Злоумышленники постоянно проявляют изобретательность. Если раньше главным орудием киберпреступников были написанные ими вирусы, то сегодня спектр оружия недоброжелателей гораздо шире. В ход идут различные схемы обмана, которые работают даже в тех случаях, если у пользователя установлен антивирусный пакет. В этом и проявляется "ахиллесова пята" системы безопасности многих компьютеров. Слабая сторона многих антивирусных программ состоит в том, что их алгоритм может определить лишь явные симптомы заражения компьютера. Однако шпионский модуль может маскироваться под совершенно безвредное приложение, и выявить его при помощи обычных антивирусных сигнатур уже не удастся.

Сегодня защита компьютера не может быть обеспечена одним лишь антивирусным пакетом. Лучшим доказательством актуальности программ для обнаружения шпионских, рекламных модулей, троянов и прочих представителей malware может служить то, что все известные разработчики антивирусного ПО стали интегрировать в свои продукты инструменты для выявления потенциально опасных угроз - вредоносных программ, рекламных скриптов, фальшивых web-страниц и т.д.

На наш взгляд, эта функция во многих антивирусных приложениях реализована не лучшим образом. Антивирус со встроенным модулем для определения рекламного и шпионского ПО нередко становится излишне подозрительным и часто ошибается, принимая за потенциальную угрозу совершенно безвредную программу.

В этом смысле специализированные утилиты для определения вредоносных модулей имеют некоторое преимущество. При сканировании системы некоторые типы вредоносных программ, например, кейлоггеры, могут быть определены специализированными антишпионскими утилитами быстрее, чем так называемыми комплексными решениями для обеспечения безопасности.

Конечно, утилиты для борьбы со шпионскими и прочими вредоносными программами не могут заменить антивирусный пакет. Однако они вполне могут дополнить его, в случае необходимости. В этом обзоре мы рассмотрим три интересные программы, каждая из которых может стать прекрасным дополнением к тем средствам безопасности, которые уже имеются на компьютере.

Hitman Pro 3.5.4: онлайновое сканирование в "облаке"

Разработчик: SurfRight
Размер дистрибутива: 4,7 Мб
Распространение: shareware

Одна из самых больших проблем программ-антишпионов - постоянно возрастающий размер баз, а также необходимость в их постоянном обновлении. Например, дистрибутив одной из наиболее популярных программ-антишпионов Lavasoft Ad-Aware уже вплотную приблизился к сотне мегабайт. Неудивительно, что многие пользователи отказываются от скачивания и установки подобного ПО просто потому, что не хотят иметь дело с такими огромными приложениями и засорять ими систему.

Разработчики Hitman Pro предлагают альтернативный и, надо признать, очень современный вариант защиты компьютера от программ-шпионов, а также некоторых других видов вредоносного ПО. Пользователю предлагается скачать файл размером около 5 мегабайт, представляющий собой простую оболочку для небольшой утилиты. Все основные операции по выявлению вредоносных приложений выполняются не на компьютере пользователя, а на удаленном сервере, в "облаке", как выражаются разработчики.

"Облачные" решения для обеспечения безопасности хороши не только тем, что базы сигнатур не должны храниться в системе, а и тем, что пользователю не нужно постоянно заботиться об их обновлении. Кроме этого, благодаря такому подходу, работа программы нагружает компьютер гораздо меньше, чем проверка с использованием стандартных решений, поэтому Hitman Pro можно запускать даже на самой слабой машине. Единственное, что должно быть хорошим, - это интернет-канал. Программа постоянно использует интернет, поэтому если связь медленная, непостоянная или канал загружен, это будет негативно сказываться на работе Hitman Pro.

Работа программы организована в виде мастера. На первой странице можно выбрать один из двух вариантов поиска вредоносных приложений, а также открыть окно с настройками программы. Параметры, заданные по умолчанию, подходят для большинства пользователей, однако при необходимости можно, например, запретить ежедневное сканирование компьютера при запуске системы или отключить создание точки восстановления. Кроме этого, в настройках программы можно сменить язык интерфейса и включить быстрое сканирование файлов и папок при помощи Hitman Pro из контекстного меню Проводника.

Сканирование выполняется достаточно быстро. Это объясняется тем, что Hitman Pro не проверяет каждый файл, имеющийся на жестких дисках, а ищет лишь исполняемые файлы в тех областях, где обычно прописываются вредители. Любой обнаруженный исполняемый файл Hitman Pro тестирует по нескольким критериям. Программа пытается получить информацию о том, кто является автором файла, как файл попал на компьютер, проверяет, имеется ли у него цифровая подпись и другие признаки неопасного ПО. Например, файл может считаться сравнительно безопасным, если он не зашифрован, не сжат при помощи архиватора, имеет деинсталлятор, не скрыт в системе, и если к нему можно свободно получить доступ.

На втором этапе проверки Hitman обращается к большой онлайновой базе. Программа снимает отпечаток с найденного исполняемого файла и отсылает его в интернет для сравнения. Если в базе обнаруживается отпечаток того же файла, программа запрашивает информацию о нем. Таким образом, если файл уже был идентифицирован как вредоносный на другом ПК, об этом сразу же станет известно. Если же такого отпечатка в базе программы нет, она сжимает файл и отсылает его целиком на сервер. Там файл тщательно проверяется с использованием свежих баз различных антивирусных решений. Среди партнеров разработчика Hitman Pro можно отметить компании a-squared, AntiVir, Prevx, Nod32 и G Data. Таким образом, после загрузки на сервер, файл проверяется сразу несколькими антивирусами, что невозможно сделать на локальном компьютере (антивирусы, как правило, очень не любят друг друга - рядом устанавливаться и работать не хотят).

Благодаря такому подходу, а также наличию на сервере "белого списка", шанс того, что важный системный файл будет идентифицирован как вредоносный, практически равен нулю. Более того, как нами было замечено в процессе тестирования программы, Hitman Pro никогда не отмечает как подозрительные исполняемые файлы популярных приложений. А вот некие экзотические программы, особенно те, у которых отсутствует цифровая подпись, вызывают у него подозрение. Так что в целом, поведение программы полностью адекватно.

После того, как все этапы проверки пройдены, будет составлен список обнаруженных объектов. Некоторые файлы могут быть помечены как однозначно опасные. Их программа предложит удалить или же поместить на карантин. Другие файлы могут быть выделены как подозрительные. Пользователю предлагают самостоятельно решить, необходимо ли их удалить, поместить на карантин или пометить как безопасные.

Одно из преимуществ Hitman Pro в том, что, даже обнаружив опасный, с ее точки зрения, троян, программа не пытается самостоятельно удалить его, не спрашивая пользователя, как это делают некоторые решения для обеспечения безопасности. Программа лишь предупреждает об опасности и советует, а принятие всех решений остается за пользователем.

Удаленные и помещенные на карантин файлы можно позже просмотреть в окне логов. Для этого нужно снова запустить Hitman Pro и перейти в настройки, после чего переключиться на вкладку "Лог".

Отдельно стоит отметить наличие специального движка для удаления вредоносных приложений. Некоторые шпионские программы сложно удалить потому, что они загружаются вместе с системой. Hitman Pro выполняет очистку системы от найденных угроз, а также от любых следов, которые они оставляют (ключи в реестре, ярлыки и пр.) еще до загрузки Windows.

В течение тридцати дней Hitman Pro работает в триал-режиме, после чего остается доступной только функция сканирования системы. Лицензию можно приобрести на один или на три компьютера сроком от одного месяца до трех лет. Естественно, чем больше лицензий и чем больше срок их действия, тем дешевле обходится пользование программой.

PC Tools ThreatFire 4.7: выявление malware по его поведению

Разработчик: PC Tools
Размер дистрибутива: 8,9 Мб
Распространение: бесплатно

Основное предназначение ThreatFire - защита от так называемых атак Zero-day, то есть от таких атак, которые построены на использовании неизвестных уязвимостей. ThreatFire справляется с новейшими угрозами благодаря тому, что использует поведенческий анализатор, то есть определяет, является ли программа вредоносной, по тем действиям, которые она выполняет в системе.

Программа позиционируется как дополнение к обычным антивирусам, работающим на основе постоянно обновляемых сигнатур. Такие антивирусы не в состоянии противостоять атакам Zero-day, поскольку на анализ вредоносного кода, выпуск сигнатур и распространение их среди пользователей требуется слишком много времени. Проблема слишком долгой реакции на вирус возникает и в тех случаях, когда авторы вредоносного ПО выпускают тысячи вариантов одного и того же "зловреда". Со стороны антивирусных компаний на обработку всех этих вариантов требуется слишком много сил, а когда нужные сигнатуры выпущены, оказывается, что они уже устарели, так как киберпреступники распространяют уже иные модификации своего вредоносного кода.

Конечно же, проблема это появилась не вчера, и последние версии популярных антивирусов уже обеспечивают защиту компьютеров не только на основе сигнатурного метода, но и с использованием поведенческого анализатора. Однако, к сожалению, далеко не все пользователи спешат обновлять свои антивирусы, не понимая, чем старая версия антивируса хуже новой. Особенно это касается тех пользователей, которые далеки от мира IT и используют компьютер для развлечений, онлайнового шопинга и т.д.

Итак, если обновление до новой версии полноценного средства для обеспечения безопасности ПК по каким-то причинам затягивается, дыры в защите можно залатать при помощи ThreatFire. Важным преимуществом этой программы является ее бесплатный статус. Строго говоря, имеется и коммерческая версия, однако все основные операции программа прекрасно выполняет и без регистрации. За дополнительную же плату пользователям предлагается возможность запуска сканирования компьютера по расписанию, запуск сканирования выбранного объекта из контекстного меню, защита паролем и некоторые другие функции.

Поскольку ThreatFire не обеспечивает полноценную защиту компьютера, еще до установки программы выполняется проверка на наличие на ПК необходимого набора приложений для обеспечения безопасности. Так, программа проверяет, установлены ли антивирус и брандмауэр, а также пытается выяснить, не является ли компьютер инфицированным (лечение уже зараженного компьютера доступно лишь в платной версии программы). Если все тесты успешно пройдены, начинается установка. Стоит отметить, что разработчик ThreatFire выпускает и другие средства для обеспечения безопасности, в том числе антивирус, антишпион и брандмауэр, однако программа не имеет ничего против наличия на компьютере ПО от других производителей и не конфликтует с ним.

Несмотря на то, что главная функция ThreatFire - мониторинг процессов, в программе также предусмотрена возможность сканирования файлов и ключей реестра на предмет различных угроз. Сканирование может быть запущено в ручном режиме. Найденные подозрительные объекты можно удалить, поместить на карантин или указать программе, что данный объект не является вредоносным.

Все объекты, обработанные программой, можно найти в разделе Threat Control. Тут можно восстановить объекты, помещенные на карантин, или же удалить их, просмотреть список исключений и откорректировать его, проанализировать логи выполненных операций поиска угроз.

Настройки безопасности, установленные в ThreatFire по умолчанию, подходят для большинства пользователей. Однако в программе предусмотрена возможность их изменения. Например, можно отключить мониторинг процессов, изменить уровень чувствительности к разного рода угрозам. Если его повысить, вы будете получать уведомления от программы чаще. Кроме этого, можно управлять поведением программы в разных ситуациях, например, при обнаружении потенциально опасного приложения, известного вредоносного кода и т.д. По умолчанию все обнаруженные программой угрозы отсылаются в онлайновый центр их обработки и анализируются там. Если вы не хотите, чтобы данные с вашего компьютера передавались в сеть, вы можете отключить эту опцию в разделе Community Protection.

Для опытных пользователей в программе предусмотрена возможность создания и редактирования правил, согласно которым осуществляется мониторинг процессов. Например, можно добавлять процессы в список доверенных, определять, как должна себя вести программа при попытках установки процессами сетевых соединений, переименования файлов, доступа к реестру или к определенным файлам.

Наконец, стоит отметить наличие в ThreatFire монитора системной активности. Он наглядно показывает все запущенные приложения, а также относящиеся к ним процессы; приложения, которые запускаются вместе с системой; системные процессы и запущенные службы. При необходимости можно быстро завершить любой из процессов.

AVZ 4.32: для защиты корпоративной сети, и не только

Разработчик: Олег Зайцев
Размер дистрибутива: 4,8 Мб
Распространение: бесплатно

Антивирусная программа AVZ создавалась по принципу "если хочешь, чтобы что-то было сделано хорошо - сделай это сам". Изначально эта утилита была написана нашим соотечественником Олегом Зайцевым для выявления вирусов в большой корпоративной сети. После ее успешного тестирования автор задумался над тем, как сделать алгоритм выявления новых вирусов более универсальным. Каждая новая модификация вредоносного вируса стремится обойти брандмауэр и антивирусный сканер, маскируется под безвредный процесс, использует различные приемы внедрения в систему. Чтобы идентифицировать опасность, в программу были добавлены специальные микропрограммы эвристического анализа, с помощью которых можно определять угрозы, не только сравнивая сигнатуры баз, но и используя косвенные признаки вредоносного модуля - изменения в реестре, характерная модификация файлов и др.

Несмотря на определенные возможности, такие как наличие сканера, поддержка эвристического анализа, возможность помещения подозрительных файлов на карантин и т.д., программу AVZ нельзя считать полноценным антивирусом, ее цель несколько иная. Главным образом, AVZ ориентирована на поиск и устранение различных троянских программ, утилит для удаленного слежения за компьютером, программ, пытающихся дозвониться по заданному номеру (например, Trojan.Dialer, Porn-Dialer и др.), клавиатурных шпионов, а также руткитов и сетевых червей. Утилита не лечит программы, зараженные компьютерными вирусами. В документации к AVZ разработчик рекомендует для качественного и корректного лечения зараженных файлов использовать специализированные антивирусы - "Антивирус Касперского", DrWeb, Norton Antivirus и т.д.

Вместе с этим, AVZ позиционируется как альтернатива таким приложениям, как LavaSoft Ad-Aware или TrojanHunter. При этом AVZ действительно имеет определенные преимущества перед многими утилитами для поиска шпионских модулей. Так, по сравнению с разработкой компании LavaSoft, AVZ намного быстрее выполняет проверку системы. В среднем, на анализ 10 тысяч файлов уходит примерно две минуты. AVZ может проверять архивы в форматах ZIP, RAR, CAB, GZIP, TAR.

Одна из причин, по которой система оказывается заражена вирусом, - отсутствие информации о вредоносном коде в базе данных программы. Поэтому та же утилита LavaSoft Ad-aware, по мнению разработчика AVZ, не всегда может оперативно реагировать на новые модификации вредоносного кода, поскольку обновления для нее выходят нечасто. В то же время, антивирусные базы AVZ обновляются практически каждый день, поэтому эффективность определения угроз программой довольно высока.

Для каждого типа вирусов в AVZ можно задать определенное действие. Например, программы-звонилки программа может автоматически удалять, при обнаружении рекламных модулей - выводить отчет, при идентификации вируса - спрашивать у пользователя про дальнейшие действия и т.д. AVZ анализирует подозрительный код и может в процентах показать вероятность того, что подозрительный объект окажется, скажем, клавиатурным шпионом.

Помимо основного сканера, в программу встроено несколько полезных инструментов. Один из них - менеджер запущенных процессов. Кроме данных о названии процесса и о разработчике исходного файла, менеджер процессов может автоматически генерировать контрольную сумму MD5 для каждого из запущенных файлов. Кроме этого, в статистике процессов можно посмотреть используемые процессом файлы библиотек, а также получить информацию об окнах процесса, как видимых, так и скрытых. И, наконец, очень удобная опция этого инструмента - возможность быстрого поиска в интернете информации о выделенном процессе. Программа позволяет искать в трех наиболее популярных поисковых системах - Google, Yandex и Rambler. В 90 процентах случаев, эта функция позволяет мгновенно узнать, какой именно процесс скрывается под тем или иным именем.

Утилита AVZ универсальна, поэтому в списке ее инструментов очень много полезных мелочей. Например, с помощью специального менеджера портов можно посмотреть, какие TCP и UDP-порты открыты в системе, какие на данный момент имеются активные соединения по протоколу TCP/IP. AVZ позволяет просматривать список автозагрузки. Еще одна удобная функция программы - возможность использования собственных скриптов, управляющих заданиями. Эту возможность программы должны оценить администраторы крупных корпоративных сетей, которым часто приходится автоматизировать процессы на большом количестве компьютеров. В арсенале AVZ присутствует также утилита для поиска данных в реестре, инструмент для поиска файлов на диске, а также утилита, с помощью которой можно просматривать файлы Cookie по заданным данным.

AVZ может проверять сообщения электронной почты (имеется дополнительный плагин для популярного почтового клиента The Bat), поддерживает проверку файлов MHT и CHM.

Для самых сложных случаев в программе можно использовать технологию AVZGuard, однако делать это следует только тогда, когда основные средства борьбы со шпионскими модулями не дают желаемого результата.

Напоследок отметим еще два достоинства программы: во-первых, она не требует установки, а во-вторых, распространяется абсолютно бесплатно.

Заключение

Сегодня нельзя быть уверенным на все сто процентов в том, что компьютер, подключенный к сети, не используется вредоносным приложением. Надежный антивирус и брандмауэр, безусловно, препятствуют проникновению наиболее опасных вирусов. Но как оградить систему от ошибок самого пользователя? Легкомысленные действия часто становятся причиной того, что вредоносный код попадает в систему даже при наличии антивирусного ПО. Человек загружает, по его мнению, совершенно безвредный хранитель экрана, устанавливает его, и, будучи полностью уверенным в его безвредности, не обращает внимания на предупреждение антивирусной программы, игнорируя "карантин" или добавляя новую программу в список исключений. Результат известен. Вместо скринсейвера может быть установлена любая другая программа, например, троянская. Именно поэтому, даже если вы уверены, что в вашей системе нет вредоносного ПО, не поленитесь проверить это, используя одну из рассмотренных утилит.

Пользователям, которые игнорируют потенциальную угрозу, рано или поздно придется столкнуться с последствиями своего легкомысленного отношения к безопасности компьютера. Надеемся, что с вами подобная неприятность никогда не произойдет.