Антивирусы 2004

18 ноябрь, 2003 - 00:00Игорь Дериев
Насколько важны "классические" антивирусы на платформе Windows? Как показывают громкие инциденты последних лет, ответ на этот вопрос не так уж очевиден. Скорость распространения почтовых и других "червей" (причем не только изощренных, но и совершенно банальных) такова, что даже минимальная задержка выпуска обновлений баз сигнатур приводит фактически к пандемии.

С другой стороны, многие грамотные пользователи прекрасно обходятся без антивирусов, всего лишь выполняя несложные правила "кибергигиены": не устанавливать программное обеспечение из сомнительных источников и своевременно обновлять (и корректно настраивать) операционную систему и основные приложения. Это -- главные, а к ним, естественно, можно добавить еще несколько, скажем, весьма полезно иметь какой-то поведенческий блокиратор, принципиально предотвращающий наиболее распространенные виды угроз. Сегодня это персональный брандмауэр, который, к тому же, кроме защитных функций, способен выполнять еще целый ряд "утилитарных" -- от подавления излишней Web-рекламы до осуществления полного контроля за трафиком.

Тем не менее списывать "классические" антивирусы со счетов еще рано. Пусть они не слишком хорошо справляются с неизвестными видами угроз, зато надежно защищают от тех, что уже попали в их "картотеки". Не вызывает сомнения, однако, что реализуемые ими меры безопасности со временем должны становиться все более комплексными. Тенденции развития данного класса ПО мы попробуем выявить на примере двух самых распространенных продуктов.


Norton AntiVirus 2004

Антивирусы Symantec (во всех своих ипостасях), пожалуй, одни из наиболее популярных и "заслуженных". Фактически многие оригинальные решения впервые появились именно в продуктах под маркой Norton. Впрочем, в этом есть и отрицательный момент -- компании чем дальше, тем сложнее радовать своих пользователей новыми возможностями. Защита электронной почты давно уже доведена почти до совершенства (в рамках нынешней технологии), в прошлой версии был реализован контроль за Internet-пейджерами, точнее, проверка передаваемых через них файлов. В нынешнем выпуске наиболее принципиальным (и чуть ли не единственным) дополнением можно считать защиту от "других видов угроз", к каковым традиционно относят "троянских коней", adware, spyware и прочий потенциально вредоносный код, который не всегда даже поддается четкой классификации.

В базе знаний Symantec имеется документ "Types of non-viral threats detected by Norton AntiVirus 2004", в котором данная функциональность описана чуть более подробно, чем в стандартной документации -- с определениями и примерами, позволяющими надеяться, что данный механизм каким-то образом все же работает. Тем не менее никаких технических подробностей не приводится, равно как и явного списка отлавливаемых "инфекций", однако можно сказать с полной ответственностью, что он далеко не так полон, как, скажем, у Ad-aware или Aladdin Internet Cleanup ("Компьютерное Обозрение", # 33, 2003). Во всяком случае Net Vampire 3.3 (как известно, "зараженный" Aureate/Radiate) Norton AntiVirus 2004 оставил без внимания, в отличие от обеих упомянутых специализированных программ.

Также стоит обратить внимание на изменение значений некоторых параметров, устанавливаемых по умолчанию, к примеру, теперь резидентный антивирусный монитор сканирует и архивы. Достаточно переместить большой ZIP-файл из одной папки в другую, чтобы убедиться в этом воочию -- возле системной панели Windows появится специальное информационное окошко, в котором, кстати, проверку можно и отменить. Вообще, наличие многочисленных настроек, позволяющих управлять различными аспектами функционирования программы, является отличительной чертой Norton AntiVirus.

Последнее новшество версии 2004 к антивирусной теме не имеет никакого отношения. Symantec вслед за Microsoft решила внедрять в свои потребительские продукты процедуру активизации. Нетрудно догадаться, что первая реакция общественности была отрицательной. Ведь нюансы все-таки возникают, а комментарии к ним могут быть, к примеру, и такими: "Symantec is investigating this problem. The cause is unknown, and there is no solution at this time".

Антивирусы 2004
Norton AntiVirus 2004 находит не только вирусы


McAfee VirusScan 8

В отличие от конкурирующего пакета Symantec, VirusScan 8 буквально "фонтанирует" новациями. Правда, разработчикам из McAfee в определенном смысле было легче, поскольку только сейчас их детище сравнялось по функциональности с Norton Antivirus (это не мешало, однако, западным обозревателям ставить оба пакета на один уровень и попеременно отдавать предпочтение то одному, то другому).

Наиболее существенное, на наш взгляд, изменение -- нормальная организация проверки электронной почты. Теперь соответствующий модуль McAfee VirusScan 8 работает по принципу пакетного брандмауэра, т. е. абсолютно прозрачно для любых клиентов, поддерживающих протоколы POP3 и SMTP. Аналогии с Norton Antivirus можно проводить и дальше -- программа также умеет удалять зараженные вложения и заменять их текстовыми файлами с информацией о проделанной ею работе.

Столь же гладко реализован и контроль за Internet-пейджерами. McAfee VirusScan 8 проверяет файлы, передаваемые через MSN Messenger, Yahoo Messenger и AOL Instant Messenger, начиная с версий 6.0, 4.1 и 2.1 соответственно. Согласно общему подходу программы (минимум настроек, которые могут озадачить неподготовленного пользователя), данный механизм допускается только включать/отключать целиком, тогда как Norton Antivirus предлагает индивидуальные настройки.

Как и следует из их названий, два новых механизма -- ScriptStopper и WormStopper -- борются с системными скриптами и почтовыми "червями" (опять же, все это давно имелось в продуктах Symantec). Первый контролирует код, выполняемый Windows Scripting Host, и приостанавливает потенциально опасные операции (причем к таковым относится даже чтение данных) с файловой системой и реестром, затем пользователю придется принять груз ответственности на себя. В отличие от Norton Antivirus подписать сценарий и избавить себя от лишних напоминаний нельзя, что довольно неудобно -- особенно если скриптинг применяется для автоматизации каких-то продолжительных процедур. Что касается WormStopper, то проверить его в действии мы, конечно же, не могли, однако принцип работы совершенно понятен из доступных настроек -- как только интенсивность рассылки писем достигнет некоторого критического порога, она будет прервана.

Если верить справочной системе, McAfee VirusScan 8 тоже способен обнаружить spyware и кое-какие другие виды угроз, хотя найти подробности об этом механизме также не удается. Во всяком случае с Aureate/Radiate программа не справляется, как и Norton Antivirus 2004.

Антивирусы 2004
Не слишком эффективная защита, но лучше, чем ничего


Что выбрать

Антивирусы 2004
Статистика помогает выявить места обитания вирусов
Итак, с точки зрения функциональных возможностей между McAfee VirusScan 8 и Norton AntiVirus 2004 наблюдается почти полный паритет. Это говорит о том, что все подобные продукты развиваются более или менее в одном направлении -- в частности, стараются перекрыть все возможные каналы поступления вредоносного кода в систему. Следовательно, можно предположить, что в дальнейшем это приведет к слиянию антивирусов и персональных брандмауэров. Некоторые конкуренты уже пришли к такому (вполне логичному на наш взгляд) решению, однако McAfee и Symantec пока предпочитают торговать как комплексными пакетами, так и отдельными приложениями.

McAfee VirusScan 8 отличается простотой и компактностью, тогда как Norton AntiVirus 2004 довольно ощутимо "нагружает" систему. Зато собственно антивирусный сканер быстрее у Symantec. Оба продукта и стоят практически одинаково ($50 за загружаемые версии), равно как и годовые подписки на обновление вирусных баз (около $15). Такая вот хитрая маркетинговая уловка -- изначально данный сервис обеспечивается только на первый год. McAfee запутывает ситуацию еще больше, предлагая подписку на свои продукты. Заплатив $35, услугами McAfee VirusScan 8 можно будет пользоваться в течение года. Одним словом, чтобы оптимизировать вложение капитала, придется привлекать квалифицированного экономиста.

И все-таки главное, что должно заботить пользователя при выборе антивируса, -- то, как программа справляется со своими основными функциями. Естественно, провести такое дознание собственными силами невозможно -- для этого как минимум нужно иметь солидный арсенал вирусов. Подобную информацию предлагают несколько заслуживающих внимания источников. К примеру, Virus Bulletin и ICSA Labs регулярно проводят тестирования множества продуктов на различных платформах. К сожалению, McAfee в 2003 г. этой возможностью пренебрегает, хотя даже само участие в подобных "соревнованиях" (независимо от оценок) уже свидетельствует о стремлении разработчиков обеспечить адекватное качество своих продуктов.

Кстати, на указанных сайтах можно познакомиться с успехами и других конкурентов. В последнее время положительные оценки, к примеру, регулярно получает продукция Grisoft, к которой относится и AVG Free Edition. Правда, как это часто бывает, бесплатное ПО предоставляет несколько урезанные возможности и обновляется по остаточному принципу. Так, AVG Free Edition построен на движке 6.x, тогда как коммерческие версии -- на 7.x, и, в частности, обеспечивают проверку электронной почты на уровне протоколов POP3 и SMTP. Тем не менее защитой пренебрегать не стоит, и лучше начать хоть с чего-то, чем находиться в постоянном ожидании неприятностей.