Защита от вредоносных программ

Защита от вредоносных программ

Обнаружить работу современной троянской программы на своем компьютере достаточно сложно. Однако можно выделить следующие рекомендации для обнаружения и удаления троянских программ:

1. Используйте антивирусную программу .

Обязательно используйте антивирусную программу для проверки файлов и дисков, регулярно обновляя при этом ее антивирусную базу через Интернет. Если база не обновляется, результат работы антивируса сводится к нулю, поскольку новые трояны появляются с не меньшей регулярностью, чем обновления антивирусных баз.

Поэтому этот метод нельзя признать абсолютно надежным. Иногда, как показывает практика, если сервер трояна внедрен в исполняемый файл, антивирусы во многих случаях не могут его обнаружить. На сегодняшний момент с наилучшей стороны в этом плане зарекомендовали себя антивирусы Kaspersky Anti-Virus и Dr. Web.

Наряду с антивирусами существуют специализированные программы (антигены), которые могут найти, определить и уничтожить большую часть троянов, однако бороться с ними становится все сложнее и сложнее. В качестве такой программы, предназначенной для поиска и уничтожения троянов на вашем компьютере, можно порекомендовать Trojan Hunter.

2. Установите персональный брандмауэр (файрволл) и внимательно разберитесь в его настройках .

Основным признаком работы трояна являются лишние открытые порты. При запуске сервера троянской программы файрволл изнутри заблокирует ее порт, лишив тем самым связи с Интернетом. Файрволл дает дополнительную защиту, однако, с другой стороны, пользователю просто надоедает постоянно отвечать на запросы программы по поводу работы определенного сервиса и прохождения данных через определенный порт. Иногда бывают крайние случаи, когда даже файрволл и антивирус бессильны что-либо предпринять, так как закрываются трояном. Это также является сигналом пользователю о том, что в системе присутствует троян.

Для контроля открытых портов можно также воспользоваться сканерами портов или программами, которые показывают открытые в настоящий момент порты и возможное подключение к ним посторонних пользователей.

Из файрволлов достаточно качественным продуктом является Agnitum Outpost Firewall Pro, позволяющий настроить работу приложений и необходимый пользовательский уровень.

3. Ограничьте число посторонних, имеющих доступ к вашему компьютеру, поскольку достаточно большое число троянов и вирусов переносится на внешних носителях (дискетах и дисках). Также рекомендуется периодически менять пароли на особо важные аккаунты.

4. Не скачивайте файлы и фотографии с сомнительных сайтов (домашние странички с фото и т. д.). Достаточно часто фотография и сервер трояна скреплены («склеены») вместе для усыпления бдительности пользователя, и этот фактор не вызывает сомнений. Здесь троян маскируется под картинку. При этом иконка действительно будет от картинки, но вот расширение останется *.ехе. После двукратного нажатия на фотографию троян запускается и делает свое черное дело.

5. Не следует использовать сомнительные программы, якобы ускоряющие работу компьютера в Интернете в N раз (ускоряющие работу CD-ROM, мыши, коврика для мыши и т. п.). При этом внимание необходимо обратить на иконку программы, особенно, если вы ни с кем заранее не договаривались. В этом случае можно задать вопрос отправителю, и, если положительного ответа не последовало, удалять такую программу.

6. При получении письма от неизвестного адресата следует обратить особое внимание на расширение вложенного файла. Возможна маскировка названия завирусованного расширения файла *.ехе, *.jpg, *.bat, *.com, *.scr, *.vbs двойным окончанием (*.doc.exe), причем буквы ехе могут быть разделены большим количеством пробелов или перенесены на следующую строку.

При получении письма с прикрепленным архивом (файл с расширениями *.rar, *.zip, *.arj) не следует сразу его открывать и просматривать файлы. По возможности его надо сохранить на диске, после чего проверить антивирусной программой и только после этого открыть. Если в архиве обнаружен вирус, необходимо немедленно удалить весь архив, не пытаясь его сохранять или, тем более, открывать файлы.

7. Если вы пользуетесь системой Windows ХР, то при риске открыть зараженный файл создайте точку восстановления. Для Windows 98 рекомендуется установить аналогичную программу, позволяющую произвести откат системы назад (например, Second Chance или другую подобного типа).

8. При использовании стандартного почтового клиента Windows (Microsoft Outlook Express) следует отключить автоматическое получение почты, которое может запустить закодированного трояна, находящегося в теле (внутри) письма. Вместо программы Outlook Express вы также можете использовать более безопасный и быстрый почтовый клиент The Bat! являющийся одним из лучших.

9. Осуществляйте контроль задач и сервисов, запускаемых в системе. Практика показывает, что 99 % троянов прописываются на запуск в системном реестре. Для эффективного удаления трояна из системы нужно сначала удалить запись в реестре или строку, его запускающую, затем перезагрузить компьютер, а уж затем спокойно удалять этот файл.

10. Если ПК ведет себя подозрительно, а продолжать работу необходимо, вводите вручную свой логин и пароль в окнах, минуя сохранение их в браузере или в почтовом клиенте.

11. Желательно делать копии важных файлов, сохраняя их на дискете или CD-диске. Это поможет быстро восстановить утраченные данные при возможном крахе системы и последующем форматировании жестких дисков.

Антивирус Dr. Web

Для обнаружения нежелательных программ и действий над содержащими их файлами применяются обычные средства антивирусных компонентов Dr.Web. Dr.Web для Windows включает в себя следующие компоненты:

• Dr. Web Сканер для Windows — антивирусный сканер с графическим интерфейсом. Запускается программа по запросу пользователя или по расписанию и производит антивирусную проверку компьютера. Существует также версия программы с интерфейсом командной строки (Dr.Web консольный сканер для Windows);

• SpIDer Guard для Windows — антивирусный сторож (называемый также монитором). Программа постоянно находится в оперативной памяти, осуществляя проверку файлов «на лету», а также обнаруживая проявления вирусной активности;

• SpIDer Май для рабочих станций Windows — почтовый антивирусный сторож. Программа перехватывает обращения любых почтовых клиентов компьютера, обнаруживает и обезвреживает почтовые вирусы до получения писем почтовым клиентом с сервера или до отправки письма на почтовый сервер. Компонент не входит в состав Dr.Web для серверов;

• Dr. Web Модуль автоматического обновления для Windows — позволяет зарегистрированным пользователям получать обновления вирусных баз и других файлов комплекса, а также производит их автоматическую установку.

В состав Dr.Web для рабочих станций входят также Планировщик заданий для Windows, сканер для среды DOS.

Использование программы Dr.Web®

Сканер для Windows

Сканер устанавливается как обычное приложение Windows и запускается по команде пользователя (или по команде Планировщика). После запуска программы открывается ее главное окно (рис. 7.1).

Рис. 7.1

Немедленно после запуска программа, при настройках по умолчанию, проводит антивирусное сканирование оперативной памяти и файлов автозапуска Windows. Сканирование остальных объектов файловой системы производится по запросу пользователя. Файловая система представлена в центральной части окна в виде иерархического дерева. При необходимости его можно развернуть вплоть до каталогов любого уровня. Если такой уровень подробности недостаточен, нажмите на кнопку Показывать файлы. Выберите в иерархическом списке нужные объекты. На рисунке 7.2 изображена ситуация, в которой выбран для сканирования весь логический диск С: и один из файлов на дискете.

Для того чтобы приступить к сканированию выбранных объектов, нажмите на кнопку 

в правой части главного окна.

По умолчанию Dr.Web для рабочих станций лишь информирует пользователя обо всех зараженных и подозрительных объектах. Вы можете использовать программу для того, чтобы попытаться восстановить функциональность зараженного объекта (вылечить его), а при невозможности – для ликвидации исходящей от него угрозы.

Для этого:

1. Щелкните по строке с нужным объектом в таблице обнаруженных инфекций правой клавишей мыши. Для выделения объектов в списке отчета дополнительно используются следующие клавиши и комбинации клавиш:

• Insert – выделить объект с перемещением курсора на следующую позицию.

• Ctrl + А – выделить все.

• кнопка на цифровой клавиатуре – инвертировать выделение.

2. В открывшемся контекстном меню (рис. 7.3) выберите действие, которое вы хотите предпринять.

3. При выборе варианта Вылечить необходимо также выбрать действие, которое будет предпринято в случае невозможности лечения. Настраиваемые параметры программы

Настройки программы по умолчанию являются оптимальными для большинства применений, их не следует изменять без необходимости.

Для того чтобы изменить настройки программы, нужно:

1. Выберите в главном меню программы пункт Настройки, после чего в открывшемся подменю выберите пункт Изменить настройки. Откроется окно настроек, содержащее несколько вкладок (рис. 7.4).

2. Внесите необходимые изменения. При необходимости нажимайте на кнопку Применить.

3. По окончании редактирования настроек нажмите на кнопку ОК для сохранения внесенных изменений или на кнопку Отмена для отказа от них.

Настройки по умолчанию Dr.Web для рабочих станций являются оптимальными для режима, в котором сканирование производится по запросу пользователя. Программа наиболее полно и подробно сканирует выбранные объекты, информируя пользователя обо всех зараженных или инфицированных объектах и предоставляя ему предпринять решение о реакции на их обнаружение. Исключением являются объекты, содержащие программы-шутки, потенциально-опасные программы и программы взлома: для них по умолчанию предусмотрено игнорирование. Однако в случае, когда сканирование производится без участия пользователя, могут найти применение настройки, обеспечивающее автоматическую реакцию программы на обнаружение инфекций.

Перейдите в окне настроек на вкладку Действия (рис. 7.5).

1. Выберите в раскрывающемся списке Инфицированные объекты реакцию программы на обнаружение инфицированного объекта. Наиболее пригодным для автоматического режима является значение Вылечить.

2. Выберите в раскрывающемся списке Неизлечимые объекты реакцию программы на обнаружение неизлечимого объекта. Это действие аналогично рассмотренному в предыдущем пункте, с той разницей, что вариант Вылечить отсутствует. В большинстве случаев наиболее пригодным является вариант Переместить.

3. Выберите в раскрывающемся списке Подозрительные объекты реакцию программы на обнаружение подозрительного объекта (полностью аналогично предыдущему пункту). Здесь рекомендуется установить значение Информировать.

4. Аналогично настраивается реакция программы на обнаружение объектов, содержащих рекламные программы, программы дозвона, программы-шутки, потенциально опасные программы и программы взлома и при обнаружении вирусов или подозрительного кода в файловых архивах, контейнерах и почтовых ящиках.

5. Снимите флажок Запрос подтверждения, чтобы программа выполняла предписанное действие без предварительного запроса.

По умолчанию сторож запускается автоматически при каждой загрузке Windows, при этом запущенный сторож не может быть выгружен в течение текущего сеанса Windows. При необходимости отключить на некоторое время сторож (например, при выполнении критически чувствительного к загрузке процессора задания в реальном масштабе времени) следует отменить настройку автоматического запуска сторожа (это действие описывается ниже) и после этого перезапустить Windows.

При настройках по умолчанию сторож «на лету» проверяет открываемые файлы (для файлов на жестком диске – только при открытии на запись, для файлов на сменных носителях – всегда), при этом каждый файл проверяет аналогично сканеру, однако с более «мягкими» условиями проверки. Кроме того, сторож постоянно отслеживает действия запущенных процессов, характерные для вирусов, и при их обнаружении блокирует процессы с сообщением пользователю.

В случае обнаружения инфекции SpIDer выводит окно, в котором содержится путь к инфицированному объекту (рис. 7.6).

Состав доступных реакций зависит от обнаруженной инфекции. Реакции Лечить, Переименовать, Переместить и Удалить аналогичны таким же реакциям сканера. При нажатии на кнопку Запретить зараженный файл помечается Windows как недоступный. При нажатии на кнопку Выключить делается попытка корректного завершения работы Windows. SpIDer Mail для рабочих станций Windows

Почтовый сторож SpIDer Mail для рабочих станций Windows по умолчанию включается в состав устанавливаемых компонентов, постоянно находится в памяти и автоматически перезапускается при загрузке Windows. Его основная задача – автоматически перехватывает все обращения любых почтовых программ вашего компьютера к почтовым серверам.

Данный текст является ознакомительным фрагментом.