Spyware

Spyware ist eine Computersoftware, die persönliche Informationen über Benutzer ohne deren informierte Zustimmung sammelt. Der Begriff, der 1995 geprägt, aber in den nächsten fünf Jahren nicht mehr weit verbreitet war, wird oft synonym mit Adware und Malware (Software, die entwickelt wurde, um einen Computer zu infiltrieren und zu beschädigen) verwendet.

Persönliche Informationen werden heimlich mit einer Vielzahl von Techniken aufgezeichnet, darunter das Protokollieren von Tastenanschlägen, das Aufzeichnen des Verlaufs des Surfens im Internet und das Scannen von Dokumenten auf der Festplatte des Computers. Die Zwecke reichen von offensichtlich kriminellen (Diebstahl von Passwörtern und Finanzdaten) bis hin zu lediglich lästigen (Aufzeichnung des Internet-Suchverlaufs für gezielte Werbung , während Computerressourcen verbraucht werden). Spyware kann verschiedene Arten von Informationen sammeln. Einige Varianten versuchen, die besuchten Websites eines Benutzers zu verfolgen und diese Informationen dann an eine Werbeagentur zu senden. Böswilligere Varianten versuchen, Passwörter oder Kreditkartennummern abzufangen, wenn ein Benutzer sie in ein Webformular oder eine andere Anwendung eingibt.

Die Verbreitung von Spyware hat zur Entwicklung einer ganzen Anti-Spyware-Industrie geführt. Seine Produkte entfernen oder deaktivieren vorhandene Spyware auf den Computern, auf denen sie installiert sind, und verhindern ihre Installation. Eine Reihe von Unternehmen haben jedoch Formen von Spyware in ihre Produkte integriert. Diese Programme gelten nicht als Malware, sind aber dennoch Spyware, da sie zu Werbezwecken beobachtet und beobachtet werden. Es ist fraglich, ob es sich bei solchen „legitimen“ Verwendungen von Adware/Spyware um Malware handelt, da der Benutzer oft keine Kenntnis davon hat, dass diese „legitimen“ Programme auf seinem Computer installiert sind, und sich im Allgemeinen nicht bewusst ist, dass diese Programme seine Privatsphäre verletzen. In jedem Fall nutzen diese Programme weiterhin unerlaubt die Ressourcen des Host-Rechners.



Geschichte und Entwicklung

Die erste aufgezeichnete Verwendung des Begriffs Spyware erfolgte am 16. Oktober 1995 in einem Usenet-Beitrag, der sich über ihn lustig machte Microsoft das Geschäftsmodell von . Spyware zunächst bezeichnet Hardware- für Spionagezwecke gedacht. Anfang 2000 verwendete der Gründer von Zone Labs, Gregor Freund, den Begriff jedoch in einer Pressemitteilung für die ZoneAlarm Personal Firewall. Seitdem hat „Spyware“ seine heutige Bedeutung angenommen.

Anfang 2001 stellte Steve Gibson von Gibson Research fest, dass auf seinem System Werbesoftware installiert war, und vermutete, dass diese seine persönlichen Daten stahl. Nach einer Analyse stellte er fest, dass es sich um Adware der Firmen Aureate (später Radiate) und Conducent handelte. Gibson entwickelte und veröffentlichte das erste Anti-Spyware-Programm, OptOut. Seitdem sind viele weitere erschienen.

Laut einer Studie von AOL und der National Cyber-Security Alliance vom November 2004 hatten 80 % der Computer der befragten Benutzer irgendeine Form von Spyware, mit durchschnittlich 93 Spyware-Komponenten pro Computer (diese Zählungen umfassen normalerweise 'Cookies', die zurückmelden eine Website, sind aber keine Software als solche). 89 % der befragten Benutzer mit Spyware gaben an, dass sie nichts davon wussten, und 95 % gaben an, dass sie der Installation der Spyware keine Erlaubnis erteilt hatten.

Seit 2006 ist Spyware zu einer der herausragenden Sicherheitsbedrohungen für laufende Computersysteme geworden Microsoft Windows Betriebssysteme. In einer Schätzung, die auf von Kunden gesendeten Scanprotokollen basiert, sagt Webroot Software, Hersteller von Spy Sweeper, dass 9 von 10 Computern mit dem verbunden sind Internet sind infiziert. Computer wo Internet Explorer (IE) der primäre Browser ist, sind besonders anfällig für solche Angriffe, nicht nur, weil IE am weitesten verbreitet ist, sondern auch, weil seine enge Integration mit Windows Spyware den Zugriff auf wichtige Teile des Betriebssystems ermöglicht.

Vergleich

Spyware, Adware und Tracking

Der Begriff Adware bezieht sich häufig auf jede Software, die Werbung anzeigt, unabhängig davon, ob der Benutzer zugestimmt hat oder nicht. Programme wie der Mail-Client Eudora zeigen Werbung als Alternative zu den Registrierungsgebühren für Shareware an. Diese gelten als „Adware“ im Sinne von werbeunterstützter Software, jedoch nicht als Spyware. Adware in dieser Form arbeitet nicht heimlich oder führt den Benutzer in die Irre, sondern stellt dem Benutzer einen bestimmten Dienst zur Verfügung.

Die meisten Spyware ist Adware in einem anderen Sinne: es zeigt Werbung an. Gator Software von Claria Corporation und BargainBuddy von Exact Advertising sind Beispiele. Auf besuchten Websites wird Gator häufig heimlich auf Client-Rechnern installiert, und es leitet Einnahmen an die Installationsseite und an Claria weiter, indem es dem Benutzer Werbung anzeigt. Der Benutzer erhält viele Popup-Werbung.

Anderes Spyware-Verhalten, wie das Melden von Websites, die der Benutzer besucht, findet im Hintergrund statt. Die Daten werden für 'gezielte' Werbeeinblendungen verwendet. Die Verbreitung von Spyware hat andere Programme, die das Surfen im Internet nachverfolgen, sogar für statistische oder Forschungszwecke, verdächtig gemacht. Einige Beobachter bezeichnen die Alexa Toolbar, ein von Amazon.com veröffentlichtes Plug-In für den Internet Explorer, als Spyware (und einige Anti-Spyware-Programme melden es als solche). Viele Benutzer entscheiden sich jedoch für die Installation.

Spyware, Viren und Würmer

Im Gegensatz zu Viren und Würmern repliziert sich Spyware normalerweise nicht selbst. Wie viele neuere Viren nutzt Spyware jedoch – von Natur aus – infizierte Computer für kommerzielle Zwecke aus. Zu den typischen Taktiken, die dieses Ziel fördern, gehört die Lieferung unerwünschter Popup-Werbung; Diebstahl persönlicher Daten (einschließlich Finanzdaten wie Kreditkartennummern); Überwachung der Web-Browsing-Aktivitäten für Marketingzwecke; oder Weiterleitung von HTTP-Anforderungen an Werbeseiten.

Infektionswege

Spyware verbreitet sich nicht direkt wie ein Computervirus oder -wurm: Im Allgemeinen versucht ein infiziertes System nicht, die Infektion auf andere Computer zu übertragen. Stattdessen gelangt Spyware durch Täuschung des Benutzers oder durch Ausnutzung von Software-Schwachstellen auf ein System.

Die meiste Spyware wird installiert, ohne dass die Benutzer dies bemerken. Da sie dazu neigen, Software nicht zu installieren, wenn sie wissen, dass sie ihre Arbeitsumgebung stört und ihre Privatsphäre gefährdet, täuscht Spyware Benutzer, indem sie entweder eine wünschenswerte Software wie Kazaa huckepack nimmt oder sie dazu verleitet, sie zu installieren (die Trojaner-Methode). ). Einige „bösartige“ Anti-Spyware-Programme tarnen sich sogar als Sicherheitssoftware.

Der Vertreiber von Spyware präsentiert das Programm normalerweise als nützliches Dienstprogramm – beispielsweise als „Web-Beschleuniger“ oder als hilfreichen Software-Agenten. Benutzer laden die Software herunter und installieren sie, ohne sofort zu vermuten, dass sie Schaden anrichten könnte. Zum Beispiel behauptet Bonzi Buddy, ein Spyware-Programm für Kinder, dass:

Er wird mit Ihnen als Ihr ganz persönlicher Freund und Kumpel das Internet erkunden! Er kann sprechen, gehen, scherzen, stöbern, suchen, E-Mails senden und herunterladen wie kein anderer Freund, den Sie je hatten! Er kann sogar die Preise der Produkte vergleichen, die Sie lieben, und Ihnen helfen, Geld zu sparen! Das Beste von allem, er ist KOSTENLOS!

Spyware kann auch mit Shareware oder anderer herunterladbarer Software sowie mit Musik-CDs gebündelt geliefert werden. Der Benutzer lädt ein Programm herunter und installiert es, und der Installer installiert zusätzlich die Spyware. Obwohl die wünschenswerte Software selbst möglicherweise keinen Schaden anrichtet, tut die gebündelte Spyware dies. In einigen Fällen haben Spyware-Autoren Shareware-Autoren dafür bezahlt, Spyware mit ihrer Software zu bündeln. In anderen Fällen haben Spyware-Autoren wünschenswerte kostenlose Software mit Installern neu verpackt, die Spyware hinzufügen.

Eine dritte Möglichkeit, Spyware zu verbreiten, besteht darin, Benutzer auszutricksen, indem Sicherheitsfunktionen manipuliert werden, um unerwünschte Installationen zu verhindern. IE verhindert, dass Websites einen unerwünschten Download starten. Stattdessen ist eine Benutzeraktion erforderlich, z. B. das Klicken auf einen Link. Links können sich jedoch als trügerisch erweisen: Beispielsweise kann eine Popup-Werbung wie ein Standard-Windows-Dialogfeld erscheinen. Das Feld enthält eine Meldung wie 'Möchten Sie Ihren Internetzugang optimieren?' mit Links, die wie lesende Schaltflächen aussehen Ja und . Unabhängig davon, welche „Schaltfläche“ der Benutzer drückt, wird ein Download gestartet, der die Spyware auf dem System des Benutzers platziert. Spätere Versionen von IE bieten weniger Möglichkeiten für diesen Angriff.

Manche Spyware-Autoren infizieren ein System durch Sicherheitslücken im Webbrowser oder in anderer Software. Wenn der Benutzer zu einer Webseite navigiert, die vom Spyware-Autor kontrolliert wird, enthält die Seite Code, der den Browser angreift und das Herunterladen und Installieren von Spyware erzwingt. Der Spyware-Autor verfügt außerdem über umfassende Kenntnisse über im Handel erhältliche Antiviren- und Firewall-Software. Dies ist als 'Drive-by-Download' bekannt geworden, wodurch der Benutzer dem Angriff hilflos ausgeliefert ist. Gängige Browser nutzen gezielt Sicherheitslücken im Internet Explorer und in der Microsoft Java Runtime aus.

Die Installation von Spyware betrifft häufig den Internet Explorer. Aufgrund seiner Popularität und seiner Geschichte von Sicherheitsproblemen ist es das häufigste Ziel. Seine tiefe Integration in die Windows-Umgebung und die Skriptfähigkeit machen es zu einem offensichtlichen Angriffspunkt Windows . Internet Explorer dient auch als Angriffspunkt für Spyware in Form von Browser-Hilfsobjekten, die das Verhalten des Browsers ändern, um Symbolleisten hinzuzufügen oder Datenverkehr umzuleiten.

In einigen wenigen Fällen hat ein Wurm oder Virus eine Spyware-Payload geliefert. Einige Angreifer verwendeten den Spybot-Wurm, um Spyware zu installieren, die pornografische Popups auf dem Bildschirm des infizierten Systems anzeigte. Indem sie den Verkehr zu Anzeigen leiten, die Gelder an die Spyware-Autoren leiten sollen, können sie sogar von solch eindeutig illegalem Verhalten profitieren.

Wirkungen und Verhalten

Ein Spyware-Programm befindet sich selten allein auf einem Computer: Ein betroffener Computer kann schnell von vielen anderen Komponenten infiziert werden. Benutzer bemerken häufig unerwünschtes Verhalten und eine Verschlechterung der Systemleistung. Ein Spyware-Befall kann zu erheblichen unerwünschten Ergebnissen führen Zentralprozessor Aktivität, Festplattennutzung und Netzwerkverkehr, die den Computer verlangsamen. Stabilitätsprobleme wie Anwendungs- oder systemweite Abstürze sind ebenfalls häufig. Spyware, die Netzwerksoftware stört, verursacht häufig Schwierigkeiten beim Herstellen einer Internetverbindung.

Bei manchen Infektionen ist die Spyware nicht einmal erkennbar. Benutzer gehen in solchen Situationen davon aus, dass die Probleme mit der Hardware, mit Windows-Installationsproblemen oder mit einem Virus zusammenhängen. Einige Besitzer stark infizierter Systeme wenden sich an Experten des technischen Supports oder kaufen sogar einen neuen Computer, weil das vorhandene System 'zu langsam geworden ist'. Stark infizierte Systeme erfordern möglicherweise eine saubere Neuinstallation ihrer gesamten Software, um zur vollen Funktionalität zurückzukehren.

Nur selten macht eine einzige Software einen Computer unbrauchbar. Vielmehr wird ein Computer wahrscheinlich mehrere Infektionen aufweisen. Wie die AOL-Studie von 2004 feststellte, sind auf einem Computer, wenn er überhaupt Spyware enthält, in der Regel Dutzende verschiedener Komponenten installiert. Der kumulative Effekt und die Wechselwirkungen zwischen Spyware-Komponenten verursachen die Symptome, die häufig von Benutzern gemeldet werden: ein Computer, der zu einem Schneckentempo verlangsamt wird, überwältigt von den vielen parasitären Prozessen, die darauf laufen. Darüber hinaus deaktivieren einige Arten von Spyware Software-Firewalls und Antivirensoftware und/oder reduzieren die Sicherheitseinstellungen des Browsers, wodurch das System für weitere opportunistische Infektionen geöffnet wird, ähnlich wie bei einer Immunschwächekrankheit. Es sind auch dokumentierte Fälle aufgetreten, in denen ein Spyware-Programm andere Spyware-Programme deaktiviert hat, die von seinen Konkurrenten installiert wurden.

Einige andere Arten von Spyware (z. B. Targetsoft) ändern Systemdateien, sodass sie schwerer zu entfernen sind. Targetsoft modifiziert die „Winsock“-Windows-Sockets-Dateien. Das Löschen der mit Spyware infizierten Datei „inetadpt.dll“ unterbricht die normale Netzwerknutzung. Im Gegensatz zu Benutzern vieler anderer Betriebssysteme verfügt ein typischer Windows-Benutzer hauptsächlich aus Gründen der Bequemlichkeit über Administratorrechte. Aus diesem Grund hat jedes Programm, das der Benutzer ausführt (absichtlich oder nicht), uneingeschränkten Zugriff auf das System. Spyware hat zusammen mit anderen Bedrohungen dazu geführt, dass einige Windows-Benutzer auf andere Plattformen wie z Linux oder Apple Macintosh , die weniger attraktive Ziele für Malware sind. Dies liegt daran, dass diesen Programmen kein uneingeschränkter Zugriff auf das Betriebssystem gewährt wird (aufgrund der Unix Grundlagen, auf denen sowohl Linux als auch Mac OS X aufgebaut sind) und einige behaupten, dass dies teilweise auf die weitaus geringere Anzahl von Computern zurückzuführen ist, auf denen diese Betriebssysteme installiert sind, was die Entwicklung von Spyware für diese Plattformen möglicherweise weniger rentabel macht.

Anzeige

Viele Spyware-Programme zeigen Werbung an. Einige Programme zeigen einfach regelmäßig Popup-Werbung an; zum Beispiel eine alle paar Minuten oder eine, wenn der Benutzer ein neues Browserfenster öffnet. Andere zeigen Anzeigen als Reaktion auf bestimmte Websites, die der Benutzer besucht. Spyware-Betreiber präsentieren diese Funktion als wünschenswert für Werbetreibende, die Anzeigenplatzierungen in Pop-ups kaufen können, die angezeigt werden, wenn der Benutzer eine bestimmte Website besucht. Es ist auch einer der Zwecke, zu denen Spyware-Programme Informationen über das Benutzerverhalten sammeln. Pop-ups sind eine der häufigsten Beschwerden von Benutzern über Spyware.

Viele Benutzer beschweren sich auch über irritierende oder anstößige Werbung. Wie bei vielen Werbebannern verwenden viele Spyware-Anzeigen animierte oder flackernde Banner, die Benutzer visuell ablenken und stören können. Pop-up-Anzeigen für Pornografie werden oft wahllos angezeigt. Wenn Kinder die Benutzer sind, könnte dies möglicherweise gegen Anti-Pornografie-Gesetze in einigen Gerichtsbarkeiten verstoßen.

Ein weiteres Problem bei einigen Spyware-Programmen betrifft das Ersetzen von Werbebannern auf aufgerufenen Websites. Spyware, die als Web-Proxy oder Browser-Hilfsobjekt fungiert, kann Verweise auf die eigene Werbung einer Website (die die Website finanziert) durch Werbung ersetzen, die stattdessen den Spyware-Betreiber finanziert. Dies schmälert die Margen werbefinanzierter Websites.

„Stealware“ und Affiliate-Betrug

Einige Spyware-Anbieter, insbesondere 180 Solutions, haben geschrieben, was die New York Times als „Stealware“ bezeichnet und was der Spyware-Forscher Ben Edelman nennt Affiliate-Betrug , auch bekannt als Klickbetrug. Stealware leitet die Zahlung von Affiliate-Marketing-Einnahmen vom legitimen Affiliate an den Spyware-Anbieter um.

Spyware, die Affiliate-Netzwerke angreift, setzt das Affiliate-Tag des Spyware-Betreibers auf die Aktivität des Benutzers und ersetzt damit jedes andere Tag, falls vorhanden. Der Spyware-Betreiber ist die einzige Partei, die davon profitiert. Die Entscheidungen des Benutzers werden vereitelt, ein legitimer Partner verliert Einnahmen, der Ruf von Netzwerken wird geschädigt und Anbieter werden geschädigt, indem sie Partnereinnahmen an einen „Partner“ auszahlen müssen, der nicht Vertragspartei ist.

Affiliate-Betrug ist ein Verstoß gegen die Nutzungsbedingungen der meisten Affiliate-Marketing-Netzwerke. Infolgedessen wurden Spyware-Betreiber wie 180 Solutions von Affiliate-Netzwerken wie LinkShare und ShareSale ausgeschlossen.

Identitätsdiebstahl und Betrug

In einem Fall wurde Spyware eng mit Identitätsdiebstahl in Verbindung gebracht. Im August 2005 glaubten Forscher der Sicherheitssoftware-Firma Sunbelt Software, dass die Hersteller der verbreiteten CoolWebSearch-Spyware damit „Chat-Sitzungen, Benutzernamen, Passwörter, Bankinformationen usw. war) ein eigener ausgeklügelter kleiner krimineller Trojaner, der von CWS unabhängig ist.' Dieser Fall wird derzeit von der untersucht FBI .

Abgesehen von diesem Fall bleibt Identitätsdiebstahl theoretisch möglich, da Keylogger routinemäßig mit Spyware verpackt sind. Der Informationssicherheitsforscher John Bambenek schätzt, dass Identitätsdiebe allein in den Vereinigten Staaten Kontoinformationen im Wert von über 24 Milliarden US-Dollar gestohlen haben.

Spyware-Hersteller können Drahtbetrug mit begehen dialer Spyware programmieren. Diese können ein Modem zurücksetzen, um anstelle des üblichen ISP eine Premium-Tarif-Telefonnummer anzuwählen. Die Verbindung zu diesen verdächtigen Nummern ist mit Ferngesprächs- oder Überseegebühren verbunden, die ausnahmslos zu hohen Gebühren führen. Dialer sind auf Computern, die kein Modem haben oder nicht an eine Telefonleitung angeschlossen sind, wirkungslos.

Management von Digitalen Rechten

Einige Kopierschutztechnologien verwenden auch Spyware-Techniken. Digitale Rechteverwaltungstechnologien (wie XCP von Sony) verwenden tatsächlich Trojaner-Taktiken, um den rechtmäßigen Besitz eines Benutzers an der betreffenden Datei zu überprüfen. Sony wurde wegen der Verwendung virusähnlicher Techniken verklagt, um Benutzer am Kopieren seiner CDs zu hindern. Es verwendete ein Rootkit, um Sonys Software in Teile des einzubetten Windows Betriebssystem, die es schwierig machen, von Antispyware-Software gefunden und deinstalliert zu werden.

Seit dem 25. April 2006 wird die Windows Genuine Advantage Notifications-Anwendung von Microsoft auf den meisten Windows-PCs als „kritisches Sicherheitsupdate“ installiert. Während der Hauptzweck dieser absichtlich deinstallierbaren Anwendung darin besteht, sicherzustellen, dass die Kopie von Windows auf dem Computer rechtmäßig erworben und installiert wurde, installiert sie auch Software, die beschuldigt wird, täglich „nach Hause zu telefonieren“, wie Spyware. Es kann mit dem Tool RemoveWGA entfernt werden.

Spyware und Cookies

Anti-Spyware-Programme melden häufig die HTTP-Cookies , die kleinen Textdateien, die die Surfaktivitäten verfolgen, als Spyware. Obwohl sie nicht von Natur aus bösartig sind, lehnen viele Benutzer es ab, dass Dritte den Speicherplatz auf ihren PCs für ihre geschäftlichen Zwecke nutzen, und so bieten viele Anti-Spyware-Programme an, sie zu entfernen.

Beispiele für Spyware

Diese gängigen Spyware-Programme veranschaulichen die Vielfalt der Verhaltensweisen, die bei diesen Angriffen zu finden sind. Beachten Sie, dass Forscher wie bei Computerviren Spyware-Programmen Namen geben, die von ihren Erstellern möglicherweise nicht verwendet werden. Programme können in 'Familien' gruppiert werden, basierend nicht auf gemeinsamem Programmcode, sondern auf gemeinsamen Verhaltensweisen oder durch 'Folgen des Geldes' offensichtlicher finanzieller oder geschäftlicher Verbindungen. Beispielsweise sind einige der von Claria vertriebenen Spyware-Programme gemeinsam als „Gator“ bekannt. Ebenso können Programme, die häufig zusammen installiert werden, als Teile desselben Spyware-Pakets bezeichnet werden, auch wenn sie separat funktionieren.

  • CoolWebSearch , eine Gruppe von Programmen, nutzt Schwachstellen im Internet Explorer aus. Das Paket leitet den Datenverkehr zu Anzeigen auf Websites, einschließlich coolwebsearch.com . Es zeigt Popup-Werbung an, schreibt Suchmaschinenergebnisse um und ändert die Hosts-Datei des infizierten Computers, um DNS-Lookups zu diesen Seiten zu leiten.
  • Internet-Optimierer , auch bekannt als DyFuCa , leitet Internet Explorer-Fehlerseiten zu Werbung um. Wenn Benutzer einem defekten Link folgen oder eine falsche URL eingeben, sehen sie eine Seite mit Werbung. Da jedoch kennwortgeschützte Websites (HTTP-Basisauthentifizierung) denselben Mechanismus verwenden wie HTTP-Fehler, macht Internet Optimizer dem Benutzer den Zugriff auf kennwortgeschützte Sites unmöglich.
  • 180 Lösungen übermittelt detaillierte Informationen über die Websites, die Benutzer besuchen, an Werbetreibende. Es ändert auch HTTP-Anforderungen für Affiliate-Anzeigen, die von einer Website verlinkt sind, sodass die Anzeigen unverdienten Gewinn für das Unternehmen 180 Solutions erzielen. Es öffnet Popup-Anzeigen, die die Websites konkurrierender Unternehmen überdecken.
  • HuntBar , auch bekannt WinTools oder Adware.Websearch , ist eine kleine Familie von Spyware-Programmen, die von Traffic Syndicate vertrieben werden. Es wird durch einen Drive-by-Download von ActiveX auf Partner-Websites oder durch Werbung installiert, die von anderen Spyware-Programmen angezeigt wird – ein Beispiel dafür, wie Spyware mehr Spyware installieren kann. Diese Programme fügen Symbolleisten zum IE hinzu, verfolgen das Surfverhalten, leiten Affiliate-Referenzen um und zeigen Werbung an.

Rechtsfragen im Zusammenhang mit Spyware

Strafrecht

Der unbefugte Zugriff auf einen Computer ist gemäß den Gesetzen zur Computerkriminalität, wie dem US-amerikanischen Computer Fraud and Abuse Act, dem britischen Computer Misuse Act und ähnlichen Gesetzen in anderen Ländern illegal. Da die Besitzer von mit Spyware infizierten Computern im Allgemeinen behaupten, dass sie die Installation nie autorisiert haben, a prima facie Lektüre würde darauf hindeuten, dass die Verbreitung von Spyware als kriminelle Handlung gelten würde. Strafverfolgungsbehörden haben oft die Autoren anderer Malware, insbesondere Viren, verfolgt. Allerdings wurden nur wenige Spyware-Entwickler strafrechtlich verfolgt, und viele operieren offen als streng legitime Unternehmen, obwohl einige mit Gerichtsverfahren konfrontiert waren.

Spyware-Hersteller argumentieren, dass die Benutzer entgegen den Behauptungen der Benutzer tatsächlich der Installation zustimmen. Spyware, die mit Shareware-Anwendungen gebündelt geliefert wird, kann im juristischen Text einer Endbenutzer-Lizenzvereinbarung (EULA) beschrieben werden. Viele Benutzer ignorieren diese angeblichen Verträge gewohnheitsmäßig, aber Spyware-Unternehmen wie Claria behaupten, dass diese zeigen, dass die Benutzer zugestimmt haben.

Trotz der Allgegenwärtigkeit von EULAs und „Clickwrap“-Vereinbarungen, bei denen ein einziger Klick als Zustimmung zum gesamten Text gewertet werden kann, hat sich aus ihrer Verwendung relativ wenig Rechtsprechung ergeben. In den meisten Gerichtsbarkeiten des Common Law wurde festgestellt, dass eine Clickwrap-Vereinbarung ein bindender Vertrag sein kann unter Umständen. Dies bedeutet jedoch nicht, dass jede derartige Vereinbarung ein Vertrag ist oder dass jede Klausel in einer solchen durchsetzbar ist.

Einige Gerichtsbarkeiten, einschließlich der US-Bundesstaaten Iowa und Washington, haben Gesetze erlassen, die einige Formen von Spyware unter Strafe stellen. Solche Gesetze verbieten es anderen Personen als dem Besitzer oder Betreiber eines Computers, Software zu installieren, die Webbrowser-Einstellungen ändert, Tastenanschläge überwacht oder Computer-Sicherheitssoftware deaktiviert.

Zivilrecht

Der Generalstaatsanwalt und gewählte Gouverneur des Staates New York, Eliot Spitzer, hat Spyware-Unternehmen wegen betrügerischer Installation von Software verfolgt. In einer 2005 von Spitzer eingereichten Klage einigte sich die kalifornische Firma Intermix Media, Inc. schließlich darauf, 7,5 Millionen US-Dollar zu zahlen und die Verbreitung von Spyware einzustellen.

Die Entführung von Web-Werbung hat auch zu Rechtsstreitigkeiten geführt. Im Juni 2002 verklagten mehrere große Web-Publisher Claria wegen des Austauschs von Anzeigen, einigten sich aber außergerichtlich.

Gerichte mussten noch nicht entscheiden, ob Werbetreibende für Spyware haftbar gemacht werden können, die ihre Anzeigen anzeigt. In vielen Fällen machen die Unternehmen, deren Werbung in Spyware-Popups erscheint, keine direkten Geschäfte mit der Spyware-Firma. Vielmehr haben sie einen Vertrag mit einer Werbeagentur abgeschlossen, die wiederum einen Vertrag mit einem Online-Subunternehmer abgeschlossen hat, der nach der Anzahl der „Impressions“ oder Erscheinungen der Anzeige bezahlt wird. Einige große Firmen wie Dell Computer und Mercedes-Benz haben Werbeagenturen entlassen, die ihre Anzeigen mit Spyware geschaltet haben.

Verleumdungsklagen von Spyware-Entwicklern

Rechtsstreitigkeiten sind in beide Richtungen gegangen. Da „Spyware“ zu einer gängigen Abwertung geworden ist, haben einige Hersteller Verleumdungs- und Verleumdungsklagen eingereicht, wenn ihre Produkte so beschrieben wurden. Im Jahr 2003 reichte Gator (jetzt bekannt als Claria) Klage gegen die Website PC Pitstop ein, weil sie ihr Programm als 'Spyware' bezeichnet hatte. PC Pitstop einigte sich darauf, das Wort „Spyware“ nicht zu verwenden, beschreibt aber weiterhin Schäden, die durch die Gator/Claria-Software verursacht wurden. Aus diesem Grund haben auch andere Antispyware- und Antivirus-Unternehmen andere Begriffe wie „potenziell unerwünschte Programme“ oder Greyware verwendet, um diese Produkte zu bezeichnen.

Abhilfe und Vorbeugung

Da sich die Spyware-Bedrohung verschlimmert hat, sind eine Reihe von Techniken entwickelt worden, um ihr entgegenzuwirken. Dazu gehören Programme zum Entfernen oder Blockieren von Spyware sowie verschiedene Benutzerpraktiken, die die Wahrscheinlichkeit verringern, dass Spyware auf ein System gelangt.

Dennoch bleibt Spyware ein kostspieliges Problem. Wenn eine große Anzahl von Spionageprogrammen einen Windows-Computer infiziert hat, besteht die einzige Abhilfe möglicherweise darin, Benutzerdaten zu sichern und das Betriebssystem vollständig neu zu installieren.

Anti-Spyware-Programme

Viele Programmierer und einige Handelsfirmen haben Produkte herausgebracht, die entwickelt wurden, um Spyware zu entfernen oder zu blockieren. Steve Gibsons Ablehnen , oben erwähnt, war der Pionier einer wachsenden Kategorie. Programme wie das von Lavasoft Ad-Aware SE und Patrick Kollas Spybot - Suchen & Zerstören schnell an Popularität als effektive Tools zum Entfernen und in einigen Fällen zum Abfangen von Spyware-Programmen gewonnen. In jüngerer Zeit Microsoft erwarb die RIESIGES AntiSpyware Software, Umbenennung als Windows-AntiSpyware-Betaversion und Veröffentlichung als kostenloser Download für Windows XP und Windows 2003-Benutzer. Im Frühjahr 2006, Microsoft benannte die Beta-Software in Windows Defender um und sie wurde im Oktober 2006 als kostenloser Download veröffentlicht. Microsoft hat außerdem angekündigt, dass das Produkt (kostenlos) mit ausgeliefert wird Windows Vista . Andere bekannte Anti-Spyware-Produkte sind Webroot Spy Sweeper, Anti-Spyware von Trend Micro, Spyware Doctor von PC Tools und CounterSpy von Sunbelt (das eine gegabelte Codebasis von GIANT Anti-Spyware verwendet, die jetzt Windows Defender von Microsoft heißt). Blue Coat Systems veröffentlichte 2004 eine Gateway-Anti-Spyware-Lösung.

Größere Antiviren-Firmen wie Symantec, McAfee und Sophos kamen später an den Tisch und fügten ihren bestehenden Antiviren-Produkten Anti-Spyware-Funktionen hinzu. Schon früh äußerten Antivirus-Firmen ihren Widerwillen, Anti-Spyware-Funktionen hinzuzufügen, und verwiesen auf Klagen von Spyware-Autoren gegen die Autoren von Websites und Programmen, die ihre Produkte als 'Spyware' bezeichneten. Neuere Versionen der Antiviren-Produkte dieser großen Firmen für Privatanwender und Unternehmen enthalten jedoch Anti-Spyware-Funktionen, auch wenn sie anders behandelt werden als Viren. Symantec Anti-Virus beispielsweise stuft Spyware-Programme als 'erweiterte Bedrohungen' ein und bietet nun (wie auch vor Viren) Echtzeitschutz davor. Kürzlich hat das Antivirenunternehmen Grisoft, das das Antivirenprogramm AVG herstellt, das Anti-Spyware-Programm Ewido in AVG Anti-Spyware-Programm umbenannt. Dies zeigt einen Trend von Antivirus-Unternehmen, eine dedizierte Lösung für Spyware und Malware auf den Markt zu bringen. Zone Labs, Hersteller der Zone Alarm-Firewall, haben auch ein Anti-Spyware-Programm herausgebracht.

Anti-Spyware-Programme können Spyware auf zwei Arten bekämpfen:

  • Echtzeitschutz , das die Installation von Spyware verhindert;
  • Erkennung und Entfernung , das Spyware von einem infizierten Computer entfernt.

Autoren von Anti-Spyware-Programmen finden die Erkennung und Entfernung normalerweise einfacher, und es sind viele weitere Programme verfügbar geworden, die dies tun. Solche Programme untersuchen den Inhalt der Windows-Registrierung, die Betriebssystemdateien und installierte Programme und entfernen Dateien und Einträge, die mit einer Liste bekannter Spyware-Komponenten übereinstimmen. Der Echtzeitschutz vor Spyware funktioniert genauso wie der Echtzeit-Virenschutz: Die Software scannt eingehende Netzwerkdaten und Festplattendateien beim Herunterladen und blockiert die Aktivität von Komponenten, die bekanntermaßen Spyware darstellen. In einigen Fällen kann es auch Versuche abfangen, Startobjekte zu installieren oder Browsereinstellungen zu ändern. Da viele Spyware und Adware aufgrund von Browser-Exploits oder Benutzerfehlern installiert werden, kann die Verwendung von Sicherheitssoftware (von denen einige Antispyware sind, viele jedoch nicht) für Sandbox-Browser ebenfalls wirksam sein, um den angerichteten Schaden zu begrenzen.

Frühere Versionen von Anti-Spyware-Programmen konzentrierten sich hauptsächlich auf Erkennung und Entfernung. SpywareBlaster von Javacool Software, einer der ersten, der Echtzeitschutz bot, blockierte die Installation von ActiveX-basierten und anderen Spyware-Programmen. Bisher kombinieren andere Programme wie Ad-Aware und Windows Defender die beiden Ansätze, während SpywareBlaster sich weiterhin auf die Prävention konzentriert.

Wie die meisten Antivirenprogramme erfordern viele Anti-Spyware-/Adware-Tools eine häufig aktualisierte Bedrohungsdatenbank. Wenn neue Spyware-Programme veröffentlicht werden, entdecken und bewerten Anti-Spyware-Entwickler sie und erstellen „Signaturen“ oder „Definitionen“, die es der Software ermöglichen, die Spyware zu erkennen und zu entfernen. Folglich ist Anti-Spyware-Software ohne eine regelmäßige Quelle für Updates von begrenztem Nutzen. Einige Anbieter bieten einen abonnementbasierten Update-Service an, während andere Updates kostenlos anbieten. Updates können automatisch nach einem Zeitplan oder vor einem Scan installiert oder manuell durchgeführt werden.

Nicht alle Programme verlassen sich auf aktualisierte Definitionen. Einige Programme verlassen sich teilweise (zB viele Antispyware-Programme wie Windows Defender, TeaTimer von Spybot und Spysweeper) oder vollständig (Programme, die in die Klasse der Hips fallen, wie WinPatrol von BillP) auf historische Beobachtungen. Sie überwachen bestimmte Konfigurationsparameter (z. B. bestimmte Teile der Windows-Registrierung oder Browserkonfiguration) und melden dem Benutzer jede Änderung ohne Urteil oder Empfehlung. Obwohl sie sich nicht auf aktualisierte Definitionen verlassen, die es ihnen ermöglichen könnten, neuere Spyware zu erkennen, können sie keine Anleitung geben. Dem Benutzer bleibt die Entscheidung überlassen, 'was habe ich gerade getan, und ist diese Konfigurationsänderung angemessen?'

Spynet von Windows Defender versucht, dies zu lindern, indem es eine Community zum Austausch von Informationen anbietet, die sowohl Benutzern hilft, die Entscheidungen anderer einsehen können, als auch Analysten, die sich schnell verbreitende Spyware erkennen können. Ein beliebtes generisches Tool zum Entfernen von Spyware, das von Personen mit einem gewissen Maß an Erfahrung verwendet wird, ist HijackThis, das bestimmte Bereiche des Windows-Betriebssystems scannt, in denen sich häufig Spyware befindet, und eine Liste mit manuell zu löschenden Elementen anzeigt. Da es sich bei den meisten Elementen um legitime Windows-Dateien/Registrierungseinträge handelt, wird denjenigen, die sich mit diesem Thema nicht auskennen, empfohlen, ein HijackThis-Protokoll auf den zahlreichen Antispyware-Sites zu veröffentlichen und die Experten entscheiden zu lassen, was gelöscht werden soll. Open Source Anti-Spyware-Programme sind ebenfalls verfügbar. Ein Programm, wssecure, kann neue Prozesse und Änderungen in Systemdateien mithilfe der Prüfsummenüberprüfung erkennen, einer Technik, die beim Erkennen von Spyware hilfreich sein kann, die aufgrund von Windows-Schwachstellen automatisch heruntergeladen wird.

Wenn ein Spyware-Programm nicht blockiert wird und es schafft, sich selbst zu installieren, kann es versuchen, es zu beenden oder zu deinstallieren. Einige Programme arbeiten paarweise: Wenn ein Anti-Spyware-Scanner (oder der Benutzer) einen laufenden Prozess beendet, startet der andere das beendete Programm erneut. Ebenso erkennt einige Spyware Versuche, Registrierungsschlüssel zu entfernen, und fügt sie sofort wieder hinzu. Normalerweise bietet das Booten des infizierten Computers im abgesicherten Modus einem Anti-Spyware-Programm eine bessere Chance, hartnäckige Spyware zu entfernen. Das Killen des Prozessbaums kann auch funktionieren.

Eine neue Generation von Spyware (Look2Me Spyware von NicTechNetworks ist ein gutes Beispiel) beginnt sich in systemkritischen Prozessen zu verstecken und sogar im abgesicherten Modus zu starten. Ohne Prozess zum Beenden sind sie schwerer zu erkennen und zu entfernen. Manchmal hinterlassen sie nicht einmal Signaturen auf der Festplatte. Auch die Rootkit-Technologie wird zunehmend eingesetzt, ebenso wie die Verwendung alternativer NTFS-Datenströme. Neuere Spyware-Programme haben auch spezifische Gegenmaßnahmen gegen bekannte Anti-Malware-Produkte und können verhindern, dass sie ausgeführt oder installiert werden, oder sie sogar deinstallieren. Ein Beispiel für alle drei Methoden ist Gromozon, eine neue Art von Malware. Es verwendet alternative Datenströme, um sich zu verstecken. Ein Rootkit verbirgt es sogar vor Scannern für alternative Datenströme und stoppt aktiv die Ausführung beliebter Rootkit-Scanner.

Gefälschte Anti-Spyware-Programme

Böswillige Programmierer haben eine große Anzahl gefälschter Anti-Spyware-Programme veröffentlicht, und weit verbreitete Web-Banner-Anzeigen warnen Benutzer jetzt fälschlicherweise, dass ihre Computer mit Spyware infiziert wurden, und leiten sie an, Programme zu kaufen, die Spyware nicht wirklich entfernen – oder schlimmer noch hinzufügen können mehr eigene Spyware.

Die jüngste Verbreitung gefälschter oder manipulierter Antivirenprodukte hat Anlass zu einiger Besorgnis gegeben. Solche Produkte geben sich oft als Antispyware, Antivirus oder Registry Cleaner aus und enthalten manchmal Popups, die Benutzer auffordern, sie zu installieren. Sie werden Rogue-Software genannt.

Bekannte Täter sind:

  • Der Schild 2006
  • Datenschutzbeauftragter
  • Malware löschen
  • Schädlingsfalle
  • SpyAxe
  • AntiVirus Gold
  • SpywareStrike
  • Spyware-Quake
  • SpyFalcon
  • WorldAntiSpy
  • WinFixer
  • Spion Trooper
  • Spyware-Stormer
  • Spionage-Sheriff
  • SpyBan
  • SpyWiper
  • PAL-Spyware-Entferner
  • PSGuard
  • AlfaCleaner
  • BraveSentry
  • VirusBurst
  • Trustcleaner Pro
  • AntispywareSoldier
  • Malware
  • WinAntiVirus Pro 2006

Am 26.01.2006, Microsoft und der Generalstaatsanwalt des Bundesstaates Washington verklagte Secure Computer wegen seines Produkts Spyware Cleaner.

Sicherheitspraktiken

Um Spyware abzuwehren, haben Computerbenutzer neben der Installation von Anti-Spyware-Programmen mehrere nützliche Praktiken gefunden.

Viele Systembetreiber installieren einen anderen Webbrowser als IE, wie Opera oder Mozilla-Firefox . Obwohl diese auch einige Sicherheitslücken aufweisen, werden sie nicht so stark angegriffen wie der IE, da die meisten Benutzer, die wahrscheinlich auf Spyware hereinfallen, sie nicht verwenden. Obwohl kein Browser absolut sicher ist, ist Internet Explorer aufgrund seiner großen Benutzerbasis sowie Schwachstellen wie ActiveX einem größeren Risiko einer Spyware-Infektion ausgesetzt.

Einige ISPs – insbesondere Hochschulen und Universitäten – haben einen anderen Ansatz zum Blockieren von Spyware gewählt: Sie verwenden ihre Netzwerk-Firewalls und Web-Proxys, um den Zugriff auf Websites zu blockieren, von denen bekannt ist, dass sie Spyware installieren. Am 31. März 2005, Cornell Universität Die Abteilung für Informationstechnologie von hat einen Bericht veröffentlicht, in dem das Verhalten einer bestimmten Proxy-basierten Spyware beschrieben wird. Marketscore , und die Schritte, die die Universität unternahm, um sie abzufangen. Viele andere Bildungseinrichtungen haben ähnliche Schritte unternommen. Spyware-Programme, die den Netzwerkverkehr umleiten, verursachen größere Probleme beim technischen Support als Programme, die lediglich Werbung anzeigen oder das Benutzerverhalten überwachen, und können daher eher institutionelle Aufmerksamkeit erregen.

Einige Benutzer installieren eine große Hosts-Datei, die verhindert, dass der Computer des Benutzers eine Verbindung zu bekannten Spyware-bezogenen Webadressen herstellt. Durch die Verbindung mit der numerischen IP-Adresse anstelle des Domänennamens kann Spyware jedoch diese Art von Schutz umgehen.

Spyware kann über bestimmte zum Download angebotene Shareware-Programme installiert werden. Das Herunterladen von Programmen nur von seriösen Quellen kann einen gewissen Schutz vor dieser Angriffsquelle bieten. Kürzlich hat CNet sein Download-Verzeichnis überarbeitet: Es hat erklärt, dass es nur Dateien aufbewahren wird, die die Inspektion von Ad-Aware und Spyware Doctor bestehen.

Bemerkenswerte Programme, die mit Spyware vertrieben werden

  • BearShare
  • Bonzi-Buddy
  • Drogenkriege
  • ErrorGuard
  • Grokster
  • Kazaa
  • Morpheus
  • RadLight
  • Wetterfehler
  • Esel2000
  • Sony 's Extended Copy Protection beinhaltete die Installation von Spyware von Audio CDs durch Autorun. Diese Praxis löste erhebliche Kontroversen aus, als sie entdeckt wurde.
  • WildTangent Das Antispyware-Programm CounterSpy sagte früher, es sei in Ordnung, WildTangent zu behalten, aber jetzt heißt es, dass die Spyware Winpipe 'möglicherweise mit dem Adware-Bundle WildTangent oder von einer in diesem Bundle enthaltenen Bedrohung verbreitet wird'.
  • Laufwerksreiniger

Bemerkenswerte Programme, die früher mit Spyware vertrieben wurden

  • AOL Instant Messenger (AOL Instant Messenger enthält immer noch Viewpoint Media Player und WildTangent)
  • DivX (mit Ausnahme der kostenpflichtigen Version und der 'Standard'-Version ohne Encoder). DivX kündigte die Entfernung der GAIN-Software von Version 5.2 an.
  • Esel2000
  • LimeWire (alle kostenlosen Windows-Versionen bis 3.9.3)
  • FlashGet (Testversion, bevor das Programm zur Freeware gemacht wird)