Нам лишь остается решить судьбу инфицированного архива, тем более что Веб-Антивирус доложил о возможности успешного лечения.

Не следует бояться столь «заумного» названия, равно как и «мониторинга системного реестра». Дело в том, что технологии, на которых построена «Проактивная защита», позволяют избежать потери времени и обезвредить новую угрозу еще до того, как она нанесет вред компьютеру. В отличие от реактивных технологий, где выполняется анализ кода²⁰, превентивные технологии распознают новую угрозу, выявляя последовательность действий, выполняемых каким-либо приложением или задачей. В поставку Kaspersky Internet Security Suite Personal 2006 включен набор критериев, позволяющих определять уровень опасной активности.

Если активность приложения напоминает действия, характерные для вредоносной активности, оно сразу же классифицируется как опасное, и к нему применяются меры, описанные в соответствующем правиле. К опасной активности, например, относятся изменения файловой системы, ключей системного реестра Windows, скрытие процессов и встраивание модулей в другие процессы.

Теперь посмотрим, как это работает – достаточно запустить всем известный мессенджер ICQ. Модуль проактивной защиты немедленно обратит наше внимание на то, что «некое» приложение ICQLite.exe, расположенное в каталоге C:\Program Files\ICQLite, жаждет обратиться к разделу реестра

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce (рис. 15).

Если вы не поленитесь и просмотрите содержимое данного раздела в «Редакторе реестра» (кнопка Пуск» Выполнить» regedit), то обнаружите строковый параметр ICQ Lite со значением C:\Program Files\ ICQLite\ICQLite.exe -trayboot. Как видите, в данном (да и во многих других) случае обращение программ к системному реестру не представляет опасности. Но будьте бдительны, если название приложения или процесса вам незнакомо.

Анти-спамерский модуль, входивший в поставку Kaspersky Personal Security Suite 1.0, тоже был далек от идеала – только размер первого обновления составлял около 6 Мбайт! Да и эффективность определения российского спама была, мягко говоря, невысока. Ко всему прочему, он интегрировался только в почтовые клиенты от Microsoft (Outlook и Outlook Express).

Для пользователей, работающих с альтернативными почтовыми клиентами, предлагалось создание правил, предоставляемых сторонними почтовиками. Например, в The Bat! приходилось открывать меню Ящик» Настройка сортировщика писем, и в разделе Incoming messages популярно объяснять «летучей мыши», что она должна делать с письмами, содержащими в теме письма фирменную метку [!!SPAM] (именно так «клеймит» спамерские письма приложение от Касперского).

К сожалению, первая версия «Анти-спама» не позволяла просматривать заголовки писем на почтовом сервере – пользователь был вынужден загружать всю корреспонденцию на ПК, и лишь затем программа начинала сортировать почту на «белую» и «черную».

Данный модуль позволяет защититься от всплывающих окон («Включить Анти-рекламу»), от назойливых баннеров («Включить Анти-Баннер»), попыток дозвона на платные номера («Включить Анти-Дозвон») и так называемых фишинг-атак²¹(рис. 16).

Суть последней напасти – в том, что посредством спамерских писем злоумышленники заманивают доверчивых состоятельных граждан на веб-ресурсы, очень похожие на сайты электронной коммерции различных фирм и банков. Подчас такие сайты – клоны известных пользователю страниц, полностью контролируемые мошенниками. А пользователь, ничего не подозревая, оставляет на сайте нужную злоумышленникам информацию: пароли, номера карт социального обеспечения, банковских счетов или кредитных карт²².

Для «Анти-рекламы», «Анти-Баннера» и «Анти-Дозвона» существуют настройки, в которых можно указать доверенные сайты или телефонные номера, но, разумеется, никаких дополнительных настроек для «Анти-фишинга» не может быть по определению…

После установки программного пакета «Анти-Спам» интегрируется в системные почтовые клиенты, а также в The Bat!. Работа с этим компонентом в среде Outlook Express чрезвычайно проста: в панели программы появляются три дополнительные кнопки: «Спам», «Не спам» и «Настройки» (рис. 17).

В настройках в списке «Спам» настоятельно рекомендую выбрать параметр «Удалить» (рис. 18) -

а почему, мы поговорим чуть позже, когда рассмотрим преимущества данного метода.

Технология фильтрации почтовых сообщений, лежащая в основе «Анти-Спама», основана на сравнении с письмами-образцами и на поиске характерных терминов (как слов, так и словосочетаний) и разработана компанией «Ашманов и Партнеры». В трактовке Касперского и Ашманова весь спам можно разделить на четыре основные группы: достоверный (SPAM), предполагаемый (PROBABLE SPAM), письма непристойного содержания (OBSCENE) и формальные (FORMAL), куда относятся автоматически генерируемые письма, например, сообщения от почтовых роботов. Каждое «мусорное» письмо помечается соответствующим образом и, в зависимости от настроек для каждой группы, может быть удалено в какую-либо папку почтовой программы.