Nog niet zo lang geleden vormden virussen die meeliften met e-mails en webpagina's de ergste vijand van computergebruikers. En hoewel virussen en wormen nog steeds zeer veel schade aanrichten – in de vorm van beschadigde of verloren data – is er ook sprake van een recentere plaag, die bekend staat onder de naam spyware en de productiviteit van gebruikers sterk vermindert. De term 'spyware' kan betrekking hebben op legale doch irritante programma's die zichzelf installeren met toestemming van de gebruiker (soms zelfs zonder dat deze het in de gaten heeft, bijvoorbeeld als er te snel op 'OK' wordt geklikt). Maar het kan ook gaan om programma's die zichzelf installeren zonder enige vorm van toestemming. Beide typen toepassingen kunnen veel vergen van de rekenkracht van je computer, ze kunnen je Internetverbinding trager maken, je surfgedrag bespioneren en zelfs je browser kapen. In dit artikel noemen we de legale varianten adware, en de daadwerkelijk ongewenste programma's spyware. Adware zegt duidelijk wat het gaat doen, biedt een uninstaller en kan snel van het systeem worden verwijderd. Spyware daarentegen installeert zichzelf in het geniep en kan in de meeste gevallen niet zonder hulp worden verwijderd.

Om deze hulp te bieden is er dan ook een hele lichting van antispywareprogramma's opgekomen. We evalueerden tien recente voorbeelden daarvan. Het gaat daarbij om programma's die zijn ontworpen om spyware en adware in de pc op te sporen en te verwijderen. We keken naar de opsporingspercentages, de snelheid waarmee wordt gescand, het vermogen om te voorkomen dat ongewenste applicaties zichzelf installeren en het gebruikersgemak. Gelukkig vonden we een aantal programma's die uitstekend werk leveren bij het schoonmaken van een geïnfecteerd systeem, en met behulp van een effectieve bescherming in real time nieuwe narigheid kunnen voorkomen.

We hebben zeven producten getest afkomstig van de volgende grote en kleinere bedrijven: Internet Cleanup (van Allume Systems, voorheen Aladdin Systems), Spyware Eliminator (van Aluria Software LLC), ETrust PestPatrol Anti-Spyware (van Computer Associates International), SpySubtract Pro (van InterMute), AntiSpyware (van McAfee), CounterSpy (van Sunbelt Software) en Spy Sweeper (van Webroot Software). Verder hebben we twee populaire gratis programma's getest – Ad-Aware SE Personal van Lavasoft en Spybot Search & Destroy van Safer Networking – en een derde gratis programma dat heel anders werkt, maar niet minder effectief is: HijackThis van Merijn.org. We hebben Hijack niet in deze test opgenomen omdat het in tegenstelling tot de anderen niet op infecties scant. Ook hebben we één bètaproduct getest: de nieuwe Windows AntiSpyware van Microsoft, een product dat vorig jaar nog Giant Software's AntiSpyware heette.

De antispywareprogramma's moesten het opnemen tegen 45 adware- en spywareprogramma's die we tijdens ons werk vaak tegenkomen. Deze 45 applicaties creëerden 81 verschillende bestanden en processen, waardoor het behoorlijk lastig was om ze volledig te verwijderen. Spyware-infecties kunnen beginnen met één enkele installatie van gesponsorde software. Vaak maakt de adware de gebruiker attent op zijn bedoelingen, waarna de laatste akkoord gaat met de voorwaarden van de adware in ruil voor toegang tot het gratis programma (of de gebruiker klikt argeloos op de OK-knop onder de licentieovereenkomst zonder deze gelezen te hebben). Maar ondanks dat er veel adware is die om goedkeuring vraagt voordat het zichzelf installeert, zijn niet alle programma's zo hoffelijk. En zelfs het gratis programma dat slechts een beperkte hoeveelheid reclame belooft, kan resulteren in een systeem propvol spyware als gevolg van het downloaden en installeren van allerlei toepassingen van derde partijen.

Er bestaat nogal wat variatie in de manieren waarop adware in je systeem terecht kan komen. Twee veel voorkomende search-toolbars die we tegenkwamen – Slotchbar en Wintools – lieten geen EULA (End User License Agreement, ofwel gebruikersovereenkomst) zien waarmee adwareprogramma's doorgaans verklaren dat ze wellicht extra componenten gaan installeren. Deze twee werden zonder onze toestemming geïnstalleerd en bleken het moeilijkst te verwijderen. Ze gebruiken gelijktijdig meerdere processen die elkaar opstarten als één ervan dreigt te worden gewist.

In tegenstelling hiertoe boden de meer gangbare adware-toepassingen WhenUSearch (een search-toolbar) en Bonzi Buddy (een applicatie die vanaf de desktop hulp bij het zoeken biedt) allebei duidelijke EULA's voordat er geïnstalleerd werd. Ook hadden ze een deugdelijke uninstaller in de optie Software in het Configuratiescherm van Windows.

Grote schoonmaak

Eerst testten we hoe goed de programma's de actieve componenten van de spyware verwijderen. Daarna keken we naar de real-time bescherming van elke applicatie, zodat er überhaupt geen installatie zou kunnen plaatsvinden.

CounterSpy van Sunbelt Software bleek de beste van het gezelschap: 93 procent van alle lopende processen van onze 45 testapplicaties werd gevonden en gestopt. Bovendien was CounterSpy het enige product in onze test dat in staat was om de hardnekkige WinTools af te stoppen en van het systeem te verwijderen. Spy Sweeper van Webroot Software was een goede tweede: 89 procent van de actieve processen werd geëlimineerd (daarbij bleven er wel elementen achter van zowel WinTools als Slotchbar). Het minst effectief waren AntiSpyware van McAfee en Internet Cleanup van Allume Systems; met verwijderingspercentages van respectievelijk 33 en 11 procent.

Vaak kaapt spyware als het ware de startpagina en zoekpagina's van de computer, zodat je bij pogingen om contact te leggen met een bepaalde website of tijdens een zoekopdracht wordt omgeleid naar pornosites en andere ongewenste locaties. Erger nog, het kan zeer moeilijk zijn om deze automatische processen te doorbreken als deze door actieve processen worden bewaakt en bovendien hersteld. Het bleek dat de programma's veel moeite hadden om veranderingen in browsers en zoekpagina's te repareren. Internet Cleanup, McAfee AntiSpyware, Computer Associates' ETrust PestPatrol Antispyware, en InterMute's SpySubtract Pro waren geen van allen in staat om deze veranderingen op te merken, en Spyware Eliminator van Aluria Software kon maar 7 procent repareren. Weer was het CounterSpy die voorop liep, maar dan wel met een slaagpercentage van slechts 53 procent.

Browser Helper Objects, ofwel BHO's, zijn programma's die Internet Explorer of andere browsers aanpassen, meestal voor bonafide doeleinden. De Google Toolbar is bijvoorbeeld een BHO. Maar helaas gebruiken de ontwikkelaars van spyware en adware BHO's om toolbarcomponenten te schrijven die opgestart worden met Internet Explorer, en misbruiken ze ActiveX-controls om BHO's te downloaden en op je pc te installeren. Op die manier kunnen kwaadwillenden ongewenste toolbars ontwikkelen die niet worden opgemerkt door firewalls (die gebaseerd zijn op toestemming van de gebruiker), en vervolgens toegang zoeken tot internet.

Toen we de antispywareprogramma's testen in verband met de opsporing van ongewenste BHO's, toonden zowel CounterSpy als Spy Sweeper een succespercentage van 100 procent. Ad-Aware, ETrust PestPatrol Anti-Spyware, Spybot en SpySubtract hadden allen een percentage van 62 procent, en McAfee AntiSpyware en Spyware Eliminator spoorden 31 procent op. Internet Cleanup vond geen enkele BHO of toolbar.

Tot de favoriete lanceerplatforms van adware en spyware behoren ook zeker de registersleutels van Windows en de opstart-items. Zaken die aan deze kritieke onderdelen zijn toegevoegd zullen bij elke nieuwe Windows-sessie worden opgestart. Helaas behaalden de antispywarescanners op dit terrein verre van geweldige resultaten. Counterspy ontdekte nog het meest, met 86 procent, gevolgd door Spy Sweeper met 82 procent en Ad-Aware met 77 procent. Internet Cleanup vond slechts 5 procent.

Verder testten we het vermogen van de scanners om toevoegingen aan browsermenu's op te sporen. Bij dergelijke veranderingen wordt er niet automatisch spyware geladen, maar kan een infectie optreden zodra een gebruiker het toegevoegde menu-item selecteert. CounterSpy en Spy Sweeper boden een opsporingspercentage van 100 procent voor deze knoppen en menu-items. SpySubtract en Ad-Aware wisten 75 procent op te sporen. Internet Cleanup, Etrust PestPatrol en McAfee AntiSpyware behaalden een score van nul in deze categorie.

De rotzooi opruimen

Zoals gezegd confronteerden we in onze tests de antispywareprogramma's met 45 ad- en spyware-applicaties, die in totaal 81 verschillende infecties veroorzaakten. CounterSpy van Sunbelt en Spy Sweeper van Webroot repareerden respectievelijk 85 en 81 procent, waarmee ze een ruime voorsprong hadden op de rest van de deelnemers. Internet Cleanup van Allume kon daarentegen slechts 5 procent van de infecties vinden.

Een andere weg naar succes

Het tiende programma in onze test, HijackThis van Merijn.org, is geen traditionele scanner. HijackThis rapporteert alle actieve processen, registersleutels, opstart-items, BHO's en allerlei andere diensten in het systeem. Met behulp van het logbestand van dit programma kun je verdachte of ongewenste opstart-items lokaliseren en verwijderen. En hoewel je een ervaren gebruiker met enig zelfvertrouwen moet zijn om de verdachte items in het logbestand te kunnen identificeren, is het programma eenvoudig genoeg om door een beginner te worden bediend. De minder ervaren gebruikers kunnen hun logbestanden op de relevante internetfora aan andere gebruikers laten zien voor hulp bij het identificeren van de ongewenste processen.

We gebruikten HijackThis in combinatie met de optie Software in het configuratiescherm van Windows XP. Tot onze verbazing bleken bijna alle 45 adware/spywareprogramma's op ons geïnfecteerde systeem een eigen uninstaller te hebben in Software (om een goed gebruik van deze uninstallers te maken is het overigens nodig dat je weet waar elk programma precies bij hoort, en dat is niet altijd duidelijk). Door het activeren van de uninstallers en een vervolgbehandeling met HijackThis – dat de actieve elementen die de uninstallers hadden overgeslagen opspoorde en verwijderde – kregen we onze beste score tot dan toe: 100 procent van alle actieve componenten van de spy- en adware die onze computer infecteerde, werd vernietigd. Hetzelfde resultaat kregen we toen we HijackThis uitvoerden na een scan van CounterSpy. Er waren geen combinaties die 100 procent opleverden – de WinTools-processen die de andere scanner onaangeroerd lieten, belemmerden onze schoonmaakpogingen en HijackThis was in zijn eentje niet in staat om deze processen te stoppen.

De cijfers

We ontdekten dat er grote verschillen in snelheid tussen de scanners bestaan. De meest effectieve scanner – CounterSpy – was tevens de snelste: voor een systeem met 2,7 GB aan data had hij maar een minuut nodig. Ook Spybot en Spy Sweeper waren snel en hadden iets meer dan twee minuten nodig voor een scan van ons testsysteem. In contrast hiermee staat Spyware Eliminator. Dit programma scande het traagst en bleek tevens inconsistent: de scans duurden tussen de 10 minuten en een uur (we voerden meerdere scans uit). De overige scanners hadden tussen de 4 en 5 minuten nodig.

Ook de manieren waarop de spyware-scanners infecties rapporteerden liepen erg uiteen. Toen we bijvoorbeeld de WhenUSearch-toolbar op ons systeem installeerden, zag CounterSpy dit als twee afzonderlijke objecten: WhenUSearch en SaveNow. Daarentegen beschouwde Ad-Aware dezelfde toolbar als maar liefst 73 objecten. En nadat we CounterSpy alle actieve componenten van WhenUSearch hadden laten verwijderen, bleef Ad-Aware 5 'critical objects' melden. Het bleek daarbij te gaan om drie lege registersleutels en twee lege mappen. Dergelijke waarschuwingen kunnen onnodig alarmerend zijn; het spyware-probleem lijkt in dat geval erger dan het is.

Toezicht in real time

Het is van essentieel belang dat spyware van een geïnfecteerde computer kan worden verwijderd, maar het voorkomen van een infectie is natuurlijk nog wenselijker. Een van de meest effectieve hulpmiddelen op dit gebied was Spybot. Met behulp van de bijgeleverde Resident TeaTimer waarschuwde het programma ons zodra een ander programma pogingen deed om veranderingen aan te brengen in kritieke gebieden van het systeemregister. Zelfs de spywareprocessen die erin slaagden in het geheugen door te dringen, waren niet in staat om het register te wijzigen. Met een eenvoudige reboot konden ze daarna snel worden uitgeschakeld.

Spybot biedt daarnaast nog een functie die het hosts-bestand beschermt tegen wijzigingen. Het hosts-bestand vormt een soort wegenkaart voor de browser, waarbij elk item bestaat uit een url en het bijbehorende ip-adres waarnaar de browser moet worden geleid. Kwaadwillige programmeurs gebruiken het hosts-bestand vaak om te voorkomen dat gebruikers terechtkomen op pagina's die zijn gewijd aan veiligheid, zoals de homepages van antivirusbedrijven.

CounterSpy en Spy Sweeper blokkeerden de pogingen om het hosts-bestand te wijzigen. Verder stopten ze pogingen om het register aan te passen, voorkwamen ze dat de introductiepagina van onze browser en zoekpagina's werden gewijzigd en ontdekten ze verdachte processen in het geheugen.

Ad-Aware SE Personal biedt geen real-time bescherming, hoewel je het zo kunt instellen dat het veranderingen aan het hosts-bestand blokkeert. De commerciële versie van Ad-Aware (SE Plus en SE Professional) bevat Ad-Watch, dat functies biedt die vergelijkbaar zijn met die van CounterSpy en Spy Sweeper. PestPatrol Anti-Spyware van ETrust bleek in staat om verdachte processen in het geheugen op te sporen, maar sloeg geen alarm toen er veranderingen in kritieke systeeminstellingen werden gemaakt. SpySubtract Pro waarschuwde ons toen er wijzigingen werden aangebracht in de introductiepagina en zoekpagina's van de browser, ontdekte verdachte processen in het geheugen. McAfee AntiSpyware bevat real-time bescherming, maar de lage graad van herkenning vermindert de effectiviteit.

Zowel Spyware Eliminator als Internet Cleanup hadden weinig te bieden op het gebied van real-time bescherming. Spyware Eliminator zette alleen verdachte websites en ActiveX-controls op een zwarte lijst. Deze unieke zwarte lijst van gevaarlijke sites en ActiveX-controls is echter wel een heel aardig onderdeel van het programma. Net als Spyware Eliminator negeerde Internet Cleanup veranderingen in introductiepagina's en zoekpagina's. Ook ontdekte het geen verdachte processen, en bood het geen bescherming van het hosts-bestand. Het programma wist wel pop-ups te blokkeren en wierp een blokkade op rondom persoonlijke gegevens om openbaarmaking van gevoelige informatie te voorkomen.

Gebruikersgemak

De interface van CounterSpy is aantrekkelijk en eenvoudig in het gebruik. De knop 'scan now' staat prominent op het welkomstscherm, de menu's zijn makkelijk te doorlopen en als je het programma afsluit, blijft de real-time bescherming desondanks actief. De interface van Ad-Aware is net zo aantrekkelijk, maar de menu's gaan schuil achter tekstloze pictogrammen en vergen zodoende het nodige giswerk. Bij Spybot moet de gebruiker eerst overschakelen naar de 'advanced mode' en daarna keuzes maken uit verschillende categorieën om te komen tot de beste instellingen en opties. Zowel Ad-Aware als CounterSpy stellen verslagen op die eenvoudig te begrijpen zijn. Ad-Aware noemde wel een aantal cookies 'critical objects', waardoor de indruk ontstond dat sommige van deze onschadelijke cookies een groot risico opleverden.

Bij de op tekst gebaseerde interface van HijackThis worden de opties goed gepresenteerd. Ook is het programma uitzonderlijk makkelijk te gebruiken, hoewel je voor ontcijfering van de gerapporteerde resultaten bij voorkeur een ervaren gebruiker moet zijn.

De interface van Spyware Eliminator is lekker sober en biedt duidelijke menu's. Wel heeft het programma veel tijd nodig om te laden. Rommelig en moeilijk in het gebruik vonden we de interface van Internet Cleanup. De menu's zijn contextgevoelig en veranderden al naar gelang het gedeelte van het programma waar we ons in bevonden. Dit leverde de nodige irritatie op toen we te diep in het programma zaten en de 'Home'-knop moesten aanklikken om opnieuw te beginnen.

ETrust PestPatrol Anti-Spyware heeft een interface waardoor je weliswaar gemakkelijk kunt navigeren, maar er wel kaal en onaantrekkelijk uitziet. Ook bleek deze in het begin ietwat verwarrend: de knop 'Enter License Key' vormde het meest prominente element op het welkomstscherm. Alleen het lezen van de kleine lettertjes stelde ons gerust dat we het programma correct hadden geregistreerd.

De interface van Spy Sweeper is intuïtief, hoewel we niet in staat waren om het programma af te sluiten zonder tevens de real-time beveiliging stop te bezetten. Als gevolg daarvan werden we telkens opnieuw gevraagd of we wel echt de beveiliging wilden stopzetten, of alleen maar het programma wilden minimaliseren. Het andere uiterste: McAfee AntiSpyware installeerde het pictogram van het McAfee Security Center in de systeembalk, maar bood geen opties voor, of toegang tot het antispyware-gedeelte.

Onze keuzes

Hoewel je gratis een antispywareprogramma kunt krijgen, is dit een terrein waar je maar beter niet op kunt bezuinigen. Het gratis Spybot Search & Destroy biedt een algeheel opsporingspercentage van 54 procent en een effectieve real-time scan. Als je het bij freeware wilt houden, dan zou je Spybot kunnen combineren met Ad-Aware SE personal, waarvan het opsporingspercentage voor actieve infecties in de meeste categorieën iets hoger lag. Maar zelfs toen we Ad-Aware, Spybot en de gratis HijackThis combineerden, waren we niet in staat om 100 procent van de infecties op onze test-pc te verwijderen.

Onze eerste keus is CounterSpy van Sunbelt Software. Dit programma bleek het meest effectieve programma: het bood de hoogste opsporingspercentages, de soberste interface en de snelste scantijden. Bovendien kosten de updates en ondersteuning weinig. Ook Spy Sweeper van Webroot zal je niet teleurstellen. Deze was bijna net zo effectief als CounterSpy, scant snel en is gemakkelijk in het gebruik. Als je een van deze met HijackThis combineert – en de nodige voorzichtigheid in acht neemt bij het installeren van dubieuze hebbedingetjes – dan moet het lukken om je systeem bijna helemaal te vrijwaren van spyware.

Bèta-update: Windows AntiSpyware lijkt een winnaar

Terwijl we de testen voor dit artikel aan het uitvoeren waren, bracht Microsoft een bètaversie uit van het nieuwe Windows AntiSpyware. Dit product hoorde vroeger bij GiantSoftware, dat in december 2004 door Microsoft werd overgenomen. De bètaversie bood uitstekende resultaten in onze tests. Omdat het programma uiteraard meer up-to-date was dan de rest van de producten, hebben we geen rechtstreekse vergelijking gemaakt. Toch lijkt het alsof AntiSpyware bij zijn echte release als een heus topproduct mag worden onthaald.

Het programma bleek in staat om 91 procent van de adware/spyware in onze testomgeving op te sporen, waaronder 96 procent van de processen die in het geheugen draaiden, 67 procent van de veranderingen in introductie- of zoekpagina's, 100 procent van alle BHO's en toolbars, 95 procent van de registerwijzigingen en 100 procent van andere zaken zoals menu's en knoppen die aan programma's worden toegevoegd. Het programma had minder dan 3 minuten nodig om onze 2,7 GB aan data te scannen. Het toezicht in real time van AntiSpyware stopte infecties door het voorkomen van veranderingen in de introductiepagina en zoekpagina van de browser, onbekende processen in het geheugen op te merken, ongeoorloofde wijzigingen in het hosts-bestand te blokkeren en wijzigingen in registersleutels te voorkomen.

Om de kapers van introductie- en zoekpagina's te dwarsbomen, kan AntiSpyware de instellingen van deze pagina's automatisch terugzetten naar de standaardinstellingen van het besturingssysteem. Ook kun je bepaalde standaard introductie- en zoekpagina's aanwijzen in 'Advanced Tools, Browser Hijack Restore'. Vervolgens zal AntiSpyware je wijzen op alle pogingen om deze pagina's af te laten wijken van de ingestelde of standaardpagina's. Dit is een betere manier om kapers aan te pakken dan de enigszins vergelijkbare methode van Spy Sweeper van Webroot. Daarbij werden de instellingen van de pagina's teruggezet die van kracht waren op het moment dat Spy Sweeper voor het eerst werd geïnstalleerd. Lees meer over AntiSpyware.

Windows AntiSpyware kan prat gaan op een sobere, intuïtieve interface die qua functionaliteit en lay-out vrijwel identiek is aan CounterSpy van Sunbelt Software, een toepassing die eveneens gebruikmaakt van de technologie van Giant Software. In tegenstelling tot CounterSpy negeert AntiSpyware automatisch cookies tijdens het scannen. Dit is een welkome afwisseling voor gebruikers die prijs stellen op zaken als automatisch inloggen en personaliseren van sites, hetgeen mogelijk wordt gemaakt door cookies.

Bescherm jezelf tegen spyware: waardeer je browser op of vervang hem

Je kunt jezelf tegen veel spyware beschermen als je overstapt van de Internet Explorer naar een alternatieve browser zoals Mozilla Firefox. Toch hebben ook andere browsers kwetsbare plekken die problemen kunnen opleveren. Ook zul je last krijgen met die paar websites die alleen goed functioneren in combinatie met Internet Explorer.

Mensen die niet naar een andere browser willen overstappen, zouden IE versie 6 (of later) kunnen proberen, die standaardinstellingen bevat die een betere bescherming tegen spyware bieden (ga naar Browser Security voor meer informatie over veiligheidsinstellingen in IE). Als je de laatste versie neemt, regelmatig patches installeert (windowsupdate.microsoft.com) en voorzichtig bent met het installeren van onbekende software, dan wordt de kans op spyware een stuk kleiner.

Bij het Spyware Help Center van PC World kun je programma's onderzoeken voordat je ze installeert. En als je ervoor kiest om ze te installeren, zorg dan dat je de End User Licensing Agreement zorgvuldig doorleest en de implicaties daarvan voor je computer begrijpt. De overeenkomst zou een melding kunnen bevatten dat de toepassing ook andere programma's laadt. Ten slotte: als je spyware op je computer aantreft, probeer dan eerst de meest voor de hand liggende oplossing. Selecteer in het configuratiescherm van Windows de optie Software en kijk of er een uninstaller aanwezig is.