Безопасность -> Софт -> Обзор продукта для борьбы со шпионскими и троянскими программами

Обзор продукта для борьбы со шпионскими и троянскими программами – Ad-Aware

В наше время Интернет переполнен различными враждебными кодами, и индустрия создания и модернизации вирусных кодов только в зачатии, ежедневно в мире появляются сотни ранее не известных разновидностей вирусов. Этим моментом, бесспорно, пользуются предприимчивые компании и тем самым создают огромное количество различного специализированного программного обеспечения для отлова и обезвреживания этих кодов. Создаются новые методы противодействия новым «технологиям» создания вирусов - совершенствуется технология антивирусов, как говорится, на каждого хитреца найдётся более умелый хитрец.

В данном обзоре мы поговорим о линейке программных решений Ad-Aware (Ad-aware Plus, Ad-Aware Professional).

Стоимость Ad-Aware Plus 32 у.е. на сайте www.avsoft.ru, размер дистрибутива 2 Мб, что кажется странным на первый взгляд, так как пользователи уже давно уверены, что хорошая программа должна весить много, а стоить дорого, а уж если программа весит мало, то дизайн её должен быть обязательно сляпан на скорую руку.

Несмотря на все противоречия, дизайн программы удивляет, так как выглядит довольно стильно и имеет интересные эффекты (появление, исчезновение, изменение цвета), белоснежно-голубые тона и чётко прорисованные иконки.

Адаптация пользователя к новому продукту происходит довольно гладко, так как все основные опции расположены непосредственно в главном меню во вкладках с лева и в виде кнопок сверху, а некоторые даже дублируются (опция монитора ad-watch, опция обновления).

В верхней части окна находятся основные параметры программы:

монитор ad-watch,

общие настройки для всех вкладок,

объекты, помещённые в зону карантина,

соединение с узлом обновлений

опция информации о создателях.

Их список сохраняется в случае, если пользователь переходит по вкладкам слева.

Первой и основной вкладкой, открывающейся сразу после загрузки, является информационное поле «Статус». В нём, как и во многих подобных антивирусных пакетах, указываются основные параметры. Первым и самым выделяющимся является окно статистики:

- Недавняя проверка: Дата, когда было произведено последнее сканирование
- Удалено объектов: Общее количество удаленных объектов. 
- Всего проверок: Общее количество проверок системы
- Объектов в игноре: Общее количество объектов, находящихся в игнор-листе
- Изолировано объектов: Количество объектов, помещенных в карантин

Это необходимо для того, чтобы пользователь мог определить тенденцию появления вредителей. Интересным также является и отдельно расположенные игнор-списки (в игнор-списки вносятся доверенные пользователем программы, которые обязаны часто вносить изменения в вашу систему, и после уже будут вносить коррективы без запроса пользователя) и карантинные списки (в карантинные списки вносятся объекты, которые по каким-то причинам являются инфицированными или возможно инфицированными; они, не удаляясь, помещаются в зону карантина, тем самым блокируются, шифруются и сжимаются), так как во многих аналогах они слиты в один ком. Давно замечено, что удобно иметь на главном поле пункт «Обновление», так как всегда можно без особых трудностей выяснить дату последнего обновления сигнатур, так и разработчики данного продукта выделили это и учли.

На этой же вкладке можно увидеть дату последнего обновления и количество содержащихся в ней сигнатур; настойками обновлений считаются:

- Automatically look for updated reference files upon start - При запуске автоматически проверять обновление через Интернет
- Suppress Webupdate confirmation dialogs - Не показывать окно подтверждения добавления нового ref файла
- Always back up reference file before updating - Перед обновлением будет сделана резервная копия старого ref файла
- Create and save Webupdate logfile - Добавить в отчет информацию об обновлении

Вкладка «Scan now» создана для немедленного сканирования дисков на наличие враждебных кодов. Подготовка к сканированию происходит постранично, что обеспечивает гибкость. На первой странице вы имеете возможность выбора дисков с папками и подпапками (Select), выбор дополнительных настроек (Customize) и выбор режимов сканирования: использовать опции по умолчанию, сканировать только выбранные в пункте «Select» диски и папки, использовать быструю проверку. При активации функции «Customize» программа предложит редактировать следующие настройки:

- "Сканировать в архивах" - Ad-Aware будет просматривать файлы, расположенные в архивах.
- "Пропустить неисполняемые файлы" – имеется возможность пропустить проверку неисполняемых файлов, что приведет к ускорению процесса сканирования. При активации данного пункта могут быть пропущены опасные объекты. Например, такие как Cookies, и многие другие
- "Пропустить файлы размером более [x] KB" - выставление размера файлов, которые следует пропустить, если их размер превышает заданный
- "Сканировать активные процессы" - Ad-Aware подвергнет проверке процессы, которые выполняются в момент начала сканирования
- "Сканировать реестр " - Проверяет реестр на наличие подозрительных записей.
- "Глубокое сканирование реестра" - Подвергнет реестр более тщательному сканированию
- "Сканировать Избранное" - Удалит подозрительные ссылки Избранного Internet Explorer

Также пользователь имеет возможность настроить твикер:

- Unload recognized processes during scanning - Автоматически остановит найденные подозрительные процессы, которые были запущены до начала сканирования
- Target objects on the Ad-watch filter list - По окончании сканирования Ad-watch откроет список с подозрительными объектами, для того, чтобы Вы могли их сразу же удалить
- Reanalyze result after scanning, before displaying final result list - По окончании сканирования программа еще раз просмотрит список заблокированных объектов
- Run scan as background process (Lower CPU usage) - Ad-aware будет выполнять проверку в фоновом режиме
- Include info about ignored objects in logfile, if detected in scan - В отчет будет включена информация о проигнорированных объектах
- Include basic Ad-aware settings in logfile - В отчет будет включена информация об основных настройках Ad-aware
- Include additional Ad-aware settings in logfile - В отчет будет включена информация о настройках "Твикера"
- Include used command line parameters in logfile - В отчет будет включена информация о параметрах командной строки
- Include computer and user name in logfile - В отчет будет включена информация о пользователе компьютера

После старта сканер начинает проверку реестра и дисков на наличие вирусных кодов. В конце сканирования формируется сводный отчёт:

• Запущенные процессы - Общее количество процессов, которые выполняются одновременно с Ad-Aware
• Разрешенные объекты - Общее количество обнаруженных объектов
• Проигнорированные объекты - Общее количество пропущенных объектов, так как они были помещены в игнор-лист
• Новые объекты - Количество обнаруженных элементов. Ad-Aware считает таковыми все обнаруженные объекты, ключи реестра и прочие файлы, которые не были помещены в игнор-лист

Обнаруженные объекты - Заголовок правой части отчета. Он содержит:

- Процессы - Общее количество обнаруженных подозрительных процессов
- Ключи реестра - Общее количество подозрительных ключей реестра
- Значения реестра - Общее количество подозрительных значений реестра. Отличаются от общего количество ключей реестра тем, что несколько значений может входить в один ключ
- Файлы - Общее количество подозрительных файлов
- Папки - Общее количество подозрительных папок

Остаётся лишь выбрать из списка коды, которые, по вашему мнению, не должны находиться на вашем компьютере и нажать кнопку «удалить». Бывают случаи, когда программа вовсе перестаёт работать при удалении встроенных adware или spyware-модулей. В этом случае нужно или переустановить неработающую программу или перекрыть брандмауэром доступ в сеть якобы инфицированному модулю.

Пакет Ad-aware отличается от многих аналогов тем, что содержит особенный монитор, который имеет возможность следить за реестром. Ad-watch находится в трее и выявляет подозрительные изменения в системе и при обнаружении сообщает об этом пользователю, а далее предлагает вмешаться. Если подозрительный вредитель имеется в базе пакета Ad-Aware Plus, пользователю предлагается ознакомиться с его характеристиками. Монитор отслеживает запуск подозрительных процессов и защищает от автоматического запуска исполняемых файлов и от самовольной записи в реестр. Основные настройки монитора:

- Загрузка Ad-watch при старте windows - Ad-watch может загружаться вместе с Windows. Эта опция используется для автоматической проверки системы на наличие вредных объектов
- Всегда показывать Ad-watch поверх остальных окон - Окно Ad-watch всегда будет находиться поверх окон остальных приложений
- Точность в реальном времени - Устанавливает скорость, с которой Ad-watch отображает новые обнаруженные объекты. Обратите внимание, что установка большего значения повлечет за собой дополнительную нагрузку на процессор. Существует возможность установки значения наиболее приемлемого для системы:

• Норма - Самый низкий параметр, задействующий минимальное количество ресурсов центрального процессора подходит для старых компьютеров
• Средняя - Среднее значение параметра оптимально для большинства компьютеров
• Высокая - Использует наибольшее количество ресурсов процессора, подходит только для самых современных компьютеров
• Блокировать секцию загрузки в реестре - При проверке реестра программа пропустит раздел реестра, в котором расположены программы автозапуска
• Блокировать попытки атаки браузера - Останавливает подозрительные файлы, использующие возможности браузера
• Блокировать подозрительные объекты - Ad-watch блокирует все подозрительные процессы, найденные в Вашей системе
• Блокировать связи с исполняемыми файлами - Блокирует только общие связи так, чтобы они не могли изменять программу, ярлыки и файл реестра

В опциях монитора также существует дополнительное меню, позволяющее более детально и гибко осуществить настройку:

- Deactivate Ad-watch during Ad-aware scans - Ad-watch перестает работать на время, пока Ad-aware сканирует систему
- Completely reanalyze processes on change - Когда Ad-watch обнаружит изменение в системе, Ad-watch заново запустит все свои процессы
- Block ActiveX installations - Блокирует выполнение компонентов ActiveX
- Block IE save operations - Заблокирует процедуру установки компонентов через Internet Explorer
- Block popups and banned sites - Блокируются всплывающие окна
- Automatically pop up event log if event occurs - При обнаружении нежелательного действия Ad-watch откроет окно, сообщающее об этом
- Automatically save event log on close - Перед закрытием лог файла он будет автоматически сохранен
- Log Ad-aware events - Действия Ad-watch будут добавлены в лог Ad-aware
- Don't clear session event log on resetting statistics - Сессия Ad-watch не будет стерта при сбросе статистики в окне Ad-aware

Вкладка «plug-ins» также не может остаться без особого внимания, так как похожее решение встречается крайне редко (Avast!). Plug-ins – это расширение за счет подключаемых модулей, они являются законченными ad-dons, предназначенными специально для Ad-Aware. Фактически они являются самостоятельными программами, которые работают внутри Ad-Aware. Все плагины имеют функцию автоматической установки. Однако существует и режим установки их вручную (копирование dll файлы в папку Ad-aware\Plugins). Плагины доступны для скачивания на сайте www.lavasoft.ru

Хочется заметить, что в программу великолепно внедрена справочная служба, так как при активации любой вкладки пользователю предлагается ознакомиться с мануалами по данным настройкам и общему представлению текущих параметров. В справку по всей программе целиком вы можете попасть, щёлкнув на вкладке «help» в левой части окна, где пользователям будут показаны общие принципы работы и данные по всем настройкам данного продукта.

В версии Ad-aware Professional ($47 на сайте www.avsoft.ru) заметно модернизирован дизайн, и добавлены новые опции.

Довольно эффектно выглядят иконки основных пунктов настройки пакета - они стали более стильными, в остальном же отношение к дизайну совершенно изменено, так как пользователь сам может выбрать его четырёх разных стилей, активировав в настройках пункт «interface».

Программа стала весить в два раза больше, и в связи с появлением новых пунктов стала стоить дороже.

При запуске пакета в глаза сразу бросаются два дополнительных пункта: «add-ons» и «Process- Watch», первый перешёл «по наследству» с версии Ad-Aware Plus - от вкладки «plug-ins», а вот второй совершенно новый.

Изменения также присутствуют и во вкладке «scan-now», так как в версии professional добавлены / изменены пункты сканирования.

Вкладка «Process- Watch»: осуществлен процесс наблюдения за системой, что позволяет наблюдать за действиями запущенных программ. Опознанные процессы подсвечиваются красным цветом. Щелчок правой кнопкой на любом из процессов приведет к появлению всплывающего меню. Из контекстного меню пользователь может либо выгрузить процесс, либо получить о нем более подробную информацию. В таблице данной вкладки различают девять заголовков:

• "Name" - Имя программы
• "HWND" - Маркер, назначенный Windows на выбранный процесс
• "ClassName" - Имя класса
• "Process ID" - Идентификатор процесса 
• "Thread ID" - Индентификатор для класса процесса
• "FileName" - Путь к файлу процесса
• "Threads" - Число файлов, задействованных процессом
• "Parent" - Родительский процесс выбранного процесса
• "Priority" - Приоритет процесса

В обеих версиях Ad-Aware существует возможность добавить в программу утилиту RegHance.

При её запуске сразу вспоминается стандартная утилита Windows - regedit, которая имеет возможность просматривать и выполнять редактирование реестра, но у стандартного имеется ряд недоработок: недостаточная функциональность, он труден в использовании и несовершенен с точки зрения расширенных функциональных возможностей. Проще говоря, утилита RegHance является расширением возможностей regedit. Из самых ярких можно выделить возможность снабжения комментариями ключей, мощный шестнадцатеричный редактор, который позволяет пользователю выполнять чтение и запись двоичных данных с диска на диск, расширенные возможности ускоренного поиска и установка закладок. В утилите используется панель быстрого доступа к адресам для быстрого перехода к определённому ключу. RegHance предназначена для работы совместно с программами Ad-Aware, что обеспечивает возможность быстрого и упрощённого анализа любого подозрительного ключа реестра.

На сайте www.adaware.ru можно скачать совершенно бесплатную версию Ad-Aware Personal, которая включает сканирующий модуль. Хоть от заражения и не защитит, но поможет обнаружить и деактивировать работающие на машине шпионские компоненты.

Выводы:
Пакет Ad-Aware от Lavasoft является неоспоримым лидером среди своих аналогов и оставил только положительные эмоции, так как он предоставляет пользователям, в отличие от антивирусных пакетов, возможность следить за реестром в реальном времени, который так «любят» шпионские модули и программы, распространяющие «спам». Также нужно отдать должное отличному дизайну программы, который уложился в минимальный объём дистрибутива. Сама программа продумана до мелочей и заслуживает отличную оценку по функциональным возможностям.

Минусы - не понравилось дублирование некоторых пунктов в меню слева и сверху, что может вызвать путаницу среди неподготовленных пользователей.

Компания «Lavasoft»

(www.lavasoft.com) учреждена в Германии около 10 лет назад, зарегистрирована в июле 2002 г. Главный офис находится в Швеции. Партнеры компании находятся более чем в ста странах, а покупателями являются пользователи компьютерной техники в Азии, Африке, Австралии, Европе и Америке. Продукция выпускается не менее чем на 20 языках. Lavasoft является лидером индустрии и наиболее респектабельным поставщиком решений Anti-spyware. Компания занимается разработкой решения Аnti-trackware в целях освобождения компьютера или сети от компрометирующих и шпионских угроз конфиденциальности, а также обеспечивает доступ к комплексным и эффективным решениям по защите конфиденциальности.

Lavasoft является лидером в области обеспечения защиты / конфиденциальности и наиболее уважаемым поставщиком решений в области программного обеспечения для предотвращения трассировки информации пользователя. Компания разработала несколько приложений, которые обеспечивают средства защиты компьютера или сети от подобных дискредитирующих и навязчивых угроз конфиденциальности.

Источник: www.izcity.com