Pahavaravastane vihmavari SpyCatcher

Priit Aasmäe, 22, jaanuar 2007 on kirjutatud originaalartikkel.

SpyCatcher Express on tasuta programm, mis lisaks enamlevinud nuhkvara leidmisele avastab ka troojaid, klahvivajutuste salvestajaid, varjatud sidekanaleid ehk nn. tagauksi, peidetud kernel-tasandi pahavarasid ehk rootkit’e ning pakub samal ajal ka hästi toimivat reaalajakaitset.

SpyCatcher Express (http://www.tenebril.com/consumer/spyware/spycatcher-express.php) vabavaraline versioon erineb Tenebril SpyCatcher 2007 tasulisest versioonist selle poolest, et puudub automaatne programmi ja andmebaasi uuendamine, pahavara otsimine muu töö taustal, IP aadresside analüüsija, võltsveebilehtede avastamine (anti-phishing ehk nn. õngitsemine) ning võimalus saata leitud pahavara analüüsimiseks programmi haldajatele. Ent plussiks on see, et lisaks enamusele internetis levivatele pahavara tüüpidele suudab ta avastada ka nendesamade pahavarade järgmisi põlvkondi ehk siis muteerunud pahavara variatsioone. Kui programm pahavara kindlalt ära tunneb, eemaldab ta selle automaatselt karantiini. Juhul kui kasutaja soovib mingil põhjusel karantiini lisatud pahavara taastada, saab ka seda teha, avades programmis Protection (kaitse) alt My Spyware (minu pahavara) ja valides Change Action (muuda toimingut).

õsi, programm avastab ka selliseid faile, mis ei pruugigi pahavara olla. Siiski ei maksa kohe arvata, et antakse palju valeteateid ja programm ei suuda tööga hakkama saada. Tuleb arvestada, et häiret tõstetakse potentsiaalselt ebavajalike ja võibolla veidi kahtlaste failide puhul, ent sel juhul jäetakse faili lubamine või keelamine kindlalt arvutikasutaja otsustada.

Näide: programm avastab faili E3TL.dll ja märgib selle kahtlustäratavana, ent karantiini ei pane. Kontrollimisel selgub, et tegu on programmi ProgramChecker vajaliku osaga, mis ei vaja eemaldamist. (Või siiski – võibolla keegi arvab, et see on liiast ja ikkagi lisab karantiini või hoopis hävitab selle – maitse asi!) Kontrollida leitud faile aga on lihtne – tehke uurimist vajaval failil kaks hiireklikki ja Tenebril kodulehel avaneb nn. uurimiskeskus, mis annab detailse ülevaate failist. Juhul, kui programmi haldajatele on see tundmatu fail, siis infot saab postitajate kommentaaridest. Näiteks eelnimetatud faili kohta saab arvamusi sellelt lehelt: http://www.tenebril.com/src/sfile.php?id=e3tl.dll

Programmi reaalajakaitse on üsna hea, ent võiks parem olla. Pigem just selles mõttes, et arvuti käivitamisel startiva failina aeglustab ta tunduvalt arvuti alglaadimist ja kasutab ka hiljem üsna palju resursse. Siiski suudab ta avastada ja peatada pahavara juba arvutisse sissetungikatsel, mis on õelvara ennetamisel peamine.

Pahavara leidmisel antakse hoiatus kas ikooni vilkumise või hüpikaknakesega, kuidas kasutajale endale rohkem meeldib, valida saab seda Alerts nupu alt. Samas saab valida, kui tugevaks sättida kaitsemeetodit – kõrgeks, keskmiseks, madalaks või valikuliseks, viimases saab kas sisse või välja lülitada:

1. veebilehe kaaperdamise funktsiooni
2. süsteemi sätete kaitsmise
3. klahvivajutuste salvestajate blokeerimise
4. peidetud kernel-tasandi rootkit-pahavara blokeerimise
5. hüpikakende ehk popup-aknakeste blokeerimise

Programmi arvutisse installeerimisel nõutakse kasutaja nime, perenime ja toimivat e-maili aadressi. Sisestada võib ju ka varjunimed ja spetsiaalselt selleks mõeldud e-maili aadressi, see ei mõjuta hilisemat programmi tööd. Paigaldusfaili suurus on peaaegu 18 MB.

Kindlasti tuleb arvestada ka sellega, et SpyCatcher Express ei pruugi sobida teiste programmidga, peamiselt just antinuhkvara ja eriti nende reaalajakaitsetega, konflikti sattudes võib arvuti hanguda, nagu mul endal juhtus. Taaskäivituselt (restart) tagasitulles eemaldasin programmi reaalajakaitse autostartivate failide hulgast ja kõik hakkas normaalselt toimima.

Pahavara otsimismeetodeid on kolm: kiire, sügav ja valikuline, milles viimasel kasutaja saab ise otsustada, kas skanneerida ainult mäluprotsesse, registri võtmeid ja –väärtusi, olemasolevaid kettaid, neid kõiki koos või eraldi; või ise valida kahtlustäratavaid faile ja kaustu kiirkontrollimiseks.

Kiirus oleneb muidugi arvutis olevatest failide hulgast, ent üldiselt võib öelda, et kiire meetod (Fast Scan) on tõesti kiire, põhjalik meetod (Deep Scan) võtab ajaliselt u. 5 – 15 minutit, seega samuti üsna kiire võrreldes mõne teise samaväärse programmi tööga.

Pahavara ndmebaasi saab käsitsi uuendada ja programm võimaldab ka sättimist ajastatud toiminguna just kasutajale sobival ajal arvutit nuhkvarast puhastama – kas kord päevas, nädalas, kuus või kindlal nädalapäeval.

Abivahenditena on programmiga kaasas:
1. Upgrade Manager – selle abil saab osta täisversiooni
2. System Explorer – sellega saab vaadata kõiki protsesse, mis arvutis käivituvad või käivad – mäluprotsesse, autostartivaid faile, Internet Exploreri pluginaid, võrguobjekte, ActiveX komponente jne. Samas saadaval ka üsna hea informatsioon failide kohta.
3. Logivaatur
4. Küpsiste haldur
5. Seadete viisard, mille abil saab sammhaaval programmi sobilikult tööle sättida, ent kuna ka paigaldamisel avaneb esimese asjana sama viisard, siis hiljem tõenäoliselt pole seda vaja enam kasutada.

SpyCatcher Express vabavaralise versioonina teeb ka usinasti omale reklaami, kutsudes ostma programmi täisversiooni või vähemasti prooviversioonina seda katsetama, ent reklaam eriti ei sega ja selle võib kahe silma vahele jätta.

Arvutisse paigaldamisel nõutakse registreerimist. Kõigepealt tuleb valida Get Free, kui soovitakse tasuta erakasutuseks programmi ja siis kirjutada lahtrisse e-maili kood ning vajutada Unlock. Order number saab nüüd e-posti saadetud kirjast.

Süsteeminõuded:

  • Windows 2000 ja uuem
  • Pentium 350MHz või parem
  • 64 MB RAM
  • 18MB vaba ruumi

Lisa kommentaar

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Muuda )

Twitter picture

You are commenting using your Twitter account. Log Out / Muuda )

Facebook photo

You are commenting using your Facebook account. Log Out / Muuda )

Google+ photo

You are commenting using your Google+ account. Log Out / Muuda )

Connecting to %s

%d bloggers like this: