Как с помощью штатной для последних версий Windows-утилиты AppLocker быстро и просто оградить вашу систему от непрошенной установки троянов и рекламных модулей — в нашем развесёлом мастер-классе на примере обуздания скандального браузера «Амиго» от Mail.ru.

В иллюстративно-шутливых целях мы также коснёмся трагической судьбы главного разработчика этого российского браузера, который согласно «Яндекс.Новостям» недавно попал в руки «разгневанной толпы мексиканцев».

Читать далее

Кадр из кинофильма «Three Amigos»

Постановка задачи

Тяжела и неказиста судьба любого разработчика, особенно если он грешит и пишет грязный код в угоду корыстным интересам. Например, агрессивно продвигает «перехаченный» им открытый браузер с легионом внедрённых туда троянов, а для усыпления бдительности пользователя прикрывается зонтиком из солидного бренда.

Очень много пишу о том, что софт и ИТ всё глубже и шире проникают в наше консервативное общество, делая невольно зависимыми от вас (разработчиков) «братьев наших меньших» — менее технически подкованных сограждан.

Поэтому хотел обсудить не только классический сюжет преступления и наказания (взять для примера типичный образчик низкопробного софта и показать, к чему приводит его создание в воспитательных целях), но и продемонстрировать очень простой и эффективный способ борьбы с рекламным ПО, который остановит 82.4% зловредов ещё на этапе загрузки.

Попаболь

Итак, ниже исходная новость от 15 декабря 2014 (два месяца назад). Сразу скажу, что это не результат фотошопа, а чудеса автоматического агрегирования «Яндекса»:

Скриншот выдачи сервиса «Яндекс.Новости», возможно, это троллинг коллег из Mail.ru

Я был так впечатлён незавидной судьбой этого парня, что меня потянуло посмотреть, что ж это за зверь такой — браузер «Амиго». И хотя там, где я сейчас сижу, нет «толпы мексиканцев», и вроде бы можно вполне себе расслабиться, я всё-таки отложил все дела в сторону и стал гуглить по теме, попутно узнавая, что же такое «Амиго» и на кого работал несчастный Евгений.

Очень краткий итог расследования через ссылки: вот ссылка на браузер, а вот — на того самого Евгения.

Неуловимый «Амиго»

Итак, главный герой нашего небольшого мастер-класса борьбы с троянами и рекламными модулями, которому мы в назидательных целях сейчас будем делать больно, — продвинутый браузер «Амиго» российского производства.

Если вкратце, «Амиго» — вещь по-настоящему жёсткая, покруче иных спайсов. Если вы погуглите, то найдёте такое количество матов в его адрес, что карма его разработчиков предстанет перед вами темнее грозовой тучи, от которой до «случайной» встречи с толпой разгневанных мексиканцев — лишь один трагический шаг.

Давайте предельно кратко охарактеризуем нашего героя.

1. «Амиго» — это перехаченный «Хромиум». Но сделан он не просто так, «для удобства браузинга в социальных сетях» (как гласит легенда), а распространяется как маркетинговый продукт с дурно пахнущим навесом из кучи всякого рода трояноподобного барахла.
   
   
    
2. Браузер «Амиго» постоянно и непрерывно совершенствует свою низкую миссию, а именно — как бы впихнуть в вашу систему своей рекламы побольше и поглубже. В этом плане разработчики творят настоящие чудеса, теперь достаточно просто зайти на специально подготовленную страничку, чтобы:
3. 
   
    
4. Оцените ситуацию. Служба поддержки Mail.ru при этом вяло игнорирует проклятия в свой адрес, иногда мерзко хихикая в ответ:
   
   
5. Погуглив, я ужаснулся, через какие адовы муки проходит Homo Humanitarius, чтобы выдрать из системы инжектированный туда хитрозачёсанный специалистами Mail.ru код. Многие реально переустанавливают систему начисто, либо выкачивают сонмы антивирусов, которые в назидание отказываются признавать рекламные модули от солидного Mail.ru как вредный софт. 
    
6. Теперь представьте конечный результат, когда подобную «разработку» супер-пупер браузера выкладывает на главной странице контора с таким трафиком, как у Mail.ru.
   
   

Метод горячих мексиканцев — не наш метод!

Я решил сжалиться над гуманитариями и их машинами, чтобы привнести малость конструктива в эту достаточно запутанную ситуацию и дать простой и полезный совет, который поможет одним махом сисадминской шашки умертвить прорву рекламно-шпионской нечисти. И сделаем мы это без переустановки «винды» или установки пачки тормозящих компьютер антивирусов.

Впредь эту нежить можно будет обуздать сразу скопом даже при «взведённых галках» (или даже отсутствию оных) в инсталляторе. Для чего мы воспользуемся мощью новой утилиты Windows — AppLocker, которую, по моим наблюдениям, юзеры используют пока мало и как-то робко и неуверенно.

Для тех, кто последние годы был слишком погружён в программирование, очень краткая вводная справочка про AppLocker.

AppLocker — это новая встроенная функция операционных систем Windows Server 2008 R2 и Windows 7 (и выше), которая расширяет возможности и функциональность политик ограниченного использования программ. AppLocker включает новые возможности и расширения, позволяющие создавать правила разрешения и запрета выполнения приложений на основе уникальных удостоверений файлов (цифровых подписей), а также указывать пользователей или группы, которым разрешено запускать эти приложения.

 

Все политики ограничения ПО от AppLocker состоят из ряда различных типов правил. Перечислим все их типы: вы можете создавать правила для сертификата, хэш-правила, правила для пути, правила для зон интернета и правила для сетевых зон.

Я не буду здесь останавливаться на скучном описании всей функциональности, потому что там всё просто и понятно. Более подробно можно ознакомиться посредством замечательных мануалов по отобранным мной линками: ссылка 1, ссылка 2, ссылка 3, ссылка 4. Либо, если вы визуал, можно посмотреть это замечательное вводное видео:

Я же на скриншоте внизу покажу главную идею: как гнать прочь все эти «Амиго» с вашего компьютера, используя лишь один чудесный AppLocker.

Ключевая идея заключается в том, что любой софт с цифровыми подписями, хоть как-то относящимися к данному холдингу, у меня стоит в списке запрещённых для запуска программ. Иногда надо хорошенько помучаться, чтобы выловить все цифровые подписи какой-то очередной шараги, но в результате я не боюсь подхватить такой же сюрприз повторно.

Таким образом, однажды заметив за некой компанией недостойное по отношению к себе поведение, достаточно единожды внести её в свой локальный чёрный список, чтобы поставить крест на всех последующих попытках её софта установиться в вашу систему.

Подводные камни

Сразу предупреждаю: у некоторых подобных «программ двойного назначения» есть собственный установщик для заметания следов, и тогда ему будет начхать на эту политику. К счастью, таких находчивых «адварщиков» пока немного.

Второе замечание связано с более общими соображениями. Выше я показал, как создать свой маленький и уютный «чёрный списочек», где можно держать в чёрном теле опасные софт-компании и их вредоносный софт. Методологически, по отношению к AppLocker, этот подход неверен. Ведь в мире существует гораздо больше плохих приложений/компаний, которые вы силитесь запретить (и значительная часть из них неизвестна заранее), чем приложений, которые вы реально используете.

Поэтому, учитывая эту асимметричность, гораздо эффективней и правильней изначально составить для своей рабочей ОС Windows «белый список» разрешённых для установки и запуска приложений, которые вы регулярно используете (число которых редко превышает сотню), чем пытаться выловить и заблокировать все «плохие» приложения. Именно такой подход официально и рекомендуют представители компании Microsoft при разработке правил AppLocker. В этом случае вам также потребуется работать не под администраторской учётной записью. В качестве бонуса при таком подходе, потратив час своего времени, вы сможете впредь защитить себя от многих вирусов, которые проникают в систему через различные сетевые уязвимости или браузер.

Злоумышленники все чаще прибегают к размещению вредоносных баннеров внедряющих троян-софт на популярных ресурсах http://t.co/buAVEDUpUG

— Игорь Блогератор (@blogerator) 4 февраля 2015

Я не любитель универсальных решений и панацей на все случаи жизни, но, поверьте, при должном использовании это обезопасит ваш компьютер от любых заражений и неприятностей, связанных с троянами. Впрочем, это потребует от пользователя определённой самодисциплины и практики «чистых рук» — культуры осознанного управления своим софтом.

Подписывая контракт с дьяволом, не забудьте снять флажок «»Установить Амиго от Mail.ru" (с) шутка юмора

— Игорь Блогератор (@blogerator) 4 февраля 2015

В принципе, теперь вы знаете всё про злобных мексиканцев, поджидающих за углом всех писателей криво-софта, а также про удивительное по силе и изящности средство борьбы с вредоносными поделками на своём компьютере.

Новый рекламный формат в наших телеграм-каналах.

Купить 500 символов за $150