Tiêu diệt Spyware

Thoạt đầu, phần mềm chống virus chuyên trị virus và sâu, còn phần mềm chống spyware chuyên trị spyware và adware. Sự phân biệt rõ ràng này giờ đã không còn. Sự suy giảm virus macro và sâu email đã buộc các công ty phát triển phần mềm chống virus phải tìm kiếm mục tiêu khác để chiến đấu, và sự phức tạp của spyware làm cho nó trở thành kẻ địch hết sức nguy hiểm. Trong thử nghiệm gần đây, các công cụ chống virus đã tỏ ra hiệu quả trong cuộc chiến chống Trojan horse, các chương trình “cổng hậu” (thường được phân loại là spyware) cũng như adware. Chúng ta sẽ tìm lời đáp cho câu hỏi về hiệu quả của các công cụ chuyên trị spyware.

Để có câu trả lời, chúng ta sẽ xem xét 6 phần mềm nổi tiếng: 5 phần mềm chạy trên hệ thống Windows Vista gồm Grisoft AVG Anti-Spyware 7.5, Microsoft Windows Defender 1.1, PC Tools Spyware Doctor 5.0, Safer Networking Spybot Search & Destroy 1.4 và Webroot Spy Sweeper 5.5; và phần mềm thứ 6 - Lavasoft Ad-Aware 2007 Plus chạy trên Windows XP SP2 do vào thời điểm thực hiện cuộc thử nghiệm đánh giá này, Ad-Aware chưa có phiên bản chạy trên Vista, vì lý do này kết quả của nó không được so sánh trực tiếp với các phần mềm khác.

Công ty AV-Test.org của Đức đảm nhận phần thử nghiệm malware, tấn công các phần mềm bằng các mẫu adware và spyware hiện hành. AV-Test đo lường khả năng nhận biết khoảng 110.000 mẫu adware, spyware và rootkit ở trạng thái không hoạt động. Mẫu không hoạt động giống như ứng dụng tải về từ Internet nhưng chưa chạy hay cài đặt. Phần mềm chống spyware cần phát hiện ra mẫu dựa trên cơ sở dữ liệu nhận dạng đã biết trước khi mẫu đó được kích hoạt. AV-Test cũng kiểm tra từng phần mềm về khả năng nhận diện hành vi và sau đó khử sạch 20 mẫu adware và spyware hoạt động. Vì mỗi mối đe doạ có thể chia nhỏ hơn 100 thành phần nên việc khử sạch khá phức tạp. Nhóm thử nghiệm (NTN) kiểm tra các phần mềm về khả năng làm sạch những thay đổi registry và file quan trọng. NTN cũng kiểm tra các tính năng dựa trên hành vi để phát hiện và ngăn chặn những thay đổi đối với những vùng trọng yếu của hệ thống mà không hề có thông tin gì về đối tượng xâm nhập. Các tay viết spyware liên tục đưa ra những mối đe doạ mới, còn các công ty bảo mật thường cần thời gian để đưa ra dữ liệu nhận dạng các mối đe doạ đó. Tính năng phát hiện dựa trên hành vi của phần mềm chống spyware bảo vệ người dùng trong giai đoạn quan trọng này. NTN cũng đánh giá việc phát hiện sai và tốc độ làm việc; về thiết kế, giá cả và tính dễ dùng.

Kết quả: Spyware Doctor 5.0 của PC Tools vượt trội so với các đối thủ cùng chạy trên Windows Vista. AVG Anti-Spyware 7.5 của Grisoft và Spy Sweeper 5.5 của Webroot xếp phía dưới cách xa. Cả Spybot Search & Destroy lẫn Windows Defender đều không hiệu quả trước các mối đe doạ hiện nay. Trên Windows XP, Lavasoft Ad-Aware không gây được ấn tượng gì về hiệu năng.

Spyware Doctor 5.0


Các nút chức năng to và thiết kế rõ ràng của Spyware Doctor cho phép
dễ dàng thiết lập chế độ bảo vệ theo thời gian thực

Trong các thử nghiệm do AV-Test thực hiện, Spyware Doctor tỏ ra xuất sắc trong việc nhận diện và diệt adware. Kết quả đối phó với spyware kém ấn tượng hơn nhưng vẫn tốt hơn các phần mềm khác. Spyware Doctor phát hiện 81% mẫu adware không hoạt động và 100% mẫu adware hoạt động, gỡ bỏ thành công hầu như tất cả mẫu adware hoạt động. Tuy nhiên, khi đối phó với đối tượng xâm nhập khác, Spyware Doctor chỉ phát hiện được 27% spyware không hoạt động liên quan đến ngân hàng và 43% spyware đánh cắp password. Nó phát hiện được tất cả mẫu spyware hoạt động ngoại trừ Trojan horse đánh cắp password PSW.Maram, và trừ khử thành công 70% “kẻ phá hoại”.

Spyware Doctor cũng thực hiện tốt các thử nghiệm phát hiện dựa trên hành vi, phát hiện các hành vi thêm vào khoá "Run" ở HKCU và HKLM ngăn adware và spyware thay đổi các trang tìm kiếm và trang home của IE. Tuy nhiên, nó không phát hiện được những thay đổi với file Hosts (spyware có thể dùng để chuyển hướng đến website lừa đảo).

Mặc định, Spyware Doctor không bật tính năng chống rootkit, mục đích nhằm tăng tốc độ quét và giảm thiểu việc phát hiện nhầm (Spyware Doctor tìm thấy 8 trong 9 mẫu rootkit không hoạt động). Khi bật tính năng này, nó cảnh báo nhầm 387 cookie giám sát quảng cáo của Google, của website New York Times và của các site tên tuổi khác.

PC Tools cung cấp dịch vụ hỗ trợ qua điện thoại miễn phí cho khách hàng tại Mỹ. Thêm 10USD, bạn có thêm tính năng chống virus.

Tuy còn cần cải tiến đôi chút ở giao diện và ở tính năng diệt spyware, nhưng Spy Doctor vẫn là lựa chọn tốt nhất nếu bạn đang tìm công cụ bảo vệ chống adware và spyware toàn diện và chấp nhận cái giá 30USD.

AVG Anti-Spyware 7.5

Grisoft, nổi tiếng với phần mềm AVG Anti-Virus, đã mua lại Ewido Networks năm rồi và làm lại công nghệ chống spyware của mình để tung ra sản phẩm AVG Anti-Spyware. Phần mềm có giao diện đẹp này có khả năng nhận diện các mối đe doạ cao nhất (tính % trung bình). Tiếc là nó phát hiện dựa trên hành vi kém và mức phát hiện nhầm cao.


Mặc dù có thiết kế tốt và dễ dùng, nhưng AVG Anti-Spyware
lại có mức phát hiện nhầm cao

Trong thử nghiệm, AVG Anti-Spyware làm tốt việc phát hiện adware và spyware đã biết. Phần mềm này phát hiện 19 trong số 20 mẫu hoạt động (đã cài đặt trên máy tính), chỉ bỏ sót Trojan horse Banbra chuyên thu thập tài khoản ngân hàng. Phần mềm AVG cũng là phần mềm tốt nhất cho đến nay nhận diện được số lượng lớn adware không hoạt động, keylogger, spyware liên quan đến ngân hàng và rootkit - một bằng chứng về cơ sở dữ liệu nhận dạng đầy đủ.

Nhưng khi AVG không nhận ra mối đe doạ, tính năng phát hiện dựa trên hành vi của nó không báo hiệu các hành vi khả nghi bổ sung vào khoá "Run" ở HKLM, các thay đổi trang tìm kiếm và trang home mặc định của IE, và các thay đổi với file Hosts. Do vậy, phần mềm này có thể cho phép các mối đe doạ chưa biết xâm nhập những vùng trọng yếu của máy tính.

AVG Anti-Spyware dễ dùng với các biểu tượng dễ hiểu. Nhưng nó thiếu tính năng chống phishing để ngăn người dùng truy cập các site tài chính giả mạo chuyên thu thập thông tin cá nhân, và nó không có tính năng quét POP3, IMAP và SMTP để chặn các mối đe doạ ký sinh email. Ngoài ra, bạn không thể thiết lập điểm khôi phục hệ thống phòng trường hợp các file quan trọng vô tình bị xoá trong khi diệt spyware.

Nếu chọn AVR Anti-Spyware, hãy cân nhắc mua nó thông qua nhà phân phối có cung cấp dịch vụ hỗ trợ qua điện thoại. Grisoft chỉ cung cấp dịch vụ hỗ trợ khách hàng qua email. Tóm lại, AVG Anti-Spyware là phần mềm mạnh với cơ sở dữ liệu nhận dạng đầy đủ nhất, nhưng lại kém trong việc bảo vệ dựa trên hành vi chống lại các mối đe doạ chưa biết.

Spy Sweeper 5.5

Năm rồi, Webroot Spy Sweeper 5.0 Beta đã được đề cử là sản phẩm Best Buy. Sự việc đã thay đổi với phiên bản 5.5. Phần mềm này thể hiện xuất sắc khả năng phát hiện dựa trên hành vi, nhưng lại gây thất vọng về khả năng gỡ bỏ adware và spyware.


Chức năng Shields trong Spy Sweeper ngăn chặn việc
thay đổi IE và các thành phần khác.

Khi AV-Test cho Spy Sweeper đối phó với 20 mẫu adware và spyware hoạt động, phần mềm này phát hiện được 85% các file và khóa registry bị nhiễm. Tuy nhiên, khi được thử nghiệm đối phó với adware và spyware không hoạt động, phần mềm này chỉ phát hiện được 26% adware, 14% spyware đánh cắp password và chưa đến 2% keylogger liên quan đến ngân hàng. Phần mềm này cũng rất kém trong việc khử nhiễm, chỉ làm sạch được 25% các file và khóa registry nhiễm adware và 15% các file và khóa registry nhiễm spyware.

Tuy nhiên, Spyware Sweeper xuất sắc trong việc phát hiện dựa trên hành vi. Nó phát hiện thành công các hành vi thêm vào khóa 'Run" (HKCU và HKLM) và folder Startup cùng với các thay đổi trang tìm kiếm và trang home mặc định của IE và file Hosts.

Spy Sweeper cung cấp truy cập một nhấn đến chức năng quét hệ thống, trong thử nghiệm, chức năng này ở thiết lập mặc định hoàn tất nhanh hơn phân nửa thời gian so với đối thủ nhanh nhất xếp kế. Công ty cung cấp 10 giờ điện thoại hỗ trợ miễn phí mỗi tuần. Còn tính năng bảo vệ chống virus sẽ được cung cấp nếu bạn chịu trả thêm 10USD.

Có một điều phiền toái là phần mềm này hỏi suốt trong khi cài đặt 4 thanh công cụ trình duyệt phổ biến (AOL, Das Ortliche, Google và Quero); 5 phần mềm khác trong thử nghiệm “biết” được các thanh công cụ này hợp pháp.

Windows Defender 1.1

Windows Defender miễn phí của Microsoft cung cấp cùng với Windows Vista và có phiên bản tải miễn phí cho Windows XP SP2. Phải chi phần mềm này giới thiệu thẳng ra là chuyên chống adware thì NTN đã bớt vất vả, nhưng website của Defender lại quả quyết là phần mềm này cung cấp “bảo vệ chống spyware miễn phí”, mà về mặt này thì nó thất bại.


Windows Defender miễn phí, nhưng không có khả năng
chống đỡ một số dạng spyware.

Windows Defender phát hiện được cả 10 mối đe doạ adware hoạt động, phát hiện chưa đến 50% mẫu adware không hoạt động - kết quả ở mức trung bình. Trong các thử nghiệm khử nhiễm, phần mềm này gỡ bỏ thành công 55% các file và khóa registry nhiễm adware, không khử được PremiumSearch (adware sửa trang home và Favorites của IE) và Starware (adware tạo thanh tìm kiếm trong IE).

Nhưng đối với spyware, sự việc hoàn toàn khác. Thử nghiệm cho thấy phần mềm này không phát hiện và cũng không khử được 10 mối đe doạ spyware hoạt động. Nó chỉ phát hiện được 7% spyware đánh cắp password không hoạt động.

Windows Defender xuất sắc trong việc bảo vệ dựa trên hành vi. Nó phát hiện được tất cả hành vi thêm vào khoá "Run" (HKCU và HKLM) và folder Startup, cũng như tất cả thay đổi đối với các trang tìm kiếm và trang home của IE và file Hosts.

Windows Defender dễ cấu hình. Nó ít yêu cầu sự tác động của người dùng, ngoài việc lựa chọn mức bảo mật thấp, trung bình hay cao, và đây là phần mềm chống spyware chạy độc lập duy nhất trong số 6 sản phẩm thử nghiệm mặc định có chế độ quét theo lịch định kỳ. Trên Vista, nó là công cụ chống spyware duy nhất tích hợp với IE 7 Protected Mode cho phép quét các file tải về trước khi lưu xuống máy tính và thực thi.

Lưu ý: dịch vụ hỗ trợ điện thoại cho phần mềm này khá đắt. Sau 2 cuộc gọi miễn phí, bạn phải trả 35USD cho mỗi cuộc gọi.

Windows Defender chống adware tốt và có khả năng bảo vệ dựa trên hành vi mạnh, nhưng nếu có một spyware vượt qua hàng phòng vệ thứ nhất của Defender, bạn sẽ cần công cụ khác để trừ khử nó.

Spybot Search & Destroy 1.4

Spybot Search & Destroy của Safer Networking được xem là phần mềm chống spyware đầu tiên cung cấp tính năng bảo vệ theo thời gian thực miễn phí cho người dùng trung thành. Nhưng các thử nghiệm gần đây cho thấy phần mềm này không còn chống spyware hiệu quả.

Spybot vượt qua được tất cả thử nghiệm nhận diện nhầm, phát hiện đúng các thanh công cụ hợp pháp và 6285 file mẫu khác. Tính năng Resident TeaTimer của nó cung cấp khả năng bảo vệ dựa trên hành vi tốt. Nó phát hiện đúng các hành vi thêm vào khoá "Run" ở HKCU và HKLM, các thay đổi trang home và trang tìm kiếm mặc định của IE và file Hosts (nhưng không phát hiện ra các bổ sung vào folder Startup).


Spybot là phần mềm miễn phí và phổ biến, nhưng không còn bảo vệ hiệu quả.

Tuy nhiên, Spybot phát hiện chưa đến 2% mối đe doạ adware và spyware, cho thấy cơ sở dữ liệu nhận dạng các mối đe doạ của nó không đủ. Đối phó với các mối đe doạ đang hoạt động trên máy tính, nó bỏ sót 3 trong số 10 adware đang hoạt động và 4 trong 10 spyware đang hoạt động. Cuối cùng, nó chỉ diệt được 8% mối đe doạ đang hoạt động.

Spybot dễ cài đặt và dễ dùng, nhưng giao diện của nó dường như hướng đến người dùng am hiểu kỹ thuật. Những người dùng này sẽ thích tính năng liệt kê các BHO (Browser Helper Objects) và các ActiveX đã cài trên máy tính và tính năng xóa file an toàn. Nhưng họ sẽ không thích việc thiếu tính năng cập nhật phần mềm tự động.

Safer Networking không cung cấp dịch vụ hỗ trợ qua điện thoại, nhưng NTN ấn tượng với chất lượng của dịch vụ hỗ trợ qua web với các diễn đàn.

Nhiều năm nay phần mềm miễn phí này đã là chuẩn mực trong việc chống spyware, nhưng đáng tiếc nó đã mất khả năng cạnh tranh.

Lavasoft Ad-aware 2007 Plus

Ad-Aware chặn tốt các mối đe doạ nhưng không diệt tốt.
Ad-Aware 2007 Plus phiên bản thương mại của phần mềm Ad-Aware 2007 Free miễn phí. Dù tên như vậy nhưng Lavasoft cho biết phần mềm này diệt spyware cũng tốt như diệt adware. Với giá 27 USD, bạn nhận được các bản cập nhật tự động, tính năng quét theo lịch và bảo vệ theo thời gian thực không có ở phần mềm miễn phí, Tuy nhiên, trong thử nghiệm, tốc độ làm việc của Ad-Aware Plus không đạt yêu cầu cơ bản.

Trong các thử nghiệm do AV-Test.org thực hiện, Ad-Aware không phát hiện được 9 trong 10 mẫu spyware hoạt động. Tuy phát hiện được cả 10 mẫu adware, nhưng nó chỉ diệt được 35% số adware nhiễm trong các file và khóa registry.

Đối đầu với số lượng đồ sộ 110.380 mẫu adware và spyware không hoạt động, tính năng quét theo yêu cầu của phần mềm này phát hiện chưa đến 2%. Ad-Aware 2007 Plus cũng không có tính năng chống rootkit.

So với tính năng phát hiện dựa trên dữ liệu nhận dạng, tính năng ngăn chặn việc thay đổi hệ thống dựa trên hành vi của phần mềm này làm việc tốt hơn nhiều. Nó chặn đứng những hành vi bổ sung vào các khoá HKCU và HKLM của Registry, và phát hiện các thay đổi đối với file Hosts và folder Startup. Ad-Aware còn có tính năng TrackSweep cho phép xóa tiền sử duyệt web khỏi Internet Explorer, Mozilla Firefox và Opera.

Thật tiếc, thiết kế 2 nhánh của phần mềm này tạo nên sự phức tạp không cần thiết. Bạn phải cấu hình thành phần Ad-Watch (chức năng giám sát theo thời gian thực và bảo vệ đón đầu) tách biệt với phần còn lại của chương trình.

Ad-Aware Plus có bước tiến nhất định so với phiên bản miễn phí nhưng hiệu năng kém cỏi so với các công cụ chống spyware khác.

Vào thời điểm thực hiện cuộc thử nghiệm, Ad-Aware Plus chưa có phiên bản chạy trên Windows Vista (hiện đã có).

Ad-Aware 2007 Plus | Lavasoft, 77 tốt

Với tính năng bảo vệ thời gian thực và quét theo lịch, Ad-Aware 2007 Plus vượt trội so với các phần mềm miễn phí cùng loại, nhưng nó không phải là phần mềm chống spyware tốt nhất hiện có.

Nguyễn Lê

Thứ Tư, 31/10/2007 05:37
31 👨 365
0 Bình luận
Sắp xếp theo
    ❖ Kiến thức cơ bản