logo
125 Кібербезпека / 4 Курс / 4

Виявлення програм-шпигунів

У попередньому пункті був описаний приклад виявлення так званого "не классифицируемого події". У такої події в розділі "Категорія" ("Category") відображається "Немає класифікації" ("Not Yet Classified"). За замовчуванням користувачеві про такі події не повідомляється, але вони фіксуються у вікні "Журнал" ("History"). Якщо інформація про програму або подію існує в інформаційних базах (визначеннях) Захисника Windows, то попередження про таку подію виглядає інакше.

Повідомлення з рівнем "Medium"

В даному випадку Захисник Windows зафіксував подію з середнім (Medium) рівнем оповіщення (Alert level). Як вказується в довідці, рівні оповіщення (alert levels) допомагають користувачеві прийняти правильне рішення про те, як реагувати на виявлене шпигунське або небажане ПЗ. Незважаючи на те, що Захисник Windows буде рекомендувати вам видалити (кнопка "Видалити все" ["Remove All"]) програму, не всі виявлені програми є небезпечними або небажаними.

Рівні попередження

Severe (Критичний) Широко поширені або винятково небезпечні програми (наприклад, віруси або черв'яки), які наносять шкоду вашої особистої інформації і захисту вашого комп'ютера. Ці програми можуть пошкодити ваш комп'ютер. Негайно видаліть цю програму.

High (Високий) Програми, які можуть збирати вашу особисту інформацію і пошкодити ваш комп'ютер. Наприклад, без вашого відома або згоди збирають інформацію або змінюють налаштування вашого комп'ютера. Негайно видаліть цю програму.

Medium (Середній) Програми, які можуть впливати на вашу особисту інформацію або виконувати зміни на вашому комп'ютері. Перегляньте подробиці цього попередження, щоб з'ясувати, чому це програма була виявлена. Якщо вам не подобаються ті дії, які виконує ця програма або ви не довіряєте розробнику цієї програми, вирішите, заблокувати або видалити цю програму.

Low (Низький) Потенційно небажані програми, які можуть збирати інформацію про вас, вашому комп'ютері або змінювати налаштування вашого комп'ютера, але про ці дії повідомляється в ліцензійній угоді при їх установці. Такі програми зазвичай не небезпечні при виконанні на вашому комп'ютері, якщо тільки вони не були встановлені без вашого відома. Якщо ви не впевнені, чи дозволяти роботу такої програми, перегляньте подробиці цього попередження і визначте, чи довіряєте ви розробнику цієї програми.

Not yet classified (не класифікований) Зазвичай безпечні програми, якщо тільки вони не були встановлені без вашого відома. Якщо ви знаєте цю програму і довіряєте її розробнику, дозвольте її виконання. Інакше - перегляньте подробиці цього попередження, для того щоб прийняти обгрунтоване рішення. Якщо ви вступили до спільноти Microsoft SpyNet, перевірте рейтинг мережі голосування, щоб дізнатися, чи довіряють цій програмі інші користувачі.

Для того щоб переглянути подробиці цієї події, підведіть курсор до рядка з назвою виявленої програми. З'явиться спливаюче повідомлення з описом виявленої програми і радою від розробників Захисника Windows. Якщо ви натиснете кнопку "Видалити все" ("Remove All"), то Захисник Windows спробує видалити виявлену програму. Про успішність цієї дії можна буде судити, переглянувши вікно "Журнал" ("History"). Якщо ви натиснете кнопку "Ігнорувати" ("Ignore"), Windows Defender нічого не буде робити з виявленою програмою, про що також з'явиться повідомлення у вікні "Журнал" ("History").

Опис виявленої програми

Описаний вище приклад показує реакцію Захисника Windows на операцію запису на диск програми установника. У разі виявлення реально працюючої в даний момент (тобто вже встановленої на вашому комп'ютері) програми вікно з попередженням матиме додаткову кнопку "Перевірити" ("Review"). При натисканні на цю кнопку з'явиться головне вікно Захисника Windows з можливістю не тільки видалити виявлену програму (кнопка "Remove All"), але і переглянути подробиці виявленого події. Для цього необхідно клацнути по напису "Перегляд об'єктів, виявлених захистом в режимі реального часу" ("Review items detected by real-time protection"). В результаті на екрані з'явиться вікно з докладним описом події і з можливістю вибору потрібної дії.

Можливі наступні дії:

• Ігнорувати (Ignore) - ігнорувати підозрілий об'єкт і дозволити йому виконуватися.

• Карантин (Quarantine) - перемістити підозрілий об'єкт на карантин.

• Видалити (Remove) - видалити підозрілий об'єкт і не допустити його виконання.

• Завжди дозволяти (Always allow)-дозволити підозрілому об'єкту виконуватися і занести його до списку дозволених об'єктів (allowed list).

Крім того, в кінці списку з описом цього об'єкту, є посилання "Показати додаткові відомості про цей елемент з Інтернету", яка дозволяє переглянути додаткову інформацію про цей об'єкт на сайті Microsoft.