Сергей Яремчук - Защита вашего компьютера
• File extensions – настройка проверки файлов на основании расширения. При установке переключателя в положение Scan all files будут проверяться все файлы без исключения, Scan all infectable files – файлы, которые можно заразить, а флажок и поле Add extensions позволяют самостоятельно задать список расширений файлов для проверки.
Нажатием кнопки ОК подтвердите изменения и выйдите из режима настроек. Если вы считаете, что при настройке допустили ошибку, параметры можно вернуть в исходное состояние нажатием кнопки Default.
Совет
Чтобы быстро проверить файл или папку, можно выбрать в контекстном меню пункт Scan with AVG Free.
Теперь, чтобы проверить диски компьютера, достаточно открыть окно Test Center и нажать кнопку Scan Computer. Если при сканировании программа обнаружит вирус, который нельзя вылечить, зараженный файл будет помещен в Virus Vault (рис. 2.24).
Рис. 2.24. Здесь AVG хранит обнаруженные вирусы
Назначение Virus Vault – безопасное хранение зараженных объектов. Чтобы избежать случайностей, имя файла изменяется, тело шифруется, но сохраняется возможность восстановления файла. В Virus Vault можно еще раз попытаться вылечить, удалить или восстановить объект.
Для автоматического удаления файлов выполните команду меню Service → Program Settings. Здесь можно задать максимально допустимые размер и количество хранимых файлов (при этом наиболее старые файлы будут автоматически удалены) или указать срок хранения подозрительных.
По окончании сканирования можно получить общий или полный отчет о выполненной проверке.
AVG предупреждает о скрытом, то есть двойном расширении файла (hidden extention) – любимом приеме создателей вирусов; при этом файл полностью блокируется, не позволяя пользователю открыть его (рис. 2.25).
Рис. 2.25. Предупреждение о скрытом расширении файла
Этот простой, но эффективный прием позволяет в большинстве случаев предотвратить негативные последствия, но, к сожалению, используется не во всех программах защиты.
Антивирус Avast! Home Edition
Антивирус Avast! Home Edition прост в установке. Получить его можно на сайте проекта http://www.avast.com/eng/download-avast-home.html. Необходимо скачивать файл, помеченный как Russian version, – в этому случае интерфейс антивируса будет локализован. Следует также перейти на страницу http://www.avast.com/eng/home-registration.php, зарегистрироваться и получить ключ активизации, иначе установленный антивирус будет работать только в течение 60 дней в демонстрационном режиме. Выберите в раскрывающемся списке Registration language русский язык – меню русифицируется. Далее дважды введите правильный электронный адрес и в поле Control Letters – буквы, изображенные на картинке. Остальные параметры не обязательны. После нажатия кнопки Регистрация на указанный электронный адрес придет ключ и инструкции по его установке на русском языке.
Далее запустите исполняемый файл и следуйте указаниям мастера установки. На определенном этапе вам предложат выбрать конфигурацию антивируса: Нормальная, Минимальная и Выборочная. В варианте Нормальная содержатся все необходимые для работы компоненты. Если хотите что-то убрать, используйте вариант Выборочная. После установки антивируса в Панели задач появятся два новых значка.
После установки появится основное окно программы (рис. 2.26), внешний вид которого можно изменить с помощью тем.
Рис. 2.26. Интерфейс Avast! Home Edition
Большое количество тем можно найти на сайте проекта. Чтобы их подключить к Avast! Home Edition, следует скопировать полученный файл в каталог C:Program FilesAlwil SoftwareAvast4DATASkin и дважды щелкнуть на архиве – тема станет доступна в меню Выбрать обложку. Некоторые темы не локализованы.
В Avast! Home Edition обновления разделены на две части: обновление модулей программы и антивирусных баз. Для каждой можно указать свой режим обновления. Для этого достаточно перейти в Настройки программы, выбрать пункт Обновление (основной) и указать нужный режим обновления в каждой области:
• Антивирусная база данных – для обновления антивирусных баз;
• Программа – режим обновления модулей программ.
В обеих областях доступны три варианта обновления:
• Выполнять обновления автоматически – при наличии последних обновлений компоненты обновляются автоматически (без запроса пользователя);
• Уведомлять о возможности выполнения обновлений – проверяется наличие новых баз и модулей программы, если таковые обнаруживаются, пользователю выдается запрос;
• Выполнять обновления вручную – пользователь сам решает, когда обновлять антивирус.
По умолчанию настройки соединения с Интернетом берутся в Internet Explorer. Параметры подключения к Интернету настраиваются в меню Обновление (Подключение).
Выбор объектов проверки производится с помощью кнопок. Доступны три кнопки. Одна отвечает за выбор всех разделов диска, вторая поможет выбрать сменные носители, третья предназначена для отбора конкретных каталогов.
После того как задание сформулировано, нажмите кнопку Запустить.
Совет
Быстро проверить каталог или файл можно, выбрав в контекстном меню пункт Сканировать.
Некоторые настройки можно произвести из контекстного меню, вызываемого щелчком на значке. Отсюда можно настроить сканер доступа, приостановить работу резидентных провайдеров, обновить базу данных, настроить параметры резидентной защиты, установить или изменить пароль, защищающий доступ к антивирусу.
Примечание
Резидентными провайдерами в антивирусе Avast! Home Edition называются модули, отвечающие за защиту специфических подсистем компьютера: файловая подсистема, электронная почта, веб, сети мгновенного обмена сообщений, сетевой экран и др.
2.4. Программы для поиска руткитов
Обнаружить руткит в системе крайне сложно. Пользователь может не догадываться о его наличии, хотя сигнатуры самых известных руткитов занесены в антивирусные базы и каждый антивирус может найти эти приложения.
Ознакомиться со специализированными утилитами, предназначенными для поиска руткитов, и иметь их под рукой полезно, тем более что они просты в использовании.
Руткиты некоторых типов можно обнаружить вручную. Достаточно поместить систему защиты руткита в обстановку, где она не будет работать. Например, загрузившись в безопасном режиме с загрузочного WinPE или с другой системы, можно сравнить результат выполнения команд dir, s, b, ah с помощью утилиты WinDiff (http://keithdevens.com/files/windiff/windiff.zip) или Compare It! (http://www.grigsoft.com/). Найденные расхождения могут свидетельствовать о проблеме.
Такой подход приемлем не всегда, поэтому можно воспользоваться специальными утилитами, которые сравнивают ответы процессов на разных уровнях во время работы системы. Примером может служить самая простая в использовании коммерческая разработка компании Greatis Software – UnHackMe (http://www.unhackme.com/) (рис. 2.27), умеющая останавливать подозрительные процессы и полностью удалять их с диска.
Рис. 2.27. Окно утилиты для поиска руткитов UnHackMe
Для поиска запрятанных руткитов достаточно нажать кнопку Check Me Now!– начнется проверка всех запущенных процессов. Если в системе нет отклонений, на экран будет выведено соответствующее сообщение. Чтобы попрактиковаться в удалении руткитов, можно щелкнуть на кнопке Demo – вам предложат поучаствовать в удалении руткита HackerDefender. Программа не бесплатна и после установки будет работать в течение 30 дней, после чего нужно будет ее удалить или заплатить. В последних версиях добавился резидентный монитор, защищающий систему в реальном времени, и RegRun Reanimator, позволяющий контролировать объекты автозапуска.
Бесплатная утилита RootkitRevealer, разработанная компанией Sysinternals (сейчас – собственность Microsoft: http://www.microsoft.com/technet/sysinternals/default.mspx), также проста в использовании и может работать в графической среде или запускаться из командной строки. Для проверки системы необходимо только распаковать архив, запустить исполняемый файл, убедиться, что в меню Options установлены флажки Hide NTFS Metadata Files и Scan Registry, после чего закрыть все приложения, нажать кнопку Scan и некоторое время не работать на компьютере.
Утилита RootKit Hook Analyzer (http://www.resplendence.com/) позволяет обнаружить руткиты, перехватывающие системные вызовы. Программа бесплатна: для проверки системы достаточно установить ее и нажать кнопку Analyse. По окончании на экране появятся результаты проверки. Процессы, вмешивающиеся в работу других сервисов, будут помечены красным цветом, а в столбце Hooked на вкладке Hooks будет отображаться YES (рис. 2.28).