Для вычисления действий вредоносной программы в системе и предупреждения возможных заражений можно воспользоваться разными приемами. Это сверка текущей картины процессов с базовым списком — отличный способ обнаружения непрошеных гостей; сканеры уязвимостей для профилаки и предотвращения будущих заражений, эвристические средства защиты от атак и вирусов «нулевого дня» и т.д. В данной статье представлен набор программ и утилит, позволяющих повысить уровень безопасности компьютера и обнаружить вредоносное ПО.
Базовый список процессов — большое подспорье
Чтобы определить, какие процессы следует устранить, необходимо четко себе представлять, какие процессы в системе запущены. Лучший, на мой взгляд, способ обнаружения непрошеных гостей — сверка текущей картины процессов с базовым списком. Ниже описаны три приложения, позволяющие составить такой список.
1. Microsoft Process Explorer (ранее принадлежал Sysinternals)
Microsoft Process Explorer позволяет с легкостью определить, какие в системе запущены процессы и какие функции они выполняют. Что самое замечательное, с помощью Process Explorer можно создать список процессов, запущенных при нормальном функционировании системы, а когда компьютер начнет «хулиганить», сравнить текущую картину процессов с этим списком. Выявленные различия помогут в поиске вредоносного ПО.
2. HiJackThis от Trend Micro
HiJackThis — это своего рода расширенная версия Process Explorer, которая для неподготовленного пользователя выглядит пугающе. Запуск HiJackThis до заражения системы также позволяет составить базовый список процессов для диагностики.
Если составлять базовый список уже поздно — ничего страшного. На некоторых сайтах доступны онлайн-приложения, способные автоматически проанализировать лог HiJackThis и выявить потенциальные конфликты. Я пользуюсь HiJackThis.de Security и NetworkTechs.com. Ну а тем, кто предпочитает советы экспертов, я бы порекомендовал форум, посвященный HiJackThis, на сайте WindowSecurity.com.
3: GetSystemInfo от «Лаборатории Касперского»
«Лаборатория Касперского» предлагает утилиту GetSystemInfo, аналогичную HiJackThis. К тому же, на сайте компании доступен онлайн-парсер, способный выявлять подозрительные несоответствия в логах утилиты.
GetSystemInfo, как и другие сканеры, помогает отслеживать, что происходит в системе и обнаруживать вредоносное ПО.
Будьте осторожны: завершение процессов в соответствии с результатами сканирования — задача не для рядовых пользователей. Она требует глубоких знаний о принципах функционирования операционной системы или хотя бы тщательного сравнения базового списка процессов с текущим. Теперь давайте поговорим о сканерах уязвимостей.
Все просто: нет уязвимостей — нет вирусов
В категорию антивирусного и антишпионского ПО входят любые приложения, позволяющие бороться со вредоносными программами, как путем защиты в режиме реального времени, так и посредством обнаружения и удаления существующих заражений. С другой стороны, сканеры уязвимостей выявляют уязвимости в профилактическом режиме и тем самым не позволяют вирусам и шпионам проникать в систему. Куда проще регулярно обновлять приложения, чем постоянно бороться с вирусами.
4. Microsoft Baseline Security Analyzer
Microsoft Baseline Security Analyzer (MBSA) — это сканер уязвимостей, выявляющий небезопасные настройки и недостающие обновления для всех установленных продуктов Microsoft. Это один из лучших способов убедить руководство в необходимости использовать сканер уязвимости. Когда решение поставляется OEM-поставщиком, оно производит впечатление более доступного и надежного.
5. Сканеры Secunia
Сканеры Secunia обладают тем же функциями, что MBSA, однако проверяют не только продукты Microsoft, но и сотни приложений от сторонних поставщиков, что намного удобнее.
Все сканеры Secunia, клиентские и онлайновые, помогают на интуитивном уровне выявить неполадки и устранить их. В результатах сканирования обычно приводятся ссылки на сайты, с которых можно загрузить недостающие обновления для приложений.
Просто, но не всегда
Помните, я сказал: «Все просто: нет уязвимостей — нет вирусов»? На самом деле все не так элементарно. Было бы, если б не было на свете таких неприятных явлений, как средства атаки и вирусы «нулевого дня» (zero-day exploits and zero-day viruses). Тут-то на сцену и выходят антивирусы, в особенности эвристические.
6. Антивирусные программы
В последнее время уважение к антивирусам в пользовательской среде почти пропало. Я тоже сильно расстраиваюсь, когда мой любимый антивирус пропускает вредоносный код, который с легкостью обнаруживают другие программы. Тем не менее, оставлять компьютер совсем без антивирусной защиты не стоит — это слишком рискованно. Я предпочитаю многоуровневый подход к безопасности.
Выбор антивируса зависит исключительно от личных предпочтений. Вопросы из серии «какой антивирус самый лучший» всегда провоцируют бурю эмоциональных откликов. В целом, большинство пользователей сходится во мнении, что для домашнего применения подходят бесплатные версии любых антивирусных продуктов. Лично я предпочитаю Avast и Comodo.
Активные антивирусы и антишпионы
Антивирусные и антишпионские программы следующего уровня не только выявляют, но и удаляют вредоносное программное обеспечение. Наверняка у многих возник вопрос: почему же не использовать их с самого начала? На самом деле, тут все тоже не так просто.
Сканеры обнаруживают вредоносное ПО с помощью файлов сигнатур и эвристических методов. Создатели вредоносных программ об этом прекрасно осведомлены и умеют модифицировать код с тем, чтобы аннулировать сигнатуры и обойти эвристику. Именно поэтому антивирусные и антишпионские сканеры до сих пор не являются панацеей. Может быть, когда-нибудь в светлом будущем…
И снова будьте осторожны: к выбору антивирусного сканера нужно подходить очень тщательно. Злоумышленники любят маскировать вредоносные программы под антивирусные и антишпионские сканеры типа antivirus 2009, рекламируя их как универсальное решение всех проблем. Перечисленные ниже решения рекомендованы заслуженными экспертами.
7. Malicious Software Removal Tool от Microsoft
Malicious Software Removal Tool (MSRT) — это прекрасное средство для борьбы с вредоносным ПО общего характера. Хотя бы потому, что оно в состоянии определить — принадлежит сканируемый код Microsoft или нет. Главные достоинства этой утилиты:
- автоматизация процесса сканирования и удаления вредоносных программ;
- регулярное обновление сигнатур с помощью Windows Update;
- средство создано OEM-поставщиком, а значит, выглядит более убедительно с точки зрения руководства.
8. SUPERAntiSpyware
SUPERAntiSpyware — это еще один сканер общего характера, способный обнаружить и удалить практически любую вредоносную программу. Я пользовался им неоднократно и нахожу его более чем адекватным решением.
По сведениям пользователей TechRepublic, SUPERAntiSpyware — единственная программа, способная полностью удалить вредоносный сканер antivirus 2009.
9. Anti-Malware от Malwarebyte
Anti-Malware от Malwarebyte (MBAM) — по моему опыту, самый эффективный из четырех перечисленных в этом разделе сканеров. Я узнал о нем от специалиста Arbor Networks, доктора Хосе Назарио (Jose Nazario) — эксперта мирового уровня по проблемам вредоносного ПО. Подробное описание программы приводится в моей статье «Антивирусные и антишпионские сканеры: MBAM — лучшее решение» (Malware scanners: MBAM is best of breed).
Тем не менее, даже MBAM не способен выявить абсолютно все вредоносные программы. Как я упоминал в той статье, приложение пропускает самые изощренные вирусы, в особенности руткиты. В таком случае я обращаюсь к следующему решению.
10. GMER
В статье «Руткиты: можно ли с ними бороться?» (Rootkits: Is removing them even possible?) я объяснял, почему так трудно обнаружить в системе руткит. GMER — одно из лучших решений для обнаружения и удаления руткитов, хотя бы потому, что так считает доктор Назарио.
В заключение
Использование описанных в этой статье решений и методов серьезно затрудняет жизнь разработчикам вредоносного ПО, особенно если вы:
- регулярно обновляете свое программное обеспечение;
- составили и сохранили список базовых процессов;
- регулярно сканируете систему на наличие вредоносных программ, потому что самые изощренные вирусы очень хорошо маскируются.
Автор: Michael Kassner
Источник: winblog.ru