В прошлый раз мы выяснили, как нежелательные программы проникают в наши системы и почему это происходит. Сегодня мы поговорим о том, как противостоять изменению настроек браузера и устранить последствия установки ненужных программ.
Предотвращение установки
Проблему всегда проще предотвратить, чем устранять ее последствия. Поэтому даже к такому простому вопросу как поиск и загрузка программы нужно подходить с умом.
Качайте программы только из надежных источников
Не все йогурты каталоги программ одинаково полезны. Один из моих коллег по OSZone, прочитав первую часть статьи, заинтересовался вопросом и провел небольшое расследование. В результате он обнаружил в каком-то каталоге ПО свою программу, но уже в перепакованном виде!
Ушлый владелец каталога занимается тем, что распространяет программы, без разрешения авторов добавляя в нагрузку мусор и получая с этого дивиденды.
И это не единичный случай — в комментариях к прошлой записи читатель YaNkEE упомянул, что за этим был замечен один из крупнейших каталогов ПО в Рунете. Чтобы снизить вероятность установки нежелательного ПО, скачивайте программы только с сайтов производителей или из каталога OSZone (мы не занимаемся перепаковкой программ).
Смотрите в оба
Опрос показал, что все вы внимательно изучаете каждый экран установки, чтобы избежать появления нежелательных программ в системе. Однако внимание нужно включать уже при загрузке программы!
Так, Adobe добавит вам панель Google в установщик Adobe Reader уже при загрузке программы, и не факт, что при установке вы сможете это изменить. Пользователей Chrome с интегрированным Adobe Reader тоже учли – им предлагают скачать какое-то защитное решение от McAfee.
Как видите, даже крупнейшие производители программного обеспечения не гнушаются практикой распространения других программ в нагрузку со своими.
Если вы не уделили достаточно внимания вопросу загрузки и установки программы, еще не все потеряно.
Следите за предупреждениями браузера
Чаще всего нежелательные программы вторгаются в браузеры Firefox и Internet Explorer. В Firefox (равно как и в Opera или Chrome) изменения вносятся путем установки дополнений. Современные браузеры умеют определять появление новых дополнений и предупреждают вас при запуске.
IE не является исключением и тоже показывает предупреждение.
Однако проблема в том, что блокирование надстройки не спасает от изменения домашней страницы и поиска. Отмечу, впрочем, что IE отдельно предупредит вас о смене Bing на другой поиск.
Так или иначе, вы можете комплексно предотвратить вмешательство в параметры IE.
Заблокируйте изменение настроек Internet Explorer
Практические любые параметры Internet Explorer можно контролировать с помощью групповых политик.
В домашних изданиях Windows 7 нет редактора групповой политики (gpedit.msc), но настройку можно выполнить в реестре. Сначала я опишу политики, а потом приведу командный файл, вносящий необходимые значения в реестр.
Все политики кроме оговоренной особо находятся в корне раздела Конфигурация пользователя — Административные шаблоны – Компоненты Windows – Internet Explorer.
| Название политики | Пояснение |
|---|---|
| Отключить изменение параметров домашней страницы | Домашняя страница задается политикой и фиксируется. Эта политика имеет более высокий приоритет, чем политика, запрещающая изменение дополнительных домашних страниц. Поэтому они не будут открываться при запуске браузера. |
| Ограничить поставщиков служб поиска заданным списком поставщиков | Список поисков формируется шаблоном и фиксируется политикой (спасибо, Артем). Поскольку универсального шаблона не существует, мой командный файл переносит ваш текущий список поисков в политику. Существует другая политика, запрещающая изменять настройки поиска. Однако она неэффективна против сторонних программ, поскольку блокирует лишь внесение изменений в интерфейсе браузера. |
| Разрешить сторонние расширения браузера | Политика переводится в состояние Отключено, чтобы запретить запуск BHO (панелей). В управлении надстройками все панели будут отображаться включенными, но не запустятся. Политика находится в подразделе Панель управления браузером – Вкладка «Дополнительно». |
| Не разрешать пользователям включать и отключать надстройки | Установка надстроек не блокируется, но включить их не получится. Эта политика приводится в информационных целях; она закомментирована в командном файле. |
Командный файл ie-lockdown-enable.cmd применяет описанные выше политики к пользователю, под которым он выполняется. Предполагается, что браузер уже настроен в соответствии с вашими предпочтениями, в противном случае для изменения параметров придется отменять политики.
@Echo Off
:: Этот командный файл ограничивает политиками управление домашней страницей, поиском и надстройками в IE
:: Автор: Вадим Стеркин. Подробнее /12904/
:: Политика "Отключить изменение параметров домашней страницы"
:: Задает домашнюю страницу и фиксирует ее политикой
REG ADD "HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Main" /v "Start Page" /d "/" /f
REG ADD "HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel" /v HomePage /t REG_DWORD /d 1 /f
:: Политика "Разрешить сторонние расширения браузера"
:: Запрещает запуск BHO, блокируя панели браузера
REG ADD "HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Main" /v "Enable Browser Extensions" /t REG_SZ /d no /f
:: Политика "Не разрешать пользователям включать и отключать надстройки"
:: Полностью отключает управление надстройками
:: REG ADD "HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions" /v NoExtensionManagement /t REG_DWORD /d 1 /f
:: Политика "Ограничить поставщиков служб поиска заданным списком поставщиков"
:: Включает ограничение списка поисков
REG ADD "HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Infodelivery\Restrictions" /v UsePolicySearchProvidersOnly /t REG_DWORD /d 1 /f
:: Переносит текущий список поисков в политики
REG EXPORT "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes" "%temp%\scopes.reg"
CALL :SearchScope
REG IMPORT "%temp%\scopes.reg"
DEL "%temp%\scopes.reg"
EXIT
:SearchScope
:: http://forum.oszone.net/thread-191684.html
Set Source=%temp%
SetLocal EnableDelayedExpansion
For %%A In ("%Source%\scopes.reg") Do (
For /F "Tokens=1* Delims=:" %%B In ('Type "%%A"^|Findstr /IN "$"') Do (
Set Str=%%C
If "!Str!"=="" (
Echo.>>"%%A_tmp"
) Else (
Set Str=!Str:Software\=Software\Policies\!
Echo !Str!>>"%%A_tmp"
)
)
Move /Y "%%A_tmp" "%%~fA"
)
EndLocal
Вы можете скачать архив, куда я также включил файл, удаляющий эти политики из реестра.
Я записал трехминутное видео, демонстрирующее установку Яндекс.Бар вместе с AIMP и защитный эффект от применения этих политик к Internet Explorer.
Эти политики воспрепятствуют внедрению в браузер легитимных программ, таких как панель Яндекса или Bing. Но они не защитят вас от вредоносного ПО. Если вы, работая с правами администратора, одобрите запрос контроля учетных записей при установке программы, ничто не помешает ей переопределить политики, например, изменив значения реестра. Другими словами, политики гарантируют защиту только в том случае, если администратор контролирует пользователей, работающих с обычными правами.
Исправление последствий
Если вы все-таки пропустили установку нежелательной программы, от нее можно избавиться различными способами.
Отключите надстройки или дополнения в браузере
Даже если точное название нежелательной программы неизвестно, можно свести на нет ее влияние на браузер, отключив надстройку. Диагностика производится методом «половинного деления». Нужно запустить браузер без надстроек, и если проблема не возникает, отключить несколько подозрительных. Рано или поздно виновник найдется.
Но если вы не пользуетесь программой, от нее лучше избавиться.
Удалите ненужные программы
Легитимная программа должна найтись в панели управления, даже если вы не знаете ее точного названия. Поиск в Интернете по названиям незнакомых программ может освежить вашу память.
Обращайте внимание на издателя программ – это тоже может дать пищу для размышлений. Его отсутствие в списке может послужить причиной для подозрений, хотя в данном случае программа Akamai вполне безобидна. Услугами этой компании пользуются NFL.com и служба подписки MSDN, чтобы оптимизировать передачу потокового видео и дистрибутивов.
Используйте восстановление системы
Если вы относительно быстро заметили проблему, вам обязательно поможет восстановление системы.
Откат к точке до возникновения проблемы удаляет установленные с того момента программы и возвращает привычные параметры Internet Explorer.
Арсенал противодействия нежелательным программам не ограничивается только повышенным вниманием при установке. Если у вас на примете есть еще какие-нибудь способы, нейтрализующие засорение системы, поделитесь ими в комментариях.
P.S. Я слегка отложил эту публикацию, потому что решил дополнить ее рассказом и видео о политиках IE. Я также исключил раздел, в котором рассказывалось об установщиках. Он немного не вписывался в материал, поэтому сей небольшой рассказ будет опубликован отдельной записью.
Доброе утро! Вадим, спасибо за новый и интересный материал.
Как вы правильно написали легче, предотвратить, чем потом искать и удалять…
Вот, например, при установке Avast`а (бесплатной версии) идёт в нагрузку Chrome. При обычной установке можно просто убрать галочку и все, но если вы используете тихую установку (ключ /S, при этом он не делает быстрое сканирование системы), то при подключенном интернете Chrome установиться. Как вариант нужно отключать интернет, способ конечно не самый удобный, но если у вас USB модем, то это вам съэкономит деньги, время на установку и нервы…
Здравствуйте! Помогите, пожалуйста. Я сделал reg-файл для включения
очистки файла подкачки при перезагрузке.Согласно советам сделал изменения в реестре, чтобы не было двух окон подтверждения о согласии с изменениями в реестре. Действительно, при запуске reg-файла кликами мыши или с клавиатуры окна не появляются и включение в реестре происходит. Когда я поместил этот reg-файл в планировщик задач, то стали появляться окна подтверждения. (Вообще я хотел сделать включение и выключение очистки файла подкачки в планировщике 1 раз в неделю.)
Как сделать, чтобы окна при запуске в планировщике не появлялись?. Помогите, пожалуйста!
Просьба не в тему, но очень надо! Спасибо.
Roman, выключение интернета не лучший вариант :) Насчет тихой установки Avast поинтересуйтесь в форуме автоустановки программ на OSZone — возможно, там нашли обходной путь.
Алексей, вы зря сделали этот REG-файл, ибо пользы от него нет, а выключение компьютера замедляется. Уберите параметры из реестра — это и есть решение проблемы.
На будущее, не бегите с вопросами в первую попавшуюся запись, это невежливо. Есть форум — задавайте вопросы там.
Слегка не в тему, но установщик Adobe Reader всегда скачиваю в msi с родного адобовского фтп. Про «добавки» от гугла в курсе, потому собственно и забросил эту практику качать у них ехе-шный установщик.
Здравствуйте, Вадим! Недавно тоже столкнулся с проблемой подмены домашней страницы в IE 9. Всё время выскакивал сайт онлайн игры арена, причём в настройках браузера стояла пустая стартовая страница. Проблема решилась только правкой реестра (не люблю туда лазить без повода), а затем запрещение в политиках смену стартовой страницы. Эх, если б немного раньше Вашу статью, а то я по форумам бегал в поисках запрета :-) Я ведь только совсем недавно IE стал пользоваться, т.к. до этого пользовался Opera.
Здравствуйте, Вадим. По теме содержания системы в чистоте: использую «песочницу» Sandboxie для браузера Opera, в том числе для новых ПО. «Песочница» создает виртуальную среду файловой системы и реестра, в результате чего ПО, работающее под наблюдением Sandboxie (установленное и запущенное в ней), в настоящую файловую систему и настоящий реестр изменений не вносит.
ПО, вместе со «своим» мусором уничтожается простым удалением каталога и файла реестра.
Некоторые программы устанавливать/запускать в Sandboxie нельзя. Например, если устанвоить в Sandboxie плагин для браузер, то браузер, запущенный обычным способом, не будет знать о виртуальном существовании плагина =(
equinox, так надо еще знать, где этот MSI на FTP лежит. А так, я просто get reader в гугл ввожу и вперед.
Шейхнур, еще не поздно применить политики :) Неудобство лишь в том, и я отметил это в записи, что домашняя страница будет только одна.
Celsus, интересный вариант, я слышал про него. А как происходит обновление браузера? Например, Chrome и FF обновляются частенько.
Вот тут проблема: после авто обновления происходит некоторая путаница. Если раньше файл Chrome.exe был в обычной папке пользователя, то после обновления Chrome.exe создается в виртуальной среде, !по другому адресу. Это приводит к блокировке нового файла брандмауэром.
Есть идея — изначально устанавливать браузер в виртуальную среду. Не пробовал, но хочу попробовать.
Где-то читал, что Chrome имеет свою встроенную песочницу (если не путаю термины и функции), которая предотвращает нанесение вреда системе браузером. Не уверен, что Google Chrome имеет смысл помещать в песочницу (а может и имеет), как и Internet Explorer, работающий в защищенном режиме.
Спасибо за уточнения! Хотя я не пользуюсь IE =)
Vadim Sterkin, всё это я уже проделал ранее, а сегодня просто убедился в правильности своих действий :-)
Celsus, а как работают остальные программы в виртуальной среде? Я просто никогда песочницей не пользовался, ибо слышал, что у них ограниченная функциональность, в частности у 64х разрядных приложений. Вопрос в том, в чём заключаются эти ограничения…
YaNkEE, да, доля пользователей IE в моем блоге весьма мала. Но это не повод отказываться от освещения этого браузера :)
Шейхнур, неужели и поиски заблокировали именно таким способом? Просто он весьма трудоемкий, если делать вручную…
Celsus, да, у Chrome своя песочница, но она опирается на возможности ОС. в том числе на уровни целостности Windows.
Вадим, нет, я просто всегда отказываюсь на предложенные мне изменения. А вообще, я время от времени поглядываю в надстройки и ускорители браузера, — не изменилось ли что там без меня, случаем. Я строго оставляю только те ускорители и надстройки, которыми действительно пользуюсь, а остальные сразу удаляю, понадобятся — найти их снова не составит большого труда.
Vadim Sterkin,
> А так, я просто get reader в гугл ввожу и вперед.
это небезопасно. Потому что не факт, что первым в выдаче будет ссылка на сайт адобе. Правильно: get.adobe.com :). Кстати, это очень хорошая идея для сайтов производителей ПО. Например, тот же live скачивается с get.live.com. Причём, некоторые вендоры (обычно только богатые) покупают доменные имена не только на имя компании, но и на имена продуктов, которые она выпускает, что ещё больше упрощает доступ на сайт нужного продукта, даже если вы не помните, кто его выпускает.
надо было больше НЕНАВИСТИ!!!!!!!!
Vadims Podāns, отрицаю опасность поиска в Google :) Я же не сказал, что использую Мне повезет! Хотя можно было бы, ни разу не видел Adobe ниже первого места по такому запросу.
Идея с get хорошая, но мало кто из вендоров применяет.
Vadim Sterkin, поэтому я и поблагодарил. Именно за работу, за разъяснения. И если мне понадобится сделать это — не только для себя — я буду знать, что есть статья, к которой можно обратиться.
Vadims Podāns, формат блога не позволяет. Ненависть на форумах =)
Для меня удаление не проблема. так как ставлю программы всегда через Ashampoo Uninstaller. Раньше были проблемы с удалением Ask Бара из IE. Но.
За все надо платить. Вадим, вы же против бесплатного пользования платным софтом. А производителю бесплатного софта тоже надо есть и одеваться. И даже если не это, то содержание сайта, а почти всегда и форума к нему, требует затрат. Ведь не только программы в установщике. Почти на всех сайтах, даже платного софта, есть посторонняя реклама. Кроме того это глобальная проблема — все бесплатное идет с рекламой. Далеко идти не надо — включаем телевизор и поехало. В общем тут альтернатива — платить за софт или тратить время на внимательную установку или, в худшем случае, на удаление.
Как правильно подметил Сергей(Depоrtivo), при установке KMPlayer, снятие галочки в чекбоксе «Установить Ask bar» в IE ни на что не влияет. Такое впечатление, что это своеобразный программерский юмор.
Владимир, KMP — весьма популярная программа, так что баг-репорт, наверняка, был кем-то отправлен. Если это продолжается от версии к версии, такова воля разработчика. Лично я бы не стал пользоваться такой программой.
1. Смотреть в оба
2. Заблокировать или удалить из автозапуска лишнее
3. Настроить антивирус
Можно покопаться в планировщике (к примеру Chrome удалить)
uriy,
1. Предлагается в статье в точно такой же формулировке :)
2. Никак не препятствует появлению нежелательных программ.
3. То же, что и в п. 2, но предотвратит появление вредоносных, конечно.
И лишить себя автоматического обновления Chrome, тем самым повысив вероятность эксплуатации его уязвимостей? Спасибо, не надо.
Vadim Sterkin
2. Возможно просто не нужно лишней активности «нежелательных программ» и пусть себе стоят, либо некорректное удаление, или тот же яндекс или ask много «хвостов» оставляют, всякое бывает.
3. Chrome — это к примеру, а обновить его можно и ручками. Думаю поинтересоваться что в планировщике и в автозапуске не лишнее.
Иногда бывает смотришь смотришь и
в определении пути, по которому спрятан вирус хорошо помогают специальные программы, типа этой
uriy, по п. 2 понял вас. Речь об устранении последствий — согласен.
Но в корне несогласен с
Единственная причина, по которой Google идет вразрез с рекомендациями Microsoft и ставит Chrome в профиль, это возможность автоматического обновления без взаимодействия с пользователем
И вы своими руками убиваете это единственное преимущество небезопасной модели установки программы… Ради чего? Чтобы ощутить себя хозяином системы? Тогда для начала возьмите MSI и воткните Chrome в Program Files.
Elisey44, тема не о вирусах, вообще-то. Да и для этого есть специальные средства, типа AVZ.
Проехали тему Chrome. Кроме Chrome в планировщике не чего не бывает? А в IE и так все не плохо отключается, исходя из этого зачем тогда удалять бары, и делать лишние телодвижения.
Извините, Вадим, пост :) выше что- то пошло не так. Теперь в тему: а утверждали, что Вы не экстрасенс. Ваше второе предположение более чем близко к истине: КМPlayer тяну только с оф.сайта и указанная трабла, как бонус. Приходится ручками выпиливать. Хотя как плеер- прелестно.Но ложка дёгтя должна быть. По ходу написания сего скромного шедевра эпистолярного жанра возникла мысль: может упомянутая галка работает с точностью до наоборот ? Иду проверять :).
Как вариант использовать настроенные шаблоны политики безопасности — если лень искать отдельные пункты.
Если все таки пропускаю нежелательную установку, использую проги Starter, Autoruns, и Диспетчер процессов, Монитор процессов из пакета SysinternalsSuite. Диспетчер задач перебирать лень — слишком их много. Если уж совсем «край» Гугл и Яндекс всегда помогают -)
виктор, у вас есть готовые шаблоны политик для таких случаев? Можете поделиться?
Владимир, вряд ли там все наоборот :)
Vadim Sterkin,
У меня нет, не было необходимости. Сейчас у меня 7-ка х64 в ней нет, но раньше была XP x32, а затем XP х64, в них, точно помню были встроенные, но найти думаю можно на все случаи жизни в операционных системах Windows Server 2008 R2 и Windows 7 насчитывается около 3200 административных шаблонов, что почти в два раза больше, чем было в операционной системе Windows XP с административными шаблонами ADM (их тогда было около 1400). -) В этом плане легче на серверных ОС — они более гибки в настройке и документации на них побольше.
Еще можно использовать правила AppLocker.
Но на моей windows 7 ultimate x64 готовых шаблонов нет, а так как не возникало необходимости, то я их и не искал. Поиск «на скорую руку» ничего достойного не выдал. Как я понял Майкрософт не особо их рекламирует. Мне вполне хватает аудита ess nod — при попытки неизвестной программы выхода в и-нет, он выдает запрос на разрешение и если я не знаю что это, тогда уже начинаю выяснять.
Странно, у меня KMPlayer с оффсайта, но никаких баров нет (впервые за полгода запустил ИЕ). Может данный баг присутствует только на семёрке?
К слову о том что программы перепаковывают.
Недавно на Download.com был найден измененный nmap.
Вадим, если есть возможность то было бы замечательно увидеть обзор утилиты Microsoft Attack Surface Analyzer, она тяжеловата, но выдает очень много полезной информации.
sergm, утилита не представляет ценности для домашних пользователей. Им достаточно центра поддержки https://www.outsidethebox.ms/9956/
Мини-обзор есть у моего коллеги.
В статье не указан самый главный источник нежелательных программ — наличие прав администратора. Огромное количество проблем связано с инцидентами типа «на компьютере игрались дети, теперь всё загажено тулбарами и вирусами». О том, что передача компьютера с правами администратора этим же детям или любому второму лицу — криминал, почему-то мало кто говорит.
Да, я добавлю в статью, спасибо! Но я ориентировался на основную аудиторию, по моим представлением еще не понаделавшую детей :)
Какой срок? Номер статьи?
Виталий, это фигура речи специалиста по безопасности :)
1. Устанавливаю программы с помощью «Revo Uninstaller Pro» — если что-то не то — удаляю (через эту же программу) и она удаляет ВСЕ, что устанавливалось во время установки желанной программы.
2. Если запускаются нежелательные программы (а удалять основную не хочется) то запускаю «AnVir Task Manager 6.5.0 Portable» и блокирую запуск (возможно, она не всё показывает, но этого хватает), если мало, то поможет «AutoRuns» (показывает всё, но найти нужное труднее).
До уже давно знакомая ситуация, яндекс, mail.ru.. другие скрытые ссылки после установки, но не отображающиеся в тот момент, когда уже устанавливаешь, да и чаще всего видишь как при запуске программ работает странный процесс, что-то дескать обновляя :)
Ребята Вы говорите ОБО ВСЕМ, Это все равно что ни о чем. Нежелательные программы — понятие весьма расплывчатое. Если речь идет о вирусах это одно, если о прогах, которые несут в себе установку различных дополнительных надстроек — другое. Безопасность — третье. Мусор, который остается, после удаления — четвертое. ну и т.д. Каждый пункт можно выделить в отдельную тему. ИМХО толку будет больше, чем все валить в одну кучу.
От меня совет простой — прежде чем устанавливать:
1. подумайте нужна ли она Вам
2. сравните контрольные суммы
3. если для работы программы просят установить что-то сомнительное — не делайте этого.
4. не связывайтесь с самораспоковывающимися архивами.
Виктор, я пишу о нежелательных программах, не являющихся вредоносными. Возможно, вы пропустили первую часть рассказа, где приводились примеры. Эту запись нужно рассматривать как логическое продолжение, а не обособленно.
Прокомментирую ваши советы.
1. Если человек устанавливает программу, он думает, что она ему нужна. В записи же речь о том, что идет к ней в нагрузку.
2. Контрольные суммы — редкость, что на сайтах производителей ПО, что на крупных софт-порталах.
3. Угу, вот об этом и были две эти записи.
4. SFX ничем не отличается от других установщиков. Другими словами, если ПО проталкивается незаметно, никакой разницы в типе установщика нет. Но такой подход уже можно считать вредоносным.
Vadim Sterkin,
Да, начало я пропустил-извините. Зато прочитал коментарии -)
К сожалению Вы правы. КС как-то не прижились. С другой стороны я скачивал образ Windows 7 с MSDN c контрольными суммами. КС конечно не гарантия, но несколько успокаивает -)
По-поводу SFX — слишком просто в него все запихнуть. Встречал даже сервисы — отправляешь файл, он упаковывается в SFX, а конце установки просит отправить СМС для получения доступа.
Потому и советую не связываться с SFX — с установщиком надо еще повозиться.
Подход незаметного проталкивания конечно вредоносный, но он оплачивается. Прога шлет отчет, что она установлена с чьей-то помощью и ему что-то оплачивают. Такой вид заработка тоже встречал.
В целом же я согласен с Вашими рекомендациями.
Виктор, теперь я понял вашу рекомендацию касательно SFX. Обычно, мошенники туда запихивают варез или даже бесплатное ПО (я столкнулся с таким, когда искал русский PStart). Но если вы пойдете на сайт производителя программы или soft.ozone.net, такого там просто не будет. Поэтому моя рекомендация качать программы с доверенных источников перекрывает вашу :)