Текст книги "1001 совет по обустройству компьютера"

Глава 15
Как защититься от вирусов?

Говорят, что незащищенный компьютер под Windows XP хватает «заразу» в среднем через 17 минут пребывания в Сети. Преувеличена эта цифра или нет, проверить трудно – но факт, что компьютер надо защищать от проникновения вредоносных программ. В реальности вредоносные программы редко вызывают катастрофические последствия – чаще всего вы их наличия просто не замечаете. Причем для некоторых типов троянских программ незаметность для пользователя – их неотъемлемое качество, но так же часто они просто по какой-то причине не срабатывают. Но незаметность наличия вредоносного ПО не является причиной для того, чтобы его продолжать игнорировать, – тут полная аналогия с живым организмом, для которого справедлива поговорка «в здоровом теле – здоровый дух».

Ботнеты

Троянцы вовсе не всегда предназначены для выкачивания с вашего компьютера конфиденциальной информации. Значительная часть троянцев (или, как их часто называют, троянов) распространяется создателями ботнетов – виртуальных сетей, предназначенных для выполнения коллективных массовых действий, вроде согласованных атак на выбранные сайты. Такая атака носит название DDoS-атаки (переводится, как «распределенная атака типа отказ в обслуживании»), и суть ее заключается в том, что целевой сайт бомбардируется огромным количеством обращений одновременно с десятков тысяч зараженных компьютеров по всему миру, причем их владельцы ни о чем таком и не подозревают. Организация ботнета путем рассылки троянских программ давно уже перестала быть развлечением прыщавых подростков и превратилась в выгоднейший бизнес мирового масштаба. Причем организаторы подобных сетей сами никакой политикой не занимаются и деньги с кредиток не воруют – они просто продают свои услуги всем желающим.

Способов защиты насчитывается несколько, и они не исключают, а дополняют друг друга. В первую очередь это антивирусы и сетевые экраны (firewall, брандмауэры). Наивысшая степень защиты достигается, однако, не установкой всех, каких можно, барьеров на пути проникновения заразы, а выработкой правильной стратегии поведения самого пользователя. Соблюдать правила этой стратегии несложно, но опыт показывает, что защищенность при этом достигается почти абсолютная.

Для того чтобы успешно применять эту стратегию, вам придется стать немного параноиком. Любое сообщение – по электронной почте ли или в виде «всплывающих» окон в браузере, – которое вы не ожидаете, должно рассматриваться как потенциальный источник угрозы заражения вашего компьютера. Если кому-то это покажется чересчур крутым подходом, то вспомните, как мама учила вас в детстве не доверять незнакомым дядям и тетям, которые предлагают сходить посмотреть на живую лошадку. Почему в Сети должны быть какие-то иные правила игры?

Вот ряд правил, которые исходят из этой концепции:

♦ не открывайте присоединенные файлы в электронной почте, если вы не уверены в их происхождении. Подробности см. в главе 14 «Электронная почта и мессенджеры»;

♦ не устанавливайте новых непроверенных модулей (расширений, плагинов) для браузера, если вам поступает такое предложение;

♦ пользуйтесь почтовыми программами не от Микрософт (большинство современных сетевых вирусов использует факт интегрированности адресной книги Outlook в систему);

♦ не храните пароли в текстовых файлах (об этом – см. далее в этой главе);

♦ не загружайте и не устанавливайте никаких случайных программ, особенно связанных с работой в Сети. Пользуйтесь только рекомендованным ПО, расположенным по проверенным ссылкам;

♦ не посещайте ресурсы сомнительного содержания – к группе риска относятся в первую очередь бесплатные порносайты, сборники «халявных» программ и ключей к ним («варезные» сайты), сборники рефератов;

♦ установите персональный межсетевой экран – брандмауэр;

♦ периодически проверяйте систему на наличие вирусов, в обязательном порядке – после посещения сомнительных ресурсов или возникновения каких-то несуразностей в поведении системы.

В связи с пунктом о «случайных программах» следует отметить, что относительно полную гарантию безопасности дает только лицензионное ПО, купленное либо в коробке, либо через официальный онлайновый магазин (в России это Softkey.ru, который практически монополизировал торговлю лицензионным софтом онлайн). «Крякерам» ничего не стоит, скажем, встроить троянца в патч, избавляющий вас от необходимости платной регистрации. К счастью, такие случаи довольно редки, причем купленный на рынке пиратский диск, конечно, намного безопасней (какая-никакая, а все же фирма), чем халявный «кряк», случайно найденный поиском по конференциям на crack.ru. Но и в таких продуктах следует сомневаться – мне приходилось видеть «фирменный» пиратский диск с Office 2003, на котором установочная программа содержала троянский модуль.

Заметим, что в перечне правил нет ничего про антивирусную программу-монитор, отслеживающую появление вирусов в реальном времени. Это отражение личных предпочтений автора, которому много раз приходилось сталкиваться с ситуацией «лекарство хуже болезни». Антивирусные программы, запущенные в реальном времени, тормозят систему, конфликтуют с другими программами, выдают ложные тревоги, производят какие-то несанкционированные действия – и т. д. Но это не значит, что я буду вас категорически отговаривать, если вы захотите использовать антивирус – конечно, он повышает степень защищенности, потому с обзора этого класса программ мы и начнем.

При выборе антивируса стоит исходить из самых известных продуктов: это «Антивирус Касперского», Symantec Norton AntiVirus, «Доктор Веб», ESET NOD 32, возможно, также Panda Antivirus. При выходе за пределы этого списка, в том числе при обращении к бесплатным продуктам (Avast! AVG Anti-Virus, Comodo Internet Security), уровень эффективности «отлова» вредоносных программ быстро снижается, и все усилия оказываются потраченными впустую. Это следует из известного закона, согласно которому отловить 90 % вирусов может любая программа, а каждый следующий процент повышения эффективности потребует столько же усилий, сколько все предыдущие вместе взятые. И для того, чтобы процент эффективности был на приемлемом уровне (98–99 %), усилия должны быть затрачены поистине титанические – что возможно лишь при наличии у производителя достаточных ресурсов.

Антивирусы относятся к программам, для которых нельзя запрещать получение обновлений – новые вирусы появляются каждый день, и программа должна быть готова их распознать. Но не следует доверять безоговорочно даже самым известным продуктам и не обращать внимания на другие пункты перечня, приведенного ранее, – ни одна программа не может отловить все 100 % заразы, насколько бы она ни была «продвинутая».

По указанным причинам я сам антивирусы в режиме непрерывного мониторинга не использую. При возникновении подозрений, а также просто регулярно по времени (примерно раз в полгода) я проверяю всю систему одноразовым бесплатным антивирусом. Такие продукты предлагают почти все производители антивирусов, но пользоваться не всеми одинаково удобно – так, онлайновую проверку, которую, например, предлагает Panda, мне не разу не удалось довести до конца – программа обязательно рушилась. Самые удобные и беспроблемные одноразовые антивирусы: Kaspersky Virus Removal Tool, AVPTool (можно найти по ссылке support.kaspersky.ru/ viruses и скачать напрямую) и Dr.Web CureIt! (можно найти по ссылке freedrweb.com, но теперь зачем-то там надо зарегистрироваться). Dr.Web CureIt! меньше продукта Касперского по объему, не требует установки и работает нагляднее, но возможностей у него меньше, а качество обнаружения вирусов у «Касперского» (рис. 15.1) несколько выше, работает он быстрее и меньше тормозит систему в процессе проверки, потому его можно без проблем запускать и во время работы.

Рис. 15.1. Kaspersky Virus Removal Tool

С помощью этих антивирусных программ можно осуществить и полную, и выборочную проверку компьютера. Dr.Web CureIt! осуществит выборочную проверку не спрашивая, сразу после запуска, AVPTool предложит такой вариант после установки (см. отмеченные пункты на рис. 15.1). Надо сказать, что у Dr.Web выборочная проверка устроена разумнее – проверяются не только память, автозапуск и загрузочные секторы, но и системные папки Windows, т. е. наиболее вероятные места нахождения вирусов. Поэтому если нет специальных подозрений, то выборочной проверкой можно обойтись. А вот для AVPTool придется сначала, как минимум, отметить соответствующие объекты.

Полная проверка может продолжаться несколько часов, а для AVPTool это время зависит еще от установки уровня безопасности (на рис. 15.1 он установлен в Рекомендуемый). Если вы ошиблись при ответе на вопросы, которые задает программа, то исправить по окончании проверки возможности у вас уже не будет, потому лучше заранее в пункте Реакция на угрозу установить Лечить, неизлечимую – удалять. Если вы хотите сделать проверку в нерабочее время, лучше перевести Уровень безопасности в Высокий, в пункте Реакция на угрозу установить Лечить, неизлечимую – удалять (чтобы обойтись без запросов реакции пользователя), и в пункте По окончании (он возникает после начала проверки) установить Выключить компьютер. Тогда отчет будет показан при следующем запуске компьютера.

Для CureIt! можно сделать аналогичные настройки после окончания выборочной и перед запуском полной проверки.

AVPTool имеет еще интересный ручной режим (вкладка Ручное лечение). Здесь под «руками» имеются в виду не руки пользователя, а руки дежурных специалистов «Лаборатории Касперского», которым в процессе лечения приходится направлять отчеты и ждать от них реакции. Собственно, рекомендуется запускать этот режим тогда, когда программа AVPTool зависает в процессе сканирования, потому что его использование – довольно муторный процесс.

Одноразовые антивирусы не любят некоторых скринсейверов – если программа сбоит в момент возникновения хранителя экрана, то его придется временно отключить, отодвинув интервал до возникновения на несколько часов (это делается через настройки энергобережения, см. главу8). Если хотите проверить флэшку или оптический носитель – подключите их во время работы программы AVPTool. Обнаружив новый носитель, программа остановит работу и предложит его проверить, после чего вернется к прерванной работе.

После закрытия программы AVPTool она автоматически деинсталлируется (CureIt! напомню, вообще не устанавливается, и специально удалять его не требуется). После сканирования на вирусы я рекомендую также проверить настройки задач синхронизации папок (см. раздел 12.8 «Синхронизация данных»), иначе может случиться так, что при следующей синхронизации вы вернете все удаленные вирусы обратно. Чтобы этого избежать, можно не менять настройки синхронизации, а просто проверить антивирусом все домашние компьютеры и сетевые диски в одно и то же время, до выполнения синхронизации и создания резервной копии.

Есть и другие одноразовые антивирусы – например, NOD32 ON-Demand Scanner, но я их лично не пробовал, потому ничего про них сказать не могу. Готовьтесь также к тому, что разные антивирусы обнаружат у вас разные угрозы – например, «Касперский» обнаружил у меня вредоносный код в теле самораспаковывающегося архива программы, которой я пользовался много лет и ничего за ней не замечал. Один раз какой-то из этих антивирусов обнаружил угрозу в файле программы, созданной мной самим. Не все подобные объекты действительно несут угрозы – антивирус может запросто ошибаться, но лучше, как говорится, «перебдеть».

Есть ситуации, в которых антивирус запустить оказывается невозможно. Самая распространенная – действие трояна-вымогателя WinLock (рис. 15.2). Он блокирует загрузку системы и в дальнейшем не дает возможности запустить какую-либо программу. Последние версии трояна усовершенствовались, и против них не помогает даже перезапуск в безопасном режиме, причем Windows при этом полагает, что все идет совершенно нормальным путем.

а)

б)

Рис. 15.2. Различные варианты троянской программы WinLock: a – простейший вариант, б – вариант «с выдумкой»

Trojan.Winlock – это как раз то, из-за чего не рекомендуется посещать ресурсы с сомнительным содержанием. Самый распространенный его источник – бесплатные порнографические ресурсы (рис. 15.2, б относится как раз к такому случаю, соответствующие картинки на этом скриншоте специально размыты).

Для борьбы с вредоносной программой Trojan.Winlock («Касперский» называет его еще Trojan-Ransom) есть несколько способов. Разумеется, никаких СМСок посылать никуда не надо – это бесполезная трата денег. Один из способов предлагают на своих сайтах «Касперский» (support.kaspersky.ru/viruses/deblocker) и «Доктор Веб» (drweb.com/unlocker) – ввести известные коды разблокировки (а потом, конечно, удалить саму программу антивирусом). Причем у «Касперского» можно даже найти такой сервис с доступом к нему по мобильному телефону. Есть такие же сервисы и у других антивирусных компаний (например, ESET). В реальности рекомендации этих сервисов срабатывают редко – они создаются по следам уже существующих версий трояна, потому, скорее всего, у вас будет его новая модификация, для которой код разблокировки еще не известен.

Самый кардинальный способ – восстановить системную папку Windows из заранее созданного резервного архива, о чем мы говорили в разд. 11.2 «Создание резервных копий системы». Именно на такой случай я настаивал на использовании программы Acronis, которая может восстанавливать заданные папки выборочно из архива целого диска – восстановив из недавней копии папку Windows, вы исключите из нее всю занесенную заразу, но при этом вам не придется переустанавливать ни одной программы, и документы также останутся в неприкосновенности.

Если же вы все-таки этой рекомендации не последовали, т. е. еще один способ. Собственно, даже не один, а два способа, немного отличающиеся друг от друга. Самое простой вариант – загрузить компьютер с Live CD, описанного в главе 8 «Установка Windows», и уже из-под загруженной усеченной версии Windows запустить (например, с флэшки) один из описанных здесь одноразовых антивирусов[30]30
  К сожалению, WinLock – это не вирус в традиционном понимании, он использует функции самой Windows (в начале раздела как раз и написано, что «Windows при этом полагает, что все идет совершенно нормальным путем»), поэтому любые антивирусные программы, ищущие чужеродный для Windows код, против WinLock бессильны. – Ред.


[Закрыть]. Проблема в том, что эти антивирусы имеют ограниченный срок действия и впрок храниться не могут – например, CureIt! уже через пару-тройку месяцев откажется запускаться и потребует скачивания новой версии.

Тогда может помочь другой вариант того же рецепта – и «Касперский» (support.kaspersky.ru/viruses), и «Доктор Веб» (freedrweb.com/livecd) предлагают бесплатные загрузочные диски специально для лечения в подобных случаях. Это, конечно, даже лучше, чем запуск с обычного Live CD, но если вы не позаботитесь о создании таких дисков заранее, то останется лишь срочно искать выход в Сеть с работающего компьютера.

Сетевые экраны (firewall, брандмауэры) – это программное средство, осуществляющее контроль проходящих через него сетевых пакетов в соответствии с заданными правилами.

Интересно…

Немцы употребляют для сетевого экрана английский термин firewall, хотя их родной brandmauer есть точный синоним английского аналога (в буквальном переводе и то, и другое означает «противопожарная стена»).

Сетевые экраны бывают аппаратные и программные, хотя это деление условно – аппаратный брандмауэр, входящий в состав маршрутизатора (см. главу 6 «Настройка локальной сети с доступом к Интернету»), разумеется, реализован тоже программными средствами. Говорят, что аппаратные брандмауэры предпочтительнее, хотя я этого не замечал – они сложнее в настройке, снижают скорость доступа и менее функциональны, и единственное, на мой взгляд, их преимущество – они защищают сразу всю локальную сеть. Программные экраны, устанавливаемые на локальном компьютере, называют еще персональными сетевыми экранами.

По сути, сетевой экран – очень простая программа, и вся ее функциональность сводится к выполнению фильтрации трафика с отсеиванием пакетов, поступающих из несанкционированного источника. Правила фильтрации устанавливает пользователь, потому любой брандмауэр приходится сначала обучать. Отличия разных брандмауэров заключаются, в основном, в удобстве процесса обучения и ряде предустановленных правил. Кроме того, все современные сетевые экраны (включая и брандмауэр Windows в версиях Vista и 7) могут фильтровать не только входящий, но и исходящий трафик, выборочно запрещая локальным программам доступ в Сеть. Правда, в брандмауэре Windows эта функция организована довольно неудобно – она максимально скрыта от пользователя, что, в общем, не в традиции Windows, имеющей привычку оповещать окружающий мир о любых своих телодвижениях, даже если это никому не нужно. И брандмауэр Windows будет вопить во весь голос о том, что «безопасность компьютера под угрозой», если вы в нем попытаетесь что-то отключить, но никогда не сообщит, что же он предпринимает для устранения этих самых угроз безопасности.

Потому я верю, что с момента создания брандмауэра Windows (впервые он был введен в Windows XP Service Pack 2, и в том виде был еще практически бесполезен) он значительно усовершенствовался, но сам предпочитаю сетевые экраны, которые в явном порядке сообщают пользователю, что вот такая программа стремится в сеть, и предлагают выбор – запретить, разрешить на этот раз или разрешить постоянно. Так удается пресечь попытки связаться с сервером большинства установочных программ (см. разд. 10.5 «Квопросу об автоматических обновлениях»).

Брандмауэр Outpost Firewall, которым я пользуюсь много лет (и рекомендую его при выборе из платных сетевых экранов), в последних версиях расширил свою функциональность почти до предела – он контролирует практически всю активность незнакомых программ: попытки записи в реестр, вызов других приложений (включая даже Explorer), изменения в выполняемых файлах и пр. Это создает неудобства, например, при установке новой программы, но я склонен эти неудобства терпеть, взамен приобретая уверенность в том, что программа не сделает ничего помимо моего желания.

В отличие от антивирусов, почти вся функциональность которых основана на полученной экспериментально базе вирусов, нет особых препятствий к тому, чтобы использовать бесплатный сетевой экран. К числу наиболее известных относятся Comodo Firewall, PC Tools Firewall, ZoneAlarm Free, не особо рекламируемый изготовителем Outpost Firewall Free (free.agnitum.com) и др. Разница с платной версией обычно заключается в функциональности и неких передовых технологиях, которые, разумеется, приберегаются для платной версии. Но подобрать бесплатный брандмауэр по вкусу все-таки можно, и в отличие от антивирусов, вы практически ничего при этом не потеряете.

Общая тенденция состоит сейчас в том, чтобы соединить функциональность сетевого экрана и антивируса «в одном флаконе». Так поступают практически все антивирусные бренды, хотя не всегда рекламируют это в явном виде (например, в Kaspersky Internet Security вы упоминания о брандмауэре или сетевом экране не найдете, хотя функциональность у этого продукта включает и их возможности). И бесплатные продукты (например, все тот же Outpost) тоже часто предлагаются в виде неких «сюит» (suite), из которых, правда, обычно можно извлечь нужный компонент при установке. Беда тут в том, что производители сетевых экранов обычно плохо разбираются в антивирусах, и наоборот, а для антивирусов, как мы говорили, как раз очень важны детали, дающие лишние проценты эффективности. Потому мне еще не удалось ни разу обнаружить «сюиту», в которой оба главных компонента были бы одинаково эффективны и удобны в пользовании. Например, при всем моем уважении к компании Outpost, сетевой экран которой я всячески рекомендую, предлагаемый ею антивирус оказался абсолютно беспомощным в деле обнаружения вредоносных программ на заведомо зараженном компьютере.

При выборе следует учесть, что все подобные продукты исключают совместное использование – нельзя иметь на одном компьютере одновременно два сетевых экрана или два антивируса. А поскольку функциональность антивирусов и сетевых экранов часто пересекается (см. на рис. 15.3 наличие в Outpost Firewall Pro модуля Антишпион), то часто нельзя и устанавливать по отдельности сетевой экран и антивирус (для Outpost Firewall и Outpost Antivirus такое совмещение запрещено явно, тем более это касается продуктов других компаний). Исключение составляет разве что брандмауэр Windows, который совместим с большинством других продуктов подобного рода (или они его отключают автоматически). Но в общем случае при желании иметь и то, и другое приходится выбирать именно совмещенный продукт, и стоит тогда уж склоняться в сторону традиционных антивирусных брендов – сетевой экран, как мы говорили, в реализации проще.

Рис. 15.3. Сетевой экран Outpost Firewall Pro

Как правило, функциональности достаточно «продвинутого» сетевого экрана хватает для того, чтобы предотвратить большую часть попыток проникновения на компьютер вредоносного кода (обнаружив сетевой экран без явных «дырок», хакеры просто уйдут туда, где попроще) и своевременно сигнализировать об активности тех вирусов, которые все-таки сумеют просочиться. «Лечить» зараженные файлы, разумеется, сетевые экраны не будут, но на этот случай есть одноразовые антивирусные средства, о которых говорилось в предыдущем разделе.