Защита вашего компьютера - Сергей Яремчук

Для тестирования работоспособности вместе с программой поставляется утилита snstest.exe, которая имитирует занесение данных в системный реестр, попытку записи и удаления из системного каталога.

3.3. Часовой Scotty

Этой простой программой я пользуюсь уже пятый год, начиная с версии 6.0. Она называется WinPatrol (http://www.winpatrol.com/). На момент написания книги актуальной является 11-я версия, которая работает в системах Windows 98, ME, 2000, NT и XP. Ее можно использовать в Windows 95. Однако тогда необходимо предварительно ознакомиться с инструкциями по адресу http://www.winpatrol.com/win95.html. Программа распространяется свободно, но за плату можно получить доступ к дополнительным функциям WinPatrol PLUS и к сетевой базе данных, цель которой – помочь пользователям разобраться в списке незнакомых названий процессов (например, надпись service.exe в таблице процессов ничего не скажет большинству пользователей). При активизации PLUS изменение параметров будет контролироваться в реальном времени. Локализованную версию можно скачать по адресу http://www.winpatrol.com/setupru.exe.

После установки WinPatrol создает снимок критических системных ресурсов и предупреждает пользователя в случае любых изменений. Все просто, но эффективно. В области уведомлений появляется значок с изображением собаки. Этот Scotty будет следить за всем, что происходит на компьютере, узнавать о саморазмножающихся вирусах, Adware, Spyware, троянах и Cookies. WinPatrol позволяет подтверждать установку любых новых программ. С этой программой мне удалось пережить не одну эпидемию, и однажды после очередной атаки Scotty предупредил, что в системе появился новый сервис. Так я познакомился с I-Worm/Netsky.B.

В большинстве случаев после установки WinPatrol готов к работе и будет беспокоить пользователя только в случае обнаружения проблемы.

Двойным щелчком на значке в области уведомлений вызовите программу (рис. 3.7).

Рис. 3.7. Окно программы WinPatrol

Окно программы содержит несколько вкладок. Перейдя на вкладку Автозагрузка, вы сможете просмотреть список всех приложений, запускаемых при загрузке операционной системы, и при желании отредактировать его, то есть остановить, включить или удалить из него любую программу. Щелкнув дважды на выбранной позиции, вы получите информацию о ней (название, версию программы, параметр реестра и пр.). Единый отчет обо всех программах выводится при выборе пункта Полный отчет в контекстном меню. При первом запуске WinPatrol просматривает список автоматически запускающихся программ и при его изменении предупреждает об этом пользователя.

Перейдя на вкладку Работающие программы, вы получите информацию о запущенных на данный момент программах и задачах. Нажатие кнопки Завершить приведет к остановке выбранной задачи. После двойного щелчка на выбранной задаче отобразится более подробная информация. С помощью кнопок PLUS инфо (для платной PLUS-версии) или Информация можно узнать все о неизвестном процессе. В последнем случае ссылка приведет на сайт проекта http://www.winpatrol.com/stats.html, где дана информация только по 350 наиболее известным утилитам.

Вкладка Службы похожа на описанную выше. Здесь осуществляется контроль над запущенными сервисами, то есть можно отключить или временно остановить запущенные сервисы и получить информацию о них. Чтобы не искать подозрительные программы в большом списке, можно установить флажок Отобрать ‘не-Майкрософт’, убрав сервисы, принадлежащие операционной системе.

Вкладка Задания содержит информацию о программах, использующихся в Планировщике задач Windows.

Надстройки браузера – полезная функция, позволяющая бороться со шпионскими и другими вредными программами, которые используют для запуска объекты помощника браузера. Здесь можно узнать об имеющихся в системе объектах (название, производитель, время появления), а при появлении нового объекта выдается запрос на его установку. Есть возможность удалить подозрительные объекты помощника браузера.

Внимание!

Объекты помощника браузера запускаются каждый раз вместе с Internet Explorer (который является неотделимой частью системы) даже в случае просто открытия папки на локальном компьютере, поэтому с их помощью можно следить за пользователем, что применяется в программах-шпионах.

Появление новых Cookies, отклонение, управление и просмотр информации, записанной в Cookies, – все это отображается на вкладке Фильтры куки (рис. 3.8).

Рис. 3.8. Вкладка Фильтры куки

Вы можете составить правила фильтрации для доверенных Cookies и таких, которые всегда должны удаляться. Для этого выберите текст (например, адрес сайта, с которого получены Cookies), введите эту информацию в соответствующее поле и нажмите кнопку Добавить.

Более подробную информацию можно получить, нажав кнопку Показать куки. Подозрительные или ненужные Cookies удаляются нажатием кнопки Удалить Невыбранные (будут удалены неотмеченные) или Удалить Выбранное (удалятся выбранные Cookies).

Для удобства расширения файлов в Windows соотносятся с определенными приложениями. Пользователю достаточно дважды щелкнуть на значке файла – запустится ассоциированная с этим расширением программа. Вкладка Ассоциации дает возможность просматривать, контролировать и восстанавливать измененную ассоциацию приложений с расширениями файлов. Если программа или пользователь попробует изменить соответствие, то WinPatrol обнаружит это и выдаст запрос на подтверждение действия.

Рассмотрим еще одну вкладку – Hidden Files. После установки WinPatrol проверяет файлы, имеющие атрибут скрытый и находящиеся в системной области, и отображает их список на данной вкладке, указывая имя файла, путь, время обнаружения, время последнего изменения и его тип. При обнаружении новых файлов, имеющих такой же атрибут, либо изменений, произошедших с контролируемыми файлами, будет выдано предупреждение. Выбрав файл и нажав кнопку Unhide, можно снять этот атрибут.

Изменение любого из вышеописанных параметров заставит Scotty реагировать, а пользователь будет предупрежден. Таким способом можно блокировать большую часть вредных программ, так как каждая, чтобы иметь возможность запускаться, попытается изменить один из параметров, контролируемых WinPatrol. Обратите внимание на значок Монитор, расположенный в правом верхнем углу на каждой вкладке. Щелкнув на нем, с помощью ползунка можно изменить время, через которое будет контролироваться выбранный параметр. Выбор значения 0 означает отключение контроля выбранного элемента.

В новой версии появилась возможность запуска программы с задержкой. Для этого следует перейти на вкладку Delayed Start, где, нажав кнопку Добавить, указать на исполняемый файл, а затем нажатием кнопки Delay Options установить время задержки и другие условия (например, запуск в свернутом виде).

Следующая вкладка – Настройки. В области WinPatrol отображаются установки самой программы: автоматическая загрузка вместе с Windows, подтверждение при закрытии, проигрывание звуков, просмотр истории действий с возможностью отката, экспорт установок и пр. Параметры, расположенные в верхней части вкладки, относятся к безопасности. Так, щелчок на кнопке Определять изменения домашней и поисковой страниц браузера позволит отслеживать все попытки их скрытой замены. Многие пользователи входят в Интернет щелчком на значке Internet Explorer, и по умолчанию открывается какая-либо страница. Подставив сюда определенные данные, можно накручивать счетчик на соответствующем сайте. Подмена параметров домашней страницы является одним из излюбленных приемов злоумышленников.

Параметр Предупреждать меня, если будут сделаны изменения в файле сайтов позволяет контролировать либо полностью блокировать изменение файла hosts (рис. 3.9).

Рис. 3.9. WinPatrol обнаружил попытку изменения файла hosts

Компьютеры, подключенные к Интернету, имеют IP-адреса, но пользователю проще запомнить название узла вида mail.ru, чем набор из 12 цифр. Чтобы это было возможным, существует доменная служба имен (DNS – Domain Name Service). Когда пользователь вводит имя узла, компьютер обращается к одному из таких сервисов и получает по имени его IP-адрес. На каждом компьютере есть также специальный файл hosts, который расположен в каталоге C:WINDOWSsystem32driversetc. Сюда пользователь может вносить необходимые узлы и соответствующие им IP-адреса. Это ускорит загрузку страниц и уменьшит зависимость от DNS-серверов. DNS-трафик небольшой, но если, например, для выхода в Интернет вы используете мобильный телефон с GPRS, то он может быть ощутимым. Злоумышленники также неравнодушны к файлу hosts, так как, введя неправильный адрес, можно перенаправлять пользователя на другой узел для накрутки счетчика, кражи личной информации или блокирования обновления антивирусных баз. Если появится сообщение о попытке изменения файла hosts (если вы сами его не изменяли), то в большинстве случаев следует нажать кнопку Удалить изменения. С помощью кнопок Показать новый файл и Показать старый файл можно сравнить состояния файла до и после внесения изменений. Чтобы принять изменения, нажмите одноименную кнопку. Снять контроль файла hosts можно, установив флажок Отключить проверку этого файла.