Pahavaravastane vihmavari SpyCatcher

SpyCatcher Express on tasuta programm, mis lisaks enamlevinud nuhkvara leidmisele avastab ka troojaid, klahvivajutuste salvestajaid, varjatud sidekanaleid ehk nn. tagauksi, peidetud kernel-tasandi pahavarasid ehk rootkit’e ning pakub samal ajal ka hästi toimivat reaalajakaitset.

image001.jpg

SpyCatcher Express (http://www.tenebril.com/consumer/spyware/spycatcher-express.php) vabavaraline versioon erineb Tenebril SpyCatcher 2007 tasulisest versioonist selle poolest, et puudub automaatne programmi ja andmebaasi uuendamine, pahavara otsimine muu töö taustal, IP aadresside analüüsija, võltsveebilehtede avastamine (anti-phishing ehk nn. õngitsemine) ning võimalus saata leitud pahavara analüüsimiseks programmi haldajatele. Ent plussiks on see, et lisaks enamusele internetis levivatele pahavara tüüpidele suudab ta avastada ka nendesamade pahavarade järgmisi põlvkondi ehk siis muteerunud pahavara variatsioone. Kui programm pahavara kindlalt ära tunneb, eemaldab ta selle automaatselt karantiini. Juhul kui kasutaja soovib mingil põhjusel karantiini lisatud pahavara taastada, saab ka seda teha, avades programmis Protection (kaitse) alt My Spyware (minu pahavara) ja valides Change Action (muuda toimingut).image003.jpg

Tõsi, programm avastab ka selliseid faile, mis ei pruugigi pahavara olla. Siiski ei maksa kohe arvata, et antakse palju valeteateid ja programm ei suuda tööga hakkama saada. Tuleb arvestada, et häiret tõstetakse potentsiaalselt ebavajalike ja võibolla veidi kahtlaste failide puhul, ent sel juhul jäetakse faili lubamine või keelamine kindlalt arvutikasutaja otsustada.

Näide: programm avastab faili E3TL.dll ja märgib selle kahtlustäratavana, ent karantiini ei pane. Kontrollimisel selgub, et tegu on programmi ProgramChecker vajaliku osaga, mis ei vaja eemaldamist. (Või siiski – võibolla keegi arvab, et see on liiast ja ikkagi lisab karantiini või hoopis hävitab selle – maitse asi!) Kontrollida leitud faile aga on lihtne – tehke uurimist vajaval failil kaks hiireklikki ja Tenebril kodulehel avaneb nn. uurimiskeskus, mis annab detailse ülevaate failist. Juhul, kui programmi haldajatele on see tundmatu fail, siis infot saab postitajate kommentaaridest. Näiteks eelnimetatud faili kohta saab arvamusi sellelt lehelt: http://www.tenebril.com/src/sfile.php?id=e3tl.dll

Programmi reaalajakaitse on üsna hea, ent võiks parem olla. Pigem just selles mõttes, et arvuti käivitamisel startiva failina aeglustab ta tunduvalt arvuti alglaadimist ja kasutab ka hiljem üsna palju resursse. Siiski suudab ta avastada ja peatada pahavara juba arvutisse sissetungikatsel, mis on õelvara ennetamisel peamine.

Pahavara leidmisel antakse hoiatus kas ikooni vilkumise või hüpikaknakesega, kuidas kasutajale endale rohkem meeldib, valida saab seda Alerts nupu alt. Samas saab valida, kui tugevaks sättida kaitsemeetodit – kõrgeks, keskmiseks, madalaks või valikuliseks, viimases saab kas sisse või välja lülitada:

1. veebilehe kaaperdamise funktsiooni
2. süsteemi sätete kaitsmise
3. klahvivajutuste salvestajate blokeerimise
4. peidetud kernel-tasandi rootkit-pahavara blokeerimise
5. hüpikakende ehk popup-aknakeste blokeerimise

Programmi arvutisse installeerimisel nõutakse kasutaja nime, perenime ja toimivat e-maili aadressi. Sisestada võib ju ka varjunimed ja spetsiaalselt selleks mõeldud e-maili aadressi, see ei mõjuta hilisemat programmi tööd. Paigaldusfaili suurus on peaaegu 18 MB.

Kindlasti tuleb arvestada ka sellega, et SpyCatcher Express ei pruugi sobida teiste programmidga, peamiselt just antinuhkvara ja eriti nende reaalajakaitsetega, konflikti sattudes võib arvuti hanguda, nagu mul endal juhtus. Taaskäivituselt (restart) tagasitulles eemaldasin programmi reaalajakaitse autostartivate failide hulgast ja kõik hakkas normaalselt toimima.

Pahavara otsimismeetodeid on kolm: kiire, sügav ja valikuline, milles viimasel kasutaja saab ise otsustada, kas skanneerida ainult mäluprotsesse, registri võtmeid ja –väärtusi, olemasolevaid kettaid, neid kõiki koos või eraldi; või ise valida kahtlustäratavaid faile ja kaustu kiirkontrollimiseks.

image005.jpg

Kiirus oleneb muidugi arvutis olevatest failide hulgast, ent üldiselt võib öelda, et kiire meetod (Fast Scan) on tõesti kiire, põhjalik meetod (Deep Scan) võtab ajaliselt u. 5 – 15 minutit, seega samuti üsna kiire võrreldes mõne teise samaväärse programmi tööga.

Pahavara ndmebaasi saab käsitsi uuendada ja programm võimaldab ka sättimist ajastatud toiminguna just kasutajale sobival ajal arvutit nuhkvarast puhastama – kas kord päevas, nädalas, kuus või kindlal nädalapäeval.

Abivahenditena on programmiga kaasas:
1. Upgrade Manager – selle abil saab osta täisversiooni
2. System Explorer – sellega saab vaadata kõiki protsesse, mis arvutis käivituvad või käivad – mäluprotsesse, autostartivaid faile, Internet Exploreri pluginaid, võrguobjekte, ActiveX komponente jne. Samas saadaval ka üsna hea informatsioon failide kohta.
3. Logivaatur
4. Küpsiste haldur
5. Seadete viisard, mille abil saab sammhaaval programmi sobilikult tööle sättida, ent kuna ka paigaldamisel avaneb esimese asjana sama viisard, siis hiljem tõenäoliselt pole seda vaja enam kasutada.

SpyCatcher Express vabavaralise versioonina teeb ka usinasti omale reklaami, kutsudes ostma programmi täisversiooni või vähemasti prooviversioonina seda katsetama, ent reklaam eriti ei sega ja selle võib kahe silma vahele jätta.

Süsteeminõuded:

  • Windows 2000 ja uuem
  • Pentium 350MHz või parem
  • 64 MB RAM
  • 18MB vaba ruumi

Tee tööd töö ajal!

dog_at_computer_with_red.jpgMis seal salata, ülaltsiteeritud tõde kipub nüristavas korporatiivkeskkonnas ning tööandja poolt pakutava heakvaliteedilise riistvara viljastavates tingimustes aeg-ajalt ikka meelest ära minema. Kuid kiivalt tööviljakusnäitajaid jälgivatel ülemustel pole põhjust muretseda – viiruse- ja muude IT ohtude tõrjumisega tegelev firma Sophos laskis juba möödunud aastal välja tarkvara, mis võimaldab süsteemiadministraatoritel blokeerida töötaja arvutis mistahes rakendusprogrammid, sealhulgas hinternetitelefon, kiirsuhtlusprogrammid, P2P failijagamine ja, mis kõige hullem, arvutimängud 🙁

Blokeeritavate mängude esialgne, kuid mitte lõplik nimekiri on järgmine:

Age of Empires III, Ensemble Studios, Microsoft
Age of Empires III: War Chiefs, Ensemble Studios, Microsoft
Battlefield 2142, Digital Illusions, EA Games
Caesar IV, Sierra Entertainment
Championship Manager 2007, Beautiful Game Studios, Eidos
Company of Heroes, Relic, THQ
Dawn of War, THQ
FIFA 07, EA Canada EA Sports
Final Fantasy XI, Square Enix
Football Manager 2007, Sports Interactive, Sega
GTR 2, 10tacle Studios
Guild Wars: Nightfall, Arenanet, NCSoft Europe
Just Cause, Eidos Interactive
Lego Star Wars II: The Original Trilogy, Traveller’s Tales
Medieval II: Total War, Creative Assembly, Sega
Microsoft Flight Simulator X, Microsoft Game Studios
Need for Speed: Carbon, EA Canada, EA Games
Neverwinter Nights 2, Obsidian Entertainment, Atari
Rugby 06, Electronic Arts
Sim City 2, Electronic Arts
Sim City 4, Electronic Arts
The First Decade, Electronic Arts
The Sims 2, Maxis, EA Games
The Sims 2: Open for Business, Maxis, EA Games
The Sims 2: Pets, Maxis, EA Games
Warcraft, Blizzard Entertainment
Warhammer 40,000: Dawn of War Dark Crusade, Relic, THQ

McAfee SiteAdvisor teeb surfamise turvalisemaks

1

Viimati toimetatud 21.dets.2009

Sedamööda, kuidas kurikaelad internetis võimust võtavad, muutub järjest aktuaalsemaks küsimus, kas konkreetsele koduleheküljele võib ikka julgelt surfata või on põhjust karta, et sellelt mõni pahalane külge hakkab. Konkreetse koduleheküle turvalisuse üle otsustamisel on abiks McAfee SiteAdvisor.

2SiteAdvisor on saadaval nii Firefox’ile extension’ina (lisakomponent – programm, laiend browseri täiustamiseks) kui ka Internet Explorer’ile Plug-in’ina. SiteAdvisor aitab kaitsta iga tüüpi veebipõhise rünnaku vastu, kaasaarvatud nuhkvara, reklaamvara, spammi, isegi viiruste ja troojate, veebilehitseja kaaperdamise ja õngitsemise (võltsveebilehed, kus palutakse pettuse eesmärgil sisestada privaatseid andmeid – pangakoode jne) vastu.

SiteAdvisor’i automaatsed testijad kontrollivad pidevalt veebisaite, märkides oma andmebaasi, kas tegu on turvalise või väheturvalise saidiga. Kui kasutada Google või Yahoo otsingut, siis kuvatakse leitud kirjete taha automaatselt märkus, mille järgi saab otsustada, kas ikka tasub sellele lehele minna. Otsustamist kergendab asjaolu, et ka kirjete lõpus olevad ümmargused nupukesed on vastavalt turvalisusele ise värvi – rohelise „linnukesega” on turvalised, kollaste hüüumärkidega tuleb veidi ettevaatlik olla, punase ristiga on kahjulikud. Kirjete lõpus olevatele nupukestele noolega liikudes kuvatakse automaatselt üldinfo lehe kohta ja neile vajutades saab ka põhjaliku analüüsi lehe kohta: kas on probleemne või mitte ja ka seletuse, mis põhjusel pole ta näiteks turvaline. Samas on lehekülastajate kommentaarid – kas peavad saiti heaks või halvaks. Kes soovib, saab ka ise arvamusi lehest lisada, ent selleks tuleb registreeruda. Registreerimisel nõutakse toimivat e-maili aadressi, kuhu saadetakse nn kutse ehk siis link, millele vajutades oledki juba SiteAdvisor’i täieõiguslik kasutaja, kellel on õigusi ka oma arvamusi ükskõik millisest netilehest üles riputada. Selleks tuleb vaid oma koodidega lehele sisse logida.

Ükskõik mis lehel sa ka ei ole, on Firefoxi paremal all nurgas (kella lähedal) Siteadvisor’i ikoon, mis vastavalt saidi turvalisuse astmele muudab värvi (roheline, kollane, punane). Sellele peale klikkides saad muuta sätteid – lülitada sisse või soovi korral välja turvalise surfamise kuvatavad nupukesed, muuta ka otsingus kuvatavad kirjed vastavalt turvalisusele värviliseks (Highlight search result links) või lülitada sisse turvaline teabeedastus (Use SSL communications to server; SSL kohta saab infot siit: http://en.wikipedia.org/wiki/Transport_Layer_Security). Samast saab ka vaadata detailseid testitulemusi lehe koha, millel oled; SiteAdvisor’i välja lülitada, saata tagasisidet SiteAdvisor’i meeskonnale; meeldivuse korral kutsuda sõber SiteAdvisor’it kasutama (Tell a friend) jne.

Teenust on pakutud juba 2005 aastast SiteAdvisor’i nime all, ent 5. aprillil 2006. a. omndas McAfee turvakorporatsioon õigused SiteAdvisor nimele ja nüüd on selle veebilehitsejate abivahendi ametlikuks nimeks McAfee SiteAdvisor. Juba maailma ühe tuntuma antiviirusetõrje looja soov osta SiteAdvisor näitab, et tegu on kasuliku, kiiresti tuntust koguva lahendusega. Usutavasti tänu McAfee enda turvatehnoloogia rakendamisele muutub SiteAdvisor veelgi kasulikumaks ja mugavaks abivahendiks kasutajatele, näidates ära lehed, kust võib pahavara saada ja lugeda kasutajate arvamusi lehe kohta (nii häid kui halbu).

3a

Isiklikult kasutan SiteAdvisor’it juba ammu, olen sellega väga rahul, ja kinnitan, et antav info on objektiivne ja peab paika. Lisaks, olles juba nii pikka aega tegutsemas, on saavutatud kogemus, mida võib arvestada.
McAfee SiteAdvisor on üks huvitavamaid leide ja meeldivalt nutikas lahendus! Kui mingid jobud ei hakka pahatahtlikult anonüümseid tühi-ehk valearvamusi mingi saidi kohta üles riputama, siis pean seda kasulikuks lisandiks kas Firefoxile või Internet Explorerile.

Süsteeminõuded:
• Opsüsteem: Windows Vista/XP,  Mac OS X
• Brauser: Mozilla Firefox 2.0, Internet Explorer 6

Saadaval on nii vabavaraline kui ka tasuline versioon, mille võrdlustabeli leiab siit.

Kaspersky: Arvutiviirused kaovad ainult kas koos inimeste või arvutitega

kaspersky.jpgMaailma üks tunntumaid viirustõrjeeksperte, omanimelise firma viirustõrjeuuringute juht Jevgeni Kasperski ennustab, et kui kurivara hulk kasvab samas tempos, ei tule viirustõrjefirmad sellega paari aasta pärast enam toime.

Viirustõrjeguru külastas oktoobri viimastel päevadel Eestit ning esines 31. oktoobril Tallinnas Viru konverentsikeskuses loenguga “Viirused ja kes neid kirjutab”.

Kui algusaegadel kirjutasid viiruseid peamiselt koolilapsed, tudengid ja muidu uudishimulikud entusiastid ning tegutsemismotiiviks oli peamiselt uudishimu või kuulsusejanu, siis tänapäeval on pahavara loojate peamiseks motiiviks raha. Mida illustreerib näiteks fakt, et Kaspersky Lab’i viiruseuuringute osakond registreerib iga päev vaid mõned üksikud süsteemi tööd halvavad viirused ning paarsada toojalast. “Olen näinud 2KB suurust programmi, mis oli suuteline varastama raha 50-st erinevast pangasüsteemist. Respect!” ütles Kaspersky.

Viimase aja üheks peavalu valmistavaks rünnakutrendiks on pahalased, mis krüpteerivad kasutaja andmed ning nõuavad lahtikrüpteerimisvõtme eest raha. Krüpteerimisvõtme pikkus võib olla 56-650 bitti. “330-bitist võtit murdsime mitmest võrgust koosneva arvutiblokiga kolm päeva, 650-bitine võti õnnestus 15 minutiga ära arvata (Aplaus). Kui need kutid, kes tolle programmi kirjutasid, oleksid krüpteerimisõpiku lõpuni lugenud, poleks me midagi teha suutnud,” meenutas Kaspersky.

Samuti on võrgukurjategijad hakanud üha sihikindlamalt ründama nii viirustõrjeprogramme kui ka viirustõrjelaboratooriume. Üha enam kirjutatakse troojalasi, mis kas lülitavad viirustõrjeprogrammi välja, lähevad sellest mööda või lihtsalt aktsepteerivad ülikiiresti viirustõrjeprogrammi hoiatusteated. Samuti üritatakse blokeerida viirustõrjeuuendusi või koguni jooksutada kinni viirustõrjeuuenduste servereid. Kaspersky rääkis näiteks veebileheküljest, mis iga viie minuti tagant kompileeris samade omadustega uue troojalase – signatuuriga selliseid ei avasta. Antud veebilehe omanikud olid koguni nii kavalad, et tegid kindlaks, kui nende lehte vaadati viirustõrjelaboratooriumi serverist, ning näitasid viirustejahtijaile puhast lehekülge.

Kas Internet muutub seal liikuvate kurjategijate, pahavara ja spämmi tõttu kasutuskõlbmatus? Kasperski arvab, et kindlasti mitte – internet on kurjategijaile liiga kasulik. Küll aga muutub seal ringiliikumine järjest ohtlikumaks.
“Aastal 2000 lisandus meie viirustedefinitsiooni 20 kirjet päevas, käesoleval aastal 200. Kümne aasta pärast olen mina juba pensionil,” lõõpis Kaspersky ning lisas, et kui pahalaste arvu kasv jätkub samas tempos, et suuda antiviirusi pakkuvad firmad paari aasta pärast selle laviiniga enam toime tulla.

Milline oleks lahendus? Kaspersky on enda sõnul kontrollitud interneti poolt, samuti peab ta hädavajalikuks internetiinterpoli loomist.

Kas kunagi tuleb ka see aeg, kui arvutiviirused üldse ära kaovad? “No selleks peavad kaduma kas inimesed või arvutid. Kõige tõhusam vahend viiruste leviku vastu on elektri väljalülitamine,” kinnitas Kaspersky pooltõsiselt.

Security Task Manager aitab kurivara ära tunda

Security Task Manager on põhimõtteliselt nagu Windowsi integreeritud task manager, kuid proovib iga üksikut protsessi “ära tunda” – ehk siis öelda, millega täpselt tegemist on.
Iga protsessi kohta annab see programm järgmist infot:

  • faili nimi ja kataloogipuu tee
  • turvalisuse riski tase graafiliselt
  • iseloomustus
  • millal antud protsess tööd alustas
  • protsessori kasutust protsentuaalselt
  • faili varjatud funktsioonid (klaviatuuri jälgimised, interneti lehitseja jälgimised jne)
  • protsessi tüüp (Nähtav programm, systray-l olev programm, dll ie plugin service jne)

Igati kasulik programm. Kahjuks küll tasuline, kuid saadaval on prooviversioon.

Security Task Manageri koduleht