Опубликованная в июньском номере «Мира ПК» статья «Весеннее обострение, или Сказ о проблемах, которых могло не быть», не оставила равнодушными наших читателей. Откликнулись руководители затронутых компаний и заинтересованные в собственной безопасности пользователи. Знакомые и незнакомые люди стали обращаться ко мне с просьбой подсказать, какой же все-таки антивирус выбрать и что за программа защищает меня. Друзья, позвольте пример. Мы, женщины, частенько обсуждаем косметику, бытовую химию, кулинарные рецепты и проч. (cогласитесь, предметы не менее важные, чем антивирусные программы). Если я предпочитаю Lumene и Bourjois, это совсем не значит, что Lancome, Naturell или Max Factor хуже. Просто мне нравится именно это — оттенки, аромат, стойкость, дизайн, в конце концов... Воспользовавшись по совету подруги стиральным порошком Ariel «с зеленой эмблемой», я в прямом смысле слова лишилась любимой маечки: из стиральной машины достала сплошные дырки. С тех пор я не покупаю упомянутое радикальное средство, что вовсе не свидетельствует о его недостатках, — просто однажды не повезло, и я сделала выводы. На днях готовила вымя по-баварски. Потрясающе нежный вкус! Брезгливо морщитесь? Значит, вы просто не умеете это готовить . Думаю, достаточно прозрачная аналогия. Я не вправе давать какие-либо настоятельные рекомендации и могу всего лишь рассказать о собственных впечатлениях от той или иной программы. А что выбрать для себя — это уже личное дело каждого.

В табл. 1 приведены голые факты, а предыстория такова. Если вы помните, в статье «Весеннее обострение...» упоминалась антивирусная программа NOD32. Ситуация с ней была именно из серии «ты просто не умеешь их готовить», на что мне незамедлительно указали сотрудники компании ESET. Они любезно предоставили для близкого знакомства данный продукт (версия 2.5), который я с удовольствием и установила на свой ПК, простившись с Panda Titanium. При первом же глубоком сканировании NOD обнаружил в одном из старых архивных файлов модифицированный троян. Это произвело на меня впечатление, я согласилась на удаление вируса, и целый месяц мы жили тихо-мирно, постепенно привыкая друг к другу. Не скажу, что все было совсем уж безоблачно. NOD пристально следил за мной, а я — за ним. Антивирусная база обновлялась нечасто, раз в три-четыре дня. После беспокойной Panda такая невозмутимость настораживала, но проводимая каждые два дня глубокая проверка показывала, что компьютер чист. Собственно, что еще нужно для того, чтобы спать спокойно? Брандмауэр Agnitum Outpost в режиме блокировки, NOD бдителен... Но «все меняется, когда приходят они». Однажды террористическая деятельность неизвестных дала о себе знать явно: блокировалась работа в Интернете, перестали запускаться браузеры, почтовая программа, MS Office... Подозрительных процессов в Диспетчере задач я не обнаружила и бросила на поиски вредителей NOD. Вот тут-то и началось самое интересное. Через сорок минут он сообщил, что примерно из 150 тыс. проверенных файлов десять заражены, восемь из них вылечены, причем присутствует один активный вирус. Очень захотелось воскликнуть: «Где ж ты раньше был? Целовался с кем?» Но самое неприятное, что NOD в отчете не сообщил, что за вирусы и в каких файлах были им обнаружены. И лог вирусов, который должен записываться автоматически после каждой проверки, в этот раз создан не был. Чтобы закрепить результаты проведенной дезинфекции, я перезагрузила компьютер и еще раз натравила на него NOD. Теперь было найдено два вируса, один активный, опять отсутствовали пояснения и лог. В службе техподдержки к описанной мной ситуации отнеслись с превеликим вниманием (между прочим, номер лицензии не спрашивали), помогли проверить настройки программы и в результате развели руками — дескать, совершенно нестандартная ситуация. Специалисты не исключали возможность того, что сам антивирус мог пострадать от заразы. Мне было предложено удалить NOD и проверить компьютер каким-нибудь другим средством.

Я решила воспользоваться оружием, выложенным на апрельском и августовском дисках, выходящих с нашим журналом. И вот тут-то начало становиться «все чудесатее и чудесатее». В табл. 1 программы приведены именно в той последовательности, в какой я их применяла. Каждый раз я полностью деинсталлировала предыдущую, а перед запуском следующей указывала в настройках «не лечить, не удалять, не перемещать в карантин» — так сказать, для чистоты эксперимента. Грех не использовать возможность испытать максимум продуктов — я ведь тоже хочу знать, кому можно доверить собственную безопасность. На такое сомнительное развлечение у меня ушло более двух суток. Если бы разработчики антивирусного ПО уважительнее относились к пользователям, я сохранила бы время, нервы и деньги. Основные затраты — обновление антивирусных баз (те, кто использует коммутируемый доступ со скоростью около 36 Кбайт/с, очень хорошо меня поймут). Неужели так сложно обеспечить дозакачку файлов? А еще лучше взять пример с Касперских, у которых на сайте антивирусные базы лежат в отдельном архивном файле (возможность с помощью любого dawnloader загрузить отдельно файл с сигнатурами есть и в полной версии BitDefender, и в AVG). Ведь ситуации могут возникнуть самые разные. Например, в моем случае незнакомый вирус обрывал процесс обновления сигнатур «Пандой». Бездарно потратив более трех интернет-часов (каждый раз 5 Мбайт начинали загружаться заново), я вынуждена была отказаться от ее использования.

А что же NOD? В службе техподдержки искренне старались мне помочь. В процессе сканирования я делала снимки экранов со всеми тревожными сообщениями других программ и отправляла их специалистам. Как видно из табл. 1, в результате различных проверок на моем ПК были обнаружены давным-давно известные вирусы, причем все в старых архивных файлах. То есть эта зараза была (если действительно была) получена еще в незапамятные времена и тихо сидела на моем жестком диске. Возникает множество вопросов. Почему защищавшая меня около двух лет Panda, а затем NOD раньше не выявили пакость? Или другие антивирусы поднимают ложную тревогу? Почему о вредительстве я узнала не от резидентного модуля NOD, а по поведению компьютера? Как работающий с самыми серьезными настройками антивирус позволил вредоносной программе действовать? К сожалению, на эти вопросы ответа нет. Проанализировав поведение активной заразы, я поняла, что получила ее через «аську» (точнее, &RQ — около двух лет я пользуюсь именно этим мессенджером). Избавиться от нее вручную можно было легко, но хотелось, чтобы ее обнаружил и назвал по имени NOD. Один из специалистов техподдержки порекомендовал мне запустить сканер с глубокой эвристикой и использованием антивирусных баз в безопасном режиме Windows (рис. 1).

Рис. 1. NOD32 в безопасном режиме Windows оказался бесполезен

Определенная логика в этом совете присутствует — если вирус находится в системных файлах, к которым запрещен доступ, есть шанс, что работа антивируса в safe mode принесет результаты. Но не в моем случае.

Так кому же верить, если, как показывает опыт, защитная программа сама может стать жертвой хитроумной заразы? «Неужели в самом деле все сгорели карусели» и не существует надежной защиты?

Кроме лицензионных NOD32 и Panda Titanium я применяла программы, распространяемые бесплатно. Среди них McAfee Avert Stinger, MSRT, ProAntivirus Stop! и Dr.Web-сканер не являются полноценными антивирусами. Это инструменты, способные отыскивать ограниченное число известных вирусов одного или нескольких наиболее распространенных семейств и предназначенные для использования в критической ситуации. Они мобильны, имеют небольшой размер и чаще всего не требуют установки. Их можно хранить на дискете или USB-накопителе и брать с собой в гости к менее «продвинутым» друзьям. Однако использовать для каждодневной защиты от вирусов было бы совершенно неразумно (табл. 2).

Обдумывая дальнейшее житье, я стала мечтать, что неплохо бы иметь на компьютере разные антивирусные программы. Среди почты, пришедшей в редакцию после статьи «Весеннее обострение...», был совет, как установить на ПК одновременно антивирус Касперского и Dr.Web. По утверждению читателя, один из них должен находиться в законсервированном состоянии. Тогда в экстренных случаях вы сможете отключить тот, что дал сбой, и запустить резервный. Это несложно, к тому же их можно по очереди пускать в Интернет для обновления антивирусных баз. Думаю, это разумное решение. Но я проводила эксперимент с имевшимися в моем распоряжении другими программами и теперь могу с уверенностью сказать, что слухи об их несовместимости сильно преувеличены. В попытке найти «сладкую парочку» я начала последовательно устанавливать на компьютер NOD, Panda, BitDefender, AntiVir for Windows и ClamAV. Единственная стычка возникла между NOD и Panda при перезагрузке ПК, но затем они как-то уладили отношения между собой без моего вмешательства. Все указанные антивирусы имеют встроенные мониторы, по умолчанию активные. Я не стала им препятствовать, и таким образом мой компьютер автоматически оказался под бдительным оком сразу шести стражей (рис. 2).

Рис. 2. Очевидное — невероятное

Я не прибегала для этого ни к каким ухищрениям. Антивирусы не толкались в очереди за обновлениями и без проблем выполняли сканирование ПК, когда я их об этом просила. Из «пятерки» пришлось уволить только медведя: — работать в таких условиях «Панда» отказалась. Впрочем, она об этом предупреждала еще при установке, вежливо советуя убрать всех конкурентов.

Как видите, у меня успешно сотрудничают бесплатные продукты. И это, пожалуй, закономерно — при их создании волчьи законы конкурентной борьбы не тяготели над разработчиками, их не натаскивали на уничтожение соперников. Отдельное место в моем «отряде особого назначения» занимает небесплатный NOD. Впрочем, эта программа вообще обладает «прогрессивными» чертами. Как я уже говорила, NOD единственный ухитрился не только установиться, но еще и просканировать компьютер под управлением бета-версии ОС Windows Vista (см. «Мир ПК», №9/05, с. 78).

Чувствую ли я теперь себя полностью в безопасности? Конечно же нет. «Доктор, у меня Windows не тормозит. Может, я что-то не так делаю?» Я жду, когда система рухнет или антивирусы устроят кровавую разборку. В общем, как сказал поэт, «покой нам только снится».

* * *

Итак, какие же напрашиваются выводы?

  • Вирус может проникнуть даже на защищенный компьютер - если, конечно, модем у вас не только для красоты. Например, уже после выпуска компанией Microsoft заплаты для уязвимости plug-and-play в Windows 2000/XP SP1 новый компьютерный червь Zotob нанес ущерб таким крупнейшим информационным компаниям, как CNN, The New York Times, ABC News и даже Конгрессу США. Наличие на компьютере средств антивирусной защиты не является гарантией от заражения. Любые антивирусные программы могут пропускать угрозы, обнаруживая их постфактум.
  • Только бесплатные антивирусы и только при наличии определенных настроек (например, сканирование жестко по требованию) могут мирно сосуществовать на компьютере. Среди коммерческих в этом отношении честнее всех ведет себя Panda, предупреждая заранее об отказе сотрудничать с другими. Эта проблема "личной неприязни" очень серьезна. Любой приличный антивирус вторгается в операционную систему на уровне, мягко говоря, запретном. А если два антивируса полезут в запретную зону ОС (они же не договариваются между собой о том, как будут вместе работать), то никто не может сказать, что в результате получится. Директор Panda Software Константин Архипов подчеркивает: "Совмещать несколько антивирусов на одном компьютере нельзя не по прихоти производителей программ. Это обусловливается не маркетинговой политикой компании, а исключительно техническими требованиями: если на компьютере будут работать две сходные по функциям программы, они могут начать обрабатывать один файл одновременно, что конечно же к добру не приведет".
  • Вирус может повредить защитную программу. Обо всех таких случаях настоятельно рекомендую сообщать разработчикам. Кстати, по их реакции вы сможете понять, всерьез ли компания обеспокоена надежностью своего продукта. Также советую обо всех выявленных неудобствах и недостатках программ писать в службу их поддержки. Антивирусные компании прежде всего работают на нас; отношение по формуле "пипл схавает" в конечном итоге обернется против них же самих - если мы не будем молчать и бездействовать.

Частное мнение

BitDefender
BitDefender Free Edition 7.2 - «тревожное» сообщение

На форумах, посвященных антивирусному ПО, часто хвалят BitDefender. В моем распоряжении была версия Free Edition. Общее впечатление — серьезная программа. В настройках присутствуют все необходимые опции. Есть два уровня процедур с инфицированными файлами, что очень удобно. Например, на первом вы выбрали «вылечить», однако по каким-то причинам это оказалось невозможным. Заданная на втором уровне операция «передвинуть в карантин» избавляет от повторного запуска антивируса. Разумно формируется файл отчета о проверке. Помимо информации о программе и найденных вирусах в нем указаны установки, заданные для сканирования. И хотя с обнаруженным вирусом программе справиться не удалось, в моем случае это выглядело так:

Summary:

C:Program FilesMicrosoftOffice.......OLMAIN11.CHM Infected BAT.Silly.BB

C:Program FilesMicrosoftOffice.......OLMAIN11.CHM Disinfection failed

C:Program FilesMicrosoftOffice.......OLMAIN11.CHM Move failed

Scan options
Action 
Infected objects
[ ] Ignore
[X] Disinfect
[ ] Delete
[ ] Copy to quarantine
[ ] Move to quarantine
[ ] Rename
[ ] Prompt user

Second action
[ ] Ignore
[ ] Delete
[ ] Copy to quarantine
[X] Move to quarantine
[ ] Rename
[ ] Prompt user

Во время сканирования компьютер практически парализован. Трудится BitDefender молча, подача сигналов в нем не предусмотрена. Если вы выбрали «спрашивать о действии», поспать не удастся — нужно сидеть перед монитором, чтобы реагировать на тревожные сообщения. Забавно, что можно поменять боевую раскраску программы: по умолчанию красно-белый интерфейс, по желанию — сине-белый. Больше ни в одном антивирусе мне такое не встречалось.

AntiVir for Windows
AntiVir for Windows Personal Edition Classic v.6

«По-моему, пчелы что-то подозревают», — говорил Пятачку задумавший взлом частной собственности Винни-Пух. Программа AntiVir продемонстрировала повышенную бдительность. Резидентный модуль Guard за сутки слежки создал мне текстовый лог-файл размером 64 Мбайт. Работая в команде, он постоянно проявлял нетерпимость к медведю: как только Panda пыталась проверить наличие новых сигнатур (а делает она это весьма часто), он единственный поднимал панику. Следует ли отсюда вывод, что на AntiVir можно положиться? Программа имеет большое количество настроек, работает быстро и при сканировании не парализует ПК. Подаваемые по любому поводу звуковые сигналы не позволяют расслабиться, но ведь мы сами заинтересованы в безопасности, не так ли?

Panda Titanium

Этот продукт обладает поистине медвежьей грацией: постоянно наступает на все любимые мозоли. Если ему приспичило обновлять сигнатуры, все остальные процессы должны уважительно замереть. Пока час-другой зверюга сканирует жесткий диск, лучше заняться делами подальше от компьютера. Все равно медведица не позволит разложить виртуальный пасьянс или побродить по Интернету. Давным-давно я выбрала его для защиты своего ПК только по одной причине — из-за русскоязычного интерфейса. В настоящее время эта программа лично меня уже не устраивает: слишком мало настроек. Этот продукт адресован «тихому» пользователю. Впрочем, именно так он и позиционируется разработчиками: «Одним из принципов разработки антивирусов для домашних пользователей наша компания считает максимальную автоматизацию программы и упрощение процесса работы с ней». По мнению Константина Архипова, директора Panda Software Russia, «антивирус должен дать возможность пользователю сосредоточиться непосредственно на своих задачах. Продукты Panda Software для домашних пользователей соответствуют этим критериям: они просты в использовании и помогут защитить компьютер от вредоносных кодов, даже если пользователь не обладает профессиональными знаниями в этой сфере и поддался панике при заражении вирусом».

ClamAV
ClamAV 0.86.1

К сожалению, программа не так уж широко известна — может быть, потому, что относится к OpenSourсe. Между тем это полноценный антивирус, к тому же распространяемый бесплатно (при желании можно загрузить исходные тексты). В целом у меня нет претензий к этому продукту. Вот только время сканирования поражает. Успев посмотреть «Три мушкетера» и «Жестокий романс» с повтором особо любимых эпизодов, я готова была воскликнуть: «Я убью тебя, лодочник!» Все-таки шесть—восемь часов на проверку 40 Гбайт — не чересчур ли?! По этой причине я не стану его использовать ежедневно. А вот в критической ситуации он, несомненно, пригодится.

NOD32
NOD32: меню для любителей головоломок

НовОмоДный антивирусный продукт имеет огромное количество настроек. Вы не найдете в его интерфейсе большую кнопку «сканировать», как в других продуктах. Здесь все неочевидно. Эта программа адресована «продвинутому» пользователю. Насколько мне известно, в настоящий момент ее предпочитают системные администраторы и лица, осуществляющие настройку и поддержку домовых сетей. Деятельность этой программы подробно описана мной в статье. А что касается рекомендаций — в моих глазах NOD себя скомпрометировал. И все же однозначно осуждать этот продукт я не могу — с кем не бывает... Хоть он и оскандалился, безусловное его преимущество — широчайшие возможности, неконфликтность и устойчивость. Там, где «пехота не пройдет и бронепоезд не промчится», NOD работать будет.


Удивительное рядом

С каждой вирусной эпидемией наблюдается очередной наплыв бесплатных программ для борьбы с последним виновником беспокойства. С течением времени некоторые из этих продуктов становятся способны распознавать несколько наиболее распространенных вирусов. Однако, несмотря на их бесспорную ценность, помимо тех случаев, когда вирус требуется удалить на уже зараженном компьютере, эти инструменты не имеют почти никакого практического применения. С их помощью нельзя выявить новый вирус. А вот что умеет «настоящая антивирусная программа»:

  • располагает базой данных с несколькими тысячами сигнатур вирусов и их вариантов;
  • использует несколько технических приемов для обнаружения неизвестных вирусов и вирусов, которые были специально изменены для того, чтобы их нельзя было распознать по сигнатуре;
  • может предупреждать об обнаружении неизвестной программы, которая по структуре или поведению похожа на вирус (например, имитирует другие программы или записывает данные в защищенные секторы жесткого диска).

Так утверждает Серж Йованович, специалист корпорации Symantec. Однако, как показало дальнейшее развитие событий, значение базы сигнатур сильно преувеличено. Примерно через пару недель после описываемых мной в статье экспериментов в Интернете появилась интересная информация. Независимая лаборатория университета Магдебурга (AV-Test, http://www.av-test.org) провела специальное тестирование антивирусных программ на предмет их готовности противостоять атакам, которые эксплуатируют недавно обнаруженную уязвимость MS05-039. В тестах испытывалась реакция 36 антивирусных программ, атакованных шестью червями и их вариантами: Win32/Bozari.A, Win32/Bozari.B, Win32/Drudgebot.B, Win32/IRCBot!Var, Win32/Zotob.A и Win32/Zotob.B. В результате выявилась огромная разница в скорости обновления антивирусных баз с сигнатурами. Приятно, что самой первой обновление выпустила «Лаборатория Касперского» — как минимум на час раньше многих, в то время как большинство вообще среагировали на вирусную эпидемию только через день, а то и через два. Но еще более интересно, что одиннадцати антивирусным программам удалось успешно распознать одну или больше атак вообще без обновления антивирусных баз. Причем две из них с помощью эвристических методов блокировали все вирусные атаки, т.е. шесть из шести. Вот результаты тестирования:

BitDefender — 6 из 6;
Fortinet — 6 из 6;
Nod32 — 5 из 6;
eSafe — 3 из 6;
F-Prot — 3 из 6: 
Panda — 3 из 6;
QuickHeal — 3 из 6;
McAfee — 2 из 6;
Norman — 2 из 6;
AntiVir — 1 из 6;
ClamAV — 1 из 6. 

Еще две нестандартные программы, которые не относятся к классу антивирусных сканеров, успешно справились с сетевыми атаками при помощи эвристических алгоритмов. Файл-сканер Proventia-VPS, который проверяет файлы и только сообщает, чистые они или нет, определил три из шести. Программа для поведенческого анализа Panda TruPrevent распознала все шесть атак уже после заражения компьютера (такова специфика этого ПО). Вот такие вот «недокументированные возможности», о которых, похоже, и сами разработчики антивирусного ПО не подозревают. Первой подсуетилась компания ESET, через неделю разославшая в СМИ сообщение с бойким заголовком «AV-Test.org подтверждает, что эвристический механизм антивируса ESET NOD32 справляется со всеми модификациями червя Zotob». В пресс-релизе черным по белому написано: «Исследование подтвердило, что антивирусная система ESET NOD32 успешно обнаруживает все 6 известных модификаций червя Zotob проактивно, то есть в реальном времени и без необходимости обновления сигнатурных баз. Таким образом, в очередной раз ESET NOD32 демонстрирует устранение бреши в безопасности, которая существует с момента появления новой угрозы до выпуска и обновления сигнатуры (zero day exploit). Антивирусы многих известных компаний, в числе которых Symantec, McAfee, TrendMicro и «Лаборатория Касперского», смогли обеспечить защиту от червя Zotob лишь с помощью выпуска специальных сигнатурных обновлений, которые хотя и были выпущены достаточно быстро, но все-таки только спустя некоторое время после появления угрозы». Однако пристальное изучение результатов исследования, проведенного AV-Test (http://www.av-test.org/down/ms05-039.zip), показывает, что с помощью эвристики NOD выявил только пять из шести вирусов. Вот так и рождаются мифы?