Про компьютерные вирусы слышал каждый, но мало кто знает, что в их основе лежит серьезная математическая теория, разработка которой была начата еще в 1948 г. Выводы, полученные в результате строгих доказательств, весьма неутешительны. В частности, доказано, что не существует алгоритма для достоверного определения всех вирусов, а кроме того, известны такие их типы, которые не могут быть безошибочно выявлены ни одним способом. Следовательно, идеальную антивирусную программу создать невозможно в принципе. Однако недоступность идеала не означает, что к его достижению не нужно стремиться.
Огромные группы разработчиков защитного ПО чуть ли не ежедневно выпускают новые антивирусные приложения и обновления популярных решений. Обычному пользователю трудно разобраться во всех их достоинствах и недостатках. Постараемся помочь ему выбрать наиболее подходящий антивирус, сравнив между собой десяток самых распространенных приложений. Но вначале поговорим о самих вредоносных программах - вирусах.
Определение понятия "вирус".
Общепринятых определений и классификаций компьютерных вирусов не существует. Сегодня под этим словосочетанием понимают как классическую компьютерную "заразу", так и прочие вредоносные программы, проникающие в систему вопреки желанию пользователя, в числе которых "черви", "трояны", макровирусы и пр.
Основное свойство классической компьютерной "инфекции" — способность к самопроизвольному размножению. Чтобы вирус активизировался и начал атаковать "здоровые" файлы, достаточно просто запустить зараженное приложение.
"Трояны", как правило, ведут себя иначе. Они проникают в систему обычно с электронной почтой, маскируясь под архивы, графические файлы или прикрепленные, с привлекательными именами типа game.exe. Открыв или запустив такое "приложение" к письму, пользователь собственноручно запускает его вредоносный код.
"Черви" паразитируют на уязвимостях в сетевых протоколах и приложениях. Чтобы заразить систему таким образом, нередко достаточно просто зайти на Интернет-сайт "носителя инфекции".
А подвергнуть систему атаке макровируса, поражающего, например, файлы MS Word или Excel, можно, просто открыв зараженный документ.
Вредоносные действия вирусов каждого типа могут быть самыми разнообразными. Это и удаление важных файлов или даже "прошивки" BIOS, и передача личной информации, например паролей, по определенному адресу, организация несанкционированных рассылок электронной почты и атак на некоторые сайты. Возможен и запуск дозвона через сотовый телефон на платные номера. Утилиты скрытого администрирования (backdoor) способны даже передать злоумышленнику всю полноту управления компьютером. К счастью, со всеми этими бедами можно успешно бороться, и основным оружием в этой борьбе будет, конечно, антивирусное ПО.
Средства антивирусов.
В основе работы любой антивирусной программы лежат одни и те же методы распознавания вредоносных объектов. В их числе различные варианты сканирования и мониторинга. Коротко расскажем о самых распространенных из них.
Прямое сканирование.
Этот метод предполагает прямой поиск в оперативной памяти и на винчестере известных последовательностей кода вируса (сигнатур). Для этого разработчики тщательно следят за появлением новых вирусов и вносят их сигнатуры в пользовательские программы путем регулярных обновлений. Метод очень надежен и практически не дает ложных срабатываний. Основной его недостаток — невозможность отыскать вирусы, еще не попавшие в пакеты обновлений, и полиморфные объекты, код которых изменяется при каждом запуске.
Эвристическое сканирование.
Достоинство этого метода — использование при проверке файлов не принципа поиска сигнатур, а комплексного анализа, включая оценку возможного поведения подозрительного объекта. Однако из-за того, что при эвристическом сканировании ищутся не вредоносные объекты как таковые, а объекты, похожие на них, возможны ложные срабатывания. Зато таким путем можно определить легко видоизменяющиеся и неизвестные вирусы.
Мониторинг изменений.
Один из самых заслуженных методов, отслеживающий изменение параметров (размера, даты и пр.) объектов на винчестере. Требует предварительного сбора информации о "здоровой системе". Снижает быстродействие компьютера. Ложные срабатывания неизбежны.
Мониторинг поведения.
Этот метод способен "поймать" неизвестный или полиморфный вирус "на лету", определив его по вредоносным действиям. Отрицательные черты: ложные срабатывания и повышенные требования к ресурсам компьютера.
После обнаружения зараженного файла антивирусное ПО, как правило, предлагает пользователю "вылечить" его, переименовать, переместить в специальную карантинную папку или удалить. Все эти действия можно производить автоматически, но в этом случае ущерб от ложных срабатываний может превысить потери от вирусной атаки.
Современные комплексные программы используют сочетания различных методов обнаружения и защиты. Часто в дистрибутив антивирусного пакета сканеры и мониторы входят отдельными утилитами. Особенности различных антивирусных пакетов лучше всего рассмотреть на примерах, наблюдая за действиями программ в условиях, "приближенных к боевым". Итак, переходим к киберманеврам.
Тестирование антивирусных программ.
Главное качество антивирусного ПО — надежность обнаружения вредоносного кода. К сожалению, в реальных условиях проверить это довольно трудно — ведь для этого требуется образец вируса, не известного разработчикам защитного ПО. С известными сигнатурами, разумеется, справится большинство современных антивирусных сканеров. Тем не менее в процессе тестирования мы предложили каждой программе отыскать 6 файлов, зараженных распространенными троянами, и один объект, содержащий архив сетевого червя. Все они находятся вместе с другими объектами в разделе размером 512 Мбайт. При этом оценивалось время сканирования раздела при среднем уровне безопасности. Кроме того, учитывались ложные срабатывания. Отмечен уровень требований, предъявляемых программами к системе. Отдельно (и субъективно) оценивались функциональность, удобство и привлекательность интерфейса. Разумеется, учитывалась и цена продукта. По этим параметрам каждый из антивирусов получил от 1 до 3 баллов. С учетом важности каждого параметра, им присвоены различные "весовые категории": 1 или 2. Помня, что решающим параметром будет количество найденных вирусов, присвоим ему самый большой вес, равный сумме весов всех остальных параметров — 9. Сумма взвешенных оценок составляет общий результат.
Антивирус Касперского.
Пожалуй, "Антивирус Касперского" — самый известный в России продукт этого типа, а фамилия "Касперский" стала синонимом борца с вредоносными кодами. Одноименная лаборатория не только постоянно выпускает новые версии своего защитного ПО, но и ведет просветительскую работу среди пользователей компьютеров. Самая свежая, шестая версия "Антивируса Касперского", как и предыдущие релизы, отличается простым и максимально прозрачным интерфейсом, объединяющим все необходимые утилиты в одном окне. Благодаря мастеру установки и интуитивно понятным пунктам меню настроить этот продукт способен даже начинающий пользователь. С другой стороны, мощность используемых алгоритмов удовлетворит и профессионалов. С детальным описанием каждого из обнаруженных вирусов можно ознакомиться, вызвав соответствующую страницу в Интернете непосредственно из программы.
Шесть зараженных объектов программа нашла за 15 минут. При этом в отчете не появилось ни одного сообщения о ложном срабатывании. Совокупный балл — 33.
Dr.Web.
Еще один популярный российский антивирус, соперничающий по известности с "Антивирусом Касперского", — Dr.Web. Его ознакомительная версия обладает интересной особенностью: она требует обязательной регистрации через Интернет. C одной стороны, это очень хорошо — сразу после регистрации производится обновление антивирусных баз и пользователь получает самые новые данные о сигнатурах. С другой стороны, установить ознакомительную версию автономно невозможно, да и, как показал опыт, при неустойчивом соединении неизбежны проблемы.
Начинающим пользователям во время инсталляции лучше согласиться с установкой типичной конфигурации, иначе можно запутаться в терминах. После инсталляции в системной панели компьютера появится несколько "паучков". Это пиктограммы монитора, планировщика заданий Dr.Web и программы проверки электронной почты. В результате область панели задач рядом с часами кажется несколько перегруженной. Однако все недостатки программы меркнут перед тем, что в процессе сканирования Dr.Web нашел все 7 зараженных объектов и даже выявил одну вредоносную процедуру, о существовании которой в системе мы и не подозревали. Совокупный балл — 44.
Panda Antivirus + Firewall 2007.
Комплексное решение в области компьютерной безопасности — пакет Panda Antivirus+Firewall 2007 — включает в себя помимо антивирусной программы брандмауэр, отслеживающий сетевую активность. Интерфейс основного окна программы решен в "природных" зеленых тонах, но, несмотря на внешнюю привлекательность, система переходов по меню выстроена неудобно и начинающий пользователь вполне может запутаться в настройках.
Пакет Panda содержит сразу несколько оригинальных решений, таких как фирменная технология поиска неизвестных угроз TruePrevent, основанная на самых современных эвристических алгоритмах. Стоит обратить внимание и на утилиту поиска уязвимых мест компьютера — она оценивает опасность "дыр" в системе безопасности и предлагает скачать необходимые обновления.
К сожалению, применение новых технологий не помогло программе Panda найти все опасные объекты: в ее активе оказались лишь все те же шесть классических "троянов". Кроме того, утилита половину из них вылечила "без спроса", а остальные переименовала. Найти в настройках отключение такого самоуправства не удалось. Оценка — 35 баллов.
Norton Antivirus 2005.
Основное впечатление от продукта знаменитой компании Symantec — антивирусного комплекса Norton Antivirus 2005 — его ориентация на мощные вычислительные системы. Реакция интерфейса Norton Antivirus 2005 на действия пользователя ощутимо запаздывает. Кроме того, при инсталляции она предъявляет достаточно жесткие требования к версиям операционной системы и Internet Explorer. В отличие от Dr.Web, Norton Antivirus не требует обязательного обновления вирусных баз при установке, но о том, что они устарели, будет напоминать в течение всего времени работы.
Справедливости ради нужно заметить, что "неторопливость" интерфейса данной программы совершенно никак не сказывается на скорости сканирования — все 7 тестовых вирусов были обнаружены менее чем за 15 минут. Никаких ложных срабатываний зафиксировано не было. К отрицательным чертам Norton Antivirus можно отнести некорректное отображение в отчете имен файлов, записанных кириллицей. Оценка по совокупности баллов — 30.
McAfee VirusScan.
Любопытный антивирусный продукт, являющийся, по уверениям разработчиков, сканером №1 в мире — McAfee VirusScan, — мы выбрали для испытаний потому, что в ряду аналогичных приложений он выделялся большим размером дистрибутива (более 40 Мбайт). Полагая, что такая величина обусловлена широким функционалом, мы приступили к инсталляции и обнаружили, что помимо антивирусного сканера в него входят брандмауэр, а также утилиты очистки жесткого диска и гарантированного удаления объектов с винчестера (файл-шреддер).
Несмотря на все заявления разработчиков и дополнение прямого сканирования эвристическим анализом, программе не удалось обогнать конкурентов — в ее активе оказались лишь шесть известных зараженных объектов. В пассиве: большой дистрибутив, медленная работа, излишек дополнительных приложений и неочевидные, довольно запутанные настройки. Результат — 27 баллов.
NOD32.
Известный, не очень популярный в России, но прославившийся за рубежом пакет NOD32 является лидером регулярно проводимого международного тестирования Virus Bulletin 100%. По заявлениям разработчиков, в рамках этой процедуры NOD32 — единственный продукт, не пропустивший ни одного вредоносного объекта. В процессе нашего тестирования он также оказался на высоте, найдя за 5 минут шесть зараженных файлов, а седьмой (с вредоносным червем) лишь "заподозрил" в наличии вирусной опасности.
Интерфейс NOD32, общий для модулей сканирования и мониторинга, поддерживает русский язык и может загружаться в двух вариантах: классическом Windows и так называемом Eset. Последний выглядит довольно привлекательно и прост в пользовании, однако требует некоторого привыкания, так как содержит массу англоязычных аббревиатур. Интересная функция, поддерживаемая NOD32, — отправка удаленному пользователю сообщения об обнаружении вируса по электронной почте через Windows Messenger. Общая оценка — 26 баллов.
Avira AntiVir Personal Edition Classic.
Несмотря на то что Avira AntiVir — продукт новый, его удачно подобранная запоминающаяся эмблема (красный зонтик) через некоторое время вполне может стать такой же узнаваемой, как паучок от Dr.Web. Этому способствует невысокая требовательность к ресурсам, функциональность и простота интерфейса. Английский язык в меню может запутать разве что новичка. Все функции Avira AntiVir логично объединены несколькими вкладками в главном окне программы. В нем же можно посмотреть отчет о работе сканера и карантин, в который помещаются зараженные или подозрительные объекты.
При тестовом запуске программа показала хорошие результаты, определив все 7 вредоносных объектов за 9 минут. При этом не было зафиксировано ни одного ложного срабатывания. Дополнительным плюсом является то, что и сама программа, и регулярные обновления вирусных баз через Интернет совершенно бесплатны в случае домашнего применения. Результат — 42 балла.
avast!
Совершенно бесплатный антивирус avast! состоит из нескольких утилит, в числе которых: сканер сигнатур avast! antivirus и сканер (монитор) доступа avast!. Последний включает в себя 7 резидентных модулей, называемых в данном случае провайдерами, контролирующих в реальном времени деятельность компьютера — от сетевых подключений до обмена мгновенными сообщениями. Сканер avast! antivirus выделяется из числа аналогичных продуктов чрезвычайно оригинальным интерфейсом. Внешне он напоминает скорее медиаплеер, чем утилиту обеспечения безопасности. Удобные кнопки-пиктограммы, выдвигающиеся панели и информационное табло позволяют быстро настроить параметры сканирования. Нужно заметить, что в дистрибутив сканера входит альтернативный, не менее оригинальный интерфейс. Интересно, что каждое выводимое на экран предупреждение о найденном вирусе сопровождается соответствующим речевым сообщением.
На поиск шести зараженных файлов avast! antivirus затратил менее 9 минут, однако в отчете присутствовало много предупреждений о поврежденных и защищенных файлах, которые программа проверить не смогла. Результат — 31 балл.
BitDefender 8 Free Edition.
Большой популярностью среди "продвинутых" пользователей ПК может похвастаться бесплатный антивирусный сканер BitDefender. Он не имеет русского интерфейса, но продуманные окна и меню позволяют легко разобраться в его работе: набор команд невелик, и практически все настройки уместились в одно меню с древовидной структурой. В правой части каждого окна есть панель подсказок, где содержатся краткая информация о и ссылка на файл помощи. Интересно, что набор выбранных параметров можно записать в соответствующую папку, чтобы потом воспользоваться им снова. Для автоматического повторения периодических операций в BitDefender предусмотрен специальный планировщик, дополненный удобным мастером создания новых задач.
Тестирование показало, что сканер затратил около 15 минут на поиск вирусов в 512 Мбайт данных. Это немного дольше, чем самые лучшие сегодняшние результаты, кроме того, не был найден один из тестовых вредоносных объектов. Общая оценка — 42 балла.
Kerish Antivirus 2005.
Размер дистрибутива антивирусной программы Kerish Antivirus 2005 лишь немного превышает 2 Мбайт. Это не могло не привлечь нашего внимания. Тем более, по утверждениям разработчиков, используемые в их продукте оригинальные технологии сканирования способны так эффективно распознавать незнакомый вредоносный код, что частые обновления программе не нужны. В этом мы убедились сразу, попытавшись скачать свежие сигнатуры: несмотря на то что в главном окне указана база позапрошлогодней давности, программа, "посовещавшись" с сайтом поддержки, сообщила, что обновления не нужны. Насторожившись, мы, тем не менее, запустили сканирование, зная, что некоторые из тестовых вирусов старше 2004 года.
Результат оказался вполне предсказуем: единственным вирусом, попавшим "в сети" программы Kerish Antivirus, оказался файл explorer.exe. Комментарии излишни — шутка разработчиков удалась. Оценка — 19 баллов.
Итоги результатов тестирования.
Итак, по результатам проведенных тестов, абсолютным лидером оказалось приложение Dr.Web от Санкт-Петербургской антивирусной лаборатории Данилова. Лучший результат среди некоммерческих продуктов у Avira AntiVir от одноименной компании.
Дополнительная информация.
Стоимость антивирусной защиты.
Вопрос необходимости приобретения коммерческой версии антивирусной программы рано или поздно встает перед каждым пользователем. С одной стороны, в Интернете достаточно бесплатных антивирусных утилит, а с другой, понятно, что только на основе коммерческих пакетов с гарантированным регулярным обновлением можно выстроить серьезную систему безопасности. Как определить оптимальную сумму расходов на приобретение антивируса? Гораздо проще, чем кажется на первый взгляд. Нужно лишь трезво оценить стоимость содержащейся на винчестере компьютера информации, причем не только с позиции возможных злоумышленников, но и с точки зрения затрат на ее восстановление. Разумеется, если компьютер подключен к локальной сети или на нем хранятся коды доступа к другим устройствам, при оценке нужно рассматривать информацию, находящуюся во всей системе в целом. К этому нужно добавить приблизительную стоимость рабочего времени пользователя или стороннего специалиста, которое может понадобиться на восстановление работоспособности компьютера и приложений. Сравнение полученной величины с ценой антивирусного ПО даст мгновенный ответ на поставленный вопрос.
Недостатки популярных антивирусов.
По мнению некоторых специалистов в области компьютерной безопасности, на сегодняшний день эффективность наиболее популярных антивирусных пакетов может в некоторых случаях оказаться ниже, чем у продуктов новых, не раскрученных брендов. Объяснить этот феномен очень просто: алгоритмы распространенных программ, остающиеся без изменений достаточно продолжительное время, хорошо известны создателям новых вирусов. Это позволяет с успехом их обходить. В то же время нетрадиционные методы поиска, применяемые в "свежих" антивирусах, способны без особого труда определить вредоносный объект. Поэтому владельцам компьютеров настоятельно рекомендуется время от времени проверять свою систему при помощи какого-либо нового антивируса, даже в том случае, если она находится под защитой знаменитых и хорошо себя зарекомендовавших антивирусов.
Основные этапы развития вирусов и антивирусов:
1949 — создание фон Нейманом основ теории вирусов. 1961 — разработка игры Darwin — прообраза компьютерных вирусов. 1970 — первое упоминание слова VIRUS по отношению к компьютерной программе (в фантастическом романе Грегори Бенфорда). 1981 — появление первых вирусов Elk Cloner и Virus. 1998 — эпидемия вируса Win95.CIH (Чернобыль), созданного тайваньским студентом Чень Инхао. 2000 — появление самого вредоносного вируса "I love you", нанесшего ущерб более $10 млрд. 2004 — запуск первого "червя" для мобильных телефонов — Cabir. 2006 — создание первого вируса для RFID-меток, применяемых в магазинах и на складах.
Основные правила антивирусной безопасности.
Вероятность заражения компьютера вирусами снизится до минимума при выполнении нескольких несложных правил, не требующих специальных знаний:
• На компьютере должна быть установлена регулярно обновляемая антивирусная программа. • При работе в Интернете или локальной сети, а также перед инсталляцией и запуском новых приложений антивирусный монитор должен быть включен. • Ни в коем случае нельзя открывать неизвестные вложения в электронные письма, даже если они выглядят абсолютно безобидно, а само письмо получено от знакомого адресата. • В параметрах безопасности всех программ семейства MS Office необходимо запретить выполнение макросов без подтверждения пользователя. • Подтверждать выполнение можно лишь для хорошо известных макросов. • Все внешние носители информации (флэш-карты, дискеты, оптические диски) необходимо проверять антивирусным сканером. • Соблюдение всех этих правил не дает полной гарантии безопасности, поэтому всю систему необходимо регулярно проверять на наличие вирусов антивирусной программой.