На додаток до антивірусу – утиліти для захисту від шпигунів

Комп'ютер, підключений до інтернету, автоматично стає мішенню для зловмисників. Операційна система, а також додатки, які використовуються для роботи з мережею, містять велику кількість вразливостей. Використовуючи ці огріхи в системі безпеки, недоброзичливці можуть вкрасти конфіденційну інформацію з комп'ютера користувача, нав'язати рекламу, встановити шпигунський софт і навіть використовувати комп'ютер у своїх цілях, наприклад, для проведення масової атаки на певний сервер. Навіть невинне, на перший погляд, відвідування web-сайтів може призвести до збою в роботі системи.

Зловмисники постійно виявляють винахідливість. Якщо раніше головним знаряддям кіберзлочинців були написані ними віруси, то сьогодні спектр зброї недоброзичливців набагато ширше. У хід ідуть різні схеми обману, які працюють навіть у тих випадках, якщо у користувача встановлений антивірусний пакет. У цьому і проявляється "ахіллесова п'ята" системи безпеки багатьох комп'ютерів. Слабка сторона багатьох антивірусних програм полягає в тому, що їх алгоритм може визначити лише явні симптоми зараження комп'ютера. Однак шпигунський модуль може маскуватися під зовсім нешкідливе додаток, і виявити його за допомогою звичайних антивірусних сигнатур вже не вдасться.



Сьогодні захист комп'ютера не може бути забезпечена одним лише антивірусним пакетом. Кращим доказом актуальності програм для виявлення шпигунських, рекламних модулів, троянів і інших представників malware може служити те, що всі відомі розробники антивірусного ПЗ стали інтегрувати у свої продукти інструменти для виявлення потенційно небезпечних загроз – шкідливих програм, рекламних скриптів, фальшивих web-сторінок і т.д.

На наш погляд, ця функція у багатьох антивірусних програмах реалізована не кращим чином. Антивірус з вбудованим модулем для визначення рекламного і шпигунського ПЗ нерідко стає надмірно підозрілим і часто помиляється, приймаючи за потенційну загрозу абсолютно нешкідливу програму.

У цьому сенсі спеціалізовані утиліти для визначення шкідливих модулів мають деяку перевагу. При скануванні системи деякі типи шкідливих програм, наприклад, кілоггери, можуть бути визначені спеціалізованими антишпигунські утилітами швидше, ніж так званими комплексними рішеннями для забезпечення безпеки.

Звичайно, утиліти для боротьби з шпигунськими і іншими шкідливими програмами не можуть замінити антивірусний пакет. Проте вони цілком можуть доповнити його, у разі потреби. У цьому огляді ми розглянемо три цікаві програми, кожна з яких може стати прекрасним доповненням до тих засобів безпеки, які вже є на комп'ютері.


Hitman Pro 3.5.4: онлайнове сканування в "хмарі"


Розробник: SurfRight
Розмір дистрибутиву: 4,7 Мб
Поширення: shareware

Одна з найбільших проблем програм-антишпигунів – постійно зростаючий розмір баз, а також необхідність у їх постійного оновлення. Наприклад, дистрибутив однією з найбільш популярних програм-антишпигунів Lavasoft Ad-Aware вже впритул наблизився до сотні мегабайт. Не дивно, що багато користувачів відмовляються від завантаження та установки подібного ПЗ просто тому, що не хочуть мати справу з такими величезними додатками і засмічувати ними систему.

Розробники Hitman Pro пропонують альтернативний і, треба визнати, дуже сучасний варіант захисту комп'ютера від програм-шпигунів, а також деяких інших видів шкідливого ПЗ. Користувачеві пропонується завантажити файл розміром близько 5 мегабайт, що представляє собою просту оболонку для невеликої утиліти. Всі основні операції з виявлення шкідливих додатків виконуються не на комп'ютері користувача, а на віддаленому сервері, в "хмарі", як висловлюються розробники.

"Хмарні" рішення для забезпечення безпеки хороші не тільки тим, що бази сигнатур не повинні зберігатися в системі, а і тим, що користувачеві не потрібно постійно піклуватися про їх оновлення. Крім цього, завдяки такому підходу, робота програми навантажує комп'ютер набагато менше, ніж перевірка з використанням стандартних рішень, тому Hitman Pro можна запускати навіть на самій слабкою машині. Єдине, що має бути хорошим, – це інтернет-канал. Програма постійно використовує інтернет, тому якщо зв'язок повільна, непостійна або канал завантажений, це буде негативно позначатися на роботі Hitman Pro.



Робота програми організована у вигляді майстра. На першій сторінці можна вибрати один з двох варіантів пошуку шкідливих додатків, а також відкрити вікно з налаштуваннями програми. Параметри, задані по замовчуванням, підходять для більшості користувачів, однак при необхідності можна, наприклад, заборонити щоденне сканування комп'ютера при запуску системи або відключити створення точки відновлення. Крім цього, в налаштуваннях програми можна змінити мову інтерфейсу і включити швидке сканування файлів і папок за допомогою Hitman Pro з контекстного меню Провідника.



Сканування виконується досить швидко. Це пояснюється тим, що Hitman Pro не перевіряє кожен файл, наявний на жорстких дисках, а шукає лише виконувані файли в тих областях, де зазвичай прописуються шкідники. Будь-який виявлений виконуваний файл Hitman Pro тестує за кількома критеріями. Програма намагається отримати інформацію про те, хто є автором файлу, як файл потрапив на комп'ютер, перевіряє, чи є в нього цифровий підпис та інші ознаки безпечного ПЗ. Наприклад, файл може вважатися відносно безпечним, якщо він не зашифрований, не стиснутий за допомогою архіватора, має дєїнсталлятор, не прихований в системі, і якщо до нього можна вільно отримати доступ.



На другому етапі перевірки Hitman звертається до великої онлайнової бази. Програма знімає відбиток з знайденого виконуваного файлу і відсилає його в інтернет для порівняння. Якщо в базі виявляється відбиток того ж файлу, програма запитує інформацію про нього. Таким чином, якщо файл вже був ідентифікований як шкідливий на іншому ПК, про це відразу ж стане відомо. Якщо ж такого відбитку в базі програми немає, вона стискає файл і відсилає його цілком на сервер. Там файл ретельно перевіряється з використанням свіжих баз різних антивірусних рішень. Серед партнерів розробника Hitman Pro можна відзначити компанії a-squared, AntiVir, Prevx, Nod32 і G Data. Таким чином, після завантаження на сервер, файл перевіряється відразу декількома антивірусами, що неможливо зробити на локальному комп'ютері (антивіруси, як правило, дуже не люблять один одного – поруч встановлюватися і працювати не хочуть).

Завдяки такому підходу, а також наявності на сервері "білого списку", шанс того, що важливий системний файл буде ідентифікований як шкідливий, практично дорівнює нулю. Більш того, як нами було відмічено в процесі тестування програми, Hitman Pro ніколи не зазначає як підозрілі виконувані файли популярних додатків. А ось деякі екзотичні програми, особливо ті, у яких відсутній цифрова підпис, викликають у нього підозру. Так що в цілому, поведінка програми повністю адекватно.



Після того, як всі етапи перевірки пройдено, буде складений список виявлених об'єктів. Деякі файли можуть бути позначені як однозначно небезпечні. Їхня програма запропонує видалити або ж помістити на карантин. Інші файли можуть бути виділені як підозрілі. Користувачу пропонують самостійно вирішити, чи необхідно їх видалити, помістити на карантин або позначити як безпечні.

Одна з переваг Hitman Pro в тому, що, навіть виявивши небезпечний, з її точки зору, троян, програма не намагається самостійно видалити його, не питаючи користувача, як це роблять деякі рішення для забезпечення безпеки. Програма лише попереджає про небезпеку і радить, а прийняття всіх рішень залишається за користувачем.

Дистанційні і поміщені на карантин файли можна пізніше переглянути у вікні логів. Для цього потрібно знову запустити Hitman Pro і перейти в настройки, після чого перейти на вкладку "Лог".

Окремо варто відзначити наявність спеціального движка для видалення шкідливих додатків. Деякі шпигунські програми складно видалити, тому, що вони завантажуються разом з системою. Hitman Pro виконує очищення системи від знайдених загроз, а також від будь-яких слідів, які вони залишають (ключі в реєстрі, ярлики тощо) ще до завантаження Windows.

Протягом тридцяти днів Hitman Pro працює в тріал-режимі, після чого залишається доступною тільки функція сканування системи. Ліцензію можна придбати на один або на три комп'ютери строком від одного місяця до трьох років. Природно, чим більше ліцензій і чим більше термін їх дії, тим дешевше обходиться користування програмою.


PC Tools ThreatFire 4.7: виявлення malware з його поведінки


Розробник: PC Tools
Розмір дистрибутиву: 8,9 Мб
Поширення: безкоштовно

Основне призначення ThreatFire – захист від так званих атак Zero-day, тобто від таких атак, які побудовані на використанні невідомих вразливостей. ThreatFire справляється з новітніми загрозами завдяки тому, що використовує поведінковий аналізатор, тобто визначає, чи є програма шкідливої, з тих дій, які вона виконує в системі.

Програма позиціонується як доповнення до звичайних антивірусам, що працюють на основі постійно оновлюваних сигнатур. Такі антивіруси не в змозі протистояти атакам Zero-day, оскільки на аналіз зловмисних коду, випуск сигнатур і поширення їх серед користувачів потрібно занадто багато часу. Проблема дуже довгої реакції на вірус виникає і в тих випадках, коли автори шкідливого ПЗ випускають тисячі варіантів одного й того ж "зловредів". З боку антивірусних компаній на обробку всіх цих варіантів потрібно занадто багато сил, а коли потрібні сигнатури випущені, виявляється, що вони вже застаріли, оскільки кіберзлочинці поширюють вже інші модифікації свого шкідливого коду.

Звичайно ж, проблема це з'явилася не вчора, і останні версії популярних антивірусів вже забезпечують захист комп'ютерів не тільки на основі сигнатурного методу, але і з використанням поведінкового аналізатора. Однак, на жаль, далеко не всі користувачі поспішають оновлювати свої антивіруси, не розуміючи, ніж стара версія антивіруса гірше нової. Особливо це стосується тих користувачів, які далекі від світу IT і використовують комп'ютер для розваг, онлайнового шопінгу і т.д.

Отже, якщо оновлення до нової версії повноцінного засобу для забезпечення безпеки ПК з якихось причин затягується, дірки в захисті можна залатати за допомогою ThreatFire. Важливою перевагою цієї програми є її безкоштовний статус. Строго кажучи, є і комерційна версія, однак всі основні операції програма прекрасно виконує і без реєстрації. За додаткову ж плату користувачам пропонується можливість запуску сканування комп'ютера за розкладом, запуск сканування обраного об'єкта з контекстного меню, захист паролем і деякі інші функції.



Оскільки ThreatFire не забезпечує повноцінний захист комп'ютера, ще до встановлення програми виконується перевірка на наявність на ПК необхідного набору додатків для забезпечення безпеки. Так, програма перевіряє, чи встановлені антивірус і брандмауер, а також намагається з'ясувати, чи не є комп'ютер інфікованим (лікування вже зараженого комп'ютера є лише в платній версії програми). Якщо всі тести успішно пройдені, починається установка. Варто відзначити, що розробник ThreatFire випускає і інші засоби для забезпечення безпеки, в тому числі антивірус, антишпигун і брандмауер, проте програма не має нічого проти наявності на комп'ютері ПЗ від інших виробників і не конфліктує з ним.



Незважаючи на те, що головна функція ThreatFire – моніторинг процесів, у програмі також передбачена можливість сканування файлів і ключів реєстру на предмет різних загроз. Сканування може бути запущено в ручному режимі. Знайдені підозрілі об'єкти можна видалити, помістити на карантин або вказати програмі, що даний об'єкт не є шкідливим.



Всі об'єкти, оброблені програмою, можна знайти в розділі Threat Control. Тут можна відновити об'єкти, розміщені на карантин, або ж видалити їх, переглянути список виключень і відкоригувати його, проаналізувати логи виконаних операцій пошуку погроз.

Настройки безпеки, встановлені в ThreatFire за замовчуванням, підходять для більшості користувачів. Однак у програмі передбачена можливість їх зміни. Наприклад, можна відключити моніторинг процесів, змінити рівень чутливості до різного роду погроз. Якщо його підвищити, ви будете отримувати повідомлення від програми частіше. Крім цього, можна управляти поведінкою програми в різних ситуаціях, наприклад, при виявленні потенційно небезпечного програми, відомого шкідливого коду і т.д. За замовчуванням всі виявлені програмою загрози відсилаються в онлайновий центр їх обробки і аналізуються там. Якщо ви не хочете, щоб дані з вашого комп'ютера передавалися в мережу, ви можете відключити цю опцію в розділі Community Protection.



Для досвідчених користувачів у програмі передбачена можливість створення і редагування правил, згідно з якими здійснюється моніторинг процесів. Наприклад, можна додавати процеси в список довірених, визначати, як повинна себе вести програма при спробах встановлення процесами мережевих з'єднань, перейменування файлів, доступу до реєстру або до певних файлів.

Нарешті, варто відзначити наявність в ThreatFire монітора системної активності. Він наочно показує всі запущені додатки, а також пов'язані з ним процеси; додатки, які запускаються разом з системою; системні процеси і запущені служби. При необхідності можна швидко завершити будь-який з процесів.




AVZ 4.32: для захисту корпоративної мережі, і не тільки


Розробник: Олег Зайцев
Розмір дистрибутиву: 4,8 Мб
Поширення: безкоштовно

Антивірусна програма AVZ створювалася за принципом "якщо хочеш, щоб щось було зроблено добре – зроби це сам". Спочатку ця утиліта була написана нашим співвітчизником Олегом Зайцевим для виявлення вірусів у великій корпоративній мережі. Після її успішного тестування автор замислився над тим, як зробити алгоритм виявлення нових вірусів більш універсальним. Кожна нова модифікація шкідливого вірусу прагне обійти брандмауер і антивірусний сканер, маскується під нешкідливий процес, використовує різні прийоми впровадження в систему. Щоб ідентифікувати небезпеку, в програму були додані спеціальні мікропрограми евристичного аналізу, за допомогою яких можна визначати загрози, не тільки порівнюючи сигнатури баз, а й використовуючи непрямі ознаки шкідливого модуля – зміни в реєстрі, характерна модифікація файлів і ін

Незважаючи на певні можливості, такі як наявність сканера, підтримка евристичного аналізу, можливість приміщення підозрілих файлів на карантин і т.д., програму AVZ не можна вважати повноцінним антивірусом, її мета дещо інша. Головним чином, AVZ орієнтована на пошук і усунення різних троянських програм, утиліт для стеження за комп'ютером, програм, що намагаються додзвонитися по заданому номеру (наприклад, Trojan.Dialer, Porn-Dialer і ін), клавіатурних шпигунів, а також руткітів і мережевих черв'яків. Утиліта не лікує програми, заражені комп'ютерними вірусами. У документації до AVZ розробник рекомендує для якісного та коректного лікування заражених файлів використовувати спеціалізовані антивіруси – "Антивірус Касперського", DrWeb, Norton Antivirus і т.д.



Разом з цим, AVZ позиціонується як альтернатива таких додатків, як LavaSoft Ad-Aware або TrojanHunter. При цьому AVZ дійсно має певні переваги перед багатьма утилітами для пошуку шпигунських модулів. Так, в порівнянні з розробкою компанії LavaSoft, AVZ набагато швидше виконує перевірку системи. У середньому, на аналіз 10 тисяч файлів йде приблизно дві хвилини. AVZ може перевіряти архіви у форматах ZIP, RAR, CAB, GZIP, TAR.



Одна з причин, по якій система виявляється заражена вірусом, – відсутність інформації про шкідливий код в базі даних програми. Тому та ж утиліта LavaSoft Ad-aware, на думку розробника AVZ, не завжди може оперативно реагувати на нові модифікації шкідливого коду, оскільки оновлення для неї виходять нечасто. У той же час, антивірусні бази AVZ оновлюються практично щодня, тому ефективність визначення загроз програмою досить висока.

Для кожного типу вірусів в AVZ можна задати певну дію. Наприклад, програми дзвонилки програма може автоматично видаляти, при виявленні рекламних модулів – виводити звіт, при ідентифікації вірусу – питати у користувача про подальші дії і т.д. AVZ аналізує підозрілий код і може у відсотках показати ймовірність того, що підозрілий об'єкт виявиться, скажімо, клавіатурним шпигуном.

Крім основного сканера, в програму вбудовано декілька корисних інструментів. Один з них – менеджер запущених процесів. Крім даних про назву процесу і про розробника вихідного файлу, менеджер процесів може автоматично генерувати контрольну суму MD5 для кожного із запущених файлів. Крім цього, в статистиці процесів можна подивитися використовувані процесом файли бібліотек, а також отримати інформацію про вікна процесу, як видимих, так і прихованих. І, нарешті, дуже зручна опція цього інструменту – можливість швидкого пошуку в Інтернеті інформації про виділений процесі. Програма дозволяє шукати в трьох найбільш популярних пошукових системах – Google, Yandex і Rambler. У 90 відсотках випадків, ця функція дозволяє миттєво дізнатися, який саме процес ховається під тим чи іншим ім'ям.



Утиліта AVZ універсальна, тому в списку її інструментів дуже багато корисних дрібниць. Наприклад, за допомогою спеціального менеджера портів можна подивитися, які TCP і UDP-порти відкриті в системі, які на даний момент є активні з'єднання по протоколу TCP / IP. AVZ дозволяє переглядати список автозавантаження. Ще одна зручна функція програми – можливість використання власних скриптів, керуючих завданнями. Цю можливість програми повинні оцінити адміністратори великих корпоративних мереж, яким часто доводиться автоматизувати процеси на великій кількості комп'ютерів. В арсеналі AVZ присутній також утиліта для пошуку даних в реєстрі, інструмент для пошуку файлів на диску, а також утиліта, за допомогою якої можна переглядати файли Cookie за заданими даними.

AVZ може перевіряти повідомлення електронної пошти (є додатковий плагін для популярного поштового клієнта The Bat), підтримує перевірку файлів MHT і CHM.

Для самих складних випадків у програмі можна використовувати технологію AVZGuard, однак робити це слід тільки тоді, коли основні засоби боротьби з шпигунськими модулями не дають бажаного результату.

Наостанок зазначимо ще два достоїнства програми: по-перше, вона не вимагає установки, а по-друге, поширюється абсолютно безкоштовно.


Висновок


Сьогодні не можна бути впевненим на всі сто відсотків у тому, що комп'ютер, підключений до мережі, не використовується шкідливим додатком. Надійний антивірус і брандмауер, безумовно, перешкоджають проникненню найбільш небезпечних вірусів. Але як захистити систему від помилок самого користувача? Легковажні дії часто стають причиною того, що шкідливий код потрапляє в систему навіть при наявності антивірусного ПЗ. Людина завантажує, на його думку, абсолютно нешкідливий зберігач екрану, встановлює його, і, будучи повністю впевненим в його нешкідливості, не звертає уваги на попередження антивірусної програми, ігноруючи "карантин" або додаючи нову програму в список винятків. Результат відомий. Замість скрінсейвера може бути встановлена будь-яка інша програма, наприклад, троянська. Саме тому, навіть якщо ви впевнені, що у вашій системі немає шкідливого ПО, не полінуйтеся перевірити це, використовуючи одну з розглянутих утиліт.

Користувачам, які ігнорують потенційну загрозу, рано чи пізно доведеться зіткнутися з наслідками свого легковажного ставлення до безпеки комп'ютера. Сподіваємося, що з вами подібна неприємність ніколи не відбудеться.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*