Не антивирусом единым: как лучше защитить компьютер от вирусов

security concept  with a lock

Рассмотрим несколько программ, улучшающих защиту компьютера от разрушительного действия вирусов даже в том случае, если на ПК нет антивируса, либо он не сработал.

Последние крупные обзоры антивирусов публиковались на ITC.ua еще в 2010 и 2011 годах и на это есть своя причина. Уже тогда было ясно, что методика тестирования не позволяет определять качество поиска вирусов. Речь шла не конкретно о методике тестирования ITC.ua, а о том, что таковой не существует в принципе в природе.

Даже AV comparatives использует для проверок эффективности антивирусов лишь часть известных вирусов. Об этом можно судить, сравнив количество вирусов в тестах с количеством известных сигнатур для каждого антивируса. Как правило, количество тестовых вирусов в несколько раз, если не на порядок, меньше. Однако даже если бы антивирусы можно было проверять всеми существующими на данный момент вирусами, все равно существовали бы 0-day уязвимости, которые программы для защиты учатся ловить лишь несколько часов или дней спустя.

Если подвести итоги, то получается, что антивирусы сейчас выбираются либо по закрепившимся предпочтениям, либо на базе, как правило, неподтвержденной или устаревшей информации об их эффективности, которую нельзя подтвердить реальными тестами.

Данный обзор не является призывом к отказу от антивирусов. Невозможность определить наиболее эффективный антивирус не означает, что от него следует вовсе отказываться. Даже средний по уровню защиты антивирус — это лучше чем ничего.

Как не стоит впадать в одну крайность — отказываться от антивируса, так не стоит и делать прямо противоположное, например, переходить полностью на операционную систему Tails, рассмотренную недавно. Эта ОС, возможно, обеспечивает наилучшую степень защиты среди доступных ОС, однако ежедневно использовать ее смогут далеко не все пользователи. Мы попробуем найти средний путь и совместить максимум защиты с максимумом удобства использования.

Глобальные песочницы

Глобальные песочницы, такие как Shadow Defender, в этом обзоре рассматриваться не будут по двум причинам. Как правило, они платные и не совсем подходят для ежедневного использования. Максимальный уровень защиты глобальными песочницами гарантируется за счет полного отката к предыдущему состоянию системы после каждой перезагрузки. Это защищает от деструктивных действий вирусов, удаляющих либо шифрующих файлы, однако неудобно для повседневной работы.

В таких условиях невозможно создать на жестком диске документ с текстом или любой другой файл, поскольку после перезагрузки они пропадают. Помимо этого, глобальные песочницы не защищают от кейлоггеров, то есть вирусов, крадущих пароли, наблюдая за нажатыми на клавиатуре клавишами. Поэтому глобальные песочницы больше подходят для интернет-клубов, но не для дома.

Sandboxie — песочница

(дополнительный уровень защиты — высокий)

1a

Sandboxie — это одна из самых популярных не глобальных песочниц. Утилита распространяется бесплатно при условии некоммерческого использования и поддерживает 64-битные операционные системы. Поддержка 64 бит в данном случае важна, поскольку без нее программа не будет запускаться на 64-битных ОС, в отличие от тех случаев, когда 32-битные программы работают в режиме эмуляции на 64-битных ОС.

Не глобальность Sandboxie означает, что в ней работает не вся система, а только выбранные приложения. Это может быть браузер, неизвестная программа или любой другой исполняемый файл.

Отличить файл, запущенный в Sandboxie, от обычного довольно просто. При наведении курсора мыши на окно, его рамка будет подсвечиваться желтым цветом.

Если запустить подозрительный файл в песочнице, а это можно сделать через контекстное меню, то файл будет исполняться в изолированной среде. Такой себе виртуальной реальности для программ, в которой они будут полагать, что взаимодействуют с реальными файлами, хотя на самом деле будут работать лишь с их копиями. Если запущенным приложением окажется вирус, стирающий с компьютера файлы без возможности восстановления, то он удалит лишь виртуальные файлы и не повредит реальные файлы на жестком диске. В этом и заключается основное преимущество Sandboxie — возможность по требованию запустить любую подозрительную программу в изолированной среде, где она не сможет нанести вреда файловой системе.

Несмотря на то что песочницы отделены от реальной ОС серьезным защитным барьером, существует вероятность наличия еще неизвестных уязвимостей в этом барьере, позволяющих вирусам, запущенным в песочнице, вырваться из виртуальной среды и получить доступ к реальной файловой системе. Несмотря на низкую вероятность такого события при условии постоянного обновления Sandboxie, не следует забывать, что такой вид защиты, как, впрочем, и любой другой, не может гарантировать 100% защиту от деструктивных вирусов.

VirusTotal

(дополнительный уровень защиты — высокий)

2

Очевидно, что просканировав подозрительный файл не одним, а несколькими антивирусами, можно получить более объективные данные о его безопасности.

Для этого необязательно устанавливать несколько антивирусов на компьютере, достаточно воспользоваться сервисом virustotal.com, использующим более пятидесяти антивирусов для проверки файлов. Среди них: AVG, Avast, NOD32, Microsoft, Symantec и практически все остальные более-менее известные программы для защиты от вирусов.

Сканирование позволяет быстро оценить степень опасности подозрительного файла. Если ни один из антивирусов не отреагировал положительно, значит, файл наверняка безопасен и его можно запускать без опаски. В спорных ситуациях, когда несколько антивирусов считает файл подозрительным, можно заглянуть на закладку Comments, где пользователи сервиса уже могли разъяснить ситуацию и объяснили, является файл вирусом или нет.

Антивирусные базы VirusTotal обновляются практически ежедневно, что гарантирует высокую степень защиты. Сканирование файлов в некоторых случаях может занять 2-3 минуты, однако полученная информация стоит того чтобы подождать.

VirusTotal позволяет загружать и сканировать файлы размером до 64 МБ, чего должно быть достаточно для проверки программ. Если подозрительные файлы не умещаются в этот лимит, их можно перед отправкой запаковать в архив.

Помимо ограничений по размеру VirusTotal также позволяет загружать одновременно лишь один файл, однако это ограничение также легко обходится запаковкой необходимых файлов в архив.

Существуют и более удобные способы работы с VirusTotal.

VirusTotal Uploader

3

Загрузка файлов через веб-интерфейс по удобству почти всегда проигрывает всем другим способам, поэтому в VirusTotal разработали небольшую утилиту, упрощающую эту задачу.

VT Uploader интегрируется в контекстное меню проводника и позволяет отправить любой выбранный файл на сканирование в один клик. Перед загрузкой утилита вычисляет контрольную сумму файла и в случае если кто-то уже загружал ранее, сразу открывает веб-страницу с результатами. При желании файл можно принудительно загрузить заново. Например, если последняя проверка проводилась несколько недель назад, и за это время вирусные базы были обновлены, что может стать результатом появления новых сведений о файле.

PhrozenSoft VirusTotal Uploader

4

Несмотря на то что VT Uploader упрощает работу с VirusTotal, родной утилите далеко до PhrozenSoft. Основное преимущество этой утилиты заключается в возможности загрузки любого количества файлов за один раз, однако это только начало.

После запуска PhrozenSoft в углу экрана появляется небольшой полупрозрачный виджет, позволяющий отправлять файлы на проверку простым перетягиванием в эту область.

После этого файлы автоматически выстраиваются в очередь на проверку и текущий статус по любому из них можно посмотреть в основном окне программы. Однако делать это необязательно. После завершения проверки на экране появится всплывающее сообщение, и посмотреть результаты по всем файлам можно даже не загружая веб-страницу, в окне PhrozenSoft, где отображается количество позитивных срабатываний, а также статус файла (зараженный или чистый).

Помимо загрузки файлов, в PhrozenSoft есть четыре дополнительные утилиты, размещенные в разделе Tools.

5

Process, как и Менеджер Задач Windows, отображает все запущенные программы и позволяет отправлять их на проверку. Процессы можно отмечать либо галочками, либо группами с помощью выделения мышкой. Учитывая, что при этом можно использовать Ctrl, второй способ работает гораздо быстрее.

На закладке Startup отображаются все программы, загружаемые при включении компьютера. Учитывая, что именно там прописывается часть вирусов, это дает возможность быстро найти подозрительные файлы и тут же отправить их на проверку, не отвлекаясь на поиск исполняемых файлов на жестком диске.

В разделе Services отображаются службы Windows. Отсортировав их по статусу (запущенные или остановленные), можно быстро выделить работающие в данный момент сервисы и проверить с помощью VirusTotal, не спрятался ли среди них вирус.

Последняя закладка Network отображает все активные сетевые соединения, установленные данным компьютером. Это позволяет находить трояны или боты, устанавливающие связь с удаленными компьютерами. Выделив все подозрительные файлы, установившие удаленное соединение (в колонке «Remote IP» должен быть IP адрес), их можно отправить на проверку. Помимо этого, можно проверить и сам IP адрес, для которого VirusTotal постарается установить доменное имя. К сожалению, пакетная проверка IP адресов не поддерживается и при необходимости их придется перебирать по одному.

Zemana AntiLogger — Антикейлоггер

(дополнительный уровень защиты — высокий)

6

Посоветовать какой-то конкретный антикейлоггер довольно сложно, но мы остановимся на утилите Zemana, у которой есть как бесплатная, так и платная версия с дополнительными возможностями.

Как уже упоминалось, вирус, запущенный в песочнице, не может получить доступ к файловой системе, однако ничто не мешает ему считать нажатые на клавиатуре клавиши и узнать все данные, необходимые для использования пластиковой карты пользователя, либо получить доступ к онлайн-банкингу.

Помешать этому могут антикейлоггеры – программы, специализирующиеся на отлове вирусов, считывающих нажатые клавиши. Одной из наиболее популярных программ в этом плане является Zemana AntiLogger.

Бесплатная версия этой утилиты защищает абсолютно все программы, в отличие от других антикейлоггеров, урезающих freeware-версии до поддержки браузеров или других типов программ.

Zemana работает не только как антивирус, специализирующийся на кейлоггерах и сообщающий об их присутствии на компьютерах. Утилита также обещает полную защиту от неизвестных кейлоггеров. Это достигается за счет того что Zemana перехватывает все нажатые на клавиатуре клавиши и отправляет их напрямую в программу, для которой они предназначались, не позволяя кейлоггерам встраивать прослушку в середине этого маршрута.

Однако даже если кейлоггерам удастся найти неизвестную уязвимость и вторгнуться в установленный канал передачи данных между Zemana и программой, они все равно не получат полезной информации, поскольку все нажатые клавиши шифруются и вместо нажатых символов они увидят абракадабру.

Zemana также предупреждает пользователей в тех случаях, когда запущенные приложения пытаются получить доступ к буферу обмена и позволяет пользователю блокировать подобные действия.

Менеджеры задач

(дополнительный уровень защиты — низкий/средний)

Обычные и специализированные менеджеры задач также могут использоваться для борьбы с вирусами. Правда, здесь следует сделать одно важное уточнение. Поскольку менеджеры задач отображают уже запущенные программы, то и борьба с вирусами будет происходить постфактум, то есть после их запуска.

Разные типы вирусов работают по разным принципам, однако если на компьютере нет ничего, кроме менеджера задач, то вычислить их можно по специфическим следам активности. Если программа с подозрительным названием активно использует процессор, производит много операций чтения-записи на жестком диске, активно обменивается сетевым трафиком по Интернету, и при этом на компьютере наблюдаются явные признаки работы вируса, есть высокая вероятность того, что это и есть вирус.

ProcessHacker

7

Это более функциональная замена встроенному в Windows менеджеру задач, с помощью которой удобно отслеживать активность программ и использование сетевых, процессорных и дисковых ресурсов ПК. В дополнение к этому Process Hacker позволяет отправлять запущенные программы на вирусную проверку сразу в трех сервисах: VirusTotal, virusscan.jotti.org, camas.comodo.com.

CrowdInspect

7a

CrowdInspect отличается от Process Hacker тем, что после запуска автоматически начинает сканировать все запущенные файлы с помощью трех сервисов проверки. Полная проверка всех процессов занимает некоторое время, однако не требует вмешательства пользователя.

Процессы проверяются уже привычным VirusTotal, а также сервисами Mywot.com и teamcymru.com. Mywot — это система рейтинга сайтов, которая используется в CrowdInspect для сканирования внешних IP адресов, с которыми браузер или другие программы на компьютере установили соединение. TeamCymru позволяет обнаруживать вирусы по контрольным суммам MD5.

Полученный при сканировании результат отображается в цветовой кодировке, что позволяет быстро обнаружить опасные запущенные файлы. Если цвет зеленый, значит, с файлом все в порядке, если оранжевый, то его лучше проверить. Если цвет желтый, то у файла смешанная репутация, что в реальности, как правило, означает ложное срабатывание нескольких антивирусов.

Из полезных функций CrowdInspect стоит также отметить возможность блокирования любого TCP соединения без закрытия программы, его использующего.

CurrPorts

8

CurrPorts — это небольшая утилита, специализирующаяся исключительно на отображении всех открытых TCP/IP и UDP портов на компьютере. В списке можно просматривать программы, открывшие конкретный порт, IP адрес, к которому они подключились, а также закрывать TCP соединения либо сразу завершать процессы и выгружать их из памяти.

Блокирование скриптов в браузере

(дополнительный уровень защиты — высокий)

JavaScript, Java, Flash и другие виды скриптов могут нанести вред компьютеру, поэтому при веб-серфинге можно использовать расширения, блокирующие их деятельность на основании определенных правил.

Одним из наиболее популярных видов атак с помощью скриптов является
Кликджекинг (Clickjacking). В этом случае на сайте добавляют невидимые элементы, расположенные поверх всей страницы либо поверх определенных кнопок. После клика па странице в браузере может открыться другой сайт, внешне неотличимый от оригинала, но целью которого будет кража информации, например, данных пластиковой карты. Также кликджекинг часто применяется для накручивания лайков или количества подписок на страницах в социальных сетях.

Для Firefoxнаиболее известным расширением для борьбы с подобными скриптами является NoScript, рекомендованный Эдвардом Сноуденом. Для Chrome можно посоветовать ScriptSafe.

Виртуальные машины

(дополнительный уровень защиты — высокий)

Виртуальные машины — это один из самых радикальных способов защиты от вирусов. Во многом ВМ аналогичны песочницам, однако кое в чем превосходят их. В ВМ все файлы по умолчанию запускаются уже в виртуальной среде, в то время как в реальной системе песочницы не используются по умолчанию, и существует вероятность случайного запуска подозрительных файлов вне песочниц. Помимо этого, ВМ дает возможность установить более безопасную ОС, например, Tails OS, и использовать ее исключительно для веб-браузинга.

У высокой степени защиты ВМ есть и обратная сторона. Это не самый удобный способ, к тому же требующий от компьютера дополнительных ресурсов в виде оперативной памяти.

Итоги

В этом обзоре рассмотрено несколько простых и бесплатных способов создания дополнительных барьеров от вирусов.

Рекомендовать для установки практически на любой компьютер можно четыре утилиты. Они не замедлят систему, но значительно повысят защиту ПК в случае, если пользователь по ошибке или незнанию запустит вирус.

Подозрительные файлы следует проверять с помощью VirusTotal. Для этого лучше всего использовать утилиту PhrozenSoft VirusTotal Uploader, загружающую файлы простым перетягиванием на виджет и поддерживающую, в отличие от родного клиента и веб-интерфейса, возможность одновременной работы с несколькими файлами. После проверки файла пятью десятками различных антивирусов можно делать более основательные выводы о его безопасности.

Если антивирусы на VirusTotal выдают противоречивые результаты, а файл при этом запустить нужно, то лучше всего сделать это в песочнице Sandboxie, защищающей ваши файлы от удаления или шифрования.

Одновременно с Sandboxie желательно использовать и Zemana AntiLogger. Эта утилита передает все нажатые клавиши непосредственно приложению-реципиенту, не позволяя кейлоггерам вклиниваться в этот канал. Для дополнительной надежности все нажатия шифруются, а это значит, что даже если они будут перехвачены, то не смогут быть прочитаны.

В завершение, для повышения безопасности веб-серфинга, рекомендуется использовать расширения, блокирующие потенциально опасные скрипты. Для Firefox это NoScript, а для Chrome — ScriptSafe. Единственное, что стоит добавить — некоторые сайты некорректно работают с данными расширениями, однако NoScript и ScriptSafe поддерживают белые списки, куда такие сайты можно добавлять.

Использование этих четырех бесплатных программ значительно повысит защиту компьютера, причем разобраться с ними сможет пользователь с любым уровнем подготовки. Zemana AntiLogger и NoScript/ScripSafe работают в пассивном режиме и не требуют вмешательства пользователей. Для использования PhrozenSoft необходимо уметь перетягивать файлы в небольшое окно программы, а для использования Sandboxie — выбирать соответствующую команду из контекстного меню Проводника.