Основанные на новом антивирусном ядре персональные продукты Новое ядро позволило интегрировать в продукты серии 2009 дополнительные механизмы защиты: белые списки приложений, HIPS, контроль настроек браузера и операционной системы, защита IM-трафика, взаимодействие с Kaspersky Security Network, управление доступом к USB-устройствам и сканер уязвимостей. При этом переход на новую версию будет бесплатным, а цены на продукты измениться не должны. На прилавках магазинов новые версии появятся с 20 августа.

Новое ядро может эффективно использовать многопроцессорные и многоядерные компьютеры. Новшеством также является возможность использовать одно ядро антивируса для разных целей: поиска вирусов и уязвимостей, проверки белого списка приложений, контроля за USB-устройствами и проведения других проверок. Данные для белого списка приложений, где перечислены заведомо "хорошие программы", берутся как из собственной базы "Лаборатории Касперского", так и у компании Bit9. Проверка выполняется во время старта приложения по контрольной сумме MD5. За счет белого списка компания рассчитывает сильно сократить число ложных срабатываний.

При старте приложения антивирус также высчитывает для него рейтинг опасности, используя данные контрольных сумм, проверки приложения на эмуляторе и проводя ряд дополнительных проверок. Рейтинг приложения определяет выбор правил для контроля за его поведением со стороны проактивной защиты. В разработке рейтинга принимал участие Олег Зайцев, разработчик программы AVZ. При помощи Зайцева была реализована еще одна новинка - контроль настроек браузера и операционной системы.

Сменился и формат представления сигнатур вирусов. В новой версии используются позиционно независимые сигнатуры, для проверки которых не нужно собирать файл целиком. Переход на новый формат сигнатур позволит строить потоковые антивирусы, выявляющие вредоносные программы, например, в сетевом трафике. К тому же в новом ядре есть возможность перед проверкой провести определенные преобразования проверяемых данных - для этого был разработан встроенный язык программирования.

Важным элементом защиты в новой версии является Kaspersky Security Network (KSN) - сеть, которая собирает данные о запускаемых на компьютере клиента программах и отсылает эти данные в вирусную лабораторию. Пользователь может отказаться от сотрудничества с KSN - для этого есть специальное лицензионное соглашение. При этом в KSN отправляется не само приложение, а только его хеш MD5. Если же программа была загружена из сети, то в KSN отправляется соответствующий URL. В дальнейшем он используется сотрудниками "Лаборатории Касперского" для загрузки и анализа устанавливаемых таким способом приложений. Так составляется собственный белый список приложений.

В новой версии используется специальный модуль защиты от программ-невидимок, который интегрируется в ядро операционной системы. Он позволяет выявлять перехваты системных функций в самом ядре и обнаруживать наиболее сложные методы скрытия вредоносного кода. Технология фактически позволяет проводить антивирусные проверки в памяти ядра операционной системы.

Функциональность сканера уязвимостей основана на сигнатурах уязвимых файлов, которые предоставляет компания Secunia. "Лаборатория Касперского" получает от нее данные о известных уязвимостях, перекодирует их в собственный формат и включает их в состав обновлений. Если антивирус обнаружил уязвимый файл в системе, он может выдать определенные рекомендации по исправлению ошибок - часто для этого достаточно будет обновить уязвимое приложение.

В Internet Security появилась возможность контроля USB-устройств. Пока реализован контроль за USB-портом на основе правил - содержание взаимодействия никак не контролируется. Со временем планируется внедрить и в этот тип продуктов контроль передаваемых через USB данных. Однако не совсем понятно, зачем такая функциональность для персональных продуктов. Более актуальна защита утечек конфиденциальных данных по сети, реализованная еще в предыдущей версии. В новой версии защита от утечек распространяется и на протокол ICQ.

В новой версии также изменен интерфейс взаимодействия с пользователем. Можно включить такой режим, при котором пользователю не будут задаваться никакие вопросы, а сам антивирус будет выполнять действия по умолчанию. Пользователь будет только получать информационные сообщения. Если же по каким-то причинам нужно контролировать поведение защиты, то можно включить режим эксперта. Это удобно для неквалифицированных пользователей, которых раздражают непонятные запросы защиты.

Поделитесь материалом с коллегами и друзьями