Установка Prevx1 не вызывает сложностей, но для верификации требуется подключение к Интернету. Запустите исполняемый файл, подтвердите согласие с лицензией, установив флажок и нажав кнопку Continue (Продолжить). Начнется сканирование системной области, по окончании которого будет выведен результат (рис. 5.12).
Рис. 5.12. Консоль управления Prevx CSI
Обратите внимание на сообщение после System Status. Если значок напротив окрашен в зеленый цвет и подписан Clean, это означает, что на компьютере не обнаружено вредоносных программ. Если значок красный и подпись Infected– на компьютере найдены вредоносные программы и следует принять меры. Если на компьютере будет обнаружена неизвестная программа, значок окрасится в желтый предупреждающий цвет, в этом случае пользователь должен быть внимателен, так как это может быть вредоносная программа.
Prevx должен обновлять локальную базу по мере необходимости, если соединение производится через прокси-сервер, его настройки следует указать на вкладке Configure в поле Activate Proxy Support. Автоматическую проверку системы можно установить на вкладке Scheduler. Установите флажок Scan my system every и с помощью раскрывающихся списков, расположенных справа, укажите периодичность и время проверки. Можно выбрать ежедневную проверку (Day) или указать на один из дней недели. Чтобы проверка производилась, если компьютер был выключен, установите флажок If my computer is not powered is on at the scheduled time. Для проверки компьютера после загрузки системы установите Scan automatically on bootup.
Глава 6 Потенциально опасные программы
Терминология и теория
Борьба с потенциально опасными программами
До этой главы речь шла в основном о программах, наносящих компьютеру явный вред. Однако в последнее время в прессе все чаще появляется информация не о вирусах и хакерских атаках, а о шпионских и рекламных модулях. Разберемся, что представляют собой продукты этого класса, и научимся с ними бороться.
6.1. Терминология и теория
В начале 1990-х годов были популярны вирусы и другие программы, целью которых было разрушение информации или просто шутка. Интернет развивался, количество пользователей быстро увеличивалось, и, главное, в Интернет пришли большие деньги. Появились организации и компании, заинтересованные в сборе маркетинговой информации и рекламе пользователю. Бизнес освоил новую сферу – Интернет. Чтобы совершить покупку, уже не нужно ехать с деньгами в магазин: достаточно зайти на сайт, заполнить форму и указать номер кредитной карточки – товар доставят домой. Естественно, появились желающие завладеть такой информацией.
Спрос порождает предложение, поэтому появились программы, предназначенные для вышеописанных целей. Прежде всего необходимо разобраться с терминологией. Устоявшихся терминов пока нет, и категорию опасности различным классам программ каждый производитель присваивает по-своему. Термин Malware произошел от слияния двух английских слов – malicious (плохое, злобное) и software (программное обеспечение). Им обозначают все программы, наносящие вред компьютеру, на котором они выполняются, или другим компьютерам в сети. Сюда входят сетевые и почтовые черви, компьютерные вирусы, троянские программы, хакерские утилиты, шпионские и рекламные модули и пр.
Шпионские модули, или Spyware, собирают информацию о компьютере и предпочтениях пользователя: посещаемых интернет-ресурсах, поисковых запросах, версии операционной системы и веб-браузера, используемом программном обеспечении, IP-адресе компьютера, с которого пользователь выходит в Интернет, и другие данные, которые можно использовать для рекламных кампаний. Они же могут применяться для кражи кодов и паролей доступа к ресурсам, электронных денег, номеров кредитных карт и иногда для уничтожения информации. В эту категорию иногда включают программы, предназначенные для перенаправления пользователя к своим собственным ресурсам. Для этого подменяется начальная страница загрузки браузера, фальсифицируются результаты поиска в Интернете, причем иногда с использованием подставного веб-сайта, внешне похожего на известный поисковый ресурс. Некоторые антивирусные компании, например «Лаборатория Касперского», относят к Spyware следующие элементы.
• Программы дозвона – обычные полезные программы, с помощью которых пользователь соединяется с Интернетом через модем, но в то же время они могут быть использованы для несанкционированного соединения с платными ресурсами, после чего пользователю будут приходить огромные счета.
• Утилиты для закачивания файлов из Интернета – также полезны, но злоумышленник может использовать их, чтобы незаметно для пользователя записать на его компьютер вредоносный код.
• Серверы (FTP, Proxy, Web, Telnet), IRC-клиенты, средства мониторинга, средства удаленного администрирования, утилиты для восстановления паролей – также полезны, но с их помощью вредитель может получать доступ к файлам пользователя и паролям, собирать статистику о работе системы и удаленно управлять компьютером.
В русскоязычном пространстве для обозначения этих программ используется термин Riskware, или условно-опасные программы. В англоязычном – чаще используется термин Spyware. Обозначают они одно и то же.
Недалеко от шпионских программ ушли рекламные модули – Adware. Они предназначены для показа рекламы на компьютерах пользователей, хотя с их помощью можно также собирать информацию о пользователе и его предпочтениях, чтобы показывать ему целевую рекламу. Часто Adware не выделяют в отдельную группу и относят к Spyware.
Это еще далеко не все существующие ware. Например, ранее для обозначения типов программ использовались термины Whiteware, Blackware и Greyware. Они обозначали соответственно полезное, вредное и то, что сегодня называют Spyware. Криминализация таких программ привела к появлению еще одного термина – Crimeware.
При распространении Spyware не используются вирусные технологии, они не умеют самостоятельно размножаться и заражать другие файлы, поэтому эпидемий Spyware не бывает. Их также нельзя отнести к червям и троянцам. Они выполняют только заложенную функцию: показывают рекламу, перенаправляют пользователя, звонят по определенному номеру и пр., не причиняя явного вреда. Однако это не делает их менее опасными, чем вирусы, так как некоторые из них способны нанести серьезный финансовый ущерб.
Результаты последних исследований неутешительны и лишний раз подтверждают, что с этими видами программ необходимо бороться: если в 2002 году насчитывалось около 40 семейств Adware, то за прошедшее время их количество возросло более чем в 10 раз – до 450 с 4 тыс. вариаций.
Для удобства не будем в дальнейшем разделять Spyware и Adware, что не противоречит некоторым классификациям.
Как Spyware попадают на компьютер пользователя
Самым простым способом является подключение такого модуля к определенной программе. В процессе работы пользователю показывается реклама, то есть вместо продажи программы разработчик зарабатывает на рекламе. Если пользователь хочет избавиться от рекламы, он должен заплатить за программу. Данный прием популярен при использовании Adware, и определить наличие такого модуля просто. Однако распознать шпионский модуль на порядок сложнее.
В лицензионном соглашении, выводимом при установке программы, может быть сказано, что программа содержит такой модуль. Однако подобные соглашения читают далеко не все пользователи. Кроме того, разработчик иногда «забывает» сказать, что в его программе есть подобный модуль. Это самый простой случай.
В последнее время наметилась коммерциализация этого сектора. По оценкам некоторых специалистов, работающих в области создания антивирусных программ, сегодня доход от индустрии создания вредоносных программ во много раз превосходит прибыль всех компаний, занимающихся разработкой антивирусных приложений. Производством программ такого рода занимаются профессионалы, получающие прибыль с каждого зараженного компьютера, поэтому для распространения Spyware могут использоваться уязвимости операционной системы и программ, почтовые клиенты, неправильные настройки, модернизированные версии нормальных утилит, которые предлагается загрузить с некоего ресурса, – все, о чем было рассказано в первой главе данной книги.
Примером минимального и примитивного Spyware являются Cookies. Они повсеместно используются в Интернете с различными целями, но могут применяться, чтобы получать уведомления о каждом посещенном пользователем сайте. Подробнее о Cookies будет рассказано в гл. 10 этой книги.
Рассадниками Spyware в Интернете принято считать порносайты, сайты, предлагающие крэки (crack – утилита для снятия ограничений программ), варез (warez – программное обеспечение со снятыми ограничениями или недоступные в обычном порядке), серийные номера, ссылки на ресурсы P2P-сетей, предназначенных для закачки программ, фильмов и музыки. Spyware часто содержат сайты звезд и знаменитостей, поэтому при посещении любого ресурса нужно быть внимательным, а лучше вообще не посещать подобные ресурсы.
Рассадниками Spyware в Интернете принято считать порносайты, сайты, предлагающие крэки (crack – утилита для снятия ограничений программ), варез (warez – программное обеспечение со снятыми ограничениями или недоступные в обычном порядке), серийные номера, ссылки на ресурсы P2P-сетей, предназначенных для закачки программ, фильмов и музыки. Spyware часто содержат сайты звезд и знаменитостей, поэтому при посещении любого ресурса нужно быть внимательным, а лучше вообще не посещать подобные ресурсы.
Признаки заражения
Все Spyware и Adware (за редким исключением) не наносят явного вреда компьютеру и пользователю. Такое приложение может долго работать на компьютере, а пользователь не будет ничего подозревать.
Присутствие таких приложений не должно оставаться незамеченным. К сожалению, большинству изменений, которые произойдут с компьютером в случае заражения одним из видов Spyware, можно дать вполне логичное объяснение. Например, снижение скорости загрузки сайтов легко объяснить перегруженностью провайдера, а уменьшение скорости работы компьютера – не переустановленной вовремя операционной системой.
О нахождении на компьютере такой программы говорят следующие признаки:
• браузер показывает всплывающую рекламу, если вы долго находитесь на одной веб-странице и ничего не нажимаете или вообще не подключены к Интернету;
• при запуске Internet Explorer по умолчанию загружается не та домашняя страница, которую вы установили; иногда сменить ее невозможно;
• без причин запускается браузер, чаще всего – Internet Explorer; он загружает веб-страницу, которая не запрашивалась;
• в браузере появилась ненужная панель инструментов, которую не удается удалить;
• привычный поисковик стал выглядеть необычно, а результаты поиска выдают адреса, не соответствующие теме запроса;
• на компьютере наблюдается непонятная сетевая активность; интернет-трафик заметно увеличился;
• выдается запрос на установку сетевого соединения, при этом набираемый номер не совпадает с номером провайдера;
• в списке процессов появились неизвестные приложения; компьютер стал заметно тормозить, часто выдавать ошибки.
6.2. Борьба с потенциально опасными программами
Скорость распространения Spyware стремительно увеличивается. В последнем докладе компании по обеспечению безопасности McAfee говорится, что только три из ста пользователей Интернета могут определить, насколько безопасным является посещаемый ими ресурс, поэтому главным средством борьбы остается бдительность пользователей.
Для борьбы с потенциально опасными программами были разработаны специальные утилиты, которые помогут пользователю защититься от попадания такого приложения на компьютер, а если это произошло, то очистят систему от ненужных программ. Однако здесь есть несколько подводных камней. Например, до сих пор до конца не известно, что следует относить к Spyware, какие программы относить к потенциально опасным и какую опасность они представляют для пользователя, поэтому подходы к решению проблемы бывают диаметрально противоположными. Например, в «Антивирусе Касперского» определение потенциально опасных программ реализовано как дополнительная функция, которую легко отключить. Разработчики других антивирусов не видят разницы, и определение Spyware в них идет наравне с борьбой с вредоносными программами.
В список потенциально опасных программ может быть также занесена полезная утилита – только потому, что ее можно использовать в дурных целях. Например, свободный прокси-сервер 3proxy «Лаборатория Касперского» относит к Spyware, а многие другие антивирусы и специальные утилиты его не замечают, поэтому бороться с потенциально опасными программами нужно очень осторожно, так как в список подозрительных программ может попасть полезное приложение.
Бывает наоборот. Известны случаи, когда некая программа, предназначенная для борьбы со Spyware и верно обнаруживающая некий тип Adware, вдруг переставала его определять. Некоторые широко рекламируемые приложения на практике показывают низкую эффективность или сами являются Spyware.
Все описываемые в этой книге приложения – антивирусы, проактивные системы защиты и системы контроля целостности, брандмауэры и системы отражения атак – способны в той или иной мере противостоять заражению Spyware. Например, Kaspersky Internet Security, о котором было рассказано в главе 5, имеет встроенную функцию защиты от шпионского и рекламного программного обеспечения. Однако неоднозначность подхода приводит к тому, что антивирусы (именно программы для борьбы с вирусами, а не специализированные утилиты в комплексах вроде Kaspersky Internet Security) не совсем подходят для борьбы со Spyware в силу относительно низкой эффективности, да и не все производители вовремя добавляют сигнатуры Spyware в базы вирусов.
Для защиты компьютера лучше применять специализированные утилиты, разработчики которых постоянно отслеживают ситуацию и заносят информацию о новых Spyware в базу данных своего продукта. Однако количество потенциально опасных программ быстро растет, и уже были замечены недобросовестные действия разработчиков с записями в базе данных, поэтому сегодня рекомендуется использовать не одну, а несколько специальных программ.
Защита компьютера с помощью Ad-Aware SE Personal
Продукты компании Lavasoft (http://www.adaware.ru/), предназначенные для борьбы со Spyware, давно снискали заслуженную славу среди пользователей. Среди них есть бесплатная версия (для некоммерческого использования) – Ad-Adware SE Personal, которая будет описана далее. Доступны и коммерческие версии этого продукта Ad-Aware Professional, Ad-Aware Enterprise и Ad-Aware Plus. О некоторых отличиях этих версий от Ad-Adware SE Personal будет далее рассказано отдельно.
Получить дистрибутив программы можно на сайте проекта, зайдя на страницу http://www.adaware.ru/downloads/aawsepersonal.exe. По умолчанию в программе используется английский интерфейс, поэтому стоит отдельно скачать русификатор: http://www.adaware.ru/downloads/Ad-Aware-SE-Language-Pack-Rus.zip.
На сайте проекта есть хорошее руководство пользователя по Ad-Aware Professional на русском языке (http://www.adaware.ru/downloads/Ad-Aware-AVSoft.zip). Все продукты Adware SE можно установить на компьютер с операционной системой Windows от 98 до XP.
Перед началом инсталляции необходимо удалить старую версию программы. Установку Adware SE Personal можно назвать стандартной. Для перехода к следующему этапу нажимайте Next, на втором шаге установите флажок I accept the licence agreement, подтверждая лицензионное соглашение. В последнем окне будет предложен выбор:
• Perform all full system scan now – полностью проверить систему на наличие Spyware;
• Update definition file now – обновить базы (требуется соединение с Интернетом);
• Open the help file now – показать файл документации (на английском языке).
Для выбора необходимых действий установите или снимите соответствующие флажки. Если вы владеете английским, можете выполнить все операции сейчас, в противном случае лучше заняться проверкой и обновлением после локализации интерфейса.
Перед запуском программы следует установить русификатор. Для этого распакуйте архив Ad-Aware-SE-Language-Pack-Rus.zip и запустите находящийся внутри исполняемый файл, дважды щелкнув на нем кнопкой мыши. После окна приветствия нажмите кнопку Далее – вы перейдете к окну, описывающему возможности пакета, а затем – к выбору компонентов (рис. 6.1).
Рис. 6.1. Выбор языковых модулей Ad-Aware SE
Пакет включает 12 языковых модулей, среди которых есть русский. Необходимости в установке всех нет, поэтому отключите лишние языки. Щелкните на стрелке рядом с названием языка и в появившемся меню выберите пункт Компонент будет полностью недоступен (см. рис. 6.1). Отключенный компонент помечается крестиком. Повторите эту операцию для каждого пункта, который необходимо отключить, а затем нажмите Далее.
После окончания установки программу можно запускать. Если в процессе установки не проводилось обновления, во время загрузки программы вы получите сообщение о его необходимости. При появлении главного окна программы нужно установить русский интерфейс. Для этого щелкните на значке с изображением шестеренки, в появившемся окне нажмите кнопку Interface, расположенную слева, – отобразится окно настройки интерфейса программы. Для выбора русского языка в раскрывающемся списке Language File выберите пункт Russian и нажмите Proceed.
Интерфейс программы локализован, можно приступать к работе.
Слева находятся кнопки, отвечающие за основные операции, а в окне справа выводится информация о выбранном в данный момент действии. Вверху расположена панель, кнопки на которой выполняют вспомогательные функции.