Помоги себе сам

Крис Касперски ака мыщъх

Спецвыпуск: Хакер, номер #070, стр. 070-072-5

Судя по всему, этот модуль, выпущенный независимой компаний, позволяет отслеживать появление Хранителя Экрана и широко используется остальными компаниями в своих продуктах. Не исключено, что он «позаимствован» из какого-нибудь rootkit'а (на эту мысль наводит стиль его написания). Но как бы там ни было, он совершенно безопасен и можно смело щелкнуть по пункту «Comment» контекстного меню и добавить свой собственный комментарий, чтобы не приходилось держать всю информацию в голове (при большом количестве подозрительных объектов это весьма проблематично). Вместе с комментарием также можно указать и рейтинг безопасности (в данном случае «harmless» — безвредная).

После этого SSSensor.dll перескочит в самый низ списка и не будет нас отвлекать (перескочит после перезапуска программы или нажатии на колонку Rating для пересортировки таблицы по степени опасности, но это уже детали).

База «честных» программ — вот главное преимущество Anti-Spy.Info перед конкурентами. С вирусами и червями, произвольным образом меняющими свои имена, дела обстоят значительно сложнее. Продемонстрируем это на примере широко известного вируса Win32.HLLM.Beagle, занимающего первую позицию в хит-параде у Данилова.

Anti-Spy.Info определила, что процесс Beagle.exe с иконкой, маскирующийся под самораспаковывающийся RAR-архив, не имеет ни окна, ни описания, однако присвоила ей довольно низкий рейтинг опасности — всего 57%. А вот файл hldrrr.exe, автоматически создаваемый вирусом при первом запуске в каталоге WINNT\System32 и прописанный в ветвях реестра, ответственных за автоматическую загрузку (HKCU\Software\Microsoft\Windows\CurrentVersion\Run и HKLM\Software\Microsoft\Windows\CurrentVersion\Run), получил всего 47% («seems harmless» похожа на безвредную).

Ладно, задвинем в сторону искусственный интеллект со всеми его «рейтингами» и пойдем на форум, где мы быстро обнаружим, что файлом с таким именем не интересовался ни один пользователь. Вот так номер! Практика показывает, что практически любой «честный» программный пакет (даже малораспространенный) быстро попадает в базу Anti-Spy.Info, а если там его нет, то с определенной степенью вероятности можно утверждать, что это вирус или что-то очень нехорошее, поэтому его лучше удалить.

Освобождая пользователя от ручной работы, Anti-Spy.Info поддерживает своеобразный «карантин». При нажатии на кнопку «Удалить» выдается запрос, то ли просто можно завершить данный процесс без каких бы то ни было дополнительных действий или переместить его в отдельную папку, попутно дезактивируя ключи автозагрузки. Если, конечно, Anti-Spy.Info сумела определить, каким путем грузится программа. К тому же следует помнить, что Windows блокирует удаление активных процессов, но допускает их переименование в пределах одного диска. Просто переименуй hldrrr.exe в hldrrr.ex_ — и, независимо от способа запуска, он уже никогда не получит управления! Исключение составляют вирусы, следящие за своим файлом-носителем и автоматически восстанавливающие его в случае удаления.