Особенности и нюансы антивирусного ПО

В настоящий момент под термином "компьютерный вирус" принято понимать любую вредоносную программу на компьютере/сервере (и даже мобильном телефоне), способную к самостоятельному распространению (заражению других файлов или устройств). Это не совсем верно: вредоносные программы могут сильно отличаться по принципам своего действия, но поскольку такая терминология уже исторически сложилась, не будем от нее отступать.

Быстрое распространение вредоносных программ благодаря различным типам компьютерных сетей (локальных и глобальных) всё чаще приводит к глобальным вирусным эпидемиям: сбоям в работе компаний и многомиллионным убыткам из-за простоя вычислительной техники, утере/краже или искажению данных.

Виды антивирусного ПО. Важность регулярного обновления

Очевидно, что при таком разгуле вредоносных программ компьютеры и серверы просто необходимо защищать современным легальным антивирусным ПО. Впрочем, только лишь наличие антивируса не является достаточной гарантией безопасности — для эффективного противодействия новым вирусам антивирусные базы программы должны регулярно обновляться.

Например, обновления для антивирусных продуктов лаборатории Касперского выходят несколько раз в сутки (!), а встроенная программа автоматического обновления самостоятельно загружает их через Интернет.

По характеру защиты от угроз обычно рассматривают два типа программ для защиты от вредоносного ПО:

— классические антивирусы; 
— комплексные продукты для защиты от различных видов угроз.

Программы первого типа содержат в своем составе антивирус и иногда модуль борьбы со шпионским ПО (antispyware), а вот вторые обеспечивают уже комплексную защиту ПК от всех видов угроз при работе в Интернете. В состав комплексного ПО дополнительно (помимо непосредственно антивируса) входят: сетевой экран (firewall), который заменяет стандартный брандмауэр Windows, модуль защиты от нежелательной почты (средства antispam), улучшенные инструменты по борьбе с фишингом и т. д.

Методы защиты

На сегодняшний день новые вирусы появляются постоянно и распространяются они, благодаря Интернету и локальным сетям, с очень высокой скоростью, поэтому детектирование вредоносных программ лишь по поиску фрагментов их уникального кода (сигнатурам, которые хранятся в базах антивирусных программ) оказывается неэффективным. Самые современные антивирусные программы используют интеллектуальные методы поиска угроз, такие как проактивная защита (эвристика).

Проактивная защита — метод поиска вредоносного ПО по характеру действий, которые совершает программа (анализ обращений к системному реестру, библиотекам, мониторинг операций чтения/записи и т. д.). Таким образом, проактивно работающий антивирус оперирует понятиями не "легитимный файл — вредоносный файл", а "разрешенное действие — запрещенное действие".

Разумеется, методы проактивной защиты не исключают использования классического анализа кода по сигнатурам, а лишь дополняют его. Здесь возникает еще одна проблема при использовании антивирусного ПО: так как количество известных вирусов постоянно растет — увеличивается как снежный ком и размер антивирусных баз с информацией о существующих вирусах. Производимый "на лету" мониторинг угроз (что является необходимостью) зачастую приводит к существенному замедлению работы компьютеров и серверов. Как показывают результаты тестирований, замедление файловых операций может достигать 100 % и более!

Чтобы потери в скорости работы вычислительной техники были не столь драматичными, вирусные базы некоторые разработчики периодически "подрезают", убирая из баз сигнатуры вирусов, которые они считают "устаревшими". Однако тестирование антивирусов, проводимое независимыми организациями, показывает, что такие методы оптимизации вредны и могут сделать компьютер беззащитным перед "ретровирусом".

Разговор о безопасности был бы не полным, если бы мы не указали на необходимость использования межсетевых экранов (Firewall).

Межсетевой экран (firewall) блокирует запросы из Интернета, пропуская разрешенные исходящие запросы пользователей, позволяет контролировать все сетевые порты (запрещать или разрешать работу сетевых сервисов), а также скрывает локальную сеть и шлюз (Proxy) от внешней сети таким образом, что получить информацию о локальной сети извне невозможно. Операционная система Windows, начиная с Vista, уже имеет в своем составе программный межсетевой экран, имевший в прошлом множество уязвимостей, которые, впрочем, компанией Microsoft исправлялись. Однако многие специалисты в области сетевой безопасности по-прежнему считают, что должную безопасность сети обеспечивают лишь firewall сторонних производителей.

Цена

Немаловажный вопрос в выборе антивирусных программ их стоимость. По этому признаку разделим антивирусы на платные и бесплатные. Очень многие пользователи бесплатных программ заявляют, что они ничем не хуже платных, однако в лидирующие позиции бесплатное антивирусное ПО пока не пробивалось и выбор за вами!

Итак, мы определили некоторый круг потребительских качеств антивирусного ПО, которые необходимо учитывать при выборе антивирусного пакета:

1. Комплексность защиты от угроз. 
2. Эффективность работы (качество защиты). 
3. Скорость работы. 
4. Цена.

Если с определением типа продукта всё довольно очевидно: комплексный продукт типа Internet Security — это более универсальное решение, то с качеством защиты сложнее. Оптимальный выбор можно сделать, обратившись к актуальным результатам независимых тестирований антивирусов. Только в этом случае можно быть уверенным в выборе надежного продукта. Организаций, которые проводят подобные исследования, несколько, но мы перечислим только самые авторитетные:

Virus Bulletin
AV-Comparatives
AV-Test

Разумеется, лидеры в комплексных тестированиях иногда меняются, но, как правило, лишь несколько продуктов постоянно находятся в пятерке лидеров.

Приведем конкретный пример — по результатам тестирования 16 антивирусных продуктов в конце мая 2009 года наивысшую оценку AV-Comparatives по интегральному качеству защиты "Advanced+" получили только три продукта: антивирус Касперского, ESET NOD32 и Microsoft One Care. Эти продукты продемонстрировали высокий уровень эвристического детектирования новых вредоносных программ при очень незначительном уровне ложных срабатываний.

Антивирусные продукты для домашнего и офисного применения отличаются сценарием использования, способами установки и лицензирования, однако по качеству работы не различаются. Помимо устанавливаемого в систему антивирусного ПО, замечательными решениями для удаления уже присутствующих на компьютере вредоносных программ могут служить бесплатные лечащие утилиты (небольшие программы, не требующие установки).

Dr.Web CureIt!, Kaspersky Virus Removal Tool или ESET Online Scanner, который можно запустить онлайн в Internet Explorer или, при использовании другого браузера, скачать ESET Smart Installer — приложение, которое позволит установить и запустить ESET Online Scanner в отдельном окне. Однако есть большой минус — эти программы не обновляются, поэтому каждый раз приходится скачивать полную версию (кроме ESET Online Scanner).

Внимание!

Использование более чем одного антивирусного продукта для защиты в режиме реального времени может вызвать конфликты и чрезмерное использование системных ресурсов, поэтому строго рекомендуется применять только один антивирус для защиты в режиме реального времени.