Spybot — Search & Destroy

На днях позвонил мне мой племянник и пожаловался на полную невозможность работы с интернетом — какую бы страничку он ни пытался открыть, каждый раз запускалась какая-то дрянь, сигнализирующая о заражении системы и предлагающая срочно установить некий хитрый антивирус. Разумеется, сама же эта дрянь и являлась главной «заразой». Вылечить же систему помог Spybot [1].

При этом вопрос «чем лечить» фактически не стоял. Несмотря на то, что главный конкурент Spybot - Search & Destroy — программа Ad-Aware — не так давно снова обновилась и вроде бы считается основной массой пользователей несколько более продвинутой. Всё дело в том, что Spybot - Search & Destroy в работе ничуть не хуже, а порой даже и лучше, имеет регулярно обновляемые сигнатурные базы и при этом абсолютно бесплатен! Нет, конечно, у Ad-Aware тоже есть «фришный» вариант, но без возможности настроить параметры сканирования он крайне неудобен. Да и вообще Ad-Aware раз от раза становится всё более монструозным — вот и антивирус в него уже зачем-то додумались засунуть. С платной же версией у любителей «вареза» последнее время какие-то проблемы — похоже, защита программы от пиратства несколько улучшилась. А распространённость программы в наше время во многом обусловлена её популярностью у пиратов. Поэтому я решил сделать «ход конём» — вместо обзора новейшего и не в меру «закабаневшего» Ad-Aware 2008, взглянуть на его более демократичный и лёгкий аналог Spybot, параллельно установив его и на свой компьютер вместо Ad-Aware, которым пользовался с незапамятных времён и в котором разочаровался после выхода 2007-й версии.

Сразу после установки Spybot предлагает создать резервную копию реестра и загрузить обновления и плагины («антируткитных» — аж три штуки), а также запускает резидентный монитор (на самом деле их даже два), который в реальном времени не даёт вредоносам «присасываться» к Internet Explorer, защищает вашу систему от внесения нежелательных записей в реестр, следит за запускаемыми программами и делает ещё много чего полезного. Правда, лично я предпочитаю не пользоваться резидентами подобных программ, считая, что достаточно одного антивирусного монитора. И без того ОЗУ захламлена всяким мусором из автозагрузки… Но если вы регулярно бродите по непонятным сайтам, или заражения происходят чаще, чем вам хотелось бы, то хотя бы на время интернет-сёрфинга его действительно стоит запускать — дополнительная защита любителям «вареза» и «клубнички» не помешает. В обычных же условиях вполне достаточно регулярного сканирования системы или внеплановых проверок в случае подозрения на заражение.

Интерфейс сканера имеет два режима: упрощённый, для начинающих пользователей, в котором нет ничего лишнего (по сути — несколько кнопок для запуска сканирования, обновления и иммунизации) и невозможно не только чем-то навредить системе, но и просто запутаться, а также расширенный, который уже позволяет поиграть с настройками. Например, стоит добавить папки, в которые даунлоад-менеджер закачивает из интернета всякое добро, в список регулярного сканирования, дабы перехватить «заразу» как можно раньше. Есть резон и воспользоваться планировщиком для регулярного сканирования системы — зачем делать вручную то, что ПК в состоянии запустить сам?

Но гораздо больший интерес, чем настройки, представляет раздел инструментов. Так, к услугам пользователя файловый «шредер» для удаления приватных файлов без возможности их восстановления. Здесь же можно включить-выключить те самые резидентные мониторы, не дающие вредоносным продуктам проникать в систему и менять её настройки. В списках ActiveX и BHO можно проконтролировать интегрированные с Internet Explorer сторонние компоненты и удалить всё подозрительное. На странице «Обозреватель интернет-страниц» вы узнаете, какие сайты зарегистрированы в вашей системе как поисковики или в качестве начально отображаемых страниц. При желании можно прямо из окна программы присвоить файлу Hosts (его изменение — тоже одна из уловок создателей spyware) атрибут «только для чтения» и заблокировать изменение стартовой страницы браузера (после этого вы сами её тоже не сможете изменить, пока не отключите данную опцию в Spybot или редакторе политик безопасности). Продвинутые пользователи получают дополнительное средство для просмотра запущенных процессов, загруженных ими модулей и открытых портов. Плагин со странным названием «Внутренняя система» предназначен для поиска в реестре ошибочных путей и их исправления, а плагин «Автозагрузка» — чуть более мощный аналог штатного MSCONFIG (но гораздо слабее специализированной и очень наглядной программы Autoruns [2]). Пункт «Информация для удаления» поможет вычистить из списка «Установка и удаление программ» ошибочные записи, а «Сокеты LSP» — отобразит расширенную информацию о сетевых дисках и протоколах. Так что, как видите, в распоряжении грамотного пользователя не просто сканер, а достаточно мощная и удобная диагностическая утилита, позволяющая в ручном режиме проконтролировать все уязвимые места Windows и удалить «заразу», даже если она ещё не обнаруживается с помощью сигнатур самой программы.

И, наконец, ещё одна важнейшая особенность Spybot — возможность иммунизации системы. То есть внесение в неё таких изменений (вполне штатных и документированных), которые препятствуют проникновению в Windows целого ряда известных «зловредов». Кстати, если посмотреть, что вписывает в реестр программа при этой иммунизации, то можно только подивиться и порадоваться столь обширной базе неблагонадёжных URL, IP, доменов и ActiveX, которые вам теперь не страшны. База эта ещё и регулярно пополняется, так что об обновлениях программы забывать не стоит.

Сама же программа обновляется не очень часто, да это и не особо требуется. Последняя версия, 1.52, появилась в начале года и с тех пор серьёзные обновления были, пожалуй, лишь среди плагинов. Тем не менее, это не делает её хуже. С Вистой программа совместима, работает в 64-битных системах, иммунизация функционирует в том числе и для Opera, Firefox и Mozilla. Что ещё надо? Особо любопытным можно порекомендовать заглянуть на страничку [3], где перечислены многочисленные нововведения и изменения версии 1.5. В последней же сборке — 1.52 — фактически лишь исправлены некоторые недочёты, например, устранена проблема медленного запуска утилиты. Тем же, кто подходит к работе за компьютером исключительно с практической точки зрения, можно сказать только одно — ставьте программу в обязательном порядке. Антивирусы-антивирусами, файерволлы-файерволлами, а «спайботом» кашу не испортишь.

Разное

  • Spybot - Search & Destroy — не замена антивирусу, а важное дополнение для него.
  • Резидентный монитор стоит включать, если вы часто посещаете странички, входящие в группу риска — варезники, порносайты и тому подобные сборники подозрительного контента.



Темы