Не антивірусом єдиним: як краще захистити комп'ютер від вірусів

Версія для друкуPDF version

Розглянемо кілька програм, що поліпшують захист комп'ютера від руйнівної дії вірусів навіть в тому випадку, якщо на ПК немає антивіруса, або він не спрацював.

Навіть AV comparatives використовує для перевірок ефективності антивірусів лише частина відомих вірусів. Про це можна судити, порівнявши кількість вірусів в тестах з кількістю відомих сигнатур для кожного антивіруса. Як правило, кількість тестових вірусів в кілька разів, якщо не на порядок, менше. Однак навіть якби антивіруси можна було перевіряти всіма існуючими на даний момент вірусами, все одно існували б 0-day уразливості, які програми для захисту вчаться ловити лише кілька годин або днів по тому.

Якщо підвести підсумки, то виходить, що антивіруси зараз вибираються або за що закріпився перевагам, або на базі, як правило, непідтвердженою або застарілої інформації про їх ефективність, яку не можна підтвердити реальними тестами. 

Даний огляд не є закликом до відмови від антивірусів. Неможливість визначити найбільш ефективний антивірус не означає, що від нього слід зовсім відмовлятися. Навіть середній за рівнем захисту антивірус - це краще ніж нічого. 

Як не варто впадати в одну крайність - відмовлятися від антивіруса, так не варто і робити прямо протилежне, наприклад, переходити повністю на операційну систему Tails, розглянуту недавно. Ця ОС, можливо, забезпечує найкращу ступінь захисту серед доступних ОС, однак щоденно використовувати її зможуть далеко не всі користувачі. Ми спробуємо знайти середній шлях і поєднати максимум захисту з максимумом зручності використання.

Глобальні пісочниці 

Глобальні пісочниці, такі як Shadow Defender, в цьому огляді розглядатися не будуть з двох причин. Як правило, вони платні і не зовсім підходять для щоденного використання. Максимальний рівень захисту глобальними пісочницями гарантується за рахунок повного відкату до попереднього стану системи після кожної перезавантаження. Це захищає від деструктивних дій вірусів, що видаляють або шифрующих файли, однак незручно для повсякденної роботи. 

В таких умовах неможливо створити на жорсткому диску документ з текстом або будь-який інший файл, оскільки після перезавантаження вони пропадають. Крім цього, глобальні пісочниці не захищають від кейлоггерів, тобто вірусів, що крадуть паролі, спостерігаючи за натисненими на клавіатурі клавішами. Тому глобальні пісочниці більше підходять для інтернет-клубів, але не для будинку.

Sandboxie - пісочниця 

(додатковий рівень захисту - високий)

Sandboxie - це одна з найпопулярніших не глобальні пісочниць. Утиліта поширюється безкоштовно за умови некомерційного використання і підтримує 64-бітові операційні системи. Підтримка 64 біт в даному випадку важлива, оскільки без неї програму не буде запускатися на 64-бітних ОС, на відміну від тих випадків, коли 32-бітові програми працюють в режимі емуляції на 64-бітних ОС.

НЕ глобальність Sandboxie означає, що в ній працює не вся система, а тільки вибрані програми. Це може бути браузер, невідома програма або будь-який інший виконуваний файл.

Відрізнити файл, запущений в Sandboxie, від звичайного досить просто. При наведенні курсору миші на вікно, його рамка буде підсвічуватися жовтим кольором.

Якщо запустити підозрілий файл в пісочниці, а це можна зробити через контекстне меню, то файл буде виконуватися в ізольованому середовищі. Такий собі віртуальної реальності для програм, в якій вони будуть вважати, що взаємодіють з реальними файлами, хоча насправді працюватимуть лише з їх копіями. Якщо запущеним додатком виявиться вірус, стирає з комп'ютера файли без можливості відновлення, то він видалить лише віртуальні файли і не зашкодить реальні файли на жорсткому диску. В цьому і полягає основна перевага Sandboxie - можливість на вимогу запустити будь-яку підозрілу програму в ізольованому середовищі, де вона не зможе нанести шкоди файлової системі.

Незважаючи на те що пісочниці відокремлені від реальної ОС серйозним захисним бар'єром, існує ймовірність наявності ще невідомих вразливостей в цьому бар'єрі, що дозволяють вірусам, запущеним в пісочниці, вирватися з віртуального середовища і отримати доступ до реальної файлової системі. Незважаючи на низьку ймовірність такої події за умови постійного поновлення Sandboxie, не слід забувати, що такий вид захисту, як, втім, і будь-який інший, не може гарантувати 100% захист від деструктивних вірусів.

VirusTotal 

(додатковий рівень захисту - високий)

Очевидно, що просканувавши підозрілий файл не одним, а декількома антивірусами, можна отримати більш об'єктивні дані про його безпеку. 

Для цього необов'язково встановлювати кілька антивірусів на комп'ютері, достатньо скористатися сервісом virustotal.com, що використовують понад п'ятдесят антивірусів для перевірки файлів. Серед них: AVG, Avast, NOD32, Microsoft, Symantec і практично всі інші більш-менш відомі програми для захисту від вірусів. 

Сканування дозволяє швидко оцінити ступінь небезпеки підозрілого файлу. Якщо жоден з антивірусів не відреагував позитивно, значить, файл напевно безпечний і його можна запускати без побоювання. У спірних ситуаціях, коли кілька антивірусів вважає файл підозрілим, можна заглянути на закладку Comments, де користувачі сервісу вже могли роз'яснити ситуацію і пояснили, є файл вірусом чи ні. 

Антивірусні бази VirusTotal оновлюються практично щодня, що гарантує високий ступінь захисту. Сканування файлів в деяких випадках може зайняти 2-3 хвилини, однак отримана інформація коштує того щоб почекати. 

VirusTotal дозволяє завантажувати і сканувати файли розміром до 64 МБ, чого повинно вистачити для перевірки програм. Якщо підозрілі файли не поміщаються в цей ліміт, їх можна перед відправкою запакувати в архів. 

Крім обмежень за розміром VirusTotal також дозволяє завантажувати одночасно лише один файл, однак це обмеження також легко обходиться запаковування необхідних файлів в архів. 

Існують і більш зручні способи роботи з VirusTotal.

VirusTotal Uploader

Завантаження файлів через веб-інтерфейс по зручності майже завжди програє всім іншим способам, тому в VirusTotal розробили невелику утиліту, яка спрощує цю задачу. 

VT Uploader інтегрується в контекстне меню провідника і дозволяє відправити будь-який обраний файл на сканування в один клік. Перед завантаженням утиліта обчислює контрольну суму файлу і у випадку якщо хтось вже завантажував раніше, відразу відкриває веб-сторінку з результатами. При бажанні файл можна примусово завантажити заново. Наприклад, якщо остання перевірка проводилася кілька тижнів тому, і за цей час вірусні бази були оновлені, що може стати результатом появи нових відомостей про файл.

PhrozenSoft VirusTotal Uploader

Незважаючи на те що VT Uploader спрощує роботу з VirusTotal, рідний утиліті далеко до PhrozenSoft. Основна перевага цієї утиліти полягає в можливості завантаження будь-якої кількості файлів за один раз, проте це тільки початок. 

Після запуску PhrozenSoft в кутку екрану з'являється невеликий напівпрозорий віджет, який дозволяє відправляти файли на перевірку простим перетягуванням в цю область. 

Після цього файли автоматично шикуються в чергу на перевірку та поточний статус по кожному з них можна подивитися в основному вікні програми. Однак робити це необов'язково. Після завершення перевірки на екрані з'явиться спливаюче повідомлення, і подивитися результати по всіх файлів можна навіть не завантажуючи веб-сторінку, у вікні PhrozenSoft, де відображається кількість позитивних спрацьовувань, а також статус файлу (заражений або чистий). 

Крім завантаження файлів, в PhrozenSoft є чотири додаткові утиліти, розміщені в розділі Tools.

Process, як і Менеджер Завдань Windows, відображає всі запущені програми і дозволяє відправляти їх на перевірку. Процеси можна відзначати небудь галочками, або групами за допомогою виділення мишкою. Враховуючи, що при цьому можна використовувати Ctrl, другий спосіб працює набагато швидше. 

На закладці Startup відображаються всі програми, що завантажуються при включенні комп'ютера. Враховуючи, що саме там прописується частина вірусів, це дає можливість швидко знайти підозрілі файли і відразу відправити їх на перевірку, не відволікаючись на пошук виконуваних файлів на жорсткому диску. 

У розділі Services відображуються служби Windows. Відсортувавши їх за статусом (запущені або зупинені), можна швидко виділити працюючі в даний момент сервіси і перевірити за допомогою VirusTotal, чи не сховався серед них вірус. 

Остання закладка Network відображає всі активні мережеві з'єднання, встановлені даними комп'ютером. Це дозволяє знаходити трояни або боти, що встановлюють зв'язок з віддаленими комп'ютерами. Виділивши всі підозрілі файли, які встановили віддалене з'єднання (в колонці «Remote IP» повинен бути IP адреса), їх можна відправити на перевірку. Крім цього, можна перевірити і сам IP адреса, для якого VirusTotal постарається встановити доменне ім'я. На жаль, пакетна перевірка IP адрес не підтримується, і при необхідності їх доведеться перебирати по одному.

Zemana AntiLogger - Антікейлоггер 

(додатковий рівень захисту - високий)

Порадити якийсь конкретний антікейлоггер досить складно, але ми зупинимося на утиліті Zemana, у якої є як безкоштовна, так і платна версія з додатковими можливостями. 

Як вже згадувалося, вірус, запущений в пісочниці, не може отримати доступ до файлової системи, однак ніщо не заважає йому вважати натиснуті на клавіатурі клавіші і дізнатися всі дані, необхідні для використання пластикової карти користувача, або отримати доступ до онлайн-банкінгу. 

Перешкодити цьому можуть антікейлоггери - програми, що спеціалізуються на вилові вірусів, зчитувальних натиснуті клавіші. Однією з найбільш популярних програм у цьому плані є Zemana AntiLogger. 

Безкоштовна версія цієї утиліти захищає абсолютно всі програми, на відміну від інших антікейлоггеров, урізають freeware-версії до підтримки браузерів або інших типів програм. 

Zemana працює не тільки як антивірус, що спеціалізується на Кейлоггер і що повідомляє про їх присутність на комп'ютерах. Утиліта також обіцяє повний захист від невідомих кейлоггерів. Це досягається за рахунок того що Zemana перехоплює все натиснуті на клавіатурі клавіші і відправляє їх безпосередньо в програму, для якої вони призначалися, не дозволяючи кейлоггерам вбудовувати прослушку в середині цього маршруту. 

Однак навіть якщо кейлоггерам вдасться знайти невідому вразливість і вторгнутися у встановлений канал передачі даних між Zemana і програмою, вони все одно не отримають корисної інформації, оскільки всі натиснуті клавіші шифруються і замість натиснутих символів вони побачать абракадабру. 

Zemana також попереджає користувачів в тих випадках, коли запущені програми намагаються отримати доступ до буферу обміну і дозволяє користувачеві блокувати подібні дії.

Менеджери завдань 

(додатковий рівень захисту - низький / середній)

Звичайні та спеціалізовані менеджери задач також можуть використовуватися для боротьби з вірусами. Правда, тут варто зробити одне важливе уточнення. Оскільки менеджери задач відображають вже запущені програми, то і боротьба з вірусами відбуватиметься постфактум, тобто після їх запуску. 

Різні типи вірусів працюють за різними принципами, однак якщо на комп'ютері немає нічого, крім менеджера завдань, то обчислити їх можна за специфічними слідах активності. Якщо програма з підозрілою назвою активно використовує процесор, виробляє багато операцій читання-запису на жорсткому диску, активно обмінюється мережевим трафіком по Інтернету, і при цьому на комп'ютері спостерігаються явні ознаки роботи вірусу, є висока ймовірність того, що це і є вірус.

ProcessHacker

7

Це більш функціональна заміна вбудованому в Windows менеджеру завдань, за допомогою якої зручно відстежувати активність програм і використання мережевих, процесорних і дискових ресурсів ПК. На додаток до цього Process Hacker дозволяє відправляти запущені програми на вірусну перевірку відразу в трьох сервісах: VirusTotal, virusscan.jotti.org, camas.comodo.com.

CrowdInspect

7a

CrowdInspect відрізняється від Process Hacker тим, що після запуску автоматично починає сканувати всі запущені файли за допомогою трьох сервісів перевірки. Повна перевірка всіх процесів займає деякий час, проте не вимагає втручання користувача. 

Процеси перевіряються вже звичним VirusTotal, а також сервісами Mywot.com і teamcymru.com. Mywot - це система рейтингу сайтів, яка використовується в CrowdInspect для сканування зовнішніх IP адрес, з якими браузер або інші програми на комп'ютері встановили з'єднання. TeamCymru дозволяє виявляти віруси по контрольних сумах MD5. 

Отриманий при скануванні результат відображається в колірній кодуванні, що дозволяє швидко виявити небезпечні запущені файли. Якщо колір зелений, значить, з файлом все гаразд, якщо помаранчевий, то його краще перевірити. Якщо колір жовтий, то у файлу змішана репутація, що в реальності, як правило, означає помилкове спрацьовування декількох антивірусів. 

З корисних функцій CrowdInspect варто також відзначити можливість блокування будь-якого TCP з'єднання без закриття програми, його використовує.

CurrPorts

8

CurrPorts - це невелика утиліта, що спеціалізується виключно на відображенні всіх відкритих TCP / IP і UDP портів на комп'ютері. У списку можна переглядати програми, що відкрили конкретний порт, IP адреса, до якого вони підключилися, а також закривати TCP з'єднання або відразу завершувати процеси і вивантажувати їх з пам'яті.

Блокування скриптів в браузері 

(додатковий рівень захисту - високий) 

JavaScript, Java, Flash та інші види скриптів можуть нанести шкоду комп'ютеру, тому при веб-серфінгу можна використовувати розширення, блокуючі їх діяльність на підставі певних правил. 

Одним з найбільш популярних видів атак за допомогою скриптів є Клікджекінг (Clickjacking). В цьому випадку на сайті додають невидимі елементи, розташовані поверх всієї сторінки або поверх певних кнопок. Після кліка па сторінці в браузері може відкритися інший сайт, зовні відрізнити від оригіналу, але метою якого буде крадіжка інформації, наприклад, даних пластикової карти. Також клікджекінг часто застосовується для накручування лайків або кількості підписок на сторінках в соціальних мережах. 

Для Firefox найбільш відомим розширенням для боротьби з подібними скриптами є NoScript, рекомендований Едвардом Сноуденом. Для Chrome можна порадити ScriptSafe.

Віртуальні машини 

(додатковий рівень захисту - високий) 

Віртуальні машини - це один з найбільш радикальних способів захисту від вірусів. Багато в чому ВМ аналогічні пісочницях, проте де в чому перевершують їх. В ВМ всі файли за замовчуванням запускаються вже у віртуальному середовищі, в той час як в реальній системі пісочниці не використовуються за замовчуванням, і існує ймовірність випадкового запуску підозрілих файлів поза пісочниць. Крім цього, ВМ дає можливість встановити більш безпечну ОС, наприклад, Tails OS, і використовувати її виключно для веб-браузинга. 

У високого ступеня захисту ВМ є і зворотна сторона. Це не найзручніший спосіб, до того ж вона вимагає від комп'ютера додаткових ресурсів у вигляді оперативної пам'яті.

Підсумки. 

У цьому огляді розглянуто кілька простих і безкоштовних способів створення додаткових бар'єрів від вірусів. 
Рекомендувати для установки практично на будь-який комп'ютер можна чотири утиліти. Вони не забаряться систему, але значно підвищать захист ПК в разі, якщо користувач помилково або незнання запустить вірус. 

Підозрілі файли слід перевіряти за допомогою VirusTotal. Для цього краще всього використовувати утиліту PhrozenSoft VirusTotal Uploader, що завантажує файли простим перетягуванням на віджет і підтримуючу, на відміну від рідного клієнта і веб-інтерфейсу, можливість одночасної роботи з декількома файлами. Після перевірки файлу п'ятьма десятками різних антивірусів можна робити більш грунтовні висновки про його безпеку. 

Якщо антивіруси на VirusTotal видають суперечливі результати, а файл при цьому запустити потрібно, то краще всього зробити це в пісочниці Sandboxie, що захищає ваші файли від видалення або шифрування. 

Одночасно з Sandboxie бажано використовувати і Zemana AntiLogger. Ця утиліта передає всі натиснуті клавіші безпосередньо програмі-реципієнту, не дозволяючи кейлоггерам уклинюватися в цей канал. Для додаткової надійності всі натискання шифруються, а це значить, що навіть якщо вони будуть перехоплені, то не зможуть бути прочитані. 

На завершення, для підвищення безпеки веб-серфінгу, рекомендується використовувати розширення, блокуючі потенційно небезпечні скрипти. Для Firefox це NoScript, а для Chrome - ScriptSafe. Єдине, що варто додати - деякі сайти некоректно працюють з даними розширеннями, однак NoScript і ScriptSafe підтримують білі списки, куди такі сайти можна додавати. 

Використання цих чотирьох безкоштовних програм значно підвищить захист комп'ютера, причому розібратися з ними зможе користувач з будь-яким рівнем підготовки. Zemana AntiLogger і NoScript / ScripSafe працюють в пасивному режимі і не вимагають втручання користувачів. Для використання PhrozenSoft необхідно вміти перетягувати файли в невелике вікно програми, а для використання Sandboxie - вибирати відповідну команду з контекстного меню Провідника.

Оригінал статті взято на http://itc.ua