Итак, давно уже порываюсь сделать некое руководство по обозначенной теме, ввиду особой популярности на этом форуме, собственно надо с чего-то начать. С свою очередь хотелось бы осудить с остальными форумчанами, что другие думают по этому вопросу.
Это как раз тот случай, когда приветствуется критика, причём конструктивная. Думаю, все понимают, что эта тема - не место для холиваров, особенно на тему Linux/Windows (название темы сформулировано предельно чётко), или бесполезных возгласов вроде антивирус А круче антивируса Б. Если Вы пользуетесь и Вам нравится какой-либо антивирусный продукт, то Вы можете мне помочь, досконально описав его функционал по заданному шаблону (это нужно для сравнительного обзора).
Внимание! Сообщайте мне об обнаруженных грамматических ошибках в тексте или неверных ссылках.
В тексте размещаются ссылки на домашний сайт обсуждаемого ПО или на размещение конкретного файла для загрузки, пометка ^* означает свободное (бесплатное) ПО. По возможности даются ссылки на русскоязычные последние стабильные (финальные) версии ПО.
Пока выделил следующие разделы, которые в настоящее время находятся в разных стадиях готовности:
1. Классификация вредоносного ПО и каналы его распространения. - в разработке.
2. Средства защиты от вредоносного ПО. - полностью готов.
3. Средства борьбы с вредоносным ПО после проникновения. - в разработке.
По мере готовности остальные разделы будут выложены на обозрение.


2. Средства защиты от вредоносного ПО.
С самого начала надо сформулировать чётко, что нужно защищать: работоспособность операционной системы и прикладного ПО, пользовательские данные, персональные идентификаторы (логины/пароли) от кражи.
Базовый минимум.

1. Заведите в системе как минимум две учётные записи, одну с административными привилегиями, а остальные - с ограниченными. Для обычного круга задач домашнего пользователя (web-серфинг, работа с мультимедия-контентом, работа в офисных приложениях, игры) достаточно пользоваться учётной записью с ограниченными правами. При проникновении вредоносного ПО работа пользователя с ограниченными правами существенно ограничивает возможности этого вредоносного кода. Используйте учётную запись с административными правами только в случаях, если требуется тонкая настройка системы, установка ПО и т.д. Если же постоянное переключение между пользователями создаёт неудобства, то воспользуйтесь средством Запуск от имени администратора. В ОС Windows Vista/7/8 есть встроенное средство – UAC (контроль учётных записей пользователей, включено по умолчанию), которое запрашивает подтверждение действий, требующих прав администратора, это сделано в целях защиты от несанкционированного запуска приложений и модификации настроек ОС.

2. При работе с электронной почтой и сервисами сообщений обращайте особое внимание на отправителя, независимо от того, работаете ли через web-интерфейс почтового сервера или получаете корреспонденцию специализированным почтовым клиентом. Категорически не рекомендуется открывать вложения от неизвестного отправителя, а даже если отправитель известен, то рекомендуется предварительно сохранять все вложения в специальной директории, и только после проверки антивирусным сканером работать с ними. По электронной почте никогда не распространяют ПО и обновления к нему, так что все подобные вложения должны быть тщательнейшим образом проверены (с большой долей вероятности это окажется вредоносным ПО). Для большего комфорта рекомендуется установить специализированный антиспамовый фильтр (либо самостоятельная утилита, либо плагин к почтовому клиенту, либо компонент в составе антивирусного комплекса). В случае применения антиспамовых фильтров нужно быть готовым, что какая-либо важная корреспонденция может быть классифицирована как спам. Во избежания такой ситуации следует пользоваться белыми списками (пропуск по ключевому слову).
Антиспамовые фильтры:
Работа антиспамовых фильтров основана на поиске ключевых слов или лексических конструкций в заголовке и теле письма с последующим соотнесением с чёрными и белыми списками, проверка IP адреса отправителя по базам известных распространителей спама. Более продвинутые фильтры анализируют прикреплённые изображения и документы в формате pdf. Предварительная проверка может выполняться прямо по заголовкам писем (при обнаружении спам будет удалён прямо с почтового сервера), окончательная - после загрузки всего письма, причём некоторые фильтры не удаляют, а просто помечают корреспонденцию как спам или помещают в специальное хранилище. Для некоторых фильтров требуется обучение (набор статистики для учёта особенностей по базе из нескльких сотен писем), это ускоряет проверку и повышает достоверность результата.
Наиболее популярные фильтры: AntispamSniper, AGAVA Spamprotexx^*, Agnitum Spam Terrier^*.

3. Прежде, чем начать работу со сменным носителем (USB флеш драйв, внешний жесткий диск, оптический диск и т.п.), крайне желательно проверить его антивирусным сканером. В ряде антивирусных программ имеется опция автоматической проверки подключаемого внешнего устройства, которую следует использовать. Для дополнительной безопасности рекомендуется отключить автозапуск¹ (см. приложение в конце) и установить на свой компьютер утилиту USB Disk Security. Если в силу необходимости требуется подключить свой накопитель к другим машинам, за безопасность которых никто не отвечает, то если есть возможность, включите защиту от записи на этот накопитель.

4. Отдельным пунктом стоит оговорить правила безопасности при работе в веб-браузерах. В настоящее время сложно назвать какой-то конкретный наиболее безопасный браузер, так что рекомендуется регулярно обновлять имеющийся и сопутствующие расширения. Без особой необходимости не оставляйте включенным отображение ActiveX содержимого и обработку Java-Script на страницах, установите обработку содержимого плагинами только по запросу, запретите всплывающие окна и обработку редиректов, блокируйте обработку Cookie, настройте блокировку нежелательного содержимого (см. анти-баннеры). Никогда не ходите по неизвестным ссылкам, особенно с заманчивыми названиями. Злоумышленники, распространяющие вредоносное ПО, уже давно пользуются технологиями социальной инженерии. Старайтесь запоминать внешний вид сайтов, с которыми работаете, и точный URL, поскольку всё больший размах приобретает фишинг, когда пользователя перенаправляют на поддельную web-страницу и заполучают его персональные данные. Сервисы никогда ни по электронной почте, ни какими-либо другими способами не просят высылать свои персональные данные (логин/пароль). Как вариант можно завести несколько браузеров, первый для работы с проверенными веб-сайтами (соответственно настройки безопасности ослаблены в пользу большей функциональности), а остальные - для серфинга по сети (например, поиск каких-то материалов) с усиленными настройками безопасности и максимально ограниченными привилегиями. Самый действенный способ - запускать веб-браузер в виртуальной среде, т.н. песочнице, для этого есть специальная утилита Sandboxie, подобный функционал предоставляют также некоторые антивирусные комплексы (безопасный браузер).
Анти-баннеры:
Представляют собой либо самостоятельные утилиты, либо входят в состав антивирусных комплексов (фильтр HTTP-соединений), либо являются расширениями web-браузеров, либо являются встроенными сервисами браузера. Анти-баннеры блокируют рекламный спам и прочий нежелательный контент, ускоряя загрузку страниц и экономя трафик и избавляя пользователя от хлопот, обеспечивают защиту от вредоносных и фишинговых сайтов, блокируют нежелательные всплывающие окна, перехват фокуса и т.д. Анти-баннеры, представляющие собой HTTP-фильтры, могут работать практически со всеми известными web-браузерами.
Наиболее популярные утилиты анти-баннеры: AdGuard, Ad Muncher, AdBlock Plus^*.

5. Установите и настройте антивирусный монитор и межсетевой экран (можно ограничиться встроенным в ОС). Помимо этого настройте регулярную (по расписанию, хотя бы раз в неделю) проверку наиболее критических частей системы антивирусным сканером. Периодически сканируйте сторонним антивирусным сканером (желательно отличным от установленного в системе, что повышает надёжность проверки и помогает разобраться в спорных ситуациях). Следите за актуальностью антивирусных баз и самого антивирусного движка. Рекомендуется периодически делать проверку системы, загружаясь с Live CD/USB, поскольку в этом случае проверка выполняется в абсолютно чистой системе, в которой отсутствует действующий вредоносный код, включая средства сокрытия руткит. Некоторые антивирусные системы поддерживают проверку на этапе загрузки ОС, т.е. до того, как какой-либо вредоносный код будет загружен, но это не заменяет проверку в чистой системе!
Наиболее популярные антивирусные системы и брандмауэры:
Agnitum (Outpost Security Suite Pro - x86 и x64, Outpost Firewall Pro - x86 и x64, Outpost Antivirus Pro - x86 и x64, Agnitum Spam Terrier - x86 и x64);
Avast (avast! Internet Security, avast! Pro Antivirus, avast! Free Antivirus, Актуальная версия - 7.0.1426, Кумулятивное обновление баз, Утилита деинсталляции, On-line сканнер, Сравнительная таблица версий);
Avira (Avira Premium Security Suite, Avira AntiVir Premium, Avira AntiVir Professional, Avira AntiVir Personal^*);
AVG (AVG Anti-Virus Free^* - x86 и x64, AVG Internet Security - x86 и x64, AVG Antivirus - x86 и x64);
BitDefender ();
Comodo (Comodo Antivirus*, Comodo Firewal*, Comodo Internet Security*, Comodo Antivirus Advanced, Comodo Internet Security Pro/Plus/Complete, Comodo Cleaning Essentials, Comodo Cloud Scanner);
Dr.Web (Dr.Web Security Space, Dr.Web Pro, Актуальная линейка - 7.0, Dr.Web CureIt!, Dr.Web LiveCD/USB, Dr.Web LinkChecker, On-line сканнер, Утилита деинсталляции, Антивирусные базы, Сервис разблокировки Windows);
ESET (ESET Smart Security - x86 и x64, ESET NOD32 - x86 и x64, Актуальные версии - 5.0.95, ESET SysRescue, Утилиты для удаления троянского ПО, Документация, On-line сканнер, Сервис разблокировки Windows);
Jetico (Jetico Personal Firewall);
Kaspersky Lab. (CRYSTAL, Internet Security, Kaspersky Anti-Virus, Kaspersky Password Manager, Kaspersky KryptoStorage, Kaspersky Virus Removal Tool, Kaspersky Rescue Disk, Документация, Утилиты для удаления вредоносного ПО);
McAfee (McAfee Total Protection, McAfee Internet Security, McAfee AntiVirus Plus);
Microsoft (Microsoft Security Essentials^* - x86 и x64);
Panda (Panda Global Protection, Panda Internet Security, Panda Antivirus Pro, Panda Cloud Antivirus^*);
Trend Micro (Trend Micro Titanium Maximum Security, Trend Micro Titanium Internet Security, Trend Micro Titanium Antivirus+);
Symantec (Symantec Endpoint Protection, Norton 360, Norton Internet Security, Norton AntiVirus);
ZoneAlarm (ZoneAlarm Extreme Security, ZoneAlarm Internet Security Suite, ZoneAlarm Free Firewall^*, ZoneAlarm PRO Firewall, ZoneAlarm Antivirus + Firewall);

Антивирусный комплекс обязательно включает в себя файловый монитор реального времени и сканер по запросу. Обнаружение вредоносного ПО в режиме реального времени основано на сигнатурном анализе и, как правило, дополняется проактивными технологиями защиты: эвристический анализ, эмуляция кода, поведенческий анализ, песочница (ограничение привилегий выполнения кода), и наконец, виртуализация рабочего окружения. Монитор реального времени может проверять не только исполняемые файлы, но и архивы, упакованные файлы (с заданной глубиной распаковки), почтовые базы и т.д., причём некоторые антивирусы используют многопоточное исполнение. Сейчас появились антивирусы, использующие облачные технологии для распознавания вредоносного ПО. Опционально добавляются мониторы http-соединений (веб-антивирус, анти-баннер, анти-фишинг), мониторы почтовых соединений, сервисов мгновенных сообщений, P2P соединений (почтовый антивирус и антиспам, IM-антивирус, P2P-антивирус). Опционально может быть включена защита от рекламного и шпионского ПО, защита автозагрузки и файла HOSTS. В довесок может быть реализована защита от руткитов. При обнаружении вредоносного ПО антивирус либо пытается вылечить файл, либо удаляет его, опционально файл может быть помещён в карантин, либо заблокирован. Помимо защиты от вторжения вредоносного ПО, ряд антивирусов имеют средства бля борьбы с активным заражением. Наконец, базовую защиту замыкает брандмауэр, контролирующий сетевой трафик (разрешает или блокирует соединения на основании заданных правил фильтрации) в совокупности с детектором сетевых атак и URL-блокировщиком (исключает загрузку веб-сайтов из чёрного списка). Особо стоит отменить возможности проверки системы на этапе загрузки или возможность создания аварийного диска для проверки/восстановления ОС. Сверх базовой защиты в состав антивирусного комплекса могут быть включены утилиты криптозащиты, менеджер паролей, средства резервного копирования, утилиты настройки и оптимизации ОС (дефрагментация и удаление временных файлов), родительский контроль, виртуальная клавиатура и т.д.

Базовую защиту, обеспечиваемую установленным антивирусом, можно усилить дополнительными утилитами:
Портативные антивирусные сканеры.
Портативные антивирусные сканеры не конфликтуют с другим защитным ПО, их можно запускать и/или распаковать для запуска с вашего ПК или любого сменного носителя. Не забудьте перед началом сканирования настроить сканер на максимальный уровень проверки - это повысит шансы обнаружения вредоносного ПО. Как правило, антивирусные базы в таких сканерах невозможно обновить отдельно, так что придётся заново закачивать актуальную версию сканера с сервера.
Наиболее популярные портативные сканеры: Kaspersky Virus Removal Tool, Dr.Web CureIt!.

Дополнительная проверка в чистой системе – Live CD/USB.
Бывают случаи, когда вредоносное ПО делает невозможным работу антивирусного ПО, препятствует нормальному функционированию системы (отключает оболочку и административные инструменты), или даже делает загрузку ОС невозможной (вызывает фатальную ошибку на уровне ядра – BSOD). В таких случаях рекомендуется выполнять поиск и удаление вредоносного ПО, загрузив основную систему в безопасном режиме (если система и там сохраняет работоспособность), либо воспользовавшись специальным загрузочным диском Live CD/USB на основе Windows PE или Linux. Наиболее компетентные антивирусные компании выпускают специальные загрузочные образы для записи CD/DVD дисков или инструменты для создания загрузочного USB-флеш носителя, в которых уже интегрированы антивирусный сканер вместе с актуальными базами.
Наиболее популярные Avira Antivir Rescue System EXE/ISO, Dr.Web LiveCD/USB; ESET SysRescue; Kaspersky Rescue Disk;

Прочие утилиты.
AVZ - утилита предназначена для обнаружения и удаления рекламных и шпионских модулей, различных видов троянов, кейлоггеров и бекдоров, сетевых и почтовых червей. Оснащена встроенной системой обнаружения руткитов, анализатором Winsock SPI/LSP настроек, диспетчером процессов, сервисов и драйверов, анализатором открытых портов TCP/UDP, набором микропрограмм для эвристической проверки и восстановления системы, низкоуровневым сервисом (в режиме ядра) для очистки системы, и наконец, скрипт-сервером для автоматизации операций по поиску и устранению вредоносного ПО.
HiJackThis - утилита для обнаружения вредоносных программ, маскирующихся или использующих обычные сервисы и приложения ОС. Проводит глубокое сканирование реестра, системных сервисов и автоматически стартующих программ, выявляя подозрительные объекты, которые могут являться угрозой безопасности системы. Присутствует возможность перед удалением какого-либо элемента делать его резервную копию и сохранять результаты сканирования в лог-файл. Кроме того, в программе имеются такие полезные утилиты, как: расширенный менеджер процессов, менеджер файлов hosts, инструмент для удаления защищенных сервисов и загруженных процессов, а также - утилита поиска скрытых потоков данных файловой системы NTFS.
MalwareBytes' Anti-Malware - программа использует эвристический метод сканирования для поиска и борьбы с вредоносным ПО, Pro версия включает монитор реального времени для защиты системе от проникновения, сканер для сменных накопителей, блокировку подозрительных web-сайтов - антифишинг. Одна из лучших программ для проверки и защиты системного реестра, способна найти и исправить все типовые отклонения в записях реестра.
SpyBot Search&Destroy - утилита для выявления и удаления шпионского и рекламного ПО, клавиатурных шпионов дозвонщиков, обычных троянов, а также умеет удалять usage tracks, что может быть полезным, для сокрытия следов деятельности пользователя. Позволяет блокировать загрузку потенциально опасного ActiveX содержимого, и запретить обработку шпионских Cookie. Перед удалением чего-либо предлагает сделать резервную копию.
Trojan Remover – специализируется на обнаружении и удалении вирусов-троянов, сканирует реестр Windows, проверяет оперативную память на наличие в ней запущенных вредоносных процессов. Удаляет вредоносное ПО из системы и защищает уже очищенные системные файлы от повторного заражения. Проверку можно проводить как при загрузке Windows, так и в любое другое время.
AnVir Task Manager – расширенный диспетчер задач, совмещенный с редактором и защитником автозагрузки, сетевым монитором и т.д.
Средство удаления вредоносных программ для ОС Microsoft Windows (MRT) (x86 и x64) - проверяет компьютер на наличие заражения некоторыми распространенными вредоносными программами (включая Blaster, Sasser и Mydoom) и удаляет их в случае обнаружения.

Отслеживаем изменения файла HOSTS.
Файл HOSTS используется в Windows для преобразования символьных имен доменов в соответствующие им IP-адреса и наоборот (точно такие же задачи в сетях TCP/IP выполняет и DNS). Файл HOSTS часто становится жертвой различного рода вредоносного ПО, которое вносит в него изменения (например, с целью перенаправления пользователя на свои веб-сайты, вместо тех, которые вводятся им в строку браузера или используются антивирусами для обновлений своих антивирусных баз). Некоторые антивирусы позволяет защищать файл HOSTS от модификации. Его местоположение может отличаться в зависимости от версии ОС, но по умолчанию файл HOSTS находится:
Windows 95/98/ME: WINDOWS\hosts
Windows NT/2000: WINNT\system32\drivers\etc\hosts
Windows XP/2003/Vista/7: WINDOWS\system32\drivers\etc\hosts
Стандартный файл HOSTS Windows выглядит следующим образом:


Проверяйте сомнительные файлы на угрозы с помощью онлайн сервиса VirusTotal, эту процедуру можно автоматизировать с помощью упомянутой выше утилиты AnVir Task Manager.

6. Настройте регулярное обновление системы и критических системных компонент: продукты Microsoft – MS Office, MS Silverlight, MS .NET Framework, MS DirectX, MS Visual C++ Redistributable Package, MS Windows Media Player, продукты Adobe - Adobe AIR, Adobe Flash Player, Adobe Shockwave Player, Adobe Acrobat, web-браузеры, почтовые клиенты, интернет-пейджеры, мультимедиа-кодеки и мультимедиа-проигрыватели, продукты Oracle – программная платформа Java, включая Java Runtime Environment, Java Development Kit и т.д. Рекомендуется установить менеджер обновления ПО, например, SUMO, который с заданной периодичностью может проверять обновления установленного ПО с указанием статуса критичности.

7. Для безопасного хранения паролей в единой базе данных рекомендуется завести специальный менеджер, а для ввода с мастер-пароля к базе настоятельно рекомендуется пользоваться виртуальной клавиатурой (защита от кейлоггеров). Подобные менеджеры обычно являются расширениями веб-браузеров и помимо удобного хранения паролей упрощают заполнение различных форм на веб-сайтах, могут генерировать стойкие к взлому пароли, противодействуют фишингу.
Наиболее популярные менеджеры паролей: AI Roboform; Kaspersky Password Manager; KeePass^*; SCARABAY;

8. Регулярно выполняйте резервное копирование как всей системы, так и важных данных, чтобы при фатальном уроне (отказ оборудования, деструктивное действие ПО, непреднамеренная ошибка пользователя) можно было быстро восстановить исходную работоспособность. Рекомендуется завести многоуровневую схему резервного копирования, например: раз в полгода - полное резервирование, раз в месяц - дифференциальное, раз в неделю – инкрементальное. Хранить резервные копии рекомендуется на выделенном внешнем накопителе, который будет подключаться к машине только на время резервирования. Наиболее ценные данные настоятельно рекомендуется резервировать на несколько накопителей, в том числе на оптические диски и хранить в разных местах. Следует обратить внимание на облачные сервисы хранения данных, которые также предоставляются некоторыми производителями утилит резервного копирования.
Наиболее популярные облачные сервисы хранения данных: Dropbox, Google Docs.
Наиболее популярные утилиты резервного копирования:
Acronis (Acronis True Image Home, Acronis Online Backup);
Cobian (Cobian Backup*);
Comodo (Comodo BackUp*, Comodo Online Backup);
EaseUS (EaseUS Todo Backup Free*/Workstation);
Handy Backup (Handy Backup Standard/Professional/Office Expert, Handy Backup Online);
Paragon (Paragon Backup & Recovery Professional/Free*, Paragon Домашний Эксперт);
Symantec (Symantec Norton Ghost, Norton Online Backup).
Во всех версиях ОС Windows Vista/7/8 доступна встроенная утилита резервного копирования (доступна через апплет панели управления - архивация и восстановление файлов), в более ранних версиях OC Windows - NT, 2000 и XP, соответственно NTBackup.



Дополнения, которые вынесены в конец, дабы не загромождать основной текст.
[¹] Отключение автозапуска в Windows:
Способ №1 (С помощью редактора реестра).
Запускаем редактор реестра (regedit): Пуск - Выполнить - пишем regedit – Оk
Открываем ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ Explorer
В этом разделе создаем ключ NoDriveTypeAutoRun, и задаём нужное значение из списка:
0x1 - отключить автозапуск на приводах неизвестных типов;
0x4 - отключить автозапуск съемных устройств;
0x8 - отключить автозапуск несъемных устройств;
0x10 - отключить автозапуск сетевых дисков;
0x20 - отключить автозапуск CD-приводов;
0x40 - отключить автозапуск RAM-дисков;
0x80 - отключить автозапуск на приводах неизвестных типов;
0xFF - отключить автозапуск вообще всех дисков;
Способ №2 (С помощью оснастки групповых политик).
Запускаем оснастку групповых политик (gpedit.msc): Пуск - Выполнить - пишем gpedit.msc – Оk
Далее для Windows XP:
Открываем раздел Конфигурация компьютера\Административные шаблоны\Система
Открываем пункт Отключить автозапуск, задаём значение Включен и видим ниже свойство Отключить автозапуск на: ставим Всех дисководах.
Далее для Windows Vista/7:
Открываем раздел Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Политики автозапуска
Открываем пункт Отключить автозапуск, задаём значение Включен и видим ниже свойство Отключить автозапуск на: ставим Все устройства.
Для применения заданных групповых политик перезагружаем ПК.
Способ №3 (С помощью специального WSH-скрипта).
Запустите блокнот: Пуск - Выполнить - пишем notepad – Оk
Далее копируем приведённый ниже текст и вставляем в новый документ, сохраняем (не забываем указать правильное расширение - *.vbs) и запускаем.


Внимание! Перед любой модификацией реестра настоятельно рекомендуется делать резервную копию системного раздела, либо всего реестра или создавать точку восстановления.

Добавлю от себя.
По пунктам:

1. Можно завести так же несколько учётных записей для запуска сомнительных приложений. Хотя лучше всего запускать таковые из-под виртуальных машин, а ещё лучше не запускать вовсе.

2. При этом желательно помнить, что в ряде случаев злоумышленник может отправить письмо с любого адреса. Потому даже если письмо получено от известного адреса, всецело доверять ему нельзя.

3. Одним из вариантов защиты при этом может быть отказ от хранения исполняемых файлов на флешке вообще или от запрета запуска таковых с флешки.

4. В случае необходимости повышенной безопасности как один из вариантов можно использовать два браузера - для работы с известными сайтами (запускается из-под текущего пользователя) и для работы с потенциально опасными сайтами (запускается с крайне ограниченными правами). Также можно максимально ограничить права браузера.

7. По возможности для критически важных данных лучше пользоваться двухфакторной аутентификацией, когда для получения требуемого доступа помимо пароля требуется ещё что-то. Для webmoney это - код подтверждения по SMS, для SSH/SFTP - ключ с секретной фразой, и так далее.

Спасибо за отклик.

Само собой лучшее тестировать новое ПО на виртуальной машине, или применить виртуализацию к рабочему окружению (файловая система, реестр и т.д.). Есть утилиты, которые "замораживают" состояние тома, а все изменения производятся на самом деле в специальной области, достаточно просто перезагрузиться - и никаких следов от модификации не останется. Идеальное решение для тестирования ПО (но тут сразу стоит оговориться, что не всякого, а которое не конфликтует с виртуализацией ФС, как средства резервного копирования).


Согласен. Ведь вредоносное ПО буде рассылаться по адресной книге, так что даже известный адресат может стать источником заразы.


Там далее приводится скриптик, который именно и отключает запуск любого типа файлов со сменных носителей.


Так и есть, ограничить в песочнице браузер, у некоторых антивирусов так и называется технология, безопасный браузер.


Разумно. Но всё же двухфакторная аутентификация подразумевает использование принципиально разных факторов, пользователь должен что-то знать (пару индентификатор/пароль), что-то иметь (eToken или смарт-карту), кем-то быть (биометрический сенсор отпечатков).

Про комфорт слишеом сильно сказано. Я бы добавил фразу:
Будьте готовы, что возможно нужгые сообщения, до вас не дойдут.
Поясняю. Такие фильтры могут отсекать действительно нужные сообщения. Один пример. У нас в конторе целый набор таких фильтров стоит на почтовом серевере, но поскольку мой мэйл выведен по личной просьбе из любой фильтрации (в том числе и антивирусной), то имею возможность видеть как они работают. Сообщение от одного и того же отправителя может быть помечено как спам, а может и нет. Например, спамом будет помечено сообщение, в тексте которого фильтру не понравится какое-то слово.

Как правило не нужно.

Поясните.

Лучше так:
Портативные антивирусные сканеры не конфликтуют

Для гарантированной доставки важной корреспонденции есть белые списки в антиспамах (пропуск по ключевому слову). Кроме того, эти фильтры не уничтожают письма, а как правило собирают в специальном хранилище. Но замечание верное, нужно дополнить.


Уязвимости в обработке кукисов может открыть доступ в параметрам аутентификации и прочей конфиденциальной информации. Но отключать нужно только в крайнем случае, ведь без обработки кукисов некоторые сайты будут некорректно работать.


Эти компоненты мониторят трафик соответствующих программ, выискивают вредоносные или фишинговые ссылки в сообщениях, вредоносные файлы, в момент передачи по p2p-каналам, и т.д.


Само собой, так и запишем.

Для ОС семейства UNIX пользователи по умолчанию монтируют разделы с флагом noexec, но тут надо не забыться и не монтировать разделы с правами суперпользователя.




Я бы не полагался на средства браузера, ибо на практике, как я понимаю, они не очень-то работают. Как минимум браузер может читать ваши файлы - значит, и злоумышленник потенциально может их прочитать. Если безопасность очень важна, я бы посоветовал запускать браузер в chroot или через sux (runas в windows) с правами очень ограниченного пользователя - это заставляет злоумышленника для получения доступа к данным пытаться повысить привилегии пользователя до суперпользователя.



Я больше использую ключ + секретную фразу. По отдельности ни то, ни другое, ничего не даст злоумышленнику. Для регистрации на большинстве серьёзных веб-сайтах можно использовать OpenID у провайдера, который поддерживает подобную авторизацию.

В данной теме UNIX и ему подобные ОС являются офтопом. Совершенно очевидно, что в ОС для домашнего пользования такие решения вряд ли будут поддержаны MS.


И не надо полагаться на средства браузера, нужно предоставить ему как можно меньше привилегий, как Вы верно заметили - запускать под очень ограниченной учётной записью, либо вообще изолировать в песочнице. Для этого, кстати, есть даже сторонние утилиты, помимо того, что дают антивирусные комплексы. Конечно, утечку конфиденциальных данных это не остановит, для этого нужны более изощрённые механизмы аутентификации.


Ну хорошо, это в любом случае намного надёжнее, чем простая аутентификация. Другое дело, что нужно соизмерять риски, какой ущерб будет нанесён в случае утечки информации, и что потребуется для организации двухфакторной аутентификации с применением аппаратных ключей.

Поскольку предполагается, что это хау-ту для обычного пользователя, плиз, не употреблять арго.
В частности прошу обычным русским разъсяснить про песочницу.

Ну да, немного увлёкся, с кем не бывает...
Песочница - это механизм безопасного исполнения кода, своего рода виртуализация рабочего окружения, ресурсы системы (файлы, ключи реестра и т.д.) эмулируются для гостевого приложения, а доступ к ресурсам хост-системы сильно ограничен (или вообще отрезан). Подобные механизмы реализованиы в антивирусных комплексах Kasperky Lab. и Avast! (безопасная среда для запуска сомнительных приложений), в браузере Google Chrome, приложениях Adobe (Reader и Flash Player). Ну а классикой жанра считается приложение Sandboxie, которое предоставляет песочницу для любой запускаемой программы.
Пожалуй это стОит включить в руководство, с пометкой для опытных.

Ну хорошо, вынесу в приложение (в конце руководства), там как раз планирую изложить технологии защиты.

Когда я отвечал на тему, подобного ограничения в её заголовке не было, а очевидность таких выводов так же под сомнением - что windows, что маками, что ubuntu и mint-ом пользуются совершенно обычные пользователи, зачастую незнакомые с процессом установки и настройки этих ОС. А многие вирусы под wine-ом чувствуют себя уже очень даже неплохо. Впрочем, тут есть несколько разных вещей - howto для пользователя по работе за компьютером (базовие вещи) и howto для пользователя/администратора по настройке компьютера. Очень сложно определить, что надо бы включать в этот FAQ, а что - нет. Усиливать безопасность можно до бесконечности, вплоть до ручкой вычитки кода браузеров (некоторые так действительно делают), но нужно знать, когда разумно остановиться.

Хотел добавить ещё по поводу запуска сомнительных приложений. Их лучше запускать в виртуальной машине так же и по причине того, что в ней можно элементарно отключить сеть целиком, дабы изолировать возможный вредный код и с этой стороны. (тут подразумевается ссылка на какой-нибудь простой howto по настройке VM)

Также я бы добавил информацию о том, какие бывают вредоносные программы, как они распространяются (особо упомянул бы о файлообменных сетях, о exe-шниках, имеющих иконку вида папки) и каким образом они могут получить управление. Рассказал бы о расширениях исполняемых файлов вроде cmd, pif, exe, com, bat и что-там-ещё. Оффтопик по поводу передачи управления вредоносной программе: я раньше удивлялся тому, что многие люди полагали, что для заражения компьютера достаточно лишь вставить флешку с вирусом в порт, и даже, вероятно, разубеждал их в этом, говоря, что вирус управление не получит, пока однажды не прочитал где-то, что в windows ряда версий это действительно так :-) . Ещё, пожалуй, я бы рассказал о https и о том, что владельцы сайтов никогда не просят прислать пароли или менять их на определённые. Очень хочется добавить в этот список ещё и мануал по установке спеллчекеров, сдерживаюсь из последних сил.

Ну хорошо, Вы можете что-то подобное составить для OC GNU/Linux или MacOS X? Только не в духе кто кого круче, а по существу, без эмоций? Ну хотя бы debian дистрибутивов?


Вне всякого сомнения, приложения из ненадёжных источников или неясным функционалом лучше тестировать под виртуальной машиной. Это можно выделить в разделе для продвинутых пользователей. А также перечислить, какие VM есть и как с ними работать. Ещё неплохо бы сюда добавить рецепт по виртуализации окружения, фиксация состояния дисковых томов. Очень действенный метод, особенно когда на компе не хранится вовсе никаких данных (ведь при внезапной перезагрузке все изменения будут утеряны, как и задумано), и по понятным причинам бессильный против кражи конфиденциальной информации.


Вы прямо первый пост читаете
У меня самый первый раздел: 1. Классификация вредоносного ПО и каналы его распространения. - в разработке. На деле это означает, что раздел есть, но должен быть радикально переработан, прежде всего его предстоит логически выстроить и сократить. И предостережение о том, что никакие сервисы никогда не просят высылать логины/пароли - тоже есть, это ж классика!
Ещё надо бы завести раздел про мобильные мошенничества, уж сколько лет твердили миру...так нет, находятся (вроде и грамотные в техническом плане ребята), которые шлют SMS на короткие номера с обменников ....
Была идея дополнить рекомендациями по сервисному обслуживанию ПК, оптимизация ФС (дефрагментация, очистка от временных файлов), реестра (тоже дефрагментация, сжатие, поиск и удаление неверных записей). Сюда же идёт резервное копирование, но оно уже есть. А спеллчекеры тут каким боком? Или у них есть какие-то недокументированные возможности?

Не надо, такая тема уже лет пять как существует:
http://forum.academ.org/index.php?showtopic=269615

Почитал, узнал много полезного большое спасибо за информацию...

я бы добавил в стартовый топик информацию о программе ShadowUser, даже удивлен, что её там еще нет - она идеальна для установки знакомым/родственникам, которым кроме интернета от ПК ничего не нужно. Принцип работы: создается некая контрольная точка, на которую компьютер откатывается после каждого выключения/перезагрузки (можно запускать любые вирусы, сносить драйвера), можно задать папки исключения..

Да, таких утилит достаточно много, которые виртуализируют дисковое окружение, соответственно вредоносное ПО может что-то наворотить только в кеше, а не на физическом накопителе. Чтобы привести систему в исходное состояние достаточно перезагрузиться.
На выбор Shadow User, Deep Freez, Shadow Defender, но надо помнить, что они имеют ряд ограничений (на размер раздела, конфликтуют с дефрагментаторами и т.д.), и что самое печальное, в случае внезапной перезагрузки на замороженном томе будут потеряны все модификации.
На самом деле это планировалось включить, спасибо за напоминание, будет раздел для продвинутых пользователей.

Нет смысла добавлять инфу о мертвом проекте, разработка которого закончилась уже много лет назад. Последняя ОС, которую поддерживала эта программа - ХР.

Обычно родственникам "на растерзание" и отдают старое железо со старой ОС,
но Вам виднее.

Решил сегодня обновить AnVir Task Manager. Из самой проги через проверить апдейт. Получил гранату:

Камменты плз.

Рекомендация:

Еще webalta "грозная" штука.