Вирусы и как с ними бороться. Часть третья

Статья прислана на конкурс Летний АвторRUN!


Предлагаем вашему вниманию заключительную часть статьи Вирусы и как с ними бороться, посвященной весьма актуальной теме, с которой рано или поздно столкнется пользователь персонального компьютера.


Производительность антивирусов

Часто приходится слышать от пользователей упреки в сторону того или иного продукта, за его "тормознутость". Но трудно объяснить человеку на пальцах, что во время так называемого "глубокого" сканирования, которое еще сопровождается расширенной эвристикой или расчетом контрольных сумм файлов, загрузка системы просто не может быть маленькой, и чем тщательнее проверяется файл, тем больше загрузка тракта CPU-FSB-RAM, и никуда от этого не деться, но антивирус можно тонко настроить, если знаешь как это делать.

Во-первых, при самой первой проверке, антивирус, направленный на проактивный метод обнаружения должен вычислить контрольную сумму файлов на диске вашего ПК, а это согласитесь, задача не из легких. За то в последующие разы, файлы к которым не было обращения, проверяться не будут, что ускорит проверку. Другая хитрость сводится к тому, что из списка проверяемых файлов можно исключить все файлы, которые не могут быть инфицированными в силу своей текстовой природы (но тут нужно быть весьма осторожными, так как некоторые вирусы имеют двойное расширение, например file.exe.txt), а их на диске может быть ни много, ни мало 5-6 тысяч и на проверку может уйти минут 40-50, но решать вам, на то это и тонкие настройки, также при настройке поведенческого анализатора можно указать те приложения, которые проверять не стоит, организовать так сказать "белый список". Также бывают и глюки, приводящие к тормозам работы антивируса. Например, у меня недавно случился глюк, после установки новой "оперы", а точнее версии 9.20, при этом запуск последней длился несколько минут, а то и вообще завершался ошибкой, подозрение сразу пало на антивирус, и после того как монитор был отключен, опера стала запускаться как и положено, мной было принято смелое решение, добавить файл opera.dll в "белый список" панды, и все пошло как нужно.


Тестовые лаборатории антивирусного ПО

Если спорить о том, какой же все-таки антивирус производительней и тщательней производит проверку файлов на предмет разного рода "бяк" не целесообразно, вследствие множества тонкостей и технических причин о которых пользователь может просто и не знать. Как тогда тестируют эти продукты и как вообще оценить технические стороны антивируса? В мире есть только три по настоящему серьезных антивирусных тестовых лабораторий, а именно Virus Bulletin, West Coast Labs и ICSA Labs. Еще имеется хорошая лаборатория в МГУ по адресу www.test-lab.cmc.msu.ru, но она почему-то не работала на момент написания статьи. В отличие от представленных выше, она независимая и не является всемирно признанной, но весь материал по этому адресу на русском языке.

Результаты этих тестовых лабораторий фиксируют только технологический уровень продукта, не отражая его брэндовую популярность и позиции на локальном рынке, и могут оказаться самыми неожиданными для простого пользователя. Сама технология тестирования антивирусов спрятана от пользователей и огласке не подлежит, но суть ее сводится к тому, что антивирусные пакеты проверяются на зараженных платформах с включенными сигнатурными базами и без них (это нужно для выявления качества работы эвристики и проактивного метода), моделируются разного рода ситуации, когда нужно вылечить пораженные вирусом файлы. В случае, когда антивирус справляется со всеми 100% вирусов из 100% существующих в коллекции, он проходит тестирование. Также может подвергаться тестированию и производительность антивируса. Но это тестирование, в силу своей специфики, может оказаться не совсем объективным, так что, на него упор особо не делается. Просто, как я уже и упоминал, разные технологии проверки требуют определенных ресурсов от системы и споры юзеров, которые в подавляющем большинстве используют пиратские копии антивирусов, без всякой поддержки со стороны производителя, а именно сигнатурных, проактивных, антиспамовых и firewall баз обновлений, лишены всякой основы и сводятся к "базарному скандалу", основанному на чисто своем мнении.


Что нас ждет в будущем?

Трудно спрогнозировать, но анализируя мнения вирусологов, таких как Дмитрий Лозинский и Евгений Касперский можно предположить, что с увеличением пропускной способности каналов Интернет и его постепенного удешевления, размеры вирусов станут больше и их зловредность и хитрость будет расти прямо пропорционально. Говоря о сложности вирусов также можно предположить, что закачав на жесткий диск тело в несколько мегабайт, у вас на компьютере может образоваться целая фабрика по созданию и распространению вирусов (бот и зомби-сети уже не фантастика), которая не будет никем контролироваться и создаст много новых вирусов, отсутствующих в сигнатурных базах и трудно поддающихся эвристическому и проактивному анализу (но не будем пессимистами, наверное к тому времени и антивирусные компании не будут сидеть сложа руки). Что же касательно гаджетов и мобильных устройств, то здесь вирусописатели только начинают осваиваться и чего от них ожидать одному Богу известно. Одно замечу, закрытость исходного кода (как это произошло с "Вистой", к ядру которой уже долгое время не подпускают антивирусные компании) и взгляды в сторону кроссплатформенности к хорошему не приведут и любой троян или шпион, написанный для одной платформы будет себя чувствовать достаточно фривольно на другой платформе (это тоже дело времени). Бытовые приборы тоже начинают обзаводиться полноценным выходом в Интернет, поддержкой mp3-файлов и чтением электронных книг, а это может привести к тому, что усовершенствованное железо какого-нибудь бытового прибора позволит выполнять на нем вредоносный код, используя дыры в безопасности (представьте холодильник поднявший температуру морозильной камеры до нуля). Уже сегодня, например можно в Сети скачать усовершенствованную прошивку "Январь" и "Бош" для бортовых компьютеров автомобилей. На данный момент ЭБУ (Электронные Блоки Управления) "бортовика" не позволяют выполнять произвольный код, но ведь никто и не подозревал в 1998 году, что на мобильном телефоне можно будет смотреть видео, фото и гулять просторами Интернет, используя при этом цветной дисплей размером 3 дюйма. А теперь можно только представить размах катастрофы, после того, как на СТО занимающимся чип-тюнингом, прошитый зараженной прошивкой ЭБУ отключит тормоза, по достижению автомобиля скорости в 100 Км/ч или скажем, заблокирует руль.

Уже сейчас заметны тенденции к тому, что вирусы все чаще выполняют роль грабителей информации (как сказали Натан и Якоб Ротшильды, "Кто владеет информацией, тот владеет миром") касающейся электронных платежей, паролей и секретных документов компаний, то есть, все направлено на получение прибыли, безобидные шалости типа неприличных слов и блокирования работы компьютера прибыли не приносят, а приносят только славу самолюбивым вандалам с явно нарушенной психикой. Также в дальнейшем увеличится рост количества спама, adware и тому подобной дряни, которая также нацелена на получение прибыли. Также сейчас набирает популярность такой вид кибер-преступности, как создание бот-сетей, в которых вирусы, трояны, эксплойты и черви принимают самое непосредственное участие, в общем, все эти действия преследуют только наживу, игрушки давно закончились.

Как бы не хотелось в очередной раз уйти от сравнения вирусов с эпидемиями биологического происхождения, но опять придется это сделать, дело в том, что в основном нынешняя зараза приходит на наши компьютеры через Интернет, а точнее из ненадежных ресурсов, таких как хранилища бесплатного софта, порносайты и сайты с крэками к программам.

Раньше же все было по-другому, Интернет был медленным и дорогим, CD-ROM`ы были далеко не на всех машинах и приходилось вирусописателям изгаляться и распространять свои творении на дискетах, по электронной почте и иногда конечно через Интернет. Но, даже сейчас придерживаясь некоторых правил можно обезопасить себя хоть и не на 100%, но на 95 уж точно, вот некоторые из них:
  • Установите себе в систему хороший, по Вашему мнению, антивирусный пакет и как можно чаще старайтесь его обновлять, о пиратском продукте и думать забудьте, от него будет больше проблем, чем пользы, а также отсутствие поддержки с обновлениями. Разберитесь в тонких настройках антивируса, и он после первого "прохода" будет производить проверку быстрее. Раз в неделю делайте полную проверку всего компьютера. Если у Вас на компьютере установлено несколько ОС, то установите на них разные антивирусные пакеты, иногда то что не нашел один антивирус, "подберет" второй. Когда вам нужна простая проверка файлов сигнатурным методом, отключите эвристику и проактивность, этим вы достигнете результата гораздо быстрее.
  • Старайтесь не посещать сомнительные ресурсы в сети, а если посещаете, то создайте защиту компьютера в лице брандмауэра и антивируса с новейшими обновлениями, а можно и прибегнуть к услугам виртуальной машины (кстати, все примеры с вирусами для этой статьи я приводил именно на VMWare Workstation).
  • Отключите автозапуск компакт дисков в системе, иначе можно получить вирус из самого неожиданного места. К примеру, я недавно взял у друга дистрибутив с Ubuntu Live CD и к своему удивлению обнаружил в корне диска троян под файлом автозагрузки, очевидно, кто-то очень умный и коварный закинул его в расчете на то, что диск будет вставлен в привод на системе Win32, как в моем случае. :)
  • Старайтесь не афишировать свой e-mail адрес на различных форумах и сайтах, очень скоро на него станут приходить спам-письма. Дело в том, что "активные" адреса в сети ищут не люди, а роботы, или их продают не честные на руку админы ресурсов, либо же их воруют с взломанных серверов.
  • Обязательно установите себе хороший фаервол (брандмауэр). Не пренебрегайте сетевой защитой - через открытые порты (особенно на скоростном прямом соединении) может столько всего залезть, а уж про VBS, JS, ActiveX и тому подобной сетевой активности с куками вместе взятыми и говорить не стоит, попутно и от всплывающих окошек избавитесь и баннеры мучить не будут.
  • Старайтесь не использовать разного рода носители информации, которым не сильно доверяете, а если все-таки пришлось - обязательно проверьте их на предмет вирусов, не только файловых, но и бутовых. Это касается разного рода флэш-карт и брелоков, USB-плееров, а также компакт дисков, на них вредоносного кода может быть не меньше.
  • Регулярно устанавливайте патчи и критические обновления к операционной системе и приложениям, в результате этих действий повышается устойчивость последних к атакам и нападениям на их слабые места.
  • Помимо антивируса и фаервола, установите себе в систему несколько утилит по проверке компьютера на Adware, шпионов (c этой задачей отлично справляется программа Ad-Aware) и т.д. Также не лишней будет инсталляция утилит, контролирующих целостность системных файлов типа Zone Alarm, WinPatrol и Xintegrity. Хочу заметить, что такие программы желательно устанавливать не в папку по умолчанию, а прятать их в папки к уже установленным программам, типа WinAmp, потому что хакеры и их продукты не редко закрепившись в системе, начинают поиск программ сторожей и антишпионов именно по стандартному пути с целью их уничтожения.
  • Старайтесь работать под учетной записью с ограниченными возможностями, когда вы работаете под учеткой "суперпользователя", то и разного рода вредоносные программы будут запускаться с таким же приоритетом.
Выполняя эти нехитрые советы и придерживаясь политики использовать только качественные антивирусные пакеты, вы обезопасите себя от разного рода виртуальной нечисти. Очень часто читатели просят автора представить список некоторых продуктов, по его мнению, хороших и качественных, я могу вам посоветовать три продукта, на мой взгляд, самых шустрых, обладающих оперативной поддержкой и технологиями эвристического и сигнатурного метода - это UNA (Украинский Национальный Антивирус), Panda Antivirus и NOD32.

Многие могут подумать, что здесь скрытая реклама антивируса Panda (уж больно часто он упоминается). Ничего подобного, этот антивирус действительно достоин внимания, и даже не столько своими технологическими свойствами (а они у него на высоте), сколько тем, что после установки вы имеете полноценные 30 дней триал-периода с автоматическим обновлением. Базы хранятся в одном файле pav.sig и после переустановки антивируса их просто нужно подменить и обновлений придется "затаскивать" гораздо меньше. Также на борту имеется качественный фаервол. Если в корень к инсталляционным файлам кинуть свежий файл с сигнатурами, то при установке антивируса на зараженный вирусами компьютер, он будет сразу же проверять ОЗУ и HDD свежими базами.
В стремлении к совершенству в неидеальном мире!