Защита от троянов и шпионов.
Добавлено: Ср фев 02, 2005 8:31 pm
Толковую весчь нашел
Защита от троянов и шпионов.
У вас стоит самый крутой антивирус, и вы считаете, что всё в порядке?
А может вы регулярно пользуетесь Ad-Aware и думаете, что у вас супер защищённая система? Наивные
Эту небольшую статью следовало давно написать, т.к. слишком много вопросов задают по одним и тем же проблемам. Это будет небольшой FAQ по защите и выявлению троянов, вирусов и т.п.
1. Необходимые требования к системе для обеспечения первого уровня защиты:
Т.к. наиболее распространенная система это Windows то в этом пункте будут рекомендации по этой системе.
Рекомендуемая система:
Windows 2000, XP, 2003
Линейка 98/ME остались в прошлом т.к. не могут обеспечить должной защиты от изменения системных файлов и от самого юзера (как бы ни странно это не звучало).
Зачем же выбраны эти системы? В них можно разграничить права пользователя. Даже если за компьютером работает всего один человек то аккуантов должно быть минимум два. Один администраторский – для установки оборудования, драйверов, некоторых программ, настройки и т.п. Другой – опытный пользователь, для повседневной работы, игр, хождения в Интернете.
Чтобы каждый раз не набирать пароль юзера можно сделать автологин (после загрузки компа автоматически будет загружен профиль пользователя). Это можно реализовать с помощью реестра, а можно и с помощью многих твикеров (например Matrix Tweaker). Всё - таки твикеры для того и предназначены, чтобы не держать все важные ключи реестра в голове, и не набивать их каждый раз заново.
Чтобы выполнить задачи которым необходим доступ админа необязательно переключатся между пользователями и админом. Можно воспользоваться службой RunAS. С зажатым Shift на любом ярлыке, программе вызвать правой кнопкой мыши меню и выбрать – “Запуск от имени”. Удобнее всего запустить файловый менеджер (например TC) и выполнять в нем запуск программ, которым нужен режим администратора. TC можно настроить так, что из него можно выйти на любые системные настройки, панель управления и т.п.
Выбор системы сделан. Что же ещё необходимо установить для обеспечения защиты? Идём дальше.
Антивирус. Не будем долго останавливаться, зачем и для чего он нужен. Он поможет отсеять большинство вирусов или троянов (однако, только те которые знает). Здесь выбор большой. Dr.Web, Kaspersky, Panda, NAV,… и другие.
Но одного антивируса недостаточно. Если компьютер используется для работы в Internet - то необходимым условием является установка и правильное использование фаервола. Фаервол должен быть удобным в настройке, по возможности на родном языке, и функциональным. Встроенные в Windows по некоторым критериям отпадают и лучше всего после установки отдельного фаервола их отключить.
Фаерволы позволяют увидеть, какие приложения просятся в Интернет и принять выбор запретить ли им доступ или разрешить. Трояны, черви, вирусы и т.п. обычно используют незакрытые порты, намеренно неправильные сформированные пакеты. Фаервол поможет от этого защититься.
Выбор фаерволов тоже большой:
Outpost, ZoneAlarm,… и др.
Мой выбор пал на Outpost 2. Русский интерфейс, куча шаблонов для многих приложений стабильная работа, удобство и лёгкость в настройке даже для новичков.
Осадная стена возведена. Напомню, что желательно регулярно обновлять антивирусные базы, и ставить заплатки и SP для системы.
2. Безопасный серфинг.
Ни для кого уже не секрет то, что даже простой заход на страницу содержащую вредные активные элементы может привести к заселению незваных гостей. Часто антивирусы не могут их определить как вредные элементы и пропускают. Конечно фаервол в большинстве случаев выявит трояны, которые попросятся затем выйти в Интернет, но есть и такие, которые делают такие мелкие неприятности как замена домашней страницы, переход на определённые сайты и т.п. Так, что Антивирус + Фаервол не панацея от всех болезней.
Более безопасный серфинг в Интернет получается, если использовать не голый IE, а одну из его оболочек типа MyIE2 (теперь
Maxthon), которые позволяют блокировать ActiveX и другие не очень нужные, но потенциально опасные элементы. Хотя многое отключается и в свойствах обозревателя.
Можно поступать более кардинально – использовать браузер не на основе движка IE: Opera7.54, Mozilla,...
Так же не стоит забывать, что иногда угрозу представляют html письма просматриваемые в Outlook. Хороший выход – использование почтовика The bat.
3. Избавление от непрошенных гостей.
Если же в работе компьютера появились характерные признаки заражения:
Постоянная подмена домашней страницы
Непонятный исходящий или входящий трафик, малая скорость загрузки и т.п.
Замедление работы компьютера
…
Есть ряд программ, которые позволяют избавиться от многих шпионов, троянов автоматически:
Ad-Aware
Spybot - Search & Destroy
и т.п.
бывает, что одной из подобных программ недостаточно, и приходится на всякий случай пользоваться всеми.
Что же делать если эти программы не помогли ?
Тогда приходится прибегать к не автоматическим методам.
Не так давно в поле зрения попала одна замечательная программа:
HiJackThis
Эта утилита контролирует подозрительные места в Windows, откуда может запуститься adware/spyware софт или трояны. Но решение по удалению принимает
юзер. Лучше не удалять всё подряд, а спросить у более опытных людей,
приведя текстовый лог этой программы (кнопка Save Log).
На всякий случай – список стандартных процессов Windows XP:
http://oszone.net/windows/winxp/ser...lservices.shtml
Также есть ещё вспомогательные утилиты. Это RegMon – следит за всеми обращениями к реестру (позволяет выявить какая программа отвечает за прописывание домашних страниц, автозагрузку и т.д.). FileMon – выявляет действия с файлами (запись, чтение).
Для просмотра процессов можно использовать удобную утилиту Process Explorer.
Небольшие итоги:
Система:
Win2000/XP/2003 – режим опытного пользователя
Антивирус (любой)
Фаервол (Outpost 2…)
Автоматические сканеры на трояны, шпионы:
Ad-Aware
Spybot - Search & Destroy
Неавтоматические вспомогательные утилиты:
HiJackThis
RegMon
FileMon
Process Explorer