Простая и эффективная защита

Шпионские программы проникают в компьютер под маской элементов управления ActiveX или из Web-узлов с помощью различных уловок. Они могут быть даже «довеском» к полезной программе, которую пользователь загружает из Internet. Шпионские программы получили такое название потому, что выполняют свою задачу без ведома пользователей. За последние несколько лет они получили широкое распространение, и даже компьютер, подключенный к Internet через брандмауэр с корректно настроенной антивирусной программой, может быть заражен «шпионами» (в некоторых машинах было выявлено до 100 различных экземпляров), так как до недавнего времени в антивирусных программах не было функций защиты от шпионажа. Однако новейшие версии антивирусных программ могут обнаруживать некоторые виды «шпионов». Недавно к борьбе со шпионскими программами присоединилась компания Microsoft, выпустив бета-версию Windows AntiSpyware. В удобном интерфейсе программы реализовано множество полезных функций.

Что такое шпионское программное обеспечение?

Шпионские программы иногда путают с рекламой в Internet. Благодаря рекламе пользователи имеют возможность бесплатно обращаться к популярным Web-узлам. Такие знаменитые компании, как Coca-Cola и Ford Motor Company, обращаются в специализированные агентства для управления рекламными кампаниями не только в печати и на телевидении, но и в Internet. Как правило, в Internet-рекламе используются cookie-файлы для индивидуального подбора контента и выбора самых эффективных методов рекламы, находящих живой отклик у пользователей. cookie-файлы — общепринятый и безопасный метод запоминания информации о посещении Web-узла. Они безопасны потому, что только сайт, создавший cookie-файл, может читать и записывать в него данные. Вместе с cookie-файлом не загружается никаких программ, поэтому Web-узел, создавший cookie-файл, не может использовать его для извлечения информации из компьютера пользователя. В отличие от них, шпионские программы (в том числе рекламные — adware — которые не следует путать с законной Internet-рекламой) обычно представляют собой выполняемые файлы (приложение или сценарий), которые работают на компьютере вне периметра безопасности браузера и пытаются установить дополнительные программы или изменить параметры настройки. Шпионское программное обеспечение обычно устанавливается без разрешения пользователя, тайком или в результате уловок, вводящих потребителя в заблуждение. Благодаря рекламе популярные Internet-сайты остаются бесплатными для посетителей, в то время как шпионские программы пользы явно не приносят, а навредить могут.

Знакомьтесь: Windows AntiSpyware

Бета-версия Windows AntiSpyware предназначена для пользователей малого/домашнего офиса и не располагает такими нужными в корпоративной сети функциями, как централизованное управление, настройка или подготовка отчетов. Однако программа проста в использовании, эффективна и может быть полезна даже в крупных организациях. Несложно построить сценарии вокруг программы для консолидирования данных. Компания Microsoft купила технологию AntiSpyware у компании GIANT Company Software в декабре 2004 года, и старые пользователи программы без труда узнают знакомый интерфейс.

Windows AntiSpyware (Beta) можно загрузить с Web-узла Microsoft. Как ни странно, для доступа к загружаемому файлу пользователю предлагается загрузить и установить элемент управления Microsoft ActiveX, который подтверждает, что компьютер соответствует требованиям Genuine Microsoft Windows Installation. Трудно сказать, какие именно данные ищет элемент ActiveX, но странно, что для обеспечения конфиденциальности приходится разрешить Microsoft поиск данных в компьютере. Неясно, будут ли следующие версии Windows AntiSpyware обнаруживать данную поисковую утилиту — бета-версия не делает этого.

Процедуры установки и начальной настройки очень просты — достаточно запустить файл на компьютере, который требуется защитить. При первом запуске программы мастер Setup Assistant проводит пользователя по основным настраиваемым компонентам программы. В процессе настройки можно организовать защиту компьютера через программные точки проверки в реальном времени. Можно также проверить компьютер сразу после настройки конфигурации, чтобы обнаружить «забравшееся» в систему ранее шпионское программное обеспечение. На Экране 1 показаны результаты сеанса проверки и аккуратный пользовательский интерфейс программы, из которого можно назначать сеансы сканирования, установить параметры работы в режиме проверки в реальном времени, обращаться к инструментарию и изменять параметры. Для проверок в реальном времени Windows AntiSpyware должна быть постоянно активной, подобно антивирусной программе. Защита в реальном времени не дает шпионским программам вносить в систему изменения. Программа самоустанавливается для работы в фоновом режиме, и сообщения о событиях выводятся во всплывающем диалоговом окне в правом нижнем углу экрана. Для доступа к программе достаточно щелкнуть на пиктограмме (похожей на бычий глаз) в системной панели.

Экран 1. Результаты сканирования

Как работает программа: защита в реальном времени

Для поиска имеющихся в компьютере шпионских программ в Windows AntiSpyware используются механизмы, отслеживающие точки проверки системы безопасности. Проверки в реальном времени могут быть запущены, когда пользователь устанавливает новое программное обеспечение. Программа довольно интеллектуальна и не выдает предупреждений при модернизации программ, уже имеющихся в машине. Но она предупредит пользователя, если Web-узел попытается установить программу через браузер. При срабатывании Security Checkpoint программа Windows AntiSpyware приостанавливает подозрительную активность и выдает предупреждающее диалоговое окно с вопросом о том, следует ли продолжать операцию. Более 100 точек разделены на три категории: Application Agents, System Agents и Internet Agents. Проверка этих точек в реальном времени препятствует запуску шпионских программ. Пользователь может просматривать, активизировать и отключать любые точки проверки, щелкая на пиктограмме Real-time Protection.

К Application Agents относятся точки проверки, которые отслеживают установку новых элементов управления ActiveX, чтобы определить, был ли изменен Microsoft Internet Explorer (IE). Другие Application Agents контролируют системную активность, в том числе выполняемые процессы, добавление новых файлов в группу начальной загрузки, запуск сценариев и изменение определенных параметров реестра. Application Agents активны и постоянно контролируют систему. Например, Windows AntiSpyware предупредит о попытках выполнения неизвестных процессов.

System Agents отслеживают изменения в разрешениях доступа и системных параметрах. Например, System Agents содержат проверки, которые ведут мониторинг изменений файлов hosts, политики регистрации Windows или стандартных драйверов протоколов Windows.

Internet Agents отслеживают несанкционированную активность модема, входные беспроводные соединения компьютера и изменения Windows Messenger Service. Проверки также препятствуют изменениям параметров proxy, DNS и TCP/IP системы, а проверка «Spam Zombie» мешает использовать компьютер для рассылки спама.

Все точки проверки позволяют отслеживать состояние системы в реальном времени. Например, всем известны Web-узлы, в которых содержится приглашение щелкнуть на ссылке, чтобы сделать их домашней страницей. Пользователи Windows AntiSpyware немедленно получают предупреждение о попытке изменить домашнюю страницу (Экран 2). В данном примере во время посещения домашней страницы Google пользователь щелкнул на ссылке, чтобы сделать www.google.com домашней страницей браузера. Хотя действие было выполнено намеренно, попытка изменения была замечена и корректно перехвачена.

Экран 2. Предупреждение о попытке замены домашней страницы

Многие параметры программы предназначены для настройки предупреждений и сообщений. Например, можно отключить приглашения и оповещения об установке программных исправлений и новых версий. Можно также настроить конфигурацию программы, чтобы автоматически (и без оповещения) блокировать обнаруженные угрозы, например, запуск файлов .vbs или .js.

Проверка компьютера

Одна из основных функций Windows AntiSpyware — сканирование компьютера по расписанию. Файлы и параметры реестра, полученные в результате сканирования, сравниваются с базой данных известных шпионских программ. Обнаруживаются скрытые и ранее установленные шпионские программы, не выявленные в результате проверок контрольных точек. Можно запустить быструю процедуру сканирования, чтобы отыскать «шпионов» на компьютере, или подготовить специализированную процедуру поиска. Сканирование проходит достаточно быстро, после чего генерируется отчет, аналогичный показанному на Экране 3. В отчете перечислены шпионские компоненты, обнаруженные программой. Пользователь получает приглашение указать экземпляры, подлежащие удалению. Например, как показано на Экране 1, Windows AntiSpyware обнаружила программу обмена файлами Kazaa, а в разделе Spyware Threat Details содержится пояснение, что собственно Kazaa — не «шпион». Шпионской считается программа, устанавливаемая вместе с Kazaa.

Экран 3. Итоговый отчет о поиске шпионского программного обеспечения

Сканирование системы преследует иную цель, нежели проверка контрольных точек в реальном времени. Например, агент управления предупредит о попытке Web-узла изменить домашнюю страницу, или установки программы, которая может повлиять на функционирование браузера. Но поскольку полезные программы также могут вносить подобные изменения, их не всегда в процессе сканирования удается обнаружить. Совместное использование защиты в реальном времени и регулярного сканирования обеспечивает двухуровневую защиту компьютера от «шпионов».

Автоматическое обновление

Для защиты от постоянно нарастающего потока новых шпионских программ в Windows AntiSpyware реализована служба автоматического обновления, которая загружает сигнатуры новых «шпионов» от Microsoft. Можно указать периодичность загрузки или получать новые сигнатуры вручную. В бета-версии Windows AntiSpyware содержатся сведения о более чем 100 000 вредных файлов и уязвимых параметров. Для автоматической загрузки шпионских сигнатур используется TCP-порт 80, поэтому процедура совместима с большинством брандмауэров и proxy-серверов. После загрузки и установки новых сигнатур на экране всплывает малое информационное окно.

SpyNet

Вероятно, самое интересное новшество Windows AntiSpyware — сообщество SpyNet AntiSpyware Community. Компьютер вносится в добровольное сообщество пользователей Windows AntiSpyware и GIANT AntiSpyware. Функция спроектирована таким образом, что член сообщества, обнаруживший новый тип шпионского программного обеспечения, может послать отчет в компанию Microsoft, которая предупредит остальных членов сообщества SpyNet о новой опасности. Члены сообщества не обязаны посылать отчеты в Microsoft.

Другие полезные функции

С помощью инструментария Advanced Tools технически грамотные пользователи смогут углубиться в детали процесса обнаружения шпионского программного обеспечения в своих системах. Например, Browser Hijack Restore позволяет установить 15 параметров IE (в том числе начальную страницу, страницу поиска, URL страниц), которые восстанавливаются после очистки компьютера от обнаруженных шпионских программ с использованием Windows AntiSpyware. Инструментарий AntiSpyware Advanced Tools обеспечивает сравнение текущих параметров с корректными значениями.

Инструмент System Explorers располагает подробными справочными файлами. Например, если пользователь хочет узнать, что такое объект browser helper, достаточно обратиться за дополнительной информацией к меню Help. С помощью System Explorers можно анализировать (и блокировать) все установленные элементы управления ActiveX, активные процессы, запускаемые при начальной загрузке программы, параметры и инструментальные панели IE, и даже файлы Windows, часто подвергающиеся нападениям, такие как hosts и Winsock.

Tracks Eraser удаляет различные следы активности — например, журналы и cookie-файлы IE. С помощью инструмента можно удалить следы, оставляемые многими распространенными приложениями, например, историю чатов ICQ и Adobe Acrobat. Можно даже удалять предысторию некоторых менее известных программ, в частности, историю поиска файлов Kazaa.

Advanced File Analyzer обеспечивает поиск информации о подробностях установки и другие технические детали любых файлов (например, имя, автор, путь, размер и версия). Инструмент показывает метки времени создания, последнего доступа или последнего изменения файла, и выдает контрольную сумму MD5, с помощью которой можно проверить целостность файла.

Тестирование и просмотр данных

Протестировать систему реального времени Windows AntiSpyware нетрудно. Достаточно посетить любую Web-страницу, которая предлагает выбрать ее в качестве домашней. После щелчка на соответствующей ссылке должно быть выдано предупреждение. Еще один простой тест — запустить любой файл .vbs или .js на защищенном компьютере. При первом запуске сценария Windows AntiSpyware спрашивает, можно ли разрешить операцию. Получив предупреждение, пользователь может увидеть дополнительные подробности, щелкнув на пиктограмме Real-time Protection в интерфейсе программы, а затем выбрать функцию View all events. В списке Agent Events (Экран 4) показаны дата и время события, такие детали, как имя файла и путь сценария, и описание контрольной точки, вызвавшей предупреждение. В разделе Event Details приводится ссылка на техническую информацию.

Экран 4. Просмотр технических деталей предупреждения

Очистка от «шпионов»

Шпионское программное обеспечение стало более чем досадной помехой — из-за него падает быстродействие компьютеров, увеличивается нагрузка на сетевые каналы связи. Бета-версия Windows AntiSpyware располагает мощными функциями мониторинга и предупреждений, наряду с такими новшествами, как сообщество SpyNet. Единственное, что отсутствует в пакете — корпоративные функции, такие как централизованное управление и агрегированные отчеты и предупреждения.

Джеф Феллинг - Директор по информационной безопасности компании Quantive. Автор книги IT Administrator?s Top 10 Introductory Scripts for Windows (издательство Charles River Media) (jeff@blackstatic.com)