Wstęp

W ostatnich czasach wiele osób pada ofiarą programów typu spyware czy adware. Każdy z tych złośliwych programów w jakiś sposób utrudnia życie użytkownikowi albo wręcz zagraża jego prywatności. Oznakami infekcji przez programy szpiegowskie są m.in. otwierające się ciągle okienka pop-up z reklamami, regularna zmiana ustawień przeglądarki (np. strony startowej), pojawienie się dodatkowych komponentów w przeglądarce (np. paski narzędziowe) oraz powolna i niestabilna praca komputera.
Prymitywny program typu adware będzie więc ciągle zmieniał użytkownikowi stronę startową przeglądarki Internet Explorer, jednak bardziej wyszukany program typu spyware potrafi wysłać do hackera nawet login i hasło do internetowego konta bankowego!
Niestety niewiele osób zdaje sobie sprawę, że istnieje darmowe skuteczne narzędzie do usuwania tego typu programów oraz do monitorowania ich aktywności w czasie rzeczywistym. Mowa o Microsoft AntiSpyware (obecnie Windows Defender), który bazuje na technologii przejętej od firmy GIANT Company Software. Program jest jeszcze co prawda w wersji Beta, jednak wiele błędów zostało już poprawionych i aplikacja nadaje się do codziennego użytku.
 

Instalacja

Najpierw należy pobrać instalator Windows Defender z witryny Microsoft.com/Downloads, gdzie zawsze znajduje się najnowsza wersja głównego modułu. Definicje złośliwych programów są pobierane przez program automatycznie o wyznaczonej przez użytkownika porze lub podczas wymuszonej aktualizacji.
 

Rys. Instalacja MS AntiSpyware

Po pomyślnej instalacji możemy od razu uruchomić program MS Antispyware poprzez zaznaczenie opcji Launch Microsoft AntiSpyware (Uruchom Microsoft AntiSpyware) przed kliknięciem przycisku Finish (Zakończ).
 

Konfiguracja

Przy pierwszym uruchomieniu wyświetlany jest uproszczony konfigurator produktu składający się kilku kroków, zaś działanie narzędzia sygnalizowane jest ikoną tarczy w pasku zadań obok zegara. MS AntiSpyware nie działa jako usługa, lecz jako proces. Ma to zostać zmienione w finalnej wersji oprogramowania.
 

Rys. Konfiguracja po instalacji

W kroku pierwszym (Step 1 of 3) należy pozostawić domyślnie zaznaczoną opcję: Yes, automatically keep Microsoft AntiSpyware updated (Recommended) (Tak, automatycznie aktualizuj Microsoft AntiSpyware (Zalecane)), która pozwala na automatyczne pobieranie aktualizacji sygnatur ze strony producenta. W kolejnym kroku (Step 2 of 3) również najlepiej pozostawić wybraną opcję domyślną: Yes, keep me secure (Recommended) (Tak, utrzymaj mnie zabezpieczonym (Zalecane)), która włącza agentów skanowania w trybie ciągłym. W kroku trzecim (Step 3 of 3) można pozostawić opcję domyślną Yes, I want to help fight spyware (Recommended) (Tak, chcę pomagać w zwalczaniu aplikacji typu spyware (Zalecane)), co dołączy użytkownika do społeczeństwa antyszpiegowskiego SpyNet i pomoże zwalczać nowe złośliwe programy.
Ostatni ekran umożliwia uruchomienie szybkiego skanowania systemu w poszukiwaniu programów typu adware/spyware poprzez kliknięcie przycisku Run quick scan now (Przeprowadź szybkie skanowanie teraz). Dodatkowa opcja Run a spyware scan every night at 2 a.m. (Przeprowadź skanowanie każdej nocy o godzinie 2:00) uaktywnia planowe skanowanie o podanej porze, którą można zmienić później w opcjach programu.
 

Rys. Uruchomienie skanowania zaraz po instalacji
 

Pierwsze uruchomienie

Po kliknięciu przycisku uruchamiającego skanowanie program pyta użytkownika, czy powinien pobrać najnowsze definicje z serwera. Zalecane jest wybranie opcji Update now (Aktualizuj teraz) i poczekanie aż program pobierze pliki z sieci.

Rys. Aktualizacja sygnatur spyware

Po tej operacji wyświetli się główne okno aplikacji MS AntiSpyware, w którym prezentowane będę na bieżąco statystyki skanowania. W lewej ramce Scan progress (Postęp skanowania) pokazywana jest ścieżka i plik, który jest aktualnie przetwarzany. Z kolei w ramce po prawej stronie wyświetlane są statystyki – najważniejszym wskaźnikiem jest pole Total items detected (Łączna ilość wykrytych elementów), która określa ilość znalezionych w systemie zagrożeń. Poniżej prezentowana jest ilość podejrzanych elementów wykrytych w poszczególnych kategoriach (Memory – Pamięć, Files – Pliki, Registry – Rejestr).
 

Rys. Skanowanie...

Po zakończeniu skanowania program wyświetla podsumowanie ilości wykrytych elementów oraz czas skanowania.

Rys. Podsumowanie po skanowaniu

Jeśli program nie wykrył żadnych podejrzanych procesów w pamięci, plików na dysku ani wpisów w rejestrze można zamknąć okno podsumowania i okno główne programu, który i tak będzie chronił nas w czasie rzeczywistym (jeśli wybrano odpowiednią opcję podczas wstępnej konfiguracji).

Update: Jeśli zaś wykryto zagrożenia wyświetlane jest poniższe okienko.

Rys. Podsumowanie wyników w przypadku wykrycia zagrożeń

Wyświetlana jest tutaj ilość znalezionych zagrożeń (Spyware detected: <liczba> threats) oraz w tabelce szczegółowe informacje o każdym znalezionym szpiegu.
Kolejne kolumny to odpowiednio:
Zalecana czynność (Recommended action), Nazwa szpiega (Threat name), Poziom zagrożenia (Threat level).
Jeśli poziom zagrożenia identyfikowany jest jako Wysoki (High), to należy wybrać czynność Usuń (Remove). Jeśli zaś jest Niski (Low), można to zignorować (Ignore) lub Kwarantanna (Quarantine). Zazwyczaj te ostatnie to aplikacje typu P2P (np. Kazaa, eDonkey), które zawierają sporo adware'u.
Zawsze warto zaznaczyć opcję Utwórz punkt przywracania (Create restore point), która pozwoli przywrócić system do poprzedniego stanu w przypadku jakichś problemów po usunięciu zagrożeń (za pomocą narzędzia Przywracanie systemu - System restore).
Następnie należy kliknąć Kontynuuj (Continue). Pojawi się wówczas okienko, w którym należy potwierdzić usunięcie zagrożeń z komputera (Yes).
 

Rys. Potwierdzenie usunięcia zagrożeń

Microsoft AntiSpyware usunie teraz zagrożenia z komputera. W niektórych przypadkach wymagane będzie ponowne uruchomienie komputera w celu kompletnego pozbycia się szpiegów.
 

Ręczne skanowanie

Jeśli użytkownik podejrzewa, że w jego systemie mógł zostać zainstalowany nieporządany program, może uruchomić ręczne skanowanie poprzez dwukrotne kliknięcie ikony na pasku zadań, a następnie kliknięcie na opcji Spyware scan (Skanowanie) albo wybranie z menu opcji Tools -> Spyware scan -> Run a Scan Now (Narzędzia -> Skanowanie -> Przeprowadź skanowanie teraz).
Pojawi się wówczas ekran, na którym będzie można wybrać poszczególne opcje skanowania. Zazwyczaj wystarczające jest skanowanie inteligentne - Run an intelligent quick scan (Przeprowadź szybkie inteligentne skanowanie), które skanuje tylko najbardziej narażone lokalizacje systemu.
 

Rys. Konfiguracja skanowania

Można również co jakiś czas przeprowadzić skanowanie pełne - Run a full system scan (Przeprowadź pełne skanowanie) zaznaczając wszystkie dostępne opcje:
- Scan memory locations and running processes (Skanuj pamięć i uruchomione procesy),
- Scan selected drives/folders (Skanuj wybrane napędy/foldery) (domyślnie tylko dysk systemowy C:\; można wybrać samemu lokalizacje do skanowanie poprzez kliknięcie na Select… (Wybierz…)),
- Deep scan folders (Szczegółowe skanowanie folderów) (zalecane, jednak znacznie wydłuża czas skanowania).

Po wybraniu powyższych opcji można zapisać je jako domyślne (Save these options– Zapisz te opcje), tak by były automatycznie stosowane przy kolejnych ręcznych skanowaniach. Następnie nie pozostaje już nic innego jak kliknięcie na przycisku Run scan now (Przeprowadź skanowanie teraz). Po prawej stronie w ramce Scan details (Szczegóły skanowania) wyświetlany jest szacowany czas skanowania (Estimated scan time), bazujący na uprzednio przeprowadzonych skanowaniach.
I tak przykładowo skanowanie inteligentne zajmie kilka minut, ale już skanowanie pełne z wybranym skanowaniem szczegółowym folderów może zająć nawet do pół godziny.

Kliknięcie na przycisku Real-time protection (Ochrona w czasie rzeczywistym) wyświetla okno podsumowania stanu „agentów” chroniących komputer podczas surfowania po Internecie, czytania poczty czy też uruchamiania skryptów i aplikacji z dysku lokalnego. Łącznie dostępnych jest 59 agentów, z czego 9 przypada na zdarzenia związane z Internetem (np. zmiana strony startowej, zmiany w strefach zabezpieczeń), 25 to agenci systemowi, zaś kolejnych 25 to agenci monitorujący uruchamiane aplikacje.
 

Rys. Agenci chroniący komputer w czasie rzeczywistym
 

Narzędzia dodatkowe

Wraz z aplikacją użytkownik otrzymuje przydatne narzędzia dodatkowe dostępne po kliknięciu na Advanced Tools (Narzędzia zaawansowane). Narzędzie System Explorers (Eksploratorzy systemowi) umożliwiaja między innymi szczegółowe przejrzenie ustawień przeglądarki Internet Explorer, pobranych komponentów ActiveX czy też wyświetlenie listy aplikacji uruchamianych podczas startu systemu. Narzędzie Browser restore (Przywracanie ustawień przeglądarki) umożliwia, jak sama nazwa wskazuje, przywrócenie domyślnych (konfigurowalnych) ustawień przeglądarki Internet Explorer. Najczęściej zmieniana przez złośliwe programy jest strona startowa (Start page). Oczywiście można zmienić adres witryny, który zostanie ustawiony po kliknięciu przycisku Restore (Przywróć), poprzez kliknięcie na Change restore setting to New URL… (Zmień przywracane ustawienie na nowy adres URL…) i wpisanie adresu swojej strony domowej. Po tej operacji strona startowa zostanie ustawiona automatycznie na podany adres, zaś domyślne ustawienie podczas ewentualnego przywracania w przyszłości będzie powodowało ustawienie tego właśnie adresu.
 

Rys. Przywracanie strony startowej w IE

Dodatkowym narzędziem dostępnym w MS AntiSpyware jest Tracks Eraser (Zacieracz śladów). Umożliwia on szybkie usunięcie wszystkich śladów, które użytkownik pozostawił po sobie w systemie. Obejmuje to między innymi pliki cookies, historię przeglądarki, wypełniane formy na stronach internetowych, pliki tymczasowe, pliki znajdujące się w koszu, utwory odtwarzane w Windows Media Player i wiele innych. Można usunąć tylko część z pozostawionych śladów zaznaczając odpowiednie opcje lub wszystkie klikając na Check all (Zaznacz wszystkie). Następnie wystarczy kliknąć na Erase Tracks (Usuń ślady), a program sam zajmie się resztą.

Rys. Usuwanie śladów
 

Pełna konfiguracja

Użytkownicy zaawansowani będą na pewno chcieli lepiej dostosować MS AntiSpyware do swoich potrzeb. Aby w pełni skonfigurować aplikację należy wybrać z menu opcję Options -> Settings (Opcje -> Ustawienia), gdzie dostępnych jest 6 kategorii ustawień:

1. AutoUpdater (Automatyczne aktualizacje) – ustawienia związane z automatyczną aktualizacją definicji niebezpiecznych programów (m.in. godzina oraz interwał, a także funkcje powiadamiania),

2. Real-time Protection (Ochrona czasu rzeczywistego) – uaktywnienie agentów śledzących wszelkie zdarzenia na bieżąco oraz zmiana ustawień związanych z blokowaniem skryptów (domyślnie użytkownik jest proszony o potwierdzenie uruchomienia każdego skryptu),

Rys. Alert: Blokowanie skryptu .BAT
(Allow - Zezwól, Block - Zablokuj,
Remember this action - Zapamiętaj tę akcję)

3. Alerts (Powiadomienia) – powiadamianie użytkownika o dopuszczonych i zablokowanych zdarzeniach,

4. SpyNet AntiSpyware Community (Społeczeństwo SpyNet),

5. Spyware scan (Skanowanie) – włączenie/wyłączenie wyświetlania raportu po skanowaniu,

6. General (Ogólne) – m.in. zmienia trybu użytkownika – użytkownik początkujący powinien zaznaczyć Novice User, zaś zaawansowany Knowledgeable User.

Po dowolnej zmianie należy kliknąć przycisk Save (Zapisz), aby zastosować i zapisać ustawienia.

Rys. Konfiguracja
 

Podsumowanie

Windows Defender to niezastąpione narzędzie dla każdego użytkownika Internetu. W przeciwieństwie do innych programów tego typu monitoruje on i analizuje wszelkie zachodzące w systemie zdarzenia w sposób ciągły, co jest jego niewątpliwą zaletą. Dodatkową zaletą jest fakt, że jest całkowicie darmowy i takim pozostanie według zapewnień Billa Gatesa (dla użytkowników legalnych wersji systemu Windows). Finalna wersja produktu spodziewana jest w przyszłym roku.

Wszystkim Internautom gorąco polecamy używanie (lub chociaż wypróbowanie) aplikacji Windows Defender (dawniej MS Antispyware)!
 

Windows Defender