảng cáo giới hạn cũng có thể “tiêm” vào hệ thống đầy spyware bằng việc tải về và cài đặt các chương trình của hãng thứ ba.

    Có nhiều cách để adware xâm nhập hệ thống của bạn. Hai thanh tìm kiếm thường gặp là Slotchbar và WinTools không hiển thị End User License Agreement (EULA - thỏa thuận người dùng), ở đó adware thường công bố việc cài đặt các thành phần bổ sung. Hai thanh này cài đặt bí mật và khó gỡ bỏ nhất, dùng nhiều tiến trình để tự kích hoạt lại khi bị gỡ bỏ.

    Ngược lại, các chương trình adware phổ biến như WhenUSearch (thanh tìm kiếm) và Bonzi Buddy (thành phần desktop trợ giúp tìm kiếm) đưa ra EULA dễ hiểu trước khi cài đặt và cung cấp công cụ gỡ bỏ hiệu quả thông qua tiện ích Add or Remove Programs của Windows.

     

    WINDOWS ANTISPYWARE CÓ THỂ SẼ LÀ SỐ 1

     
     

    Microsoft vừa đưa ra bản beta Windows AntiSpyware (www.microsoft.com/athome/security/spyware/software/), sản phẩm trước đây thuộc hãng Giant Software được Microsoft mua lại vào tháng 12/2004. Thử nghiệm bản beta cho kết quả tuyệt vời. Do dữ liệu nhận dạng virus của sản phẩm này mới hơn nên không được so sánh với các sản phẩm khác trong bài.
    Windows AntiSpyware có thể phát hiện 91% adware/spyware trong thử nghiệm, trong đó 96% đang tồn trú trong bộ nhớ, 67% chỉnh sửa trang home và trang tìm kiếm, 100% BHO và thanh công cụ, 95% thay đổi Registry và 100% các mục khác như menu và nút thêm vào chương trình. Công cụ quét 2,7GB dữ liệu chưa tới 3 phút. Chức năng giám sát thời gian thực của AntiSpyware ngăn các lây nhiễm bằng cách cấm các thay đổi trang chủ trình duyệt và các trang tìm kiếm, nhận diện các tiến trình lạ trong bộ nhớ, cấm các chỉnh sửa không được phép đối với file Hosts, không cho phép thay đổi các khoá “run” của Registry.
    Để ngăn chặn tấn công trang chủ trình duyệt và các trang tìm kiếm, AntiSpyware có thể tự động thiết lập lại giá trị mặc định của hệ thống. Bạn cũng có thể ấn định trang chủ và các trang tìm kiếm riêng bằng cách chọn Advanced Tools.Browser Hijack Restore. AntiSpyware sẽ cảnh báo khi có bất kỳ chương trình nào định thay đổi thiết lập của các trang đã ấn định.

     
    Windows AntiSpyware chống đỡ rất tốt spyware và adware
     
      Windows AntiSpyware có giao diện trực quan, gọn gàng gần giống CounterSpy - công cụ cũng sử dụng công nghệ nhận dạng spyware của Giant Software. Tuy nhiên, không giống CounterSpy, AntiSpyware tự động bỏ qua cookie khi kiểm tra – một thay đổi dễ chịu cho người dùng thích tính năng đăng nhập tự động và tuỳ biến site mà cookie cung cấp.  

    Dọn sạch

    Trước hết, chúng ta xem xét mức độ hiệu quả của công cụ trong việc gỡ bỏ các thành phần hoạt động của spyware; sau đó xem xét khả năng bảo vệ thời gian thực để ngăn chặn việc cài đặt ngay từ đầu.

    CounterSpy tỏ ra hiệu quả nhất, tìm thấy và ngăn chặn 93% tiến trình đang chạy (tạo ra bởi 45 chương trình thử nghiệm). CounterSpy là sản phẩm duy nhất (trong các sản phẩm thử nghiệm) có thể dừng và gỡ bỏ WinTools lì lợm khỏi hệ thống. Xếp thứ hai, Spy Sweeper khử sạch 89% các tiến trình hoạt động (nhưng bỏ sót các thành phần liên quan WinTools và Slotchbar). Kém hiệu quả nhất là McAfee AntiSpyware và Internet Cleanup, mức độ gỡ bỏ tương ứng là 33% và 11%.

    Hình 1: CounterSpy dẫn đầu trong việc phát hiện và diệt spyware

     

    Spyware thường tấn công trang chủ (homepage) trình duyệt và các trang tìm kiếm chuyển hướng đến các website đồi trụy hay không mong muốn khác. Nghiêm trọng hơn, việc đảo ngược lại những sự chuyển hướng này có thể khó khăn do chúng được giám sát và khôi phục bởi các tiến trình đang hoạt động. Các thay đổi trang chủ và trang tìm kiếm rất khó khắc phục. Internet Cleanup, McAfee AntiSpyware, eTrust PestPatrol Anti Spyware, và SpySubstract Pro đều không phát hiện được những thay đổi trên, còn Spyware Eliminator thì chỉ sửa được 7%. CounterSpy một lần nữa lại dẫn đầu – nhưng chỉ với tỉ lệ thành công 53%.

    Browser Helper Object, hay BHO, là chương trình tuỳ biến IE và các trình duyệt khác, thường có mục đích chính đáng. Ví dụ, Google Toolbar là một BHO. Tuy nhiên các nhà phát triển spyware và adware cũng sử dụng BHO để tạo các thành phần nạp cùng với IE, họ khai thác ActiveX để tải về và cài đặt BHO trên PC của bạn, tạo thanh công cụ không mong muốn qua mặt tường lửa và được quyền truy cập Internet.

    Trong thử nghiệm đánh giá các công cụ về khả năng phát hiện BHO không momg muốn, cả CounterSpy và Spy Sweeper đều thành công 100%. Ad-Aware, eTrust PestPatrol Anti Spyware, Spybot và SpySubtract kiểm soát được 62%, còn McAfee AntiSpyware và Spyware Eliminator đạt 31%. Internet Cleanup không phát hiện BHO và thanh công cụ nào cả.

    Các khoá “run” của Windows Registry và folder khởi động hệ thống cũng là những bệ phóng ưa thích của adware và spyware. Các chương trình đưa vào những nơi trọng yếu này sẽ được kích hoạt mỗi khi Windows khởi động. Thật không may, với loại này, các công cụ kiểm tra spyware không thật xuất sắc. CounterSpy phát hiện 86%, theo sau là Spy Sweeper với 82% và Ad-Aware 77%. Internet Cleanup chỉ phát hiện 5%.

    Menu của trình duyệt cũng có thể bị thay đổi. Những thay đổi như vậy không tự động nạp spyware, nhưng nếu người dùng chọn menu được thêm vào, tác nhân lây nhiễm có thể kích hoạt. CounterSpy và Spy Sweeper có tỉ lệ phát hiện 100% cho các khoản mục menu và nút. SpySubtract Pro và Ad-Aware kiểm soát được 75%. Internet Cleanup, eTrust PestPatrol Anti Spyware, và McAfee AntiSpyware hoàn toàn bó tay trước loại này (0%).

    Giải pháp khác

     

    Hình 2: Tính năng Shields của Spy Sweeper chặn được nhiều lỗ hổng Windows

    Chương trình thứ 10, HijackThis, không giống các công cụ kiểm tra spyware thông thường. HijackThis cung cấp một báo cáo các tiến trình đang hoạt động, khoá registry khởi động, nội dung folder Startup, các BHO và các dịch vụ trong hệ thống. Với báo cáo này, bạn có thể xác định các thành phần khởi động không mong muốn hay nghi ngờ. Việc nhận diện các thành phần nghi ngờ trong báo cáo đòi hỏi phải có kinh nghiệm. Người dùng ít kinh nghiệm có thể gửi báo cáo của mình đến các diễn đàn trên Internet (ví dụ như TomCoyote Forums, http://forums.tomcoyote.org) để nhờ nhận diện các tiến trình không mong muốn.

    Dùng HijackThis kết hợp với Add or Remove Programs trong Control Panel của Windows XP, thật ngạc nhiên, gần như tất cả 45 chương trình addware/spyware trên hệ thống bị lây nhiễm đều xuất hiện mục gỡ cài đặt tương ứng (trong Add or Remove Programs). Tiến hành gỡ cài đặt, rồi dùng HijackThis để nhận diện và xoá các thành phần đang hoạt động còn sót lại - kết quả đạt được tuyệt vời, tiêu diệt 100% thành phần hoạt động của adware và spyware lây nhiễm trên máy. Kết quả tương tự khi sử dụng HijackThis tiếp sau CounterSpy. Không có sự kết hợp nào khác cho kết quả 100% - các tiến trình WinTools mà các công cụ khác bỏ sót cản trở những cố gắng làm sạch hệ thống, và HijackThis không thể ngưng được các tiến trình này.

    Đánh giá qua con số

    Hình 3: HijackThis phát hiện tất cả những tiến trình trên hệ thống, nhưng bạn cần cân nhắc trước khi hành động.

     

    Có sự khác biệt đáng kể giữa tốc độ kiểm tra của các công cụ. CounterSpy là công cụ hiệu quả nhất đồng thời cũng nhanh nhất, chỉ mất 1 phút để thực hiện kiểm tra toàn bộ hệ thống 2,7GB dữ liệu. Spybot và Spy Sweeper cũng nhanh, chỉ hơn 2 phút một chút. Ngược lại, Spyware Eliminator vừa không ổn định vừa chậm nhất, mất từ 10 phút đến 1 giờ. Các công cụ còn lại thực hiện trong khoảng 4-5 phút.

    Các công cụ kiểm tra spyware thông báo việc lây nhiễm cũng rất khác nhau. Ví dụ, khi cài đặt WhenUSearch trên hệ thống thử nghiệm, CounterSpy phát hiện 2 đối tượng adware riêng biệt, WhenUSearch và SaveNow. Ad-Aware thì ngược lại, phát hiện cùng thanh công cụ cho tổng số 73 đối tượng. Sau khi dùng CounterSpy gỡ bỏ tất cả thành phần hoạt động của WhenUSearch, Ad-Aware tiếp tục thông báo 5 đối tượng “nguy hiểm” – hoá ra đây chỉ là 3 khoá Registry trống và 2 folder rỗng.

    Giám sát liên tục

    Việc gỡ bỏ spyware khi máy bị nhiễm là quan trọng, nhưng việc ngăn chặn lây nhiễm còn quan trọng hơn (phòng bệnh hơn chữa bệnh). Một trong những công cụ hiệu quả nhất về phương diện này là Spybot. Dùng thành phần bổ sung Resident TeaTimer, công cụ khuyến cáo ngay khi có bất kỳ chương trình nào có thay đổi những mục quan trọng trong Registry. Ngay cả với các tiến trình spyware có thể tự nạp vào bộ nhớ cũng bị ngăn chặn thay đổi Registry, vì vậy nhanh chóng bị loại bỏ đơn giản bằng cách khởi động lại hệ thống.

    Spybot có tính năng bảo vệ file Hosts. File Hosts cung cấp các “lộ trình” cho trình duyệt, chứa địa chỉ website và địa chỉ IP tương ứng. File này thường bị tin tặc khai thác để ngăn người dùng duyệt các trang web về bảo mật như site của hãng phần mềm chống virus.

    CounterSpy và Spy Sweeper cũng ngăn chặn được việc thay đổi file Hosts, cấm các chỉnh sửa Registry, ngăn không cho thay đổi trang chủ trình duyệt và các trang tìm kiếm, phát hiện các tiến trình nghi ngờ trong bộ nhớ.

    Ad-Aware SE Personal không có tính năng bảo vệ thời gian thực, tuy nhiên bạn có thể thiết lập để cấm thay đổi file Hosts. Phiên bản có phí Ad-Aware SE Plus và SE Professional (27USD và 40USD) bổ sung Ad-Watch có các tính năng tương tự CounterSpy và Spy Sweeper. eTrust PestPatrol Anti Spyware có thể phát hiện các tiến trình đáng ngờ trong bộ nhớ, nhưng nó không cảnh báo khi các thiết lập hệ thống quan trọng bị thay đổi. SpySubtract Pro cảnh báo khi trang chủ của trình duyệt và các trang tìm kiếm bị thay đổi và phát hiện được các tiến trình nghi ngờ trong bộ nhớ. McAfee AntiSpyware có cơ chế bảo vệ thời gian thực, nhưng mức độ nhận dạng thấp.
    Khả năng bảo vệ thời gian thực của Spyware Eliminator và Internet Cleanup không nhiều. Spyware Eliminator chỉ lập “danh sách đen” các website và ActiveX nghi ngờ. Tương tự Spyware Eliminator, Internet Cleanup bỏ qua các thay đổi trang chủ và trang tìm kiếm, không phát hiện được các tiến trình nghi ngờ, và không bảo vệ file Hosts. Tuy nhiên, nó chặn được các quảng cáo pop-up và cung cấp tính năng khoá thông tin cá nhân để tránh bị tiết lộ.

     

    TỰ BẢO VỆ CHỐNG LẠI SPYWARE: THAY ĐỔI HOẶC CẬP NHẬT TRÌNH DUYỆT

     
     
    Zango có thể không được hoan nghênh, nhưng ít nhất nó cho bạn biết điều gì sẽ xảy ra. Vì vậy bạn sẽ không bất ngờ khi trình duyệt chuyển hướng đến các website quảng cáo.
     

    Bạn có thể tự bảo vệ chống lại nhiều spyware bằng cách chuyển từ IE sang trình duyệt khác, như Mozilla Firefox. Tuy nhiên, có thể trình duyệt thay thế có những lỗ hổng dẫn đến rắc rối. Và bạn sẽ gặp phải những phiền toái với một vài website không làm việc đúng với những trình duyệt khác IE.
    Đối với ai không muốn chuyển đổi, IE version 6 và mới hơn có thiết lập bảo mật mặc định bảo vệ chống spyware tốt hơn. (Đến find.pcworld.com/46692 để có thêm thông tin về các thiết lập bảo mật trong IE).
    Việc nâng cấp phiên bản mới nhất, đảm bảo hệ thống được vá lỗi

     
      , và thận trọng khi cài phần mềm không rõ nguồn gốc sẽ giúp tránh spyware.
    Tại PC World Spyware Help Center (find.pcworld.com/46694), bạn có thể tìm hiểu các phần mềm trước khi cài đặt. Với những phần mềm chọn cài đặt, hãy đọc cẩn thận thoả ước sử dụng (EULA); có thể có khuyến cáo sẽ nạp các chương trình khác. Cuối cùng, nếu hệ thống của bạn bị nhiễm spyware, hãy thử giải pháp dễ dàng trước: kiểm tra danh sách Windows Add or Remove Programs để xem có mục gỡ cài đặt không.
     


    Dễ dùng

     

    Hình 4: Gỡ đi các biểu tượng tối nghĩa của Ad-Aware, giao diện dễ hiểu hơn.

    Giao diện của Counterspy hấp dẫn và dễ dùng. Nút Scan Now xuất hiện nổi bật trên màn hình chào, hệ thống menu dễ thao tác và cơ chế bảo vệ thời gian thực vẫn có hiệu lực khi đóng chương trình. Giao diện của Ad-Aware cũng thu hút không kém, nhưng menu của chương trình bị ẩn sau các biểu tượng không tên, yêu cầu phải suy đoán một chút. Spybot yêu cầu người dùng trước hết chuyển sang chế độ Advanced rồi duyệt qua các mục khác nhau để tìm các thiết lập và tùy chọn công cụ. Cả Ad-Aware và CounterSpy đều có cung cấp báo cáo dễ hiểu.

    Giao diện văn bản đơn giản của HijackThis rất dễ dùng, mặc dù thông báo kết quả cần người có kinh nghiệm giải mã.

    Spyware Eliminator có giao diện với menu rõ ràng, nhưng công cụ này nạp rất chậm. Giao diện của Internet Cleanup rối rắm và khó sử dụng.

    Mặc dù dễ di chuyển nhưng giao diện của eTrust PestPatrol Anti-Spyware không hấp dẫn. Giao diện của Spy Sweeper trực quan, nhưng chỉ cho phép đóng chương trình chính khi tắt chức năng bảo vệ thời gian thực. McAfee Anti Spyware cài đặt biểu tượng McAfee Security Center ở khay hệ thống nhưng lại không có tùy chọn để truy cập thành phần chống spyware.

    Ứng viên số 1?

    Bạn có thể sử dụng công cụ chống spyware miễn phí, tuy nhiên đây là lĩnh vực đáng để đầu tư. Spybot & Destroy miễn phí có khả năng phát hiện 54% và kiểm tra thời gian thực hiệu quả. Vẫn theo chính sách miễn phí, bạn có thể kết hợp Spybot với Ad-Aware SE Personal có tỉ lệ phát hiện những lây nhiễm hoạt động cao hơn một chút so với Spybot.

    CounterSpy tỏ ra đáng giá nhất với tỉ lệ phát hiện cao nhất, giao diện rõ ràng và tốc độ kiểm tra nhanh nhất. Giá 20USD cho 1 năm cập nhật và hỗ trợ kỹ thuật là không đắt. Bạn cũng sẽ không thất vọng với Spy Sweeper, hiệu quả không kém CounterSpy, quét nhanh và dễ dùng. Kết hợp một trong hai sản phẩm này với HijackThis, bạn có thể bảo vệ hệ thống của mình miễn nhiễm spyware.

    Thông tin liên quan :
                 Bảng : - So sánh tính năng : Counterspy và spy sweeper dẫn đầu
                            - Khả năng phát hiện spyware : Làm sạch hệ thống

    Nguyễn Lê
    PC World Mỹ 04/2005

    ID: A0504_91