Безопасность -> Софт -> MS AntiSpyware

MS AntiSpyware

Прошел уже почти год с момента выхода бета-версии антишпионского продукта от Microsoft - Windows AntiSpyware. Все это время программа была представлена в некоммерческом виде. Но недавно было заявлено, что этот продукт получает новое название - Windows Defender ("Защитник Windows"), в него будут добавлены новые функции (обнаружение клавиатурных шпионов, скрытых модулей для получения прав администратора) и будет новый интерфейс. Вероятно, изменение названия связано с тем, что эта программа должна будет стать частью новой операционной системы Vista.

Возможно, еще до конца этого года будет выпущена новая бета продукта, но название у нее будет уже Windows Defender. А в следующем году планируется выход предварительной версии Windows Vista Community Technology Preview, в которую эта программа войдет как составная часть. Предполагается, что обновления сигнатур - участков кода, характерных для определенных шпионских программ - в Windows Defender будут производиться через централизованную систему обновления Windows Update вместо отдельного механизма. А если говорить о текущей версии, то она мало в чем изменилась с момента своего выхода. Microsoft выпустила ее вскоре после того, как приобрела компанию Giant Company Software, занимающуюся производством и разработкой программ для защиты от шпионов. Microsoft AntiSpyware Beta - это бесплатный продукт, основанный на коммерческой программе GIANT AntiSpyware.

Основной упор в программе сделан на отслеживание и предотвращение нежелательных действий со стороны различных шпионских программ, в первую очередь связанных с работой компьютера в Интернете. Может быть, именно желание закрыть все бреши в защите компьютера привело к тому, что при первой же проверке моего компьютера наиболее опасной программой была признана Yandex.Toolbar (в описании она была названа Russian Searchbar Toolbar). Эта программа была оценена высшим баллом по шкале угроз, и было предложено немедленно удалить ее из компьютера. Интересно, что установленный аналогичный продукт от Google был будто бы и не замечен.

Интересно, что одной из важных особенностей программы Microsoft AntiSpyware является наличие сообщества под названием SpyNet. SpyNet - это сеть, поддерживаемая простыми пользователями, которая помогает оперативно идентифицировать новые виды spyware. Любой пользователь может войти в сообщество SpyNet и отсылать отчеты о spyware-компонентах в Microsoft. Но почему это сообщество до сих пор не разобралось с "проблемой" Yandex.Toolbar - непонятно. Поэтому приходится эту панель заносить в список программ, на которые AntiSpyware больше не будет обращать внимания.

Что же ищет на компьютере антишпионская программа? От чего она нас защищает? К сожалению, убедиться в эффективности работы этой программы особенных возможностей не представилось, поскольку мой рабочий компьютер постоянно подвергается проверке и антивирусной программой, и аналогичными антишпионскими программами (Ad-Aware и S&D). Хотя порадовало то, что никаких новых "инъекций" не было обнаружено, - значит, те программы, которые уже используются, работают вполне надежно.

Какие признаки могут сигнализировать о том, что на вашем компьютере появились нежелательные программы? Один из них - подстановка вместо обычной стартовой страницы ссылки на совершенно ненужный вам сайт, от которого очень сложно избавиться. Следующий признак - появление окон с назойливой рекламой, как в то время, когда вы подключены к Интернету, так и в офлайновом режиме работы. Если ваш компьютер работает медленнее обычного, скорость соединения с Интернетом стала меньше и в то же время наблюдается нежелательная активность на вашем канале подключения к Сети - у вас явно есть нежелательные программы. Добавление неизвестных вам сайтов в список фаворитов, переадресация на совершенно ненужные вам сайты - это также признаки наличия программ-шпионов.

Проникать на ваш компьютер программы-шпионы могут самыми разнообразными способами - через почтовые сообщения, при подключении к зараженным сайтам, при скачивании бесплатных или условно-бесплатных программ, переходам по рекламным сообщениям. Вариантов много. Результат - один. Ваш компьютер подвергся нападению, и ваша персональная информация находится под угрозой. Именно такие программы-шпионы, а также трояны, звонилки, клавиатурные шпионы, программы удаленной установки и другие вредоносные программы и пытается обнаружить Microsoft AntiSpyware.

Поскольку программы-шпионы постоянно обрастают новыми и новыми модификациями, необходимо постоянно обновлять базы сигнатур, с которыми работает и по которым отыскивает шпионов это программное обеспечение. Обновление выполняется при подключении к Интернету, при этом возможна настройка на автоматическое подключение к серверу и загрузку обновлений.

Первая проверка компьютера проводится сразу после установки программы. Первая точка отсчета. Если на ваш компьютер до установки Microsoft AntiSpyware уже успело проникнуть шпионское ПО, оно с большой долей вероятности будет обнаружено. Но вот что интересно. Похоже, что AntiSpyware не обращает внимания на cookies. Проверил после AntiSpyware свою систему программой Ad-Aware и получил список нежелательных файлов cookies. Зато скорость работы первой была несколько выше.

И еще одно отличие от Ad-Aware. Бесплатная версия Ad-Aware не предоставляет пользователю возможности отслеживания проникновения неприятных сюрпризов на его компьютер, для этого необходимо приобрести версию Pro, а она уже платная. Программа от Microsoft может устанавливаться как сервис, который будет постоянно отслеживать ненужную активность. При этом работает сразу три сторожа - Internet Agents, System Agents и Application Agents.

Internet Agents отслеживают несанкционированную активность модема, входные беспроводные соединения компьютера и изменения Windows Messenger Service. System Agents защищает в реальном времени от угроз, несанкционированно изменяющих вашу систему - например, изменяющих параметры ограничения доступа или настройки операционной системы. Application Agents защищает в реальном времени от угроз, связанных с установкой, удалением или изменением вашего программного обеспечения, а также от модификации Internet Explorer и установки ActiveX-компонентов из Интернета.

По умолчанию программа выводит сообщения об обнаруженной несанкционированной активности (например, при попытке изменить домашнюю страницу браузера). Но не всегда это бывает удобно, поэтому имеется возможность настроить программу так, чтобы автоматически (и без оповещения) блокировать обнаруженные угрозы, например запуск файлов .vbs или .js.

Важным элементом программы является возможность настройки сканирования компьютера по расписанию. Вы можете подобрать такое время для работы программы, когда она будет в меньшей степени мешать вашей работе, - например, в обеденный перерыв или в ночное время. И если настроить программу на автоматическое решение проблем, то к вашему приходу будут выполнены все проверки, загружено обновление базы данных из Интернета, сформирован отчет о работе. Но есть один недостаток. Те, кто не любит, когда что-либо на компьютере выполняется без их ведома, не смогут полностью отключить расписание - авторы программы считают, что хотя бы одна проверка в месяц должна выполняться. И отключили полную блокировку расписания.

У каждого варианта использования - отслеживание активности в реальном времени и сканирование компьютера - есть как свои достоинства, так и недостатки. Так, сканирование может обнаружить изменения, внесенные в стартовую страницу, но не обнаружит попытки "нормальной" программы выполнить какие-либо изменения в реестре. Зато их обнаружит и пресечет система защиты в реальном времени.

Умудренные опытом пользователи могут применить свои знания для тонкой настройки программы с помощью инструментария Advanced Tools. Он разделен на три части - System Explorer, Browser Hijack Restore и Tracks Eraser. Browser Hijack Restore обеспечивает быстрое восстановление изменений, которые могли быть внесены шпионскими программами в браузер. System Explorer более разнообразен. Он отслеживает запущенные процессы, панели, установленные в MS IE. Отслеживается и проверяется список программ, запускаемых при старте операционной системы, где бы они ни были прописаны. При попытке какой-либо программы прописать себя в автозагрузку AntiSpyware немедленно сообщит об этом и до решения пользователя заблокирует выполнение этого действия. Выполняется проверка и сетевых настроек. Tracks Eraser обеспечивает удаление временных файлов, создаваемых различными программами. Среди них - Adobe Reader, Google Toolbar, Internet Explorer, Office 97/2000 и другие. Также с его помощью могут быть удалены и cookies.

Почему-то не входит в состав расширенного инструментария еще одна опция - анализатор файлов. Ее вызов доступен лишь через программное меню. С помощью данного анализатора можно получить подробную информацию о любом файле, для чего требуется лишь выбрать его с помощью стандартного окна поиска файлов либо перетащить мышкой на поле ввода. После анализа будет показана информация о версии, размере, копирайту, датам создания и изменения.

Что порадовало в программе - хорошо продуманная навигация. Даже не зная, что и где нужно нажимать, ошибиться в своих действиях сложно. И ко всему прочему - не только удобная навигация, но и приятный дизайн самой программы. Что понравилось в меньшей степени - формирование отчетов. Хорошо, когда я их формирую для себя. Но зачем постоянно предлагать отправить сформированные отчеты в компанию Microsoft? Подобная назойливость постепенно начинает раздражать.

И небольшое заключение. Собственный опыт, как и материалы и впечатления разных пользователей, размещенные в Интернете, показывает, что данная программа вполне качественно защищает компьютер от вторжений, если это делается на постоянной основе. Но вот чистку уже зараженного компьютера лучше проводить всем набором имеющихся программ - и программой Microsoft AntiSpyware, и Ad-Aware, и S&D. Каждая из них обладает своими особенностями, дополняя ими друг друга.

Автор: Михаил Брод
Источник: www.hostinfo.ru