В этом сезоне особенно свирепствуют макровирусы. Какой же антивирус будет наилучшей защитой?


Нашествие макровирусов
Класс-98
Лучшая защита
Каких вирусов следует опасаться в первую очередь
Портрет писателя в юности
Как распознать розыгрыш

Вирус. В самом звучании слова слышится угрожающий присвист, и компьютерные вирусы могут на деле оправдать свое зловещее название. Они прокрадываются на компьютер и вызывают разного рода неприятности - от мелких неудобств до серьезной угрозы данным. А распространяющиеся, подобно взрыву, надоедливые макровирусы дошли уже до того, что заражают файлы данных - документы Microsoft Word и Excel.

Ни один человек, работающий на ПК, не может чувствовать себя в полной безопасности. Даже авторский вариант этой статьи заразил восемь компьютеров в редакции PC World вирусом Cap. Но, на несчастье вируса, его жертвы были вооружены до зубов: на каждом компьютере стояли восемь антивирусных программ, которые мы тестировали при подготовке статьи: Dr Solomon's Anti-Virus 7.0, F-Prot Professional 2.15, IBM AntiVirus 3.0.1, Inoculan AntiVirus 5.0 for Windows 95, McAfee VirusScan 3.0, Norton AntiVirus 4.0, PC-cillin Anti-Virus 3.0 и ThunderByte Anti-Virus Utilities 8.0.3.

Как и год назад (см. S. Miastkovski. Virus Killers. PC World, март 1997 г. Русский перевод: "Найти и обезвредить". "Мир ПК", #4/97, с. 42), тестирование показало, что все рассматриваемые продукты выявляют и искореняют большинство вирусов, включая и макровирусы. Главное, что необходимо, - это своевременно обновлять библиотеку двоичных сигнатур вирусов, и вот в этой-то области между программами обнаружились весьма существенные различия. При покупке антивирусной программы внимательно изучите порядок обновления, предлагаемый продавцом. Если окажется, что поддерживать файл сигнатур в актуальном состоянии слишком дорого или слишком хлопотно, вы не станете обновлять его достаточно регулярно и будете плохо защищены от новейших вирусов. Обратите внимание также на интерфейс и возможности сканирования. Практически все программы легко устанавливаются, но лучшие из них к тому же просты в использовании и предлагают широкий выбор режимов проверки.

Титул "Лучший выбор" мы присудили пакету Norton AntiVirus 4.0. Он стоит 50 долл. (примерно столько же стоят и остальные пакеты, имеющиеся на рынке) и исключительно богат разнообразными режимами проверки. В процессе работы Norton AntiVirus постоянно держит вас в курсе дела и, в отличие от большинства других пакетов, сообщает, что именно происходит на каждом шаге. А главное, файл сигнатур обновляется автоматически, бесплатно и в течение неограниченного срока.

Нашествие макровирусов

Наши герои антивирусного фронта почти те же, что и в прошлом году, равно как и динамика численности противника. Эксперты считают, что число существующих вирусов перевалило за 15 тысяч, причем ежедневно появляется, по разным оценкам, от 6 до 9 новых. Однако положение вовсе не так ужасно, как может показаться. Дело в том, что старые вирусы выходят из обращения; кроме того, большинство вирусов никогда не покидают так называемых "зоопарков" - тщательно охраняемых коллекций в исследовательских лабораториях, - а многие настолько плохо написаны, что просто не могут распространиться дальше машины своего создателя, да еще подпольных Web-страниц и BBS, посвященных проблемам разработки вирусов.

Так что "диких" (т. е. реально циркулирующих) вирусов в настоящее время насчитывается около 260. Не самое приятное известие, но могло быть и хуже.

Что же изменилось? Процент зараженных машин: из-за преобладания макровирусов он значительно возрос. По мнению Стива Уайта, старшего менеджера по исследованиям и разработкам в центре антивирусных исследований IBM, макровирусы ответственны за 75% всех вспышек "компьютерных эпидемий". Частично виной тому популярность Word и Excel и обмен созданными в них документами через локальные сети, Web, гибкие диски и электронную почту.

Правда, макровирусы не очень опасны: по большей части они просто самовоспроизводятся и не причиняют ущерба. Да и защититься от заражения несложно.

В тестировании нам помогал Джо Уэллс - специалист по вирусам и автор ежемесячного бюллетеня WildList, в котором отслеживается циркуляция вирусов (архивы этого бюллетеня можно найти по адресу www.virusbtn.com). Он протестировал распознавание 271 "дикого" и 6227 "лабораторных" вирусов, а также удаление 17 "диких", включая пять самых распространенных (см. врезку "Главные мерзавцы").

Четыре пакета - Dr Solomon's Anti-Virus, F-Prot Professional, IBM AntiVirus и Norton AntiVirus - распознали все "дикие" вирусы. Inoculan, McAfee и ThunderByte парочку не заметили, PC-cillin пропустил целых пять, но с точки зрения статистики и этот результат вполне неплох.

Разброс в числе распознанных "лабораторных" вирусов оказался выше. Лучше всех показал себя Dr Solomon's Anti-Virus, хуже всех - PC-cillin. Однако эти вирусы имеют мало шансов вырваться за пределы лабораторий, где их изучают, и потому не очень опасны.

Мы провели также тесты на скорость. Если вы собираетесь часто чистить свой жесткий диск, не стоит доверяться программе Inoculan: на сканирование мегабайта с четвертью данных она потратила почти час.

Класс-98

Хотя нынешнее положение в вирусологии можно считать стабильным, поставщики постоянно пересматривают цены, интерфейсы и наборы функций в надежде на увеличение объема продаж. За прошедший год средняя цена на антивирусные программы уменьшилась приблизительно с 85 до 50 долл. Кроме того, антивирусы часто поставляются в комплекте с новыми ПК, а также в наборах утилит.

Но обратим внимание и на явно завышенные претензии. Так, в рекламе Dr Solomon's Anti-Virus сказано, что программа содержит "новую" функцию сканирования Web, хотя в действительности ее содержали все пакеты, которые мы рассматривали в прошлом году. Java-аплеты и управляющие элементы ActiveX являются потенциальным источником вирусной угрозы, но ни один "дикий" вирус этого типа пока (на момент написания этой статьи) не зарегистрирован. Большинство поставщиков утверждают, что они постоянно следят за состоянием дел в этой области, а вот McAfee претендует на то, что уже реализовала защиту в своем новом 29-долларовом пакете WebScanX.

Впрочем, большинство этих пакетов без всякого преувеличения можно считать хорошим приобретением. Все они обеспечивают проверку файлов на наличие вирусов в момент обращения и позволяют запустить сканирование диска. Тем не менее у каждого из них своя индивидуальность, свои причуды и свой план поддержки, на недостатки и преимущества которых следует обратить внимание. Скажем, для сетей лучше всего приспособлены F-Prot Professional и ThunderByte.

Лучшая защита

Вопрос состоит уже не в том, покупать ли антивирусный пакет, а лишь в том, какой именно пакет покупать. Почти все рассмотренные программы просты в установке и использовании и относительно недороги. Когда речь заходит о вирусах, нападение - лучшая защита. И вот мы выстроили перед вами свои войска.

Dr Solomon's Anti-Virus 7.0
Достоинства: безукоризненное распознавание и обезвреживание "диких" вирусов и почти безошибочное - "лабораторных", четкий интерфейс.
Недостатки: отсутствует автоматический запуск по заданному графику, не осуществляется проверка гибкого диска при закрытии системы, только одно бесплатное обновление.
Цена: 50 долл.
Dr Solomon's Software,
тел. в США: 800/960-9095, 617/273-7400, www.drsolomon.com

Новый 50-долларовый пакет Dr Solomon's Anti-Virus 7.0, как и его предшественник, Anti-Virus Toolkit, стоивший 85 долл., отлично вынюхивает заразу: в наших тестах он распознал все "дикие" вирусы и вышел на первое место по числу распознанных "лабораторных". Система расширенного эвристического анализа пакета ищет не только сигнатуры вирусов, но и вирусоподобные фрагменты в программах. На наличие "эвристики" претендуют многие пакеты, но этот действительно ее содержит.

Программа установки Dr Solomon's Anti-Virus модифицирует файл autoexec.bat, после чего при загрузке системы начинает запускаться небольшой, но эффективный антивирусный сканер. И, в отличие от большинства других пакетов, Dr Solomon's Anti-Virus содержит аварийную загрузочную дискету "SOS"; с ее помощью можно также быстро проверить ПК на наличие вирусов. Интерфейс программы отличается простотой и ясностью.

Тем не менее в некоторых отношениях версия 7.0 ничуть не изменилась к лучшему по сравнению с Toolkit. Это единственный из протестированных пакетов, который не поддерживает автоматический запуск сканирования по заданному расписанию и не проверяет диск A: при закрытии системы. Кроме того, годовая подписка на обновление по Web стоит еще 30 долл. Большинство поставщиков предлагают бесплатное обновление в течение как минимум года.

В марте выходит новая версия пакета - Dr Solomon's Anti-Virus Deluxe. Согласно информации, распространяемой компанией, она будет поддерживать расписания, давать право на ежемесячное бесплатное обновление в течение года и содержать новую технологию защиты под названием WebGuard. Предполагаемая цена - 70 долл. (На момент публикации статьи детали еще не были известны и ознакомительные версии отсутствовали.)

F-Prot Professional 2.15
Достоинства: безукоризненное распознавание и обезвреживание "диких" вирусов, развитая поддержка работы в сети.
Недостатки: не распознаются некоторые "лабораторные" вирусы, для получения обновлений нужно пройти процедуру регистрации.
Цена: 50 долл.
Command Software Systems,
тел. в США: 800/423-9147, 561/575-3200,
www.commandcom.com

Пакет F-Prot Professional компании Command Software Systems дешев и достаточно прост, чтобы использовать его на изолированном ПК, однако истинное предназначение F-Prot - работа в сети. Стоит пакет 50 долл. - вдвое меньше, чем в 1996 г., - но если у вас только одна машина, многие его функции останутся невостребованными. Например, F-Prot допускает установку на файловом сервере с возможностью выбрать действие при нахождении вируса: автоматически обезвредить, выдать сообщение системному администратору и т. д. Настройка предусматривает автоматический запуск сканирования в определенные часы, а также после заданного времени простоя компьютера. Как и при работе с антивирусами Inoculan и IBM, можно указать, какие файлы и каталоги обрабатывать, а какие нет.

И все-таки F-Prot подходит и для одиночек. Это один из тех четырех пакетов, которые распознали все "дикие" файловые вирусы. Доля пропущенных "лабораторных" вирусов близка к средней для нашего тестирования - 6%.

Компания Command Software бесплатно обновляет программу и файл сигнатур в течение неограниченного времени, но, в отличие от других поставщиков антивирусов, требует для этого зарегистрироваться и получить имя и пароль. Правда, после того как произведены все необходимые процедуры, вам начинают приходить напоминания об обновлениях, а чтобы произвести само обновление, достаточно посетить Web-страницу компании и выбрать ссылку Download Now (загрузить сейчас).

Как и остальные тестировавшиеся пакеты, F-Prot не без странностей. Так, процедура сканирования игнорирует вирусы, которые присутствовали на компьютере до установки программы. Интерфейс тоже несколько запутан, особенно это касается перегруженного главного экрана. Однако дополнительные возможности аккуратно разложены по иерархическим меню, и всегда легко определить, когда производилось последнее сканирование.

В новой версии F-Prot (цена ее в момент публикации известна не была) набор сетевых функций еще более расширен, в том числе добавлено автоматическое обновление файла сигнатур с центрального сервера.

IBM AntiVirus 3.0.1
Достоинства: безукоризненное распознавание и обезвреживание "диких" вирусов, хорошее распознавание "лабораторных", богатый набор возможностей, самая высокая скорость проверки, поддержка всех основных операционных систем.
Недостатки: чрезвычайно сложная процедура обновления, проблемы с удалением некоторых макровирусов.
Цена: 49 долл.
IBM, тел. в США: 800/742-2493, 512/434-1554, тел. представительства в Москве: (095)231-82-75, www.av.ibm.com

Раньше IBM включала свой антивирус в пакеты программного обеспечения для предприятий, а теперь выпустила коробку выдающегося размера.

Увы, содержимое коробки является выдающимся далеко не во всех отношениях. Вы найдете в ней превосходную антивирусную программу с простым интерфейсом и богатым набором функций, но обновление ее требует таких усилий, что вы, возможно, сочтете за лучшее с ним не связываться.

В сфере функциональных возможностей IBM AntiVirus представляет собой верх совершенства. Пакет поддерживает несколько операционных систем - Windows 95, 3.x и NT, а также DOS и OS/2 - и позволяет устанавливать разные уровни защиты, в том числе такой, на котором отслеживаются проявления вирусов. Можно задать расписание автоматических проверок и указать, какие диски и каталоги сканировать.

Как и Dr Solomon's Anti-Virus, пакет содержит аварийную загрузочную дискету, которую можно использовать для проверки на вирусы дисков любой операционной системы. Нам очень понравился также простой интерфейс IBM: чтобы начать проверку, вы нажимаете большую кнопку с надписью Push Here (нажмите сюда).

Технология нейронных сетей, на которой основана программа, обеспечила распознавание всех "диких" и примерно 97% "лабораторных" вирусов из нашего теста. Однако с обезвреживанием некоторых "диких" макровирусов не все было гладко: в двух случаях программа вместе с вирусом удалила и его макрокоманду. Все остальные антивирусы, за исключением ThunderByte, действовали корректно: удаляли вирус, а макрокоманду сохраняли.

Сигнатуры вирусов бесплатно и в течение неограниченного времени обновляются с Web-узла IBM, но пользователи IBM AntiVirus, в отличие от пользователей большинства других программ, не получают уведомлений о появлении новых версий и должны периодически проверять соответствующую Web-страницу, сравнивать дату своего файла сигнатур с датой файла на странице и, если файл на странице более новый, вручную запускать его копирование.

Inoculan AntiVirus 5.0 for Windows 95
Достоинства: великолепный интерфейс, богатый выбор режимов сканирования, дешевизна, почти безукоризненное распознавание и обезвреживание "диких" вирусов.
Недостатки: сравнительно слабое распознавание "лабораторных" вирусов, многочисленные ложные срабатывания, самое медленное сканирование, возможны конфликты с видеоплатой STB Nitro 3D.
Цена: 40 долл.
Computer Associates International,
тел. в США: 800/243-9462,
тел. представительства в Москве: (095)937-48-50,
www.cai.com/cheyenne/desktop

Пакет Inoculan компании Computer Associates заслужил награду за наиболее радикальное усовершенствование. Прежде неуклюжий и сложный в работе, он теперь полностью переделан, и новая реализация просто великолепна. Inoculan стоит 40 долл. (самая низкая цена в этом обзоре) и предназначен, в отличие от предыдущих версий, не для сетей, а для изолированных машин.

Почему же эта программа не получила титула "Лучший выбор"? Дело в том, что, хотя она пропустила только один "дикий" вирус из 271, при проверке возникло несколько других проблем. Inoculan, как оказалось, конфликтует с видеоплатой STB Nitro 3D (по сведениям, полученным из компании, этого не должно происходить, если обновить драйвер видеоплаты). Кроме того, процедура сканирования вышла на предпоследнее (перед PC-cillin) место по числу пропущенных "лабораторных" вирусов и к тому же ошибочно опознала как зараженные шесть "чистых" файлов. А когда мы занесли на тестовый компьютер вирус Antiexe.A, программа зависла и не вывела предложения воспользоваться аварийной дискетой, хотя должна была это сделать. В Computer Associates нам сказали, что возникла специфическая проблема, связанная с Antiexe.

Пользовательский интерфейс Inoculan удобен, хотя функций очень много. Программа всегда ясно объясняет, что именно она делает. Настройка по умолчанию предусматривает самую тщательную проверку из всех рассмотренных программ (например, проверяются файлы в архивах).

Помимо этого в Inoculan регулируется степень тщательности сканирования (быстрая проверка, подробная проверка и т. д.), а настройка проверяемых дисков, файлов и каталогов содержит режимы, не имеющие аналогов в других программах. Уникальной является и функция Danger Watch, временно усиливающая защиту после нападения вируса. А вот вам и причуда: Inoculan создает не одну аварийную дискету, а аварийный пакет из трех дискет объемом 1,44 Мбайт.

Процедура сканирования в Inoculan была самой медленной, но зато программа очень предусмотрительна: она помещает зараженные файлы в специальную карантинную папку и активизирует мастера, который обезвреживает вирус.

Обновление версии программы и файла сигнатур производится бесплатно в течение года с Web-узла Computer Associates.

Несмотря на некоторые упущения, превосходный интерфейс и изобилие возможностей делают Inoculan AntiVirus хорошим выбором.

McAfee VirusScan 3.0
Достоинства: почти безукоризненное распознавание всех вирусов, полезные возможности конфигурирования, поддерживает все основные операционные системы.
Недостатки: непонятная политика обновления, некоторые продвинутые возможности трудно найти.
Цена: 49 долл.
Network Associates,
тел. в США: 408/988-3832,
www.networkassociates.com

Последнее воплощение McAfee VirusScan компании Network Associates представляет собой грамотно написанный антивирусный пакет стоимостью 49 долл. с солидным набором дополнительных возможностей, таких как ScreenScan - запуск проверки на вирусы при включении экранной заставки. В наших тестах программа пропустила всего два "диких" вируса и из "лабораторных" тоже обнаружила почти все.

Процедура установки VirusScan - одна из самых простых и единственная, предусматривающая "компактный" вариант для случая, когда на жестком диске мало места. По ходу установки может быть создана аварийная дискета, но лишь при условии, что у вас заготовлена дискета, заранее сформатированная как загрузочная, - а сказано об этом только в Readme-файле.

Пользовательский интерфейс программы прост и безыскусен, но основные инструменты находятся легко. А вот более изощренные режимы искать сложнее: они довольно-таки хаотично раскиданы по вложенным меню и закладкам.

Файл сигнатур вирусов можно бесплатно загрузить, когда программа сообщит о том, что необходимо обновление. Другой вариант - подписаться при установке (или позднее) на бесплатную службу, которая будет уведомлять вас о новых версиях по электронной почте. Это удобно, но в остальном политика обновления производит странное впечатление. Бесплатное обновление программы предоставляется в течение года с момента приобретения, а файла сигнатур - в течение всего срока "жизни" продукта. Однако последний может истечь очень быстро: компания не гарантирует, что формат будущих файлов сигнатур окажется совместимым с нынешним, если следующая версия будет радикально отличаться от предыдущей.

Norton AntiVirus 4.0
Достоинства: безукоризненное распознавание и обезвреживание "диких" вирусов, хорошее распознавание "лабораторных", тонкая настройка интерфейса.
Недостатки: в уровнях настройки можно запутаться.
Цена: 50 долл.
Symantec, тел. в США:
800/441-7234, 541/334-6054, www.symantec.com.
Дистрибутор в Росии: ACT Group Russia, тел.: (095) 232-56-88, http://www.act.ru

Титул "Лучший выбор" в этом году получил 50-долларовый пакет Norton AntiVirus 4.0 корпорации Symantec, почти безукоризненно прошедший тестирование, отличающийся функциональным богатством, высочайшего класса интерфейсом и самой лучшей документацией из рассмотренных программ. Обилие функций в Norton AntiVirus ошеломляет; к счастью, даже основные функции уже достаточно мощны.

Практически каждый экран Norton AntiVirus предлагает пользователю логический выбор. Если этого в совокупности с превосходной печатной документацией недостаточно, на CD-ROM есть еще более подробное электронное руководство. Справочная система тоже великолепна: обнаружив вирус, программа шаг за шагом проводит вас через процедуру его удаления.

Система распознавания вирусов в Norton AntiVirus также очень мощна: она обнаружила и удалила все предложенные ей "дикие" вирусы, а из "лабораторных" упустила всего четыре процента. Правда, когда мы заразили загрузочный сектор диска вирусом Antiexe.A, программа заблокировала компьютер, не выдав указаний о том, как возобновить работу (то же самое произошло с Inoculan). В Symantec нам сообщили, что проблема, вероятнее всего, связана с драйвером видеоплаты и что фирма работает над ее решением.

Разнообразных режимов и функций в Norton AntiVirus больше, чем в других рассмотренных пакетах, и их обилие уже грозит превратиться из достоинства в недостаток. Из-за наличия нескольких способов настройки вы в ряде случаев рискуете отключить какой-нибудь важный режим - скажем, фоновую проверку.

Реакцию программы на обнаружение вируса можно настроить, например потребовать немедленно останавливать компьютер. Параметр под названием "уровень эвристической чувствительности" (Heuristic Sensitivity Level) позволяет задать степень подозрительности при поиске проявлений вирусов.

Для обновления файла сигнатур Symantec также предусмотрела разные способы. Один состоит в том, чтобы вручную переписывать обновленные файлы с Web-узла компании (когда файл сигнатур устаревает, пользователь получает сообщение с напоминанием). Другой, более удобный, - использовать имеющуюся в пакете службу LiveUpdate, которая будет регулярно проверять, не обновился ли файл, и, если обновился, автоматически загружать его на компьютер по протоколу FTP.

Версия пакета Deluxe, которую мы не тестировали, стоит на 20 долл. дороже и содержит несколько дополнительных возможностей, в том числе шифрование файлов и нечто, согласно сообщению компании, представляющее собой защиту от агрессивных Java-аплетов и управляющих элементов ActiveX.

PC-cillin Anti-Virus 3.0
Достоинства: почти безукоризненное распознавание и обезвреживание "диких" вирусов, богатый выбор функций.
Недостатки: многочисленные ложные срабатывания, самое слабое распознавание "лабораторных" вирусов, несколько запутанный интерфейс.
Цена: 45 долл.
TouchStone Software, тел. в США: 714/969-7746, www.touchstonesoftware.com
Trend Micro Inc., тел. в США: 800/228-5651, www.trendmicro.com

За прошедший год прежде красочный, но бестолковый интерфейс PC-cillin подвергся серьезной чистке. Теперь он стал намного более аккуратным и связным, но совершенства все-таки не достиг: время от времени вы будете попадать в тупик. Например, иногда программа не может вылечить файл и не предлагает никаких дальнейших инструкций. Раздражает способ, которым соавторы продукта - TouchStone Software и Trend Micro - обновляют файл сигнатур: его свежая версия помещается на Web-узлы обеих компаний, но имя файла на каждом узле свое, хотя содержимое совпадает. (Мы пользовались файлом с узла TouchStone, адрес которого указан на коробке.)

В PC-cillin имеется специальная функция MacroTrap, предназначенная для дополнительной защиты от макровирусов; в наших тестах она работала вполне успешно. Как и большинство пакетов, PC-cillin обнаружил и искоренил все предложенные ему "дикие" макровирусы, а с "лабораторными" макровирусами показал себя еще лучше. С другой стороны, он распознал лишь 67% общего числа "лабораторных" вирусов (против 90% у других программ). И, как и у Inoculan, случались ложные срабатывания.

Нам очень понравился богатый интерфейс PC-cillin, предоставляющий подробную информацию о настройке программы. Утилита SmartMonitor - один из самых гибких существующих фоновых антивирусных сканеров, и PC-cillin можно настроить на проверку через заданные промежутки времени.

Компания TouchStone обеспечивает бесплатное не ограниченное по времени обновление файлов сигнатур со своего Web-узла. PC-cillin, как и Norton AntiVirus, может автоматически проверять, не появился ли обновленный файл, а кроме того, позволяет сделать такую проверку ежемесячной, еженедельной или ежедневной.

ThunderByte Anti-Virus Utilities 8.0.3
Достоинства: почти безукоризненное распознавание "диких" вирусов, хорошее распознавание "лабораторных", всеобъемлющая система настройки, поддержка всех главных операционных систем, высокая скорость.
Недостатки: самый дорогой из всех пакетов, при обезвреживании "диких" вирусов может удалять файлы и макросы, не предусмотрено восстановление с аварийной дискеты, сложен в установке, невозможна полная деинсталляция.
Цена: 100 долл.
NovaStor/Authentex Software,
тел. в США: 613/599-5584, www.authentex.com

Пакет ThunderByte Anti-Virus Utilities 8.0.3 разительно отличается от версии, которую мы рассматривали в прошлом году, но и в новом обличье не особенно нам понравился. Разработчики переделали интерфейс, а также систему распознавания и обезвреживания вирусов. Программа теперь оптимизирована для работы в среде Windows 95 и обогатилась несколькими функциями, такими как проверка файлов в архивах (мы ее не тестировали) или интеграция с Windows Explorer, позволяющая быстро запускать проверку дисков, каталогов и файлов. В сети ThunderByte, как и F-Prot Professional, можно устанавливать и обновлять с сервера.

Однако использование программы на автономном компьютере имеет определенные недостатки. Установка ее сложна и трудоемка из-за огромного числа параметров настройки, а цена составляет 100 долл. ThunderByte - самый дорогой из рассмотренных пакетов.

Зато обновление организовано хорошо: бесплатное получение новых файлов сигнатур и самой программы из Internet обеспечивает функция Live Internet Update, которую можно настроить на ежедневную или еженедельную проверку соответствующего узла. Можно также подписаться на обновление по обычной почте (файлы присылаются на дискетах), но эта услуга стоит непомерно дорого - 100 долл. в год.

В отличие от всех остальных тестировавшихся программ, ThunderByte не предусматривает для Windows 95 создания аварийной дискеты, позволяющей вновь запустить машину, заблокированную в результате деятельности вируса. А когда мы заразили загрузочный сектор системного жесткого диска, ThunderByte потребовал "чистую дискету" - если пользователь не был настолько предусмотрителен, чтобы подготовить ее заранее, он окажется в безвыходном положении. (Впрочем, Inoculan и Norton AntiVirus тоже не блестяще справились с зараженным загрузочным сектором.)

Из всех программ в этом обзоре ThunderByte самая дотошная. Она автоматически "прививает" компьютер, размещая в каждом каталоге по скрытому файлу, помогающему отслеживать проявления вирусов. Это удачное решение для сетей больших предприятий, но неприятно, что все "прививочные" файлы остались на машине после деинсталляции программы. Кроме того, мы не смогли удалить пункт ThunderByte из меню, вызываемого при нажатии правой кнопки мыши. (В компании нам сообщили, что дефект будет устранен в одном из ближайших обновлений, и предложили довольно сложную "заплату".)

Теперь ThunderByte активно удаляет обнаруженные вирусы, не требуя перезагрузиться с дискеты и воспользоваться отдельной утилитой, обезвреживающей вирусы. Старомодный метод с дискетой, конечно, вернее, но он очень медленный, а техника удаления вирусов сейчас достаточно надежна для того, чтобы можно было безопасно пользоваться ею, не выходя из интерфейса антивируса.

Результаты тестирования ThunderByte смешанные: с одной стороны, программа распознала около 98% "лабораторных" вирусов, с другой - плохо справилась с обезвреживанием некоторых "диких". В частности, она автоматически удаляла вместе с вирусами зараженные файлы, а в случае макровирусов - пораженные макросы (в отличие от всех остальных пакетов, кроме IBM AntiVirus).


Каких вирусов следует опасаться в первую очередь

Из 250 с лишним циркулирующих вирусов действительно распространены лишь очень немногие. Вот пять наиболее часто встречающихся. Год назад единственным макровирусом в этой группе был Concept, теперь макровирусами оказались все пять.

  1. Concept Первый и самый известный макровирус, поражающий файлы Word; он был разработан с целью доказать жизненность идеи (англ. concept - понятие, идея) макровируса. Не причиняет вреда, а проявляется в том, что поражает файл шаблона normal.dot и выводит всплывающее окно с числом 1. Если машина заражена этим вирусом, он попадет во все файлы, сохраненные в Word как документы Word.
  2. Cap Этот макровирус Word причиняет больше беспокойства, чем вреда; он удаляет все имеющиеся макрокоманды и заменяет их собственными. Cap - мутирующий вирус и поэтому продолжает менять макросы все то время, в течение которого активен. Удалить его несложно, но восстановление уничтоженных им макрокоманд может оказаться трудоемким.
  3. Wazzu Макровирус, поражающий команду AutoOpen; повреждает каждый открываемый документ Word: переставляет в нем несколько слов и вставляет в произвольное место слово Wazzu.
  4. Npad Как и Concept, поражает файл normal.dot. Не причиняет особого вреда, лишь каждый двадцать третий раз при открытии документа Word выводит сообщение 'D0EUNPAD94, v.2.21'.
  5. Mdma Довольно зловредный макровирус Word. Начинает пакостить первого числа следующего после заражения месяца. Причиняемый им ущерб различен в зависимости от операционной системы; серьезнее всего страдают Windows 3.x и DOS, где он модифицирует файл autoexec.bat так, что при следующей перезагрузке последний стирает все файлы с жесткого диска. На машинах с Windows 95 вирус меняет настройку специальных возможностей "Залипание клавиш" (Sticky Keys) и "Высокая контрастность" (High Contrast), а также настройку способа входа в сеть (Network Logon), стирает все справочные файлы Windows и некоторые системные файлы. После удаления вируса, как правило, требуется переустановка Windows 95.

Список вирусов предоставлен фирмой Dr Solomon's Software.

Расширенную версию списка самых распространенных вирусов можно найти по адресу www.pcworld.com/march98/antivirus.


Портрет писателя в юности

Mайк Эллисон являет собой полную противоположность стереотипному образу разработчика вирусов. Он вовсе не похож на компьютерного маньяка с безумным злобным блеском в глазах, разговаривает тихо, вежливо и несколько скованно, весьма умен. Сейчас ему 22 года, и он работает инженером по программным средствам в одной из крупных техасских фирм, занимающихся высокими технологиями.

А в возрасте между 14 и 18 годами Эллисона лучше знали под именем Stormbringer (название меча в романе Майкла Муркока, означающее "несущий бурю". - Прим. пер.). Его карьера в качестве автора вирусов - превращение из компьютерного новичка-энтузиаста в одного из главных авторитетов вирусного подполья и ранний уход от "дел" - достаточно типична и проливает некоторый свет на нравы и обычаи этого мало кому понятного и у многих вызывающего страх братства (оно объединяет именно "братьев": Эллисон ни разу не встречал женщины, пишущей вирусы).

Разумеется, Эллисон начинал не с вирусов. В 1990 г. в возрасте 14 лет он самостоятельно освоил Си и ассемблер, а когда на его компьютер попали какие-то вирусы, сумел эти вирусы деассемблировать. После этого Эллисон разыскал несколько BBS (дело было в "допаутинную" эпоху), где его опыт быстро завоевал признание. Способности Эллисона в качестве аналитика принесли ему победу в конкурсе, устроенном "вирусным" информационным бюллетенем Crypt, после чего Эллисон, принявший имя Stormbringer, вошел в печально знаменитую группу хакеров и разработчиков вирусов Phalcon/Skism, базировавшуюся на одной из BBS в Нью-Йорке. (Вот один из его тогдашних девизов: "Работаю изо всех сил, чтобы сделать вашу жизнь сущим адом".)

Постепенно набираясь опыта, Эллисон написал несколько вирусов, но, по его собственным словам, он "всегда имел сомнение" в том, что делает, и никогда не собирался выпуcкать свои вирусы за пределы сообщества. Когда же некий "мстительный субъект" воспользовался вирусом Эллисона, чтобы заразить чей-то ПК, Эллисон решил, что с него хватит. Он удалил вирус со злополучной машины и прекратил писать вирусы - навсегда.

Кто и зачем пишет вирусы? Эллисон подтвердил мнение экспертов о том, что это - "подростковое занятие": самому старому разработчику вирусов, которого он знал, было 24. Свои псевдонимы авторы вирусов берут из рок-музыки или фантастики. В большинстве случаев создание зловредного кода для них, по словам Эллисона, - головоломка или игра. А пройдя через писание вирусов, они "вырастают и работают в программной индустрии".

Эллисон бросается защищать свое братство, говоря, что оно состоит из "очень ярких людей, которые просто хотят сделать что-нибудь новое и оригинальное". Он признает, что люди в группе разные, есть и злобные мальчишки, желающие создавать по-настоящему вредоносные вирусы, но все же среднестатистический автор вирусов не соответствует, мягко выражаясь, своеобразному описанию эксперта по вирусам Росса Гринберга: "Юный импотент, не способный нормально существовать в обществе. Такие ничего не стоят". Впрочем, и Эллисон согласен, что "самые агрессивные авторы вирусов - те, у которых нет социальной жизни".

К будущему компьютерных вирусов Эллисон относится философски. При том что, как он считает, авторы вирусов по большей части становятся осторожнее и тщательнее следят, чтобы их творения не распространялись, его беспокоит легкость, с какой осваивается сочинение макровирусов. Эллисон предполагает, что некоторые авторы пишут сейчас сложные вирусы, предназначенные специально для заражения ПК с Windows 95 и NT. Пока они в этом не преуспели, но со временем наверняка добьются своего. Он также предсказывает, что появятся и распространятся генераторы вирусов, которые сделают создание вирусов общедоступным занятием. По словам Эллисона, такие генераторы могли бы стать "кошмаром девяностых".

Звучит действительно устрашающе, но, слава Богу, не все предсказания сбываются. А пока нас надежно защищают антивирусные утилиты.


Как распознать розыгрыш

Роль розыгрышей в истории компьютерных вирусов весьма значительна, но на нее обращают мало внимания. Популярность Internet привела к тому, что слухи и ложная информация распространяются, как грипп. Пользователям как отдельных компьютеров, так и сетей случается останавливать работу, получив очередное известие о новом вирусе. Самым знаменитым розыгрышем, вызвавшим панику в 1996 г., было письмо о несуществующем вирусе Good Times, но с тех пор прошло и немало других.

Лучший способ не поддаться на розыгрыш состоит в том, чтобы проверять подозрительные предупреждения о вирусах на Web-странице Computer Incident Advisory Capability (ciac.llnl.gov/ciac/CIACHoaxes.html, которую Министерство энергетики США создало специально для отслеживания "вирусных" розыгрышей в Internet. Эксперт Джо Уэллс, проводивший наше тестирование, рекомендует проверить, имеет ли письмо такие характерные признаки розыгрыша, как изобилие восклицательных знаков и утверждения об исключительной разрушительной силе вируса, а также содержит ли оно рекомендации передать информацию дальше (не так ли размножаются и сами вирусы?).


Стэн Мястковски - редактор и автор PC World. Тестирование проводилось Джо Уэллсом, руководителем антивирусной тестовой лаборатории в фирме Wells Research и составителем ежемесячного бюллетеня WildList.
1128