14 лет назад 29 апреля 2005 в 19:50 55

Подавляющее большинство пользователей использует сегодня два-три популярных антивирусных приложения, которые, к сожалению, не избавлены и от недостатков: один продукт грешит ощутимым воздействием на систему, другой имеет огромный дистрибутив и напрочь отказывается общаться на русском языке, третий напрягает ложными срабатываниями. Попробуем же отказаться от стереотипов и разобраться, насколько действенными и функциональными окажутся альтернативные продукты для борьбы с компьютерной заразой.

Критерии оценки

Антивирусы мы оценивали по следующим критериям:
– наличие инструментов для восстановления инфицированного загрузочного сектора;
– эффективность нейтрализации макровирусов;
– наличие почтового сканера;
– возможность определения инфекции на начальной стадии при загрузке файлов из Сети;
– частота обновления вирусных баз и наличие возможности их свободной загрузки с сайта разработчика;
– общая нагрузка на работу операционной системы и время сканирования разделов.

В качестве полигона была использована мультисистемная конфигурация: Windows 98SE + Windows 2000 SP4 + Windows XP SP2. Тестовым материалом послужила коллекция из 1200 вирусов.
Конец врезки

NOD32
Продукт от чешской компании Eset Software (www.nod32russia.com) имеет две разновидности: Standard и Administrator. Последняя позволяет создавать локальные зеркала обновлений антивирусных баз и программных компонентов.

Обновление антивирусных баз происходит автоматически, а встроенный планировщик дает возможность гибко настроить периодичность проверки и загрузки обновлений, например, при каждом запуске компьютера. Обновления антивирусных сигнатур выходят один-два раза в сутки.

NOD32 Control Center – своеобразный “мозговой центр”, позволяющий быстро переходить от одного модуля к другому

NOD32 имеет модульную структуру и содержит четыре главных компонента: AMON – резидентный антивирусный монитор; DMON, ведающий наблюдением за документами MS Office; IMON, проверяющий электронную почту и контент, загружаемый из Сети, а также сканер NOD32.

Вкладка POP3 окна настроек IMON содержит включенную опцию для безусловной проверки электронной почты и помимо прочего предлагает ставить отметку в тело вида “NOD32 1.869 (20040913) Information. This message was checked by NOD32 antivirus system. http://www.nod32.com”. При обнаружении инфицированной корреспонденции тема такого письма будет заменена предупреждением, а NOD32, сигнализируя об опасности, предложит либо переименовать вложение, либо уничтожить его.

NOD32 обнаружил зараженное письмо.

При использовании NOD32 можно не опасаться за проверку файлов, загружаемых из интернета, – на вкладке HTTP окна настроек IMON по умолчанию включена опция Enable HTTP Checking, что означает проверку трафика, входящего по протоколу HTTP через порты 80, 8080 и 3128. При этом по умолчанию будет определено HTTP-соединение и по другим портам (Automatically detect HTTP communication on the others ports too). При обнаружении заразы в файле, который мы планируем загрузить из Сети (если быть точным – в кэше браузера), программа немедленно предложит “прибить” данное соединение.

Дальше кэша браузера вирус не пройдет!

Четвертый модуль, обозначенный в окне Control Center как NOD32, является антивирусным сканером. По умолчанию предлагается сканирование всех дисков компьютера, в том числе и сетевых, но нелишне будет активировать еще и проверку архивов, почты и файлов, упакованных специализированными программами. Ко всему прочему NOD32 успешно борется с приложениями класса Riskware – Potentially dangerous applications.

Включаем дополнительные объекты сканирования

Предложим теперь испытуемому исправить загрузочную область диска, пораженную вирусами Stoned.A, Form.A и Nyb.B. Лицензионный CD “коробочной” версии не является загрузочным, однако с сайта разработчика можно бесплатно скачать DOS-версию продукта, которая успешно справилась с задачей и вернула к жизни испорченную MBR.

Абсолютно все DOC-файлы, зараженные макровирусами, были успешно вылечены. Точно так же в течение трех дней тестирования NOD32 ни одно зараженное письмо не проникло на подопытный компьютер. Сканирование тестовой вирусной коллекции показало великолепный результат: все вирусы были распознаны адекватно.

Но главными преимуществами NOD32 перед конкурентами являются практически незаметное влияние на быстродействие системы и высокая скорость сканирования – время проверки системного раздела объемом 2,2 Гб составило всего 190 секунд! И это – при максимально возможной “строгости” сканирования.

Из недостатков отметим лишь два: необходимость обновления антивирусных сигнатур исключительно через интернет и отсутствие загрузочного механизма для проверки и лечения NTFS-разделов.

Реактивный двигатель NOD32
Необычайная быстрота работы NOD32 является следствием того, что программа в процессе мониторинга и сканирования проверяет только те файлы, которые представляют реальную опасность. Например, инфицированный файл с расширением *dat невозможно запустить обычными средствами (в том числе и проигрывателями, воспроизводящими видеофайлы формата DAT), а следовательно, нет причин для беспокойства. Другими словами, резидентный монитор NOD32 не определяет файлы, содержащие некоторые части вирусов, которые не могут выполняться, а значит, не вредны.

PANDA TITANIUM ANTIVIRUS 2004
Panda Titanium Antivirus 2004 создан испанской компанией Panda Software (www.viruslab.ru). Мы намеренно решили использовать в тестировании именно версию 2004: недавний релиз Panda Titanium Antivirus 2005 оказался неудачным. В интерфейсе главного окна приложения привлекает наглядность и доступность параметров. При помощи пяти основных опций можно полностью настроить антивирус под свои нужды и предпочтения.

Одно из безусловных преимуществ “Панды” – исключительная простота локализованного интерфейса.
Радует, что на вкладке “Прочие расширенные параметры” уже включены опции автоматического обнаружения вредоносных утилит: инструментов скрытого управления и программ дозвона на платные сайты – борьба со SpyWare в последнее время становится обязательным атрибутом серьезных антивирусов.

Panda Titanium Antivirus 2004 защищает от утилит Riskware

Технология постоянной защиты является частью любого антивируса – в реальном времени ведется наблюдение за всеми операциями, выполняемыми компьютером, что иногда приводит к замедлению других функций. Основная причина этого в том, что антивирус проверяет одни и те же файлы тысячи раз в день (неважно, что большинство из них свободны от вирусов). Однако резидентный монитор Panda Antivirus Titanium отнимает у системы немного ресурсов, поскольку сосредотачивается на проверке только тех файлов, которые могут быть изменены. Это стало возможным благодаря фирменной кэш-системе, которая запоминает уже проверенные файлы.

Из четырех параметров, представленных в группе “Настройка”, мы бы еще посоветовали обратить внимание на опцию “Проверка файлов и папок”, где предлагается включить эвристический анализ, при помощи которого антивирус распознает “врага” в подозрительных объектах. Эвристическая технология основана на сложной технике проверки, которая определяет новые, пока не занесенные в базы данных вирусы. Проверка электронной почты осуществляется при любом типе почтового клиента, причем результаты “дезинфекции” весьма радуют – ни одно зараженное письмо не ушло от заслуженной расправы.

Обновления антивирусных баз выпускаются несколько раз в сутки. На сайте разработчика доступен для загрузки файл сигнатур PAV.SIG: если ваш ПК не имеет доступа в Сеть, то для обновления антивирусных баз достаточно скачать такой файл с другой машины и разместить его в программной директории.

“Панда” умеет создавать восстановительные (аварийные) дискеты: потребуется четыре флоппи (флоппи-диски сегодня особенно актуальны!), на которых будут размещены все необходимые файлы, включая антивирусные базы. Лицензионный компакт-диск с дистрибутивом Panda Antivirus обеих версий также является загрузочным и базируется на движке Linux, позволяя проводить аварийно-восстановительные работы в независимости от типа файловой системы.

Аварийно-загрузочный механизм флоппи-дисков и лицензионного CD имеет возможность выбора русского интерфейса

Благодаря фирменным разработкам Panda Software влияние этого продукта на производительность системы практически незаметно даже при включенной опции проверки архивов (хотя в этом отношении “Панда” несколько проигрывает NOD32). В то же время проверка входящей почты занимает довольно много времени: сканирование каждого письма длится полторы-две секунды. Системный раздел объемом 2,85 Гб сканировался всего 246 секунд.

Чувствительность резидентного монитора достойна высочайшей похвалы: несмотря на отсутствие интеграции с менеджерами загрузки, попавший в компьютер из Сети зараженный файл мгновенно распознается и обезвреживается. Со всеми нашими тестовыми заданиями “Панда” справилась великолепно, в том числе успешно восстановив инфицированный загрузочный сектор.

Лучшее – враг хорошего
В начале тестирования нами использовался загруженный с сайта разработчика локализованный дистрибутив Panda Titanium Antivirus 2005 с новой технологией TruPrevent, основанной на предупреждающем, а не на реагирующем подходе. Это может уберечь от вирусной угрозы, если “лекарство” от заразной новинки еще не найдено. Ко всему прочему в версию 2005 разработчики добавили зачатки персонального брандмауэра.

Но вот что получилось в итоге: после установки и перезапуска компьютера система сначала зависла, а после обращения к кнопке Reset стала загружаться гораздо дольше, нежели при использовании Titanium Antivirus 2004. Локализация интерфейса выполнена крайне халтурно – окна антивируса грешат “обрезанными” строками текста до такой степени, что решительно невозможно понять смысл той или иной опции. Более того, новинка умудрилась напрочь выбить соединение с интернетом. Все мыслимые манипуляции нужного результата не дали. Положение спасло удаление Panda Titanium Antivirus 2005 и установка версии 2004.

Медвежьи примочки
Несколько слов о фирменных технологиях, применяемых в семействе продуктов Panda Antivirus. Когда вирус заражает компьютер, он нередко прописывает свой автозапуск в системном реестре. Даже если полностью удалить файл, содержащий код вируса, то в момент запуска ОС появится сообщение об ошибке, так как система будет пытаться его найти. Поэтому антивирус должен не просто удалять файл, но также восстанавливать прежние значения системного реестра (установленные до заражения). Антивирусы Panda умеют это делать благодаря технологии SmartClean.

Обычно, когда в антивирусное ядро для проверки поступает множество файлов различных форматов, значительно возрастает уровень сложности проверки и понижается скорость ее выполнения. Благодаря технологии Virtual File антивирус Panda должен всего лишь поместить выбранный файл в специально отведенную для этого область памяти в определенном формате. В результате скорость проверки возрастает. Любое конкурирующее ядро для сканирования файлов копирует их во временную папку на жестком диске.

Средняя скорость доступа к файлам на жестких дисках измеряется в миллисекундах, тогда как скорость доступа к файлам, хранящимся в оперативной памяти, в худшем случае составляет наносекунды. Кроме того, технология Virtual File позволяет извлекать в оперативную память только необходимые для проверки части этих файлов.

EXTENDIA ANTIVIRUS AVK PRO
Особенность этого антивируса от Boomerang Software (www.extendia.com) – использование двух антивирусных движков: от “Лаборатории Касперского” и RAV Antivirus. В процессе выборочной установки предлагаются защита входящей электронной почты (протокол POP3), ежедневные процедуры загрузки обновлений и проверки компьютера, а также защита всех учетных записей, обнаруженных программой установки в почтовых клиентах Microsoft (пользователи The Bat в этом случае будут обделены).

Сюрприз: интерфейс главного окна, равно как и окно программных опций, на 100% скопированы с интерфейса другого антивирусного продукта – Steganos AntiVirus 6.x.x (www.steganos.com). Обновление происходит в два этапа: первыми загружаются базы движка “Антивируса Касперского” (KAV Engine), затем – RAV Engine. По умолчанию предлагается постоянная защита посредством обоих антивирусных движков. В настройках антивирусного сканера опять же по умолчанию включена проверка всего, что только можно, а также эвристический анализ.

Аварийный CD позволяет просматривать и восстанавливать пораженную информацию и базируется на ядре Linux. Наша тестовая загрузочная область, пораженная тремя вирусами, была восстановлена без проблем. Точно так же были правильно детектированы и вылечены вирусы из тестовой коллекции (те, что подлежали лечению).

Однако все достоинства продукта перечеркиваются довольно сильным влиянием на быстродействие операционной системы, особенно при получении электронной почты. Печально известные “лавры” Антивируса Касперского версий 4.x меркнут перед торможением, вносимым eXtendia AntiVirus AVK Pro. Ко всему прочему лишние телодвижения с активацией программы не вызывают дополнительного энтузиазма, равно как и отсутствие демо-версии и обновлений антивирусных баз для загрузки с сайта разработчиков. Дополнительный минус – отказ работать с The Bat!, Mozilla и Opera. Кстати, это единственный антивирус в нашем тестировании, который не знаком с Windows XP SP2 Security Center.

F-SECURE ANTI-VIRUS 2005
Финские парни из F-Secure Corporation предлагают свое видение антивирусной защиты (www.f-secure.com). Темперамент скандинавов начинает проявляться в самом начале установки – настолько этот процесс медленный. Затем наступает черед автоматической загрузки обновлений и…вновь “сюрприз”: более 40 (сорока!) мегабайт входящего трафика. Интересно, что нам дадут взамен 40 Мб трафика?

Но этим дело не кончилось: после перезагрузки системы было предложено загрузить очередной Hot-fix для dial-up-соединения и еще один патч непонятного происхождения. После череды перезагрузок в программном меню обнаружились пункты дополнительных модулей Anti-Spyware и Ad-Monitor. Оба модуля на 100% схожи с тем, что мы видели в бесплатной шведской утилите Ad-Aware (www.lavasoft.de), включая все элементы интерфейса (шведы и финны – братья навек).

Первое, чем озаботился антивирус – выключил коннект в тестовой машине, что сопровождалось ужасающим торможением всей системы. Причина крылась в брандмауэре Agnitum Outpost Firewall 2.5 Pro: после удаления файерволла все пришло в норму, коннект восстановился, а влияние антивируса на систему снизилось практически до нуля (на сайте разработчика ничего не говорится об антагонизме F-Sequre vs Autpost). Таким образом, F-Secure Anti-Virus 2005 противопоказан владельцам этого замечательного брандмауэра.

Проверка архивных файлов по умолчанию отключена, что характерно для большинства антивирусов. Мы настоятельно советуем включить данную опцию, поскольку F-Secure Anti-Virus 2005 успешно определяет заразу в архивах, загружаемых из Сети и уже находящихся в кэше браузера.

По умолчанию мониторинг архивов в F-Secure Anti-Virus 2005 отключен.

Обновления антивирусных баз проверяются раз в час, и изменить данный интервал нельзя. Изначально включена проверка исходящей и входящей электронной почты, причем результативность проверки корреспонденции весьма велика, равно как и скорость досмотра.

F-Secure Anti-Virus 2005 показал отличные результаты проверки входящей почты.

Увы, этот испытуемый потерпел полное фиаско при лечении инфицированной загрузочной области жесткого диска: средства, необходимые для этой операции, в F-Secure Anti-Virus 2005 отсутствуют, как и DOS-версия для свободной загрузки на сайте разработчика. С остальными задачами – лечением макровирусов и борьбой с тысячей зловредных файлов из тестовой коллекции – финский антивирус справился успешно. Время сканирования системного раздела емкостью 2,2 Гб составило немногим более 11 минут.

MCAFEE SCAN FOR VIRUSES
С начала 2005 года продукт McAfee Antivirus (www.mcafee.com) невозможно скачать с сайта разработчика – этот английский борец с заразой стал частью программного пакета McAfee Security Center, ознакомительная версия которого загружается и устанавливается он-лайн.

Хочешь ознакомиться с McAfee Antivirus? Загружай с сервера.

Несмотря на громкое имя, настройки McAfee Antivirus довольно скудны: по умолчанию предлагается автозапуск резидентной защиты и проверка почтовых вложений. Включен эвристический анализ, проверка исходящей и входящей почты, а также блокировка вредоносных скриптов и электронных червей. Даже “продвинутые” настройки McAfee Antivirus выглядят скудно и примитивно.

Но вот полезный момент – создание аварийно-восстановительной дискеты: DOS-версия продукта достойно справилась с тестовой загрузочной областью, пораженной вирусами. Но несмотря на то, что резидентный монитор изначально настроен на проверку всех файлов, McAfee Antivirus так и не смог опознать вирусы в ZIP-архивах, загружаемых в процессе тестирования с одного из сетевых вирусных Клондайков. Более того, при попытке открыть инфицированный архив этот испытуемый никак не отреагировал. И лишь при извлечении вируса McAfee Antivirus проснулся, сигнализируя отчаянным сообщением.

McAfee Antivirus проявил себя только при извлечении вируса из архива.

Справедливости ради следует отметить качественное лечение зараженных файлов – в этом аспекте McAfee Antivirus показал себя ничуть не хуже соперников. Точно так же программа без труда справилась с тысячей вирусов из нашей тестовой коллекции. Однако совершенно неясно, с какой периодичностью происходит автоматическое обновление антивирусных баз – в настройках программы нет ни единого намека по этому поводу. Ручной апдейт сигнатур происходит крайне медленно, сопровождаясь сообщениями об ошибке подключения к серверу.

При сканировании по требованию будет проверено все, что может быть досмотрено, включая приложения класса Riskware. Сканирование тестового раздела длилось более 15 минут – это рекорд нашего теста. Воздействие на работу системы сравнимо с использованием “Антивируса Касперского” 5-й версии.

F-PROT ANTIVIRUS 3.16
В Исландии, как оказалось, понимают толк в разработке антивирусных продуктов – компания FRISK Software International (www.f-prot.com) выпускает небольшой, но вполне функциональный антивирус. По завершении инсталляции и перезагрузки стартует автоматическое обновление, длящееся совсем недолго. Правда, для корректной загрузки новых сигнатур пришлось в разделе Info > Updater главного окна выбрать параметр Internet (on-line) вместо Local Network (часть антивирусов в настройках обновления предпочитают последнюю опцию при выделенном соединении).

Небольшая корректировка параметров соединения для апдейта F-Prot Antivirus

В системном лотке поселяются два значка: планировщик и резидентный монитор F-StopW. По большому счету, планировщик можно отключить – задача автоматического обновления будет выполняться в лучшем виде и так, причем можно задать любой интервал загрузки новых антивирусных баз: от одного часа до одного года.

Выбор интервала обновления во встроенном планировщике

DOS-версия антивируса существует, но для ее загрузки придется заплатить отдельные деньги. Впрочем, пользователи, работающие в среде Win98/ME, обнаружат необходимые файлы для DOS в каталоге C:\Program Files\FSI\F-Prot (F-prot.exe, MACRO.def, sign.def, sign2.def, NOMACRO.def). При загрузке в DOS-режим и запуске файла F-Prot.exe инфицированная тестовая загрузочная область благополучно “выздоровела”. Лечение тестовых DOC-файлов, зараженных макровирусами прошло столь же успешно, как и расправа над компанией вирусов из нашей тестовой коллекции. При попытке загрузить инфицированный архив из Сети F-Prot распознает заразу еще в кэше браузера. Таким образом, можно не беспокоиться об интеграции антивируса с менеджерами загрузки.

F-Prot отлично детектирует сетевую заразу.

Воздействие на систему практически не ощущается, совсем как в случае с NOD32. Сканирование тестового системного раздела (2,2 Гб) длилось чуть менее пяти минут. В результате в нашем состязании выявилось три явных фаворита: NOD32, Panda Titanium Antivirus 2004 и F-Prot 3.16. Мы склонны определить победителем антивирус NOD32 за модульную структуру (ненужные модули можно смело отключить), высокую скорость работы и практически неощутимое воздействие на работу системы. На сайте российского представительства компании ESET Software уже доступен модуль русификации, который будет включен в следующий релиз программы.

Продвинутым пользователям можно смело рекомендовать F-Prot 3.16 за гибкость настроек и высокую скорость работы. Для большинства же юзеров, не любящих разбираться с огромным количеством параметров, идеальным выбором станет Panda Titanium Antivirus 2004: абсолютно простой и понятный русский интерфейс, крайне слабое воздействие на операционную систему и отличные результаты борьбы с инфекцией.