Если активность приложения напоминает действия, характерные для вредоносной активности, оно сразу же классифицируется как опасное, и к нему применяются меры, описанные в соответствующем правиле. К опасной активности, например, относятся изменения файловой системы, ключей системного реестра Windows, скрытие процессов и встраивание модулей в другие процессы.
Теперь посмотрим, как это работает – достаточно запустить всем известный мессенджер ICQ. Модуль проактивной защиты немедленно обратит наше внимание на то, что «некое» приложение ICQLite.exe, расположенное в каталоге C:\Program Files\ICQLite, жаждет обратиться к разделу реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce (рис. 15 ).
Если вы не поленитесь и просмотрите содержимое данного раздела в «Редакторе реестра» (кнопка Пуск» Выполнить» regedit), то обнаружите строковый параметр ICQ Lite со значением C:\Program Files\ ICQLite\ICQLite.exe -trayboot. Как видите, в данном (да и во многих других) случае обращение программ к системному реестру не представляет опасности. Но будьте бдительны, если название приложения или процесса вам незнакомо.
Анти-спамерский модуль, входивший в поставку Kaspersky Personal Security Suite 1.0, тоже был далек от идеала – только размер первого обновления составлял около 6 Мбайт! Да и эффективность определения российского спама была, мягко говоря, невысока. Ко всему прочему, он интегрировался только в почтовые клиенты от Microsoft (Outlook и Outlook Express).
Для пользователей, работающих с альтернативными почтовыми клиентами, предлагалось создание правил, предоставляемых сторонними почтовиками. Например, в The Bat! приходилось открывать меню Ящик» Настройка сортировщика писем, и в разделе Incoming messages популярно объяснять «летучей мыши», что она должна делать с письмами, содержащими в теме письма фирменную метку [!!SPAM] (именно так «клеймит» спамерские письма приложение от Касперского).
К сожалению, первая версия «Анти-спама» не позволяла просматривать заголовки писем на почтовом сервере – пользователь был вынужден загружать всю корреспонденцию на ПК, и лишь затем программа начинала сортировать почту на «белую» и «черную».
Данный модуль позволяет защититься от всплывающих окон («Включить Анти-рекламу»), от назойливых баннеров («Включить Анти-Баннер»), попыток дозвона на платные номера («Включить Анти-Дозвон») и так называемых фишинг-атак21 (рис. 16 ).
Суть последней напасти – в том, что посредством спамерских писем злоумышленники заманивают доверчивых состоятельных граждан на веб-ресурсы, очень похожие на сайты электронной коммерции различных фирм и банков. Подчас такие сайты – клоны известных пользователю страниц, полностью контролируемые мошенниками. А пользователь, ничего не подозревая, оставляет на сайте нужную злоумышленникам информацию: пароли, номера карт социального обеспечения, банковских счетов или кредитных карт22 .
Для «Анти-рекламы», «Анти-Баннера» и «Анти-Дозвона» существуют настройки, в которых можно указать доверенные сайты или телефонные номера, но, разумеется, никаких дополнительных настроек для «Анти-фишинга» не может быть по определению…
После установки программного пакета «Анти-Спам» интегрируется в системные почтовые клиенты, а также в The Bat!. Работа с этим компонентом в среде Outlook Express чрезвычайно проста: в панели программы появляются три дополнительные кнопки: «Спам», «Не спам» и «Настройки» (рис. 17 ).
В настройках в списке «Спам» настоятельно рекомендую выбрать параметр «Удалить» (рис. 18 ) -
а почему, мы поговорим чуть позже, когда рассмотрим преимущества данного метода.
Технология фильтрации почтовых сообщений, лежащая в основе «Анти-Спама», основана на сравнении с письмами-образцами и на поиске характерных терминов (как слов, так и словосочетаний) и разработана компанией «Ашманов и Партнеры ». В трактовке Касперского и Ашманова весь спам можно разделить на четыре основные группы: достоверный (SPAM), предполагаемый (PROBABLE SPAM), письма непристойного содержания (OBSCENE) и формальные (FORMAL), куда относятся автоматически генерируемые письма, например, сообщения от почтовых роботов. Каждое «мусорное» письмо помечается соответствующим образом и, в зависимости от настроек для каждой группы, может быть удалено в какую-либо папку почтовой программы.
Но зачем загружать лишний мусор из Сети, когда есть возможность расправиться со спамом на почтовом сервере? Этой рутиной занимается «Диспетчер писем», правда, этот инструмент доступен, только если для получения почты используется протокол POP3. Не забудьте проверить, включена ли опция «Открывать Диспетчер Писем при получении почты» в настройках «Анти-Спама»23 (рис. 19 ).
Итак, рассмотрим работу «Диспетчера писем». При проверке входящей почты этот инструмент загружает с сервера только заголовки вкупе с данными отправителя и темой письма. Если письмо пришло явно не от вашего респондента, поставьте флажки напротив спамерских писем и нажмите кнопку «Удалить выбранные» (рис. 20 ).
Тогда остальные сообщения будут загружены на ваш компьютер после закрытия окна «Диспетчера писем».
Понятно, что это позволяет отказаться от загрузки почтового мусора, не только экономя наше время и деньги при работе с электронной корреспонденцией, но и снижая вероятность загрузки спама и вирусов на компьютер.
Если «Анти-Спам» сомневается в сути письма (еще раз вспомним сообщения от почтовых роботов, например, при ответе в форумах), такое сообщение будет помечено меткой вида «[?? Probable Spam] Уведомление об ответе…». Дабы раз и навсегда объяснить «Анти-Спаму» легитимную сущность подобного письма, выделите его и нажмите кнопку «Не спам». В дальнейшем все письма с данного адреса, занесенного в «Белый список», будут попадать на компьютер без лишней волокиты. Теперь вы наверняка поняли, для каких писем предназначена кнопка «Спам», именно она заносит адрес в «Черный список».