Перейти к контенту ↓


Субъективно о настройке антивирусов

Грамотное конфигу­рирование антивирусной защиты имеет сегодня, как ни странно, очень большое значение. Дело в том, что производители антивирусов всё чаще пытаются думать за пользователя, предлагая им своё собственное видение настроек. Но пользователи-то все разные. И задачи у них разные. Кому-то важнее скорость работы, кому-то — уровень защиты, кому-то просто не хочется «париться». А многие и рады бы настроить антивирус под свои требования, да мало в этом понимают. Но хуже всего — когда, не понимая, всё-таки настраивают…

А в этом деле даже одна незаметная галочка в опциях антивируса может свести все усилия на нет. Попробуем же разобраться, как настроить антивирус таким образом, чтобы получить наиболее оптимальное (с нашей субъективной точки зрения) сочетание производи­тельности системы и высокого уровня защиты. И заодно попробуем, по мере наших скромных возможностей, оценить полученный результат — посмотрим, блокирует ли наш антивирус тестовые файлы с «вирусом» EICAR ещё на этапе их загрузки со странички www.eicar.org/anti_virus_test_file.htm и насколько хорошо при наших настройках он справляется с архивом, содержащим 3740 не самых свежих вирусов. В последнем случае мы хотим добиться того, чтобы при обычной работе пользователя за ПК антивирусный монитор не пыжился бы каждый раз, когда в Проводнике мы будем открывать папку с заражённым архивом (распаковка — одна из самых ресурсоемких задач), и тем более — не растрачивал бы силы на проверку заведомо незаражаемых файлов, но при этом и не давал бы запустить ни один вирус из этого архива. Сканер же, наоборот, должен выявлять все вирусы даже внутри несколько раз упакованного архива.

Norton AntiVirus 2008 15.5.0.23

Настройки самого свежего антивируса от Symantec вызываются из главного окна Norton Protection Center: «Options» → «Norton AntiVirus». В разделе «General options» → «Settings» есть смысл включить защиту продуктов Norton, дабы зловреды не могли «убить» антивирусный процесс или подменить базы программы фальшивыми. Можно также включить отображение иконки Auto-Protect в системном трее. В этом случае вы всегда будете знать, включен монитор или нет, да и управлять им будет немного удобнее.

В настройках LiveUpdate можно включить оповещение о наличии обновлений — это особенно полезно для тех, кто пользуется разными способами интернет-доступа, например для владельцев ноутбуков. В этом случае вы сможете отказаться от скачивания баз в тот момент, когда сидите на дорогом и медленном GPRS. Кстати, запуск быстрого сканирования после получения обновления включен по умолчанию, и это правильно. Так как при быстром сканировании проверяются приложения, находящиеся в оперативной памяти, и элементы авто­запуска — то есть те места, где в первую очередь может оказаться вирус, если он вдруг был пропущен с предыдущими базами. При таком раскладе вы имеете шанс выявить его максимально быстро — как только его сигнатуры окажутся в загруженном вами обновлении. А это сведёт последствия заражения к минимуму — очень часто всё самое страшное происходит при пере­загрузке заражённого ПК.

В окне «Real-Time Protection» → «General Settings» стоит включить мониторинг подозри­тельной активности и его Advanced Mode. В этом случае программа будет не только следить за поведением того, что вы запускаете, но и выдавать вам сообщения о замеченных странностях. Отключать этот режим можно разве что на слабых компьютерах, если идет борьба за каждый процент производи­тельности. Здесь же стоит согласиться со сканированием сменных носителей (на которых сейчас распространяется неимоверное количество вирусов) и документов MS Office.

В настройках «Auto-Protect» обратите внимание на функцию загрузки антивируса в момент старта системы — это повысит уровень защиты. Две другие опции позволяют улучшить производи­тельность его работы — кэширование для этого надо включить (антивирус не будет повторно проверять уже проверенные файлы, если они не изменялись, причем даже после пере­загрузки ПК), а эвристический механизм Bloodhound применительно к монитору допустимо отключить. Эвристикой пусть занимается сканер раз в неделю или на особо подозри­тельных файлах.

В настройках «Email Protection» есть резон поставить дополнительно к тому, что уже есть по умолчанию, ещё пару флажков. Во-первых, включить запрос при обнаружении заразы в исходящем письме (чтобы вы точно знали, что никакое ваше письмо не было удалено без вашего ведома, и сразу же обратили бы внимание на заражение своей системы). Во-вторых, отображение прогресс-индикатора при сканировании писем (чтобы вы не разорвали соединение до того, как письмо будет действительно отправлено).

Раздел «Instant Messenger» прозрачен — либо вы включаете защиту своего пейджера, либо… вы его не находите в списке, что более вероятно. Ни QIP, ни даже ICQ или «Миранды» здесь нет.

Очень интересен диалог «Internet Worm Protection». По сути, это мини-файерволл, очень близкий к Norton Personal Firewall, но позволяющий создавать правила (вполне полно­ценные — вплоть до указания портов, адресов и протоколов) для приложений только в отношении входящих соединений. То есть вы можете либо разрешить входящие сетевые подключения к той или иной своей программе, либо запретить. Исходящие соединения не контролируются. Здесь же механизм защиты от сетевых атак (аналог Intrusion Prevention из NIS), правила файерволла по умолчанию, система авто­блокировки атакующих вас компьютеров и механизм контроля за известными уязвимостями браузера. (Кстати, несмотря на наличие файерволла, антивирусом трафик, к сожалению, не проверяется — зараза вылавливается уже на диске, в кэше браузера.) В принципе, все настройки тут можно оставить по умолчанию. Продвинутый же пользователь может более тонко настроить файерволл, например, запретив в нем доступ к расшаренным папкам вашего ПК, но этой темы мы пока касаться не будем — нас сегодня интересуют только антивирусные компоненты. Разве что стоит обратить внимание, что в случае установки внешнего файерволла (того же Outpost) придётся, видимо, отключить полностью Internet Worm Protection, иначе возможны конфликты. Да и в этом случае не факт, что сторонний файерволл с Norton AntiVirus 2008 уживутся.

Вкладка «Manual Scanning» отвечает за работу сканера, а потому здесь всё должно быть выставлено на максимум. Изначально так и есть, так что ничего не меняем. Если же что-то вполне законопослушное будет ошибочно принято за кейлоггер или руткит, то это можно будет потом внести в список исключений.

Точно так же ничего не стоит пока менять и в разделе «Exclusions». Пусть сканируется всё, кроме папок службы System Restore, а при обнаружении Low-Risk угроз выдается запрос к пользователю. Не трогаем и раздел «Home Networking» — он нас в контексте этой темы не интересует.

На этом настройки «Нортона» закончены. Обратите внимание: нигде нет возможности задать поведение антивируса при обнаружении им явных угроз. Для Low-Risk и исходящих писем можно задать вывод запроса, а вот угрозы, которые программа посчитает Medium или High, она тут же удалит, не считаясь с вашим мнением! Сказывается это крайне сомнительное решение и на быстро­действии сканера: архив с вирусами общим размером всего лишь порядка 5 Мб он сканирует, а потом безоговорочно лечит в течение 11-12 минут!

Субъективный вывод: антивирус с интересным дополнительной функциональностью, отлично подходящий как раз для тех, кто «не хочет париться». А вот для загадочной русской души продвинутых юзеров он, пожалуй, может оказаться идеологически чужд по той же самой причине — из-за недостаточной гибкости — навязанного мини-файерволла и невозможности произвести некоторые важные настройки.

Dr. Web 4.44

Dr. Web, в отличие от американского конкурента, едва ли не самый гибкий антивирус. На стадии установки можно при желании отказаться почти от любого его компонента, выбрав для инсталляции один-единственный сканер. Такой вариант сработает даже в паре с любым другим антивирусом. И хотя два антивируса ставить одновременно категорически не рекомендуется из-за неминуемых конфликтов входящих в их состав резидентных мониторов, сканер Dr. Web (если установлен только он, без SpIDer Guard) не вносит в систему никаких драйверов и потому вполне уживается с другими продуктами (желательно только на время его вызова отключать монитор конкурента, дабы не было замедляющей скорость двойной пере­проверки). А два антивируса — это, на наш взгляд, надежнее чем один. И удобнее, чем использование LiveCD для проверки винчестера вторым антивирусом. Небольшие файлы хорошо, правда, проверять на www.virustotal.com/ru и virusscan.jotti.org, а вот получить независимую информацию от нескольких антивирусов про подозри­тельный файл более-менее существенного размера пока можно только локально.

Поскольку Dr. Web состоит из нескольких достаточно независимых компонентов, то и настраиваются они каждый отдельно. Начнём с монитора SpIDer Guard. Обратите внимание, что режим проверки «на лету», который выставляется на вкладке «Проверка», по умолчанию в положении «Оптимальный». Заглянем в справку и узнаем, что же разработчики скрывают за этим хитрым словом. Оказывается, в этом режиме монитор не реагирует на запускаемые и открываемые файлы, если они находятся на жестком диске. Файлы проверяются, только если они на сменном носителе или создаются/изменяются у вас на винчестере (в нашем случае SpIDer Guard никак не отреагировал на попытки запуска файла EICAR.COM — не являющегося настоящей программой, заверещав только при его копировании, но возможно, в случае настоящего вируса вновь создаваемый процесс SpIDer всё же проверит, по крайней мере, так утверждают разработчики). Безусловно, скорости монитору этот подход прибавляет. Но пользователь в таком случае просто обязан сразу же после установки антивируса просканировать весь свой жесткий диск с максимально жесткими настройками. И не забывать проводить эту процедуру в дальнейшем (например, с помощью планировщика). Иначе есть риск пропустить затаившуюся где-то в дальней папке заразу.

Поэтому я бы советовал использовать всё же другую опцию, установив флажки «Запуск и открытие» и «Создание и запись». Учитывая безалаберность нашего брата, это будет, пожалуй, разумнее. Впрочем, разработчики считают этот вариант чрезмерно параноидальным, поскольку у сторожа Dr. Web есть режим расширенной защиты, который по умолчанию включен. Он заставляет программу ставить в очередь все открываемые файлы и проверять их не немедленно, а несколько позднее, нежели те, что заданы в разделе проверки «на лету». Когда система оказывается наименее загружена. То есть даже если режим проверки будет «Оптимальный», открываемые файлы всё же будут проверяться, но не сразу, а с задержкой. (Тот же EICAR.COM был в конце концов замечен. Но это тестовый имитатор вируса, а что будет, если вы запустите настоящий вирус, а программа среагирует на него только через минуту? Без лечения не обойтись. Кстати, Dr. Web — один из лучших антивирусов в плане лечения.)

Так что будем считать, что мы всё же выбрали режим «Другие», отказавшись от «Оптимальный» — в этом случае монитор запретит доступ к заражённому файлу уже при наведении на него мышки в Проводнике. Если же вам покажется, что нагрузка на процессор заметно возросла (в нашем случае, например, полная загрузка ПК при «Оптимальном» занимала порядка двух минут, а при «Другие» — трёх), то можно попробовать вернуть «Оптимальный” и даже отключить эвристический анализ — для монитора (при условии регулярной проверки диска сканером с жесткими настройками) он, на наш взгляд, не очень нужен. Хотя разработчики всё же категорически не рекомендуют это делать.

Вообще, значительно увеличить производи­тельность монитора можно, если проверять только исполняемые файлы и файлы документов, которые могут быть заражены (например, DOC). Зачем тратить ресурсы монитора на проверку архивов? Лежат они на диске и пусть лежат, до тех пор пока пользователь не попробует запустить из архива какой-то файл или распаковать его. Или зачем проверять принципиально не заражаемые TXT-файлы? Чтобы добиться такого поведения от Dr.Web надо всего лишь поставить флаг «Заданные маски» (или «Выбранные типы» — чуть медленнее, но при этом антивирус будет определять тип файла не по расширению, а по содержимому) на странице «Типы файлов». По умолчанию проверяются все файлы (кроме архивов), в том числе и текстовые, в которых вирусов не бывает. Только пусть вас не смущает наличие в списке типов архивов — пока вы не поставите флажок «Файлы в архивах», ресурсы на распаковку архивов (хоть они и указаны в списке) тратиться не будут.

Очень хороши настройки монитора SpIDer Guard в плане его реакции на обнаружение инфицированного объекта — тут пользователь имеет полную свободу действий. Лично я всегда ставлю «Информировать», дабы каждую обнаруженную угрозу можно было проанализировать и выбрать соответствующее решение самостоятельно.

Настройки сканера в целом аналогичны. Только здесь уже надо непременно включить эвристический анализ, задать проверку всех файлов, а также архивов и почтовых баз. Реакцию антивируса на обнаружение инфекции устанавливайте по своему вкусу — «Информировать», с нашей точки зрения, лучший вариант. При желании можно воспользоваться и компонентом, проверяющим входящую почту на предмет вирусов и спама — SpIDer Mail — в его настройках также нет ничего сложного (проверяемые TCP-порты можно указывать вручную).

Субъективный вывод: отличный вариант, в том числе в качестве дополнительного сверх­быстрого сканера. К тому же грамотному пользователю, изучившему документацию, программа позволяет произвести любую дополнительную настройку в соответствии со своими личными предпочтениями. Но веб-траффик, к сожалению, не сканируется.

Антивирус Касперского 7.0.1.325

Настройка Антивируса Касперского начинается ещё во время установки. Здесь вам предлагается определиться, что вам больше подходит: базовая защита или более серьезная — интерактивная, рассчитанная на опытных пользователей. Выберем интерактивную со всеми сопутствующими опциями, оставив в других окнах всё по умолчанию.

После пере­загрузки системы откроем настройки антивируса — одни из самых богатых среди подобных программ. Поэтому обратим внимание на наиболее важные моменты. В разделе «Защита» → «Файловый антивирус» → «Настройка» устанавливаются параметры резидентного монитора. Изначально всё настроено вполне грамотно. В случае обнаружения вируса пользователю выдается запрос, файлы проверяются не все, а по содержимому — то есть такие, что могут быть заражены (для повышения производи­тельности пере­ключимся на проверку по расширению), проверяются только новые и измененные файлы (KAV особым образом «помечает» файлы, которые уже проверил), а архивы не распаковываются, выбран интеллектуальный режим проверки, а эвристика отключена. Вполне логичные параметры выставлены для веб– и почтового антивирусов, а также для механизма проактивной защиты. Так что даже любитель настраивать всё и вся вряд ли будет что-то здесь менять.

Обратите внимание: благодаря тому, что здесь файловый и веб-антивирус разделены, плюс весь сетевой трафик обрабатывается с помощью специального драйвера, значительно повышается веб-защита — вредоносные файлы отлично пере­хваты­ваются ещё до их передачи браузеру. Это очень важно, так как полностью исключается выполнение вредоносного кода браузером. Если же вирус ловится уже в кэше браузера, то заражение теоретически вполне возможно. А благодаря обработке SSL-соединений вирус пере­хватится, даже если будет пере­даваться по защищенному каналу (в базовом режиме эта фича отключена)! Причем при необходимости можно включить контроль по любому TCP-порту.

Отдельного внимания заслуживает модуль Проактивной защиты — поведенческий блокиратор. Поскольку далеко не все новые и неизвестные вредоносные программы могут быть обнаружены в режиме эмуляции (эвристикой) до их запуска в системе, крайне полезным бывает отслеживать поведение программ, запущенных в системе, и в случае опасности блокировать их действия. Компонент «Проактивная защита» как раз защищает от новых и неизвестных вредоносных программ, основываясь на анализе их поведения. Надо сказать, что сочетания сразу трех методов защиты: сигнатурного, эвристического и поведенческого, это характерная особенность именно Антивируса Касперского.

Раздел «Поиск вирусов» отвечает за работу сканера. Изначально для удобства пользователя задачи сканирования системы разделены. Например, вы можете оперативно проверить наиболее критические области своего ПК: память, авто­загрузку, загрузочные секторы дисков и папки Windows. Таких областей немного, и их проверка не столь утомительна, но очень эффективна. Объекты авто­запуска тоже вынесены в отдельную задачу — их проверка ещё быстрее.

А вот весь компьютер сканировать долго, а потому его можно проверять реже — например, раз в неделю. Проводить же тщательную проверку системы на предмет руткитов стоит вообще лишь при появлении подозрений на этот счет. Соответственно, и тщательность проверки в каждом случае можно выставить в зависимости от важности задачи и того, как часто вы её запускаете. Так, для руткитов я бы советовал поставить имеющимся движком максимальный уровень, да ещё и нажать потом кнопку «Настройка» и включить самый жесткий режим эвристики. Объекты авто­запуска проверяются автоматом каждый день, поэтому тут вполне подойдут легкие установки по умолчанию. Для критических областей, проверку которых предлагается запускать вручную, можно поставить движком режим максимальной защиты. Проверка всего компьютера вряд ли требует предельно жестких настроек — пусть лучше эта задача будет в еженедельном расписании. Впрочем, всё можно настроить как угодно — даже выставить предельные режимы для каждой задачи.

Собственно, говорить о настройках Антивируса Касперского больше и нечего — на редкость всё хорошо продумано и по умолчанию настроено. Фактически установил и забыл. Обратите внимание: несмотря на то, что мы поставили монитору весьма щадящие настройки, веб-антивирус отлично пере­хватил все типы тестовых файлов, поскольку использует собственные параметры. (Собственно, высокий уровень обнаружения вредоносных программ Антивирусом Касперского доказан и независимыми тестами, например недавним тестом на общий уровень обнаружения [1].)

Гораздо важнее ковыряния настроек подчас оказывается реакция пользователя на обнаружение той или иной угрозы. Проактивная защита действительно способна выявить целую кучу типов угроз, но правильно ли среагирует пользователь, например, на сообщение о внедрении какой-то непонятной dll в процесс iexplore.exe? Так что попробуйте поработать в интерактивном режиме, и если поймете, что для вас это слишком сложно, то отключите в настройках Проактивной защиты контроль целостности приложений и мониторинг реестра. Такие настройки хоть и послабее с точки зрения безопасности (будет работать только базовый анализ активности приложений), но всё же имеют лучшую «защиту от дурака».

Субъективный вывод: уникальный случай — программа прекрасно подходит как начинающему пользователю, так и опытному, поскольку и изначально настроена грамотно, и позволяет очень неплохо поэкспериментировать с самыми разными параметрами. Плюс здесь блестяще реализована веб-защита — даже SSL-соединения мониторятся.

NOD32 3.0.650

Третий NOD32 уже не вводит начинающего пользователя в ступор, как всевозможные AMON, DMON, EMON — названия модулей в версии 2.7. Интерфейс, как расширенного, так и стандартного вида, в «тройке» прост и понятен, а диалог расширенных настроек, которые открываются нажатием F5, представляет собой единое окно с древовидной структурой изменяемых параметров. Которых, кстати говоря, очень и очень много — есть где разгуляться. Начнем с ними разбираться, пожалуй, с пункта «Защита в реальном времени». На этой странице по умолчанию включено всё — то есть файлы сканируются при любом действии с ними, а если файл уже сканировался, то повторно он не проверяется. Естественно, лишь в том случае, если файл не менялся. Отключить тут можно разве что проверку само­рас­пако­вы­вающихся архивов, да расширенную эвристику. Кстати, NOD32 славится не только скоростью работы, но и своей эвристикой (взгляните, например, на результаты ретро­спективного теста NOD32 2.7 [2]). Но, отключая эвристику, не забывайте, что выигрывая на этом в скорости совсем немного, тем самым вы заметно снижаете уровень своей real-time-защиты. Поэтому перед запуском всех новых файлов их необходимо проверять сканером!

Теперь нажмем здесь же кнопку «Настройка» и получим доступ к дополнительным параметрам монитора. Как видим, упаковщики предлагается не сканировать. Здесь надо иметь ввиду, что «упаковщики» — это не обычные архивы с файлами, а сжатые по специальным алгоритмам файлы программ. При запуске упакованная таким образом программа будет «распакована» непосредственно в ОЗУ, а не на жесткий диск. NOD32 по умолчанию сканирует ОЗУ, поэтому за безопасность можно не пере­живать. Включить проверку упаковщиков можно, но нагрузка на систему при этом заметно возрастет. В разделе «Методы» видим, что расширенная эвристика отключена, но стандартная работает. Опять-таки: для получения суперлетающей системы эвристику монитора можно отключить. Если же высший приоритет отдается защите, эвристику рекомендуем оставить. Авто­мати­ческое удаление вирусов на странице «Очистка» отключаем, чтобы оставить полный контроль за пользователем, а в разделе «Расширения» снимаем флажок «Сканировать все файлы», дабы проверялось только то, что может быть заражено.

Займемся настройкой сканера и откроем раздел «Сканирование ПК по требованию». Изначально выбран профиль «Глубокое сканирование» с самыми жесткими настройками. Править в них, по сути, нечего, разве что опять есть смысл отключить авто­мати­ческое удаление заражённых файлов. Столь же жесткие настройки будут использоваться и при сканировании из контекстного меню отдельных папок. А вот в режиме «Интеллектуальное сканирование» отключена проверка архивов. Всё очень удобно, и пользователь может не только выбирать при сканировании нужный профиль, но и создавать свои собственные, с индивидуальными настройками. Например, для использования в планировщике. Максимально жесткие настройки присутствуют и в разделе «Защита доступа в интернет». И это правильно — основной путь вирусов на ПК пользователя должен быть перекрыт как можно надёжнее, здесь даже можно включить авто­мати­ческое удаление заразы. Обратите внимание — порты, по которым осуществляется веб-серфинг можно редактировать, как и список браузеров, для которых работает наиболее эффективный режим фильтрации. Всё сказанное касается и «Защиты электронной почты». Очень хорошо, что заражённые письма программа может складывать в специальную папку для последующего анализа (например, можно просигнализировать о заражении знакомому, от которого пришел вирус).

Настроек у программы ещё предостаточно — мы не рассмотрели и половины. В нашем же контексте стоит ещё обратить внимание разве что на раздел «Защита от вирусов и шпионских программ» — «Авто­мати­ческая проверка файлов при запуске системы». Тут также используется максимально глубокое сканирование, что на наш взгляд излишне — по аналогии с нашими предыдущими рассуждениями кое-что вполне можно и отключить.

Субъективный вывод: изначально очень хорошо настроенный и чрезвычайно быстрый антивирус, предоставляющий к тому же богатейшие варианты кастомизации и высокий уровень веб-защиты.

BitDefender 11.0.16

Этот новый (но многими ожидаемый) на российском рынке антивирус не блещет разнообразием настроек (разумеется, в пакете BitDefender Total Security всё иначе, но напоминаю — мы рассматриваем чистые антивирусы). Откроем для начала диалог конфигу­рирования монитора: «Settings» → «Antivirus» → «Shield» → «Custom Level». По умолчанию проверяются все файлы. Чтобы включить проверку только тех файлов, что могут быть инфицированы, надо поставить флажок «Scan accessed files» → «Scan applications only». Следующим шагом стоит задать реакцию программы на обнаружение вируса: «Action to take when an infected file is found» → «First Action [Deny access and continue]», иначе все файлы будут лечиться без вашего согласия. И наконец, чтобы затруднить заразе проникновение в вашу систему, поставьте флаг «Scan HTTP traffic». Архивы по умолчанию не сканируются, эвристику отключить нельзя. Теперь пробуем настроить сканер… и долго думаем, как же это делается. Оказывается, в этой программе доступ к настройкам сканера реализован через контекстное меню задач сканирования. То есть выбираем «Contextual Scan», жмём правую кнопку мыши — «Properties» и настраиваем глубину сканирования, которое происходит при запуске сканера через контекстное меню папки или файла. По умолчанию тут оптимальные настройки, и изменять ничего не требуется. Единственное, что можно поправить — отключить авто­мати­ческое лечение выявленных вирусов. Откроем теперь настройки задачи «Deep Scan» и увидим, что опций здесь несколько больше: идет поиск руткитов, проверяется реестр, почтовые файлы и так далее. Причём в «Contextual Scan» этих опций даже нет, и включить их для этой задачи не получится. Но они есть в задаче «Full System Scan», где отключены, и в «Quick System Scan», где ещё более щадящие установки. В принципе, всё по уму: можно легко настроить в планировщике частое быстрое сканирование и изредка — глубокое.

Есть у этого антивируса и некоторые интересные дополнительные фичи. Так, игровой режим позволяет авто­мати­чески, при переходе игры (или другого Windows-приложения) в полноэкранный режим (или по нажатию «горячей» клавиши, или командой контекстного меню), ослабить внимание антивируса к вашей системе: отключить вывод служебных сообщений и перевести монитор в режим Permissive, когда сканируются только исполняемые файлы, не проверяется исходящая почта и используются некоторые другие послабления, снижающие нагрузку на процессор и предотвращающие отвлекание юзера от игры. Имеются функции антифишинга и защиты приватной информации: можно ввести в программу некоторые строковые данные (например, часть номера кредитки), и BitDefender выявит эту строку в исходящем трафике, если какой-то троян всё же попытается отослать её своему создателю. Кроме того, можно включить защиту от изменения параметров в реестре, от загрузки cookies и скриптов. И на сладкое — загрузочный линуксовый LiveCD, с помощью которого можно вылечить вконец упавшую от вирусов систему.

Субъективный вывод: антивирус с хорошими возможностями по недопущению заразы на ваш ПК, идеологически более нацеленный на «чайников».

Итак, мы попытались добиться оптимального (с нашей точки зрения!) функционирования антивирусов. Как они при этом стали себя вести — можете посмотреть в таблицах. Напомню, что нашей целью было добиться того, чтобы ресурсы системы при работе антивирусного монитора не тратились на проверку архивов и типов файлов, в которых не может быть вирусов (на примере TXT), чтобы монитор как можно раньше пере­хватывал попытку загрузки вируса браузером и чтобы сканер работал на полную мощность, проверяя всё на свете. Если у вас достаточно мощная система, и вы хотите более надёжной защиты, то внесите небольшие коррективы в наши установки и включите эвристические механизмы не только в сканере, но и в резидентном мониторе.

В результате мы выяснили, что Norton AntiVirus 2008 не дает необходимой гибкости — не удалось даже избавиться от проверки монитором незаражаемых файлов, у него просто нет такой настройки (хотя архивы монитор не распаковывает). Dr. Web полностью выполнил все наши задачи благодаря отличной конфигу­рабельности и высокой скорости. Антивирус Касперского 7 превзошел все ожидания отличным веб-антивирусом и грамотной изначальной конфигурацией. NOD32 поразил необыкновенной скоростью сканирования и шустрой работой. А BitDefender порадовал неплохим сочетанием мощной веб-защиты и интерфейса, доступного даже самым неопытным пользователям.

Таблицы

Защита Internet Explorer (по протоколам HTTP/HTTPS)

Тестовый файл Norton Dr. Web KAV NOD32 BitDefender
Eicar.com −/−
(браузер предлагает сохранить файл, но не получает к нему доступ)
−/−
(браузер предлагает сохранить файл, но не получает к нему доступ)
+/+ +/−
(при работе по HTTPS браузер предлагает сохранить файл, но не получает к нему доступ)
+/−
(при работе по HTTPS браузер предлагает сохранить файл, но не получает к нему доступ)
Eicar_com.txt −/−
(вирус детектирован, но в браузере файл отобразился)
−/− +/+ +/−
(при работе по HTTPS при включении в мониторе сканирования всех файлов детектирование происходит, но браузер отображает файл)
+/−
(при работе по HTTPS детектирование срабатывает при включении сканирования всех файлов, но браузер файл отображает)
Eicar.com.zip −/− −/− +/+ +/− +/−
(при работе по HTTPS детектирование в кэше браузера срабатывает при включении сканирования всех файлов)
Eicar.com2.zip −/− −/− +/+ +/− +/−
(при работе по HTTPS детектирование в кэше браузера срабатывает при включении сканирования всех файлов)

Примечание: плюс означает детектирование файла «на лету» ещё до его получения браузером и попадания в кэш IE, минус — файл в браузер пропускается. Через дробь приведены данные по протоколам HTTP и HTTPS.

Защита монитором файловой системы

Norton Dr.Web KAV NOD32 BitDefender
Eicar.com + (файл удаляется при наведении мыши) + (файл блокируется при наведении мыши) + (файл блокируется при наведении мыши) + (файл блокируется при наведении мыши) + (файл блокируется при наведении мыши)
Eicar_com.txt + (файл удаляется при наведении мыши)
Eicar_com.zip
Eicar_com2.zip
3740 вирусов в архиве. Время сканирования 11,35 Выявлено и вылечено 3687 1,00 Выявлено 3632 1,45 Выявлено 3684 0,09 Выявлено 3621 0,56 Выявлено 3607

Примечание: плюс означает детектирование файла, минус — неисполняемый файл с телом вируса не детектируется, на него не тратятся ресурсы.

Почему эти антивирусы?

Выбор именно этих программ для нашей статьи опять-таки субъективен. Мы посчитали, что именно эти антивирусы наиболее актуальны в нашей стране. Они достаточно популярны, их без особых проблем можно законным образом приобрести (причем не только в Москве) и обновить по истечении срока лицензии, они русифи­цированы (у нас, правда, оказался англо­язычный BitDefender и Norton). Кроме того, с создателями этих программ нам иногда удается пообщаться, а потому мы знаем эти продукты чуть больше, чем разработки сидящих в глубоком подполье конкурентов. Да и вообще, это хорошие программы, которые нам нравятся. Что, впрочем, не значит, что нет других хороших и качественных антивирусов. Но о них, быть может, мы расскажем в следующий раз.

А как же пакеты Internet Security?

В этой статье мы решили жёстко ограничиться рассмотрением только антивирусной составляющей защитной системы персонального компьютера. Хотя, конечно, понимаем, что полно­ценная защита — только в сочетании качественного антивируса и мощного файерволла. Но рассмотреть настройку хотя бы трёх-четырёх лучших пакетов класса «всё в одном» — просто нереальная задача. Под один такой текст пришлось бы отвести полжурнала как минимум. К тому же те, кто с нами уже давно, наверняка без особого труда найдут в подшивке Upgrade Special статьи об основных принципах настройки файерволлов — повторяться не очень бы хотелось.

И последнее. Мы считаем, что роль файерволла последнее время падает. Связано это с тем, что Windows наконец-то по умолчанию защищена от внешних атак достаточно неплохо (по крайней мере, Windows XP). Даже если вы будете использовать только встроенный файерволл, то проникнуть в ваш ПК снаружи будет очень трудно. Файерволл же в Windows Vista вообще очень мощный, а настройки его так сложны для рядового пользователя, что ему одному стоило бы посвятить специальный текст. А вот с уязвимостями в обратном направлении, то есть с возможностью несанкцио­нированной отправки конфиден­циальных данных с вашего ПК в Сеть, гораздо активнее файерволлов борются сегодня антивирусы. Именно их задача — отлавливать троянские программы и spyware, которые и занимаются подобным зловредством. Среди же популярных файерволлов буквально по пальцам одной руки можно пере­считать программы, которые надёжно защищают хотя бы от давно известных способов [3] обхода персонального брандмауэра. Так что пусть лучше хорошо настроенный антивирус поймает трояна ещё на стадии его загрузки на ваш ПК, чем вы будете вынуждены устраивать проверку на «пробиваемость» файерволла, когда зловред уже вовсю развернётся в вашей системе. Впрочем, к теме настройки файерволлов мы наверняка ещё вернёмся.

Что за вирусы?

К сожалению, силами редакции обычного компьютерного журнала нет никакой возможности объективно проверить качество механизма детектирования антивирусов. Хотя бы потому, что хоть сколько-нибудь серьезные и актуальные вирусные коллекции можно найти только у специалистов, занимающихся лишь этой проблемой (например, в небезызвестном Virus Bulletin). Да и то, тестированиям столь серьезных организаций, и вообще самой идее тестирования антивирусов, далеко не все доверяют. В нашем же распоряжении была самая обычная коллекция вирусов, скачанная из интернета и непонятно кем составленная. Более того, мы даже не можем быть уверены, что каждый файл этой коллекции — вирус. Поэтому не стоит обращать серьезного внимания на то, сколько вирусов из этой коллекции распознал тот или иной антивирус. Этот тест приводится для справки, и он не может быть объективен.

Что за EICAR.COM?

Этот файл — всего лишь определённая последовательность символов, вполне безвредная, на которую любой антивирус обязан среагировать. Этот тестовый имитатор вируса хорош тем, что с его помощью очень легко проверить настройки антивирусной программы, выяснить, в каких случаях антивирус на него реагирует, а в каких — нет. В наших тестах принимали участие четыре файла: чистый eicar.com, eicar.com внутри ZIP-архива и этот ZIP-архив внутри ещё одного ZIP. Плюс eicar.txt — тот же eicar.com, но с другим расширением.

Про планировщик

На наш взгляд, наиболее разумными настройками сканирования по расписанию будут такие. Если вы часто и много скачиваете программы и «лекарства» к ним (особенно из пиринговых сетей), то стоит, во-первых, складывать их в одну папку-отстойник (внутри нее можно создать несколько тематических директорий, впрочем, именно так принято при работе с современными менеджерами закачек). Во-вторых, есть смысл настроить планировщик на ежедневное глубокое сканирование этой папки — скажем, ночью, когда вы спите. В этом случае повышаются шансы пере­хватить заразу до того, как вы её запустите. В том числе и в ситуациях, когда новейший вирус попадает в антивирусные базы вашей программы лишь спустя несколько дней после того, как вы его уже себе скачали. Да и снижается вероятность того, что вирус попадет на болванку, после того как вы решите сбросить на нее накопившийся архив. И в-третьих, каждый подозри­тельный файл из этой папки всё равно необходимо проверять ещё и непосредственно перед его запуском, поскольку может получиться так, что файл скачался уже после последней проверки, и эвристика антивируса ещё не успела высказать по его поводу свое мнение. В остальном же можно довериться монитору с более щадящими, чем у сканера, настройками, а весь диск сканировать, скажем, раз в неделю.

То же самое касается и пользователей, не увлекающихся экспериментами с непонятными программами и кряками — в этом случае натравливать сканер на регулярную проверку какой-либо одной папки вряд ли есть смысл, вполне достаточно проверять подозри­тельные файлы и внешние носители (особенно полученные от знакомых флэшки и диски) вручную перед их запуском или открытием, а сканировать всё дисковое пространство раз в неделю или даже реже, в зависимости от вашей интернет-активности.

Совет

Для ускорения сканирования диска внесите в список исключений антивируса папки с видео и музыкой либо расширения файлов, типичные для мультимедиа: AVI, MPEG и так далее.




Темы