• 2.1. Принцип работы антивируса
  • Сигнатурный анализ
  • Эвристика
  • 2.2. Компоненты современного антивируса
  • 2.3. Известные антивирусные программы
  • «Антивирус Касперского»
  • AVG Free Edition
  • Антивирус Avast! Home Edition
  • 2.4. Программы для поиска руткитов
  • Глава 2

    Антивирусные программы

    Принцип работы антивируса

    Компоненты современного антивируса

    Известные антивирусные программы

    Программы для поиска руткитов


    В первой главе вы ознакомились с опасностями, которые подстерегают компьютер во время работы. Теперь следует научиться бороться с ними.

    2.1. Принцип работы антивируса

    Пользователь часто может сам обнаружить присутствие вируса на компьютере. Например, о заражении системы почтовым червем Email-Worm.Win32.NetSky.b можно судить по возрастанию загрузки процессора до 90 % и активной работе жесткого диска (в результате деятельности червя в различных каталогах создается около 2,5 тыс. файлов).

    Однако так бывает не всегда, поэтому лучше поручить обнаружение вирусов специализированным программам, тем более что иногда признаки, которые пользователь расценивает как результат действия вируса, могут характеризовать системные или аппаратные сбои.

    Для борьбы с компьютерными вирусами применяются антивирусные программы. История развития антивирусов – это смена поколений программ, когда устаревшие методы борьбы заменяются более эффективными технологиями. Появление новых вирусов, использующих неизвестную брешь в операционной системе или новый механизм размножения, делает неэффективными старые технологии обнаружения. Это влечет за собой адекватные действия со стороны разработчиков антивирусных программ, направленные на нейтрализацию угрозы. Так было до появления первого бестелесного вируса, который не образовывал файлы. Возникла необходимость проверки архивов, электронной почты, макросов документов Microsoft Office, поэтому исчезли иммунизаторы, которые были популярны в начале истории персональных компьютеров.

    Примечание

    Иммунизаторы могли сообщить о заражении либо блокировать попытку заражения файла определенным вирусом, но они не получили широкого распространения и в настоящее время практически не используются.

    Прежде чем приступить к рассмотрению работы конкретных антивирусных программ, следует познакомиться с некоторыми принципами их работы. Основываясь на них, вам будет легче ориентироваться при выборе нужного решения, видеть реальные возможности антивируса, его слабые и сильные стороны. Можете пропустить этот раздел и вернуться к нему позже.

    Сигнатурный анализ

    Одной из основных частей любого антивируса является движок, или ядро, – модуль, который отвечает за обнаружение вредоносных программ. Именно от его эффективности и используемых методов поиска зависит качество работы антивируса и возможности обнаружения вирусов и других зловредных программ.

    Для детектирования вирусов в каждом движке реализовано несколько технологий. Самые известные из них – поиск по сигнатурам и эвристический анализатор.

    Сигнатура представляет собой уникальную для каждого вируса строку, которая однозначно указывает на определенную вредоносную программу. При появлении нового вируса его код анализируется специалистами и сигнатура заносится в антивирусную базу. Этот способ – самый эффективный, так как позволяет почти со стопроцентной вероятностью определить наличие известного вируса.

    Неизвестный вирус пройдет через такой детектор незамеченным. На анализ и выработку сигнатуры нового вируса уходит некоторое время, в течение которого любой компьютер беззащитен. Ошибка при выборе сигнатуры может привести к тому, что подозрение может пасть на незараженный файл. Такие случаи нельзя назвать редкими: однажды подозрение пало на программу Punto Switcher, которая находилась на компакт-диске, приложенном к журналу. Антивирус Avast! находил в этом файле троянца. Проверки с помощью других антивирусов показывали, что файл чист.

    Совет

    Антивирус может ошибаться, обнаруживая в чистом файле вирус или не замечая существующий вирус. В случае сомнения для проверки файла можно воспользоваться любым доступным онлайн-антивирусом.

    Каждый разработчик антивирусной программы, как правило, имеет на своем сайте функцию онлайн-проверки; есть сервисы, проверяющие файл сразу несколькими антивирусами. Например, сервис Virustotal (http://www.virustotal.com/en/indexf.html) позволяет проверить подозрительный файл с помощью 32 различных антивирусов. Я отправил для проверки файл, зараженный не самым старым трояном. В результате вирус обнаружили только 17 из 32 антивирусов (рис. 2.1).

    Рис. 2.1. Проверка файла в Virustotal


    Еще одно неудобство сигнатурного метода связано с тем, что пользователь вынужден постоянно обновлять антивирусные базы, размер которых иногда велик. Если этого не делать, компьютер может оказаться незащищенным. Сначала для определения эффективности антивируса кроме других показателей руководствовались количеством записей в антивирусной базе. Однако время показало, что иногда разработчики антивирусного программного обеспечения заносят в базу приложения, не относящиеся к вирусам, в том числе безвредные. Производители часто используют для подсчета количества записей разные методики, например модификации одного вируса считают как несколько вирусов и наоборот, поэтому в последнее время критерием качества работы является скорость реакции антивирусной компании по занесению нового вируса в базу. Чем быстрее генерируется новая сигнатура, тем лучше защищен пользователь.

    Разная скорость работы антивирусных лабораторий привела к тому, что сегодня стали появляться решения, имеющие два и более ядра, выполненные различными производителями. Это снижает производительность системы (проверка несколькими ядрами требует больших ресурсов), однако безопасность превыше всего.

    Эвристика

    Когда новые вирусы начали появляться почти ежедневно, эксперты задумались, как это остановить. В результате были созданы две технологии: эвристический анализатор и поведенческие блокираторы. В настоящее время появился термин проактивная защита, который объединяет эти понятия.

    В процессе работы эвристический анализатор проверяет код приложений, макросов и сценариев и пытается найти в них подозрительные команды или действия. Если количество последних превысит некий барьер, можно сделать вывод об их вирусном происхождении.

    Наиболее эффективны динамические анализаторы, запускающие приложение посредством эмуляции. Подобным образом действуют поведенческие блокираторы, только вместо эмуляции запуска программ они работают в реальной среде, анализируя последовательность операций приложения.

    С помощью блокиратора можно обнаружить:

    • некоторые полиморфные вирусы;

    • руткиты;

    • попытки внедрения одной программы в другую.

    Блокиратор также контролирует целостность системных файлов и реестра

    Windows и при необходимости производит откат.

    При обнаружении подозрительных моментов пользователю часто выдается запрос о дальнейших действиях. Если пользователь недостаточно подготовлен, чтобы разобраться в проблеме, он может принять неправильное решение, что обесценит защиту. Идеально работающего эвристического анализатора еще не существует. Эта технология часто ошибается, пропуская вирус или, наоборот, подозревая безобидную программу. Разработчики поведенческих блокираторов и эвристических анализаторов составляют набор правил на основе изучения вредоносных программ и также могут ошибаться. У злоумышленников всегда есть возможность изучить реакцию системы защиты и выработать алгоритм заражения, при котором защита не сработает.

    Внимание!

    Многочисленные тесты показывают, что ни одна антивирусная программа не может обнаружить все вирусы, поэтому всегда существует вероятность, что вирус будет пропущен. Однако есть шанс, что пропущенное вредоносное приложение остановит система защиты антивируса.

    Стоит также отметить, что часто разработчики связаны слабыми возможностями движка, которому приходится поддерживать антивирусные базы, поэтому эвристику и поведенческие блокираторы в антивирусах следует рассматривать не как основные, а как дополнительные средства обнаружения, часто усеченные по возможностям.

    2.2. Компоненты современного антивируса

    Сегодняшний антивирус состоит из нескольких компонентов, каждый из которых отвечает за обнаружение вирусов на определенном участке работы.

    В процессе развития состав этих компонентов изменялся, добавлялись новые и удалялись не отвечающие требованиям времени.

    • Первый и основной антивирусный компонент – сканер (On-Demand Scanner). Задачей сканера является проверка по требованию пользователя файлов, памяти и загрузочных секторов на наличие вирусов. Сканер необходимо периодически запускать для проверки имеющихся файлов и при получении новых.

    До недавнего времени практически все тесты антивирусов включали время, за которое антивирусный сканер проверял жесткий диск компьютера, и количество выявленных вирусов. Компании – разработчики антивирусов шли на различные хитрости. Например, известна история, что в антивирусе Dr. Solomon был специальный режим для работы с тестовыми коллекциями, позволявший ему побеждать. Сейчас скорость работы не является основным показателем, главное – это качество выявления вирусов. Чтобы несколько раз не проверять файлы, которые не изменялись со времени предыдущей проверки, сканеры ведут специальную базу данных.

    • Пользователи часто забывают проверять принесенные дискеты и диски. Именно по этой причине был разработан страховочный компонент антивируса – монитор(On-Access Scanner).

    В отличие от сканера, монитор постоянно находится в оперативной памяти и автоматически проверяет файлы в реальном времени. Когда пользователь пытается запустить программу, монитор перехватывает запрос, проверяет файл на наличие вирусов и, если он чист, разрешает дальнейшее выполнение. Одни мониторы контролируют файлы только в процессе запуска, другие проверяют все, с чем работает пользователь, а также изменяемые и закрываемые файлы.

    Совет

    Обязательно проследите, чтобы в используемом антивирусе был включен монитор, так как он автоматически проверяет все файлы, с которыми вы работаете.

    Первое время в составе антивирусов были только файловые мониторы, но так как для распространения вирусов часто используется электронная почта, появились почтовые мониторы, которые автоматически активизируются, когда пользователь принимает и отправляет почту.

    В составе антивирусов могут быть также другие мониторы, контролирующие отдельные приложения (например, Microsoft Office) или сервисы.

    Монитор предоставляет пользователю большую безопасность и очень удобен, так как предупреждает пользователя только когда сталкивается с проблемой, а все проверки происходят незаметно. Однако именно монитор нагружает систему, часто вызывая раздражение пользователя, и становится причиной отключения антивируса, чтобы он не мешал работе. Работа монитора часто является определяющей при выборе антивируса, так как в различных решениях он по-разному нагружает систему.

    • Еще один компонент антивируса – ревизор изменений. Его задача – отслеживать изменения в важных системных файлах. Если охраняемый файл изменился, это может означать, что в системе не все в порядке, о чем антивирус предупреждает пользователя. Если монитор загружен, а пользователь не изменял системные файлы, такая ситуация может означать, что компьютер заражен неизвестным вирусом, и первое, что необходимо сделать, – это обновить антивирусные базы и проверить систему.

    2.3. Известные антивирусные программы

    Ознакомимся подробнее с настройкой трех антивирусных программ: коммерческого «Антивируса Касперского» и бесплатных AVG Free Edition и Avast! Home Edition.

    «Антивирус Касперского» (http://www.kaspersky.ru/) – самая популярная антивирусная программа, которая побеждает во многих сравнительных тестах. Она располагает одним из лучших эвристических анализаторов: компанияразработчик оперативно реагирует на появление новых вирусов, добавляя их сигнатуры в антивирусную базу. Недавно была выпущена новая версия этого приложения – «Антивирус Касперского 7.0».

    AVG Free Edition (http://www.grisoft.com) – бесплатный антивирус чешского производства для некоммерческого домашнего использования. Его базовая версия обладает отличной функциональностью, а версия Free представляет собой полноценный антивирус со всеми модулями и настройками, а не усеченный вариант, каким обычно делают бесплатные версии своих программ компании с целью привлечения внимания пользователей к основному продукту. Неоднократно AVG Free Edition отмечался экспертами независимой лаборатории ICSA (International Computer Security Association – Международная ассоциация по компьютерной безопасности (http://www.icsalabs.com/)), и Virus Bulletin (http://www.virusbtn.com/). Я сам на протяжении пяти лет пользуюсь исключительно AVG Free Edition. Монитор этой программы практически не нагружает систему; некоторые возможности по обнаружению вирусов впервые появились именно в этом антивирусе.

    Avast! Home Edition (http://www.avast.com) – еще один бесплатный антивирус чешского производства, который благодаря понятному интерфейсу и развитым функциям при простоте настроек пользуется заслуженной популярностью у домашних пользователей.

    Параметры этих антивирусов типичны. Интерфейсы «Антивируса Касперского» и Avast! Home Edition локализованы, AVG Free Edition – нет, поэтому после знакомства с этими программами вы сможете по аналогии освоить любой другой антивирус.

    Во время написания данного раздела я просканировал всю коллекцию файлов на своем и других компьютерах локальной сети с помощью трех описываемых антивирусных программ. Они нашли примерно одинаковое количество подозрительных файлов, однако результат частично не совпал – были выведены разные объекты. Это подтверждает результат сканирования файла на Virustotal.

    «Антивирус Касперского»

    В 2007 году «Лабораторией Касперского» была выпущена новая версия известного антивируса – «Антивирус Касперского 7.0». Если в предыдущих версиях основной упор делался на сигнатурный поиск вирусов, то здесь разработчики используют все известные технологии защиты от известных и новых интернетугроз – как традиционные (проверка по базам сигнатур), так и новые, относящиеся к проактивным технологиям (эвристический анализатор и поведенческий блокиратор).

    Существенно изменилась функциональность антивируса. Еще в версии 6.0 в этот антивирус была добавлена проверка сетевого трафика. Теперь просмотр веб-страниц, работа с электронной почтой, общение в сетях мгновенного обмена сообщениями происходит под защитой антивируса. Предусмотрены плагины и лечение вирусов в базах популярных почтовых программ (Microsoft Outlook, Microsoft Outlook Express и The Bat!), и улучшены алгоритмы обнаружения клавиатурных шпионов и руткитов.

    Продолжительность проверки жесткого диска всегда вызывала нарекания пользователей, а загрузка системы не позволяла параллельно работать на компьютере. Еще в версии 6.0 появились новые технологии iChecker и iSwift, использование которых сокращает время проверки диска и загрузки системы. Теперь также можно проверять новые и измененные файлы. Программа подстраивается под работу пользователя и при увеличении нагрузки может временно приостановить проверку.

    Для работы с версией 7.0 потребуется компьютер, работающий под управлением Windows 2000 Professional, Windows XP или Windows Vista.

    Установка

    Если вы скачали программу в Интернете, ее установка заключается в запуске исполняемого файла – самораспаковывающегося архива. Если вы приобрели ее на компакт-диске, следует запустить установочный файл оттуда. Кроме имени файлов, других различий при установке разных версий антивируса нет.

    После запуска программа установки проверит ваши права на инсталляцию и наличие необходимых системных компонентов. Если необходимые требования не удовлетворены, на экране появится соответствующая информация. Если все в порядке, откроется окно приветствия (рис. 2.2).

    Рис. 2.2. Окно приветствия мастера установки программы


    Программа установки выполнена в виде пошагового мастера, каждое окно которого позволяет контролировать определенный параметр посредством нескольких кнопок:

    Далее (на некоторых этапах эта кнопка называется Установить) – подтверждение текущего действия и переход к следующему этапу установки;

    Назад – возврат к предыдущему этапу без выхода из программы инсталляции;

    Отмена – отказ от процедуры установки;

    Справка – получение справочной информации о текущем этапе;

    Сброс – сброс настроек в исходное состояние.

    Нажмите кнопку Далее и перейдите к этапу выбора лицензионного соглашения. Прочитайте его внимательно: компания оговаривает не только обязанности пользователя, но и свои. Например, в случае обнаружения неизвестного вируса она обязуется выпустить обновление для антивирусной базы в течение 48 часов. Это означает, что компьютер останется без защиты на двое суток. Будем надеяться, что реально этот срок меньше. Выберите Я принимаю условия лицензионного соглашения и нажмите Далее.

    Выбор варианта Быстрая установка позволит установить все компоненты антивируса с параметрами по умолчанию, что рекомендуется для начинающих. Опытные пользователи могут обратиться к варианту Выборочная установка, в котором можно выбирать отдельные компоненты и каталог для установки антивируса. Любой компонент антивируса можно отключить в процессе работы, поэтому нажмите Быстрая установка и подтвердите выбор нажатием кнопки Далее (рис. 2.3).

    Рис. 2.3. Окно выбора типа установки


    Если на компьютере будут найдены компоненты, присутствие которых может вызвать конфликт (например, если уже установлен один антивирус), на следующем шаге мастера отобразится их список. Нажатие кнопки Далее приведет к их автоматическому удалению. Если на компьютере установлена более ранняя версия «Антивируса Касперского», будет предложено сохранить все настройки. Согласитесь с этим предложением, выбрав Параметры защиты.

    В следующем окне ничего указывать не нужно. Если все сделано правильно, нажмите кнопку Установить – начнется процесс инсталляции. Через некоторое время последует запрос на перезагрузку системы, подтвердите его нажатием кнопки ОК.

    После перезагрузки снова появится мастер. Нажмите кнопку Установить и ожидайте распаковки файлов. По завершении нажмите Далее – загрузится Рабочий стол с мастером первоначальной настройки приложения.

    Совет

    Во время установки любой программы лучше закрыть все работающие приложения – так вы сможете избежать непредвиденных ситуаций.

    Задача этого мастера изменилась по сравнению с предыдущими версиями. Теперь он отвечает только за активизацию продукта, а не за первичную настройку работы антивируса. В первом окне мастера (рис. 2.4) предлагается активизировать продукт.

    Рис. 2.4. Окно активизации «Антивируса Касперского»


    Дальнейшие действия зависят от того, настроено ли соединение с Интернетом и есть ли у вас лицензионный ключ. Если соединения с Интернетом нет, установите переключатель в положение Активировать приложение позже и нажатием кнопки Далее перейдите к следующему шагу. Так же можно поступить, если вы сомневаетесь в выборе именно этой антивирусной программы. Если «Антивирус Касперского» куплен у дилера и у вас есть код активизации, выбирайте вариант Активировать, используя код активации, на основании которого вы получите лицензионный ключ, обеспечивающий полную функциональность приложения.

    Совет

    Во время активизации антивируса необходимо ввести контактную информацию – фамилию, имя, отчество, адрес электронной почты, страну и город проживания. Эти данные могут потребоваться для идентификации зарегистрированного пользователя при утрате ключа, поэтому укажите правильные данные.

    Ключ будет получен автоматически, и в окне появится вся информация о лицензии. Для пользователей ранних версий «Антивируса Касперского», имеющих лицензионный ключ, предназначен вариант Использовать полученный ранее лицензионный ключ (в том числе демонстрационный). Установив переключатель в это положение, необходимо нажать кнопку Обзор и выбрать файл с расширением KEY, который является лицензионным ключом. Если ваша цель – тестирование «Антивируса Касперского», выбирайте вариант Активировать пробную версию.

    Внимание!

    В версии 7.0 для активизации пробной версии необходимо подключение к Интернету.

    После нажатия кнопки Далее мастер попытается соединиться через Интернет с сайтом производителя и в случае успеха автоматически получит пробный ключ. В окне мастера будет выведен его номер и дата окончания пробного периода. После сбора информации о системе появится окно, указывающее на завершение установки. Установив флажок Запустить приложение, можно запустить работу программы.

    Окно управления антивирусом

    После установки «Антивируса Касперского» вы обнаружите несколько новых деталей на Рабочем столе. В области уведомлений появится специфический значок

    выполняющий двойную функцию. Во-первых, он показывает статус работы антивируса: если значок цветной, защита включена, если черно-белый, это означает, что кто-то ее отключил. Во-вторых, в зависимости от выполняемой в настоящее время работы (проверка почтового сообщения, исполняемого файла, программы или сценария, обновления сигнатурных баз) он также изменяет внешний вид. Например, при проверке исполняемого файла или программы значок принимает вид


    Щелкнув на значке правой кнопкой мыши, можно вызвать контекстное меню, которое позволяет выполнить основные операции (проверка на вирусы, обновление, настройка, приостановка защиты, обновление), не открывая окна программы.

    Дополнительные компоненты (плагины) «Антивируса Касперского» подключаются к программам, позволяя на лету проверять на вирусы файлы, с которыми работают эти приложения. Существуют плагины для следующих программ:

    • Microsoft Office Outlook;

    • Microsoft Outlook Express;

    • The Bat!;

    • Microsoft Internet Explorer;

    • Microsoft Windows Explorer.

    Если дважды щелкнуть на значке «Антивируса Касперского» в области уведомлений, откроется его основное окно (рис. 2.5).

    Рис. 2.5. Окно управления антивирусом


    Окно управления антивирусом можно разделить на три части:

    • слева вверху размещается панель выбора, позволяющая быстро перейти к компонентам защиты, поиску вирусов или сервисным функциям;

    • слева внизу находятся кнопки доступа к справочной информации и настройкам работы антивируса;

    • в правой части производятся все настройки компонентов, выбранных в левой, а также выводится статус работы системы защиты в целом и отдельных ее компонентов.

    Уведомления, появляющиеся на экране, могут быть трех видов:

    Тревога – окно красного цвета, сообщение о критическом событии, требующем немедленного решения;

    Внимание – желтое окно, информация о потенциально опасном событии, требующем внимания и решения пользователя;

    Информация – окно голубого цвета, в котором программа информирует, что произошло событие, не имеющее первостепенного значения.

    Кроме самого сообщения на экране в виде ссылок отображаются возможные варианты действий. Это может быть обновление антивирусных баз, удаление, помещение на карантин, лечение опасного объекта, запрет выполнения программы и др.

    Внимание!

    Если обнаружен опасный объект, действие Пропустить означает блокировку доступа к этому объекту и вывод отчета. Если вы сомневаетесь в выборе решения, можете указать этот пункт.

    Сразу после установки антивирус готов к работе с настройками по умолчанию.

    Для начала работы следует выполнить следующие действия.

    1. Проверить статус защиты.

    2. Обновить компоненты антивируса и антивирусные базы, настроить параметры автоматического обновления, если это не было сделано ранее. Если доступно соединение с Интернетом, антивирусные базы будут обновляться автоматически.

    3. Полностью проверить компьютер на наличие вирусов и настроить режимы автоматической проверки, если это не было сделано ранее.

    После этого антивирус будет работать в автономном режиме, практически не требуя внимания пользователя. Рассмотрим вышеперечисленные действия подробнее.

    Проверка статуса защиты

    Статус защиты отражает наличие или отсутствие угроз, которые влияют на уровень безопасности системы. Статус системы защиты показан цветом в верхней части главного окна приложения. В зависимости от ситуации цвет будет меняться аналогично сигналам светофора, а в правом верхнем углу будет выводиться дополнительная информация. Панель, показывающая статус, может светиться одним из трех цветов. Если индикатор зеленый – все нормально, базы своевременно обновлены, а параметры проверки соответствуют рекомендуемым. Желтый цвет означает, что замечены некоторые отклонения, требующие внимания пользователя, например отключен один из компонентов антивируса или базы устарели на несколько дней. Красный цвет говорит о критической ситуации, требующей немедленного вмешательства. Это может быть сбой в работе одного или нескольких компонентов защиты, давно не производившееся обновление или обнаруженные вредоносные объекты.

    Если в системе что-то не так, щелчком на информационной ссылке вы запустите Мастер безопасности, который поможет получить более подробную информацию и решить проблему. О серьезности угрозы в сообщении будет свидетельствовать цвет значка с восклицательным знаком. Оранжевый цвет означает некритические угрозы, снижающие безопасность компьютера, красный говорит об очень серьезной проблеме.

    Совет

    Мастер безопасности позволяет отключить некоторые «желтые» предупреждения, чтобы они не отвлекали. Для этого достаточно нажать ссылку Отложить.

    С общей информацией вы ознакомились, теперь рассмотрим отельные компоненты. Перейдите в область Защита и выберите один из четырех компонентов: Файловый Антивирус, Почтовый Антивирус, Веб-Антивирус или Проактивная защита. В правой части появится информация об интересующем компоненте. Например, выберите Файловый Антивирус (рис. 2.6). Все просто и понятно.

    Рис. 2.6. Вывод статуса и статистики работы Файлового Антивируса


    Изменить текущие настройки или просмотреть более подробную статистику можно, щелкнув в соответствующем поле (Настроить или Открыть отчет). Если компонент содержит несколько модулей (Проактивная защита), будет выведен статус работы каждого из них. Нажав кнопку Стоп или Пауза, можно остановить или приостановить работу текущего компонента. Это может понадобиться, например, в случае сбоев в работе либо если в компоненте нет необходимости (например, вы не пользуетесь почтой). Чтобы снова активизировать выбранный компонент, нажмите ссылку Возобновить работу.

    Через некоторое время обязательно просмотрите статистику работы каждого компонента. Если, например, вы активно пользуетесь электронной почтой, а соответствующий компонент показывает, что обработано малое количество писем, он, возможно, настроен неправильно. Так, для проверки почты и веб-трафика антивирус применяет стандартные номера портов, поэтому если сервис использует другой порт, то проходящая информация анализироваться не будет. Всегда есть вероятность, что вирус будет остановлен файловым антивирусом или проактивной защитой, однако вредоносные сценарии, ориентированные на уязвимость в веб-браузере или почтовом клиенте, могут остаться незамеченными, поэтому, если вы знаете, что сервис использует нестандартный порт, его номер следует занести в список.

    Примечание

    Все сервисы сопоставлены с номером, который, как правило, стандартизирован (хотя бывают и исключения). Эту систему можно представить в виде дома: не зная квартиру, вы не сможете попасть в гости. Так и компьютер, обращаясь по адресу, должен указать, доступ к какому сервису он хочет получить, поэтому вместе с адресом указывает порт.

    Чтобы антивирус проверял информацию, проходящую через новый порт, следует щелкнуть на ссылке Настройка, выбрать категорию Контроль трафика, нажать кнопку Настройка портов, затем Добавить и в соответствующие поля ввести номер порта и краткий комментарий.

    Обновление антивирусных баз

    Для обновления антивирусных баз потребуется соединение с Интернетом. Можно также скачать обновления отдельно, а затем, предварительно собрав их в одну папку и указав ее в качестве источника, сообщить антивирусу о необходимости обновления. По умолчанию обновление производится автоматически при соединении с Интернетом. Чтобы изменить это поведение, выполните команду Настройка > Обновление.

    В поле Режим запуска выбирается режим обновления антивирусных баз и компонентов. Нормальная работа антивируса во многом зависит от свежести антивирусных баз, поэтому рекомендуемый вариант – Автоматически (рис. 2.7). В этом случае обновления будут скачиваться по мере их выхода.

    Рис. 2.7. Выбор режима обновления


    Установив переключатель в положение Каждый 1 день, можно составить собственное расписание обновлений программы. Нажав кнопку Изменить, можно выбрать любую периодичность обновления в минутах, часах или днях недели, а также указать точное время обновления. Обратите внимание на флажок Запускать пропущенную задачу. Если он установлен, пропущенное обновление будет произведено при первой возможности. Вариант Вручную отключит автоматическое обновление, и пользователю придется самостоятельно следить за этим процессом. В дальнейшем можно изменить параметры обновления антивирусных баз, выбрав оптимальный режим.

    Кроме антивирусных баз планируется обновлять модули приложения, поэтому проследите, чтобы был установлен одноименный флажок.

    Пользователи часто применяют обновления, содержащиеся на приложенных к журналам компакт-дисках, или берут их у знакомых. Для удобства создайте отдельный каталог, в который будете помещать такие обновления. В этом случае обновления всегда будут находиться в одном месте, а не разбросаны по всему диску, и, если понадобится переустановить антивирус, их будет проще найти. Укажите необходимую папку, нажмите кнопку Настройка, в появившемся окне Настройка обновления нажмите кнопку Добавить и выберите каталог с обновлениями. Затем с помощью кнопки Вверх установите этот ресурс первым в списке – в этом случае антивирус будет автоматически сначала обновляться из указанного каталога, а затем скачивать недостающее с сервера обновлений.

    Примечание

    По умолчанию для обновления выбирается ближайший к пользователю сервер; установив флажок Задать местоположение, сервер для обновлений можно выбрать вручную.

    Обратите внимание на флажок Проверить файлы на карантине – его установка позволит автоматически проверять файлы на карантине после обновления антивирусных баз.

    Чтобы проверить актуальность антивирусных баз, необходимо щелкнуть на ссылке Обновление. В правой части окна в области Информация о текущих базах будет указана дата выпуска баз и общее количество записей в базах (рис. 2.8).

    Рис. 2.8. Информация о базах


    Чтобы вручную обновить сигнатуры, перейдите в пункт Обновление и нажмите ссылку Обновить базы. Запустится процесс обновления, все детали которого будут выводиться в этом же окне. Во время обновления может произойти сбой, в результате которого базы будут повреждены. В этом случае для возвращения к предыдущим настройкам нажмите Обновить базы.

    По умолчанию для соединения с сервером обновления используются параметры подключения к Интернету, указанные в Internet Explorer. Если обновление проходит нормально, больше настроек не потребуется. Если для выхода в Интернет система использует прокси-сервер, являющийся посредником, или пользователь работает с другим веб-браузером, настройки в Internet Explorer не соответствуют действительности. В таком случае напрямую соединиться с сервером обновлений невозможно. Чтобы исправить ситуацию, нажмите кнопку Настройка и перейдите на вкладку Прокси-сервер. Флажок Использовать прокси-сервер установлен по умолчанию (рис. 2.9).

    Рис. 2.9. Настройки прокси-сервера


    Установите переключатель в области Параметры прокси-сервера в положение Использовать указанные параметры прокси-сервера. В поля Адрес и Порт введите необходимые данные. Если параметры прокси-сервера неизвестны, их можно уточнить у системного администратора, службы поддержки поставщика услуг Интернета или пользователей вашей сети. Если прокси-сервер требует аутентификацию, установите флажок Использовать аутентификацию и укажите имя пользователя и пароль для доступа к прокси.

    Проверка объектов с помощью антивируса

    После установки и обновления антивирусных баз следует полностью проверить компьютер с помощью сканера антивируса. Если этого не сделать, то вирусы, которые ранее проникли в систему, будут представлять опасность. Об этом сообщит цвет заголовка главного окна антивируса – без полной проверки он не станет зеленым.

    Чтобы перейти к режиму проверки системы, необходимо щелкнуть на ссылке Поиск вирусов (рис. 2.10).

    Рис. 2.10. Окно поиска вирусов


    Правая часть окна разделена на три области. Вверху можно выбрать разделы, которые планируется проверить, установив флажки напротив нужных пунктов. Если какой-то раздел не указан (например, вы сохраняете скачанные из Интернета файлы в одну папку и хотите проверить только ее), удобнее добавить его в этот список. Чтобы добавить новый каталог в список, нужно нажать кнопку Добавить и указать на него в файловом менеджере – он появится в окне выбора. При добавлении нового ресурса обратите внимание на флажок Включая вложенные папки: если он установлен, будут проверятся и подкаталоги выбранного ресурса.

    Внимание!

    Пока не выбран ни один каталог, ссылка Запустить проверку не активна.

    Назначение области Запустить проверку отвечает названию. При нажатии одноименной ссылки начнется проверка выбранных файлов. Ее результат отобразится в текущем окне – будет показан процент выполнения задачи, количество проверенных файлов и ожидаемое время завершения.

    Совет

    Самым быстрым способом проверить файл, каталог или сменный носитель на наличие вирусов – щелкнуть на нем правой кнопкой мыши и в контекстном меню выбрать пункт Проверить на вирусы.

    В этой области есть еще две ссылки. Нажав Настройка, вы можете указать уровень безопасности, то есть установить режим проверки файлов. Ссылка Новая задача проверки позволяет создать свою задачу по проверке каталогов или областей диска, которую можно выполнить одним нажатием кнопки.

    Внимание!

    Пользователь может создать не более четырех заданий проверки диска.

    Для удобства разработчики сформировали несколько задач, позволяющих одним щелчком провести разные проверки. Эти задачи в виде ссылок размещаются в левой части окна в области Поиск вирусов: Критические области, Мой Компьютер, Объекты автозапуска и Поиск руткитов (rootkit). Принцип работы с этими задачами аналогичен поиску вирусов. После щелчка на любой из них на экране появляется информация о времени последнего проведения выбранной проверки, ее результате и режиме запуска. Чтобы полностью проверить систему, следует щелкнуть на ссылке Мой Компьютер, отметить нужные пункты и нажать Запустить проверку. Такая проверка занимает, как правило, много времени. Вы можете изменить предустановленные параметры, убрав или добавив участки проверок. Особое внимание уделите сменным носителям и сетевым диска. Если они не подключены, это может вызвать задержку в работе антивируса. Проверка на вирусы удаленных систем занимает больше времени, чем локального компьютера.

    При обнаружении опасного объекта появляется уведомление. Оно может быть двух видов:

    Тревога – обнаружен вредоносный объект (рис. 2.11);

    Рис. 2.11. Антивирус обнаружил опасный объект


    Внимание – обнаружен опасный или зараженный объект.

    В качестве действий пользователю предлагается Лечить, Удалить и Пропустить. Их назначение понятно; выбор Удалить не приводит к полному уничтожению объекта, а перемещает его в резервное хранилище.

    Если обнаружен вирус в чистом виде, а не зараженный вирусом файл, то его лечение бессмысленно, поэтому в таких случаях соответствующая функция недоступна, а в заголовке окна появится сообщение о невозможности лечения. Название вируса оформлено в виде гиперссылки, щелчок на которой позволит получить подробную информацию о нем на сайте http://www.viruslist.ru/.

    Нажатие кнопки Пропустить означает, что файл останется на месте, информация о событии занесется в журнал, а чтобы пользователь не мог случайно запустить зараженный файл, доступ к нему заблокируется антивирусом. Если вы не хотите нажимать кнопку при каждом обнаружении вируса, следует установить флажок Применить во всех подобных случаях, и антивирус будет самостоятельно выполнять указанное пользователем действие. В некоторых случаях программа, показавшаяся антивирусу подозрительной, таковой не является или действие, выполняемое ей, легально. Особенно часто такие сообщения будут поступать от проактивной системы защиты, задача которой состоит в поиске всего подозрительного. Чтобы подобные действия повторно не вызывали реакцию антивируса, такую программу следует добавить в список исключений. Для этого следует щелкнуть на ссылке Добавить в доверенную зону. Перед этим нужно внимательно ознакомиться с полученным сообщением – например, программы автодозвона не относятся к вирусам (рис. 2.12).

    Рис. 2.12. Найден подозрительный файл


    Если выбран пункт Добавить в доверенную зону, в появившемся окне нужно указать дополнительные параметры нового правила исключения (рис. 2.13).

    Рис. 2.13. Настройка правила исключения


    При формировании правила исключения можно изменить путь к объекту и указать вместо конкретного файла каталог либо список файлов по маске. Например, у меня есть набор вирусов, предназначенный для изучения и тестирования реакции различных систем защиты. Чтобы антивирус не реагировал каждый раз и не уничтожил эту коллекцию, я составил правило исключения, указав в нем весь каталог.

    Можно также изменить Вердикт, то есть сообщение, добавив комментарий, или указать компонент, на который будет распространяться правило. В последнем случае щелчок на ссылке указанный приведет к переключению на любой, то есть на все компоненты будет одинаковая реакция. Если щелкнуть на названии компонента, появится список всех компонентов антивируса, и можно будет выбрать действия, которые в дальнейшем не будут вызывать реакцию системы защиты.

    При обнаружении опасного объекта из колонок или наушников раздастся специфический звуковой сигнал.

    Примечание

    Вы всегда можете откорректировать объекты, находящиеся в доверенной зоне. Для этого нажмите кнопку Настройка, выберите категорию Угрозы и исключения, нажмите кнопку Доверенная зона и в появившемся окне удалите или добавьте Правила исключений и Доверенные приложения.

    Настройка уровня безопасности и реакции антивируса

    По умолчанию система защиты работает в оптимальном режиме – рекомендуемом. Возможно, что этот режим действительно оптимальный, однако некоторых пользователей он не устраивает. Изменить его можно следующим образом.

    Нажмите кнопку Настройка и выберите категорию Поиск вирусов (рис. 2.14).

    Рис. 2.14. Настройка уровня безопасности


    В области Уровень безопасности можно выбрать один из предустановленных вариантов:

    Максимальная скорость – обеспечивает минимальную защиту, но меньше нагружает систему во время проверки; рекомендуется при работе в безопасной среде (например, без Интернета) и на маломощных компьютерах;

    Рекомендуемый – гарантирует оптимальную защиту и рекомендуется для большинства пользователей;

    Максимальная защита – обеспечивает наиболее полную защиту; рекомендуется при работе в опасной среде, но требует больше ресурсов.

    Можно настроить собственный вариант проверок. Для этого нажмите кнопку Настройка. Откроется окно, изображенное на рис. 2.15.

    Рис. 2.15. Настройка режима проверки вирусов


    Данное окно содержит три вкладки: Общие, Дополнительно и Эвристический анализатор. На первой параметры размещены в трех областях (Типы файлов, Оптимизация и Составные файлы), на второй – в двух (Запуск задачи от имени и Дополнительные параметры). На вкладке Эвристический анализатор установкой соответствующих флажков активизируется обычный и расширенный режим проверки руткитов и включается эвристический анализатор. Ползунок Уровень проверки позволяет задать или изменить режим работы эвристического анализатора – от поверхностного до детального. В зависимости от рода работы и получаемых предупреждений следует подобрать оптимальный с точки зрения безопасности и удобства режим.

    Вернемся на вкладку Общие. Если в области Типы файлов установить переключатель в положение Проверять все файлы, антивирус будет проверять все файлы без исключения. Такой режим не является оптимальным, так как некоторые файлы (например, текстовые с расширением TXT) заразить невозможно.

    Установка переключателя в положение Проверять программы и документы (по содержимому) укажет файловому антивирусу на необходимость проверки файлов, основываясь на их внутреннем заголовке. Если окажется, что тип проверяемого файла заразить невозможно, дальнейшая проверка прекратится и файл станет доступным для пользователя. Такой режим ускоряет работу антивируса, но требует времени на анализ содержимого файла.

    Режим Проверять программы и документы (по расширению) похож на предыдущий, только антивирус анализирует не заголовок файла, а его расширение. Такой вариант самый быстрый, однако злоумышленники часто изменяют расширение файла, и исполняемый вредоносный файл может иметь расширение TXT. Основываясь на расширении, антивирус при проверке пропустит такой файл, поэтому выбор данного режима рекомендуется в безопасной среде или на маломощных машинах.

    Установка флажка Проверять только новые и измененные файлы в области Оптимизация позволяет сократить время на проверку системы. Здесь также можно указать действия с большими файлами. Установка флажков Остановить проверку, если она длится более … сек и Не проверять архивы размером более … Мб позволяет ограничить проверку одного файла по времени и (или) объему.

    Совет

    В некоторых случаях антивирусную защиту можно временно отключить. Для этого следует щелкнуть правой кнопкой мыши на значке программы в области уведомлений и в появившемся контекстном меню выбрать пункт Приостановка защиты. Можно также указать, через какое время или при каком действии антивирус должен автоматически включиться.

    Параметры, расположенные в области Составные файлы, зависят от настроек в области Оптимизация. Так, флажок Проверять архивы может выглядеть как Проверять все/новые архивы. Если у вас есть архивы, защищенные паролем, пароль будет запрашиваться при попытке доступа к каждому из них. При большом количестве таких объектов проверка может затянуться и будет отвлекать пользователя. В таком случае лучше снять этот флажок, а архивы проверять по мере необходимости.

    Перейдем на вкладку Дополнительно. Здесь при необходимости можно указать пользователя, от имени которого будет выполняться задача. Это может понадобиться, если в системе есть несколько учетных записей и пользователь, работающий в данный момент, не может получить доступ ко всем файлам и настройкам. На этой вкладке включаются технологии iChecker и iSwift, применение которых позволяет ускорить процесс проверки файлов за счет проверки только новых и изменившихся объектов. Технология iSwift актуальна только для объектов, расположенных в разделе, отформатированном в файловой системе NTFS.

    Настроив параметры проверки, вернитесь в окно настройки поиска вирусов (см. рис. 2.14). Реакцию файлового антивируса на обнаружение вируса указывают в области Действие. Переключатель можно установить в одно из трех положений:

    Запросить по окончании проверки – файловый антивирус выполнит задание, после чего при обнаружении вирусов на экране появится сообщение, а в конце проверки – окно статистики с предложением выбрать действие;

    Запросить во время проверки – предложения выбрать действие будут поступать по мере обнаружения вирусов;

    Не запрашивать – программа не будет уведомлять пользователя об обнаружении подозрительных объектов; при этом с помощью флажков можно задать необходимое действие:

    • Лечить – будет сделана попытка лечения объекта, а если она не удастся, объект будет помещен в карантин (если не выбрано следующее действие);

    • Удалить, если лечение невозможно – опасный объект будет автоматически удален.

    Предустановленные задачи проверки компьютеров (Критические области, Мой Компьютер и др.) имеют аналогичные параметры, и для каждой задачи их можно настроить индивидуально. Нажатием кнопки Применить в области Параметры других задач можно установить единые для всех задач параметры проверки.

    Настройка проактивной защиты

    Вы настроили основные параметры проверки антивирусным сканером. Как вы помните, при обращении к файлу, проверке почты, работе в Интернете антивирус задействует еще один элемент – монитор. Для настройки режима проверки объектов на лету необходимо щелкнуть на ссылке Настройка и выбрать категорию Защита. Большинство параметров схожи с параметрами раздела Поиск вирусов. Это удобно, так как не нужно повторно изучать настройки, однако может запутать, так как по ошибке можно настроить не тот компонент. Есть и отличия: каждый компонент можно отключить или включить, сняв или установив соответствующий флажок. Например, на вкладке Файловый Антивирус – это Включить Файловый Антивирус. Все должно работать, но если компьютер не подключен к Интернету или какой-то компонент вызывает проблемы, его можно отключить здесь.

    На вкладках Почтовый Антивирус и Веб-Антивирус присутствует поле Встраивание в систему, в котором установкой соответствующих флажков настраивается проверка специфического трафика и поддержка приложений, о которых говорилось выше. Если вы не используете их в работе, оставьте флажок на месте – если вы решите перейти, например, на The Bat!, вы будете автоматически защищены.

    Отличается от других только проактивная защита (рис. 2.16).

    Рис. 2.16. Настройка проактивной защиты


    Проактивная защита выполняет важную задачу – обнаружение неизвестных вирусов, поэтому отключать ее не рекомендуется. Однако в максимальном режиме защиты система выдает большое количество информации, разобраться с которой может только подготовленный пользователь. Ее основные параметры следующие.

    Анализ активности приложений. При установленном флажке Включить анализ активности на основе созданных правил отслеживается активность приложений и анализируются попытки запуска браузера со скрытыми параметрами, внедрения в чужой процесс, подозрительное значение в реестре или активность в системе.

    Контроль целостности приложений. При установленном флажке Включить контроль целостности отслеживается контрольная сумма и состав модуля основных приложений и компонентов системы, которые представляют повышенный интерес для вирусов. Вы можете удалить или добавить компоненты и установить реакцию на их изменение.

    Мониторинг системного реестра. Флажок Включить мониторинг системного реестра отвечает за отслеживание попыток изменения контролируемых веток реестра.

    Примечание

    В версии 6.0 присутствовал еще один пункт – Проверка VBA-макросов, активизация которого разрешала контроль над действиями, выполняемыми макросами.

    Настройка исключений

    Классификация вирусов и прочих вредоносных объектов – непростая задача, и к подозрительным могут быть причислены безобидные программы. Во избежание блокировки антивирусом нужной программы следует воспользоваться возможностями управления исключениями и выбора категорий вредоносного программного обеспечения. Все настройки производятся на вкладке Настройка > Угрозы и исключения.

    Здесь расположены две области. В поле Категории вредоносного ПО выбираются типы опасных программ, которые будет обнаруживать «Антивирус Касперского». Флажок Вирусы, черви троянские и хакерские программы по умолчанию установлен, и снять его нельзя. Пользователь может остановить проверку только двух типов вредоносных программ, сняв соответствующий флажок, – Шпионское, рекламное ПО, программы скрытого дозвона и Потенциально опасное ПО (riskware).

    В поле Исключения можно указать программы, которые не будут проверяться «Антивирусом Касперского». Здесь нужно нажать кнопку Доверенная зона и, выбрав вкладку Правила исключений или Доверенные приложения, добавить нужные приложения.

    После настройки всех описанных параметров «Антивирус Касперского» будет добросовестно защищать систему. В комплекте с программой поставляется файл документации, поясняющий настройки. Щелкнув на ссылке

    вы можете получить исчерпывающую информацию о конкретном пара метре.

    AVG Free Edition

    Перейдем к одной из разработок чешской компании Grisoft – бесплатному антивирусу AVG Free Edition. Эта антивирусная программа обладает хорошей функциональностью, однако пользователь бесплатной версии может работать только с английским интерфейсом. AVG Free Edition лишена технической поддержки, хотя на форуме проекта можно задать любой вопрос.

    В планировщике бесплатной версии приложения можно использовать только два предустановленных задания: одно отвечает за автоматическое обновление, второе – за проверку жесткого диска компьютера. В них можно изменить только время запуска.

    Ранее, чтобы скачать и начать работать с AVG Free Edition, была необходима регистрация, а номер, который приходил на указанный при регистрации электронный адрес, требовался во время установки. Теперь можно просто скачать файл с сайта http://free.grisoft.com/, запустить его обычным образом и отвечать на вопросы установщика. В большинстве случаев достаточно нажимать кнопку Next, подтверждая установки по умолчанию. Согласитесь с лицензией, примите ограничения, установленные для версии Free, выберите тип установки – стандартная или выборочная (в большинстве случаев достаточно остановиться на предлагаемом по умолчанию – Standart Installation, и программа инсталлируется).

    После установки на экране появится First Run – мастер, задача которого – упростить первичную настройку антивируса для достижения максимальной защищенности системы. Мастер предлагает четыре этапа.

    1. AVG Free Update – обновление антивирусных баз.

    2. Virus Scan – проверка жесткого диска компьютера на наличие вирусов. Если антивирусные базы не обновлялись, быть полностью уверенным в проверке нельзя.

    3. Daily Scaning – установка приоритета задания при ежедневной проверке компьютера.

    4. AVG Free Registration – регистрация, которая дает возможность просматривать сообщения на форуме проекта.

    Любой из шагов можно пропустить нажатием Next и настроить соответствующие параметры позже. Вас поздравят с успешной установкой, а в области уведомлений появится значок . Если значок цветной, все модули программы работают нормально и антивирусные базы свежие. Если он черно-белый, это означает ошибку. Чтобы выяснить, в чем проблема, следует обратиться к Control Center (рис. 2.17). Для этого необходимо либо нажать соответствующую кнопку в окне Test Center (если оно открыто), либо выполнить команду Пуск > Все программы > AVG Free Edition > AVG Free Control Center.

    Рис. 2.17. Control Center антивируса AVG


    Компонент, работающий неправильно, будет выделен красным. В некоторых случаях о проблеме сообщается с помощью всплывающей подсказки.

    Компоненты антивируса AVG

    AVG Free Edition содержит три компонента, позволяющих защитить систему.

    Resident Shield – резидентный монитор, который постоянно контролирует события, происходящие на компьютере. При обращении к инфицированному объекту программа блокирует его. Достаточно зайти в каталог, в котором находится зараженный файл, – приложение без участия пользователя просканирует все объекты и в случае обнаружения вирусов или других подозрительных файлов выдаст предупреждение. Реализация этого элемента привела к тому, что я пользуюсь AVG несколько лет. Даже при маломощном компьютере класса Celeron 300A с оперативной памятью 256 Мбайт присутствие монитора незаметно, программы запускаются практически мгновенно, все вирусы обнаруживаются. Файлы небольшого размера (приблизительно до 1 Мбайт) проверяются быстро.

    • Задача E-mail Scanner – проверка всей исходящей и входящей почты на наличие вирусов. Сообщения могут автоматически информировать о произведенной проверке. Обнаруженный в письме вирус отправляется на карантин, о чем в письмо добавляется оповещение. Работа реализована в виде плагинов: имеются плагины для почтовых клиентов The Bat!, Eudora, Microsoft Outlook и еще один – Personal. Последний позволяет указать каталоги, в которых хранятся сообщения почтовых клиентов, для которых не разработаны плагины, и проверяет такие сообщения.

    Test Center – сканер, запускаемый пользователем или с помощью планировщика. Предназначен для проверки жестких дисков компьютера на наличие вирусов. Resident Shield обеспечивает хорошую защиту от вирусов, однако наиболее полная проверка выполняется именно в Test Center. При каждом запуске проверяются также загрузочные секторы дисков и память.

    Другие компоненты являются вспомогательными. Update Manager позволяет обновить антивирусные базы, а их статус отображает компонент Anti Virus. За расписание проверок и обновлений отвечает Scheduler, а если включен модуль Shell Extension, то проверку можно выполнять с помощью контекстного меню Windows. Все найденные вирусы, которые невозможно вылечить, не удаляются, а по умолчанию переносятся в Virus Vault.

    Обновление антивирусных баз

    Несмотря на отсутствие локализации, работать с антивирусом просто.

    Обновление можно запустить несколькими способами. Можно нажать кнопку Check for Updates, которая расположена в левой части окна Control Center. Появится окно, позволяющее выбрать источник обновлений (рис. 2.18). Если настроено соединение с Интернетом, нужно выбрать Internet. Если необходимые для обновления файлы скачаны вручную, выберите Folder и укажите каталог, в котором они находятся.

    Рис. 2.18. Выбор источника обновлений


    Совет

    Все скачанные обновления по умолчанию помещаются в папку C:\Documents and Settings\All Users\ApplicationData\Grisoft\Avg7Data\upd7bin. Если планируется переустановка системы, сохраните все файлы в другой каталог, а затем укажите его при обновлении, чтобы не нужно было скачивать обновления повторно.

    Если установить флажок Do not ask for update source next time, при следующем обращении не будет запрашиваться источник, а обновление будет производиться с выбранного ранее ресурса. После подтверждения начнется обновление, и на экране будет отображаться ход процесса (рис. 2.19).

    Рис. 2.19. Процесс обновления баз


    Для настройки автоматического обновления антивирусных баз выберите модуль Scheduler и нажмите кнопку Scheduled Task, расположенную в нижней части окна (можно также воспользоваться контекстным меню, которое вызывается щелчком правой кнопки мыши на области Scheduler). В версии Free доступны две задачи (рис. 2.20). Позиция Name означает название задачи, Type – ее тип, Last start и Next start – время соответственно последнего и следующего запусков задачи, Status – статус выполнения задачи при последнем запуске и Scheduled for – пользователи, которым разрешено ее выполнение. Выберите задачу с типом Update и нажмите кнопку Edit Schedule.

    Рис. 2.20. Расписание задач планировщика AVG


    Для включения автоматического обновления нужно установить флажок Periodically check for Internet updates и в раскрывающемся списке Check daily выбрать время обновления. Установка флажка If Internet connection is not available, check when it goes on-line позволит запустить пропущенное обновление при первом соединении с Интернетом.

    Проверка дисков компьютера

    Проверять диски компьютера так же просто, как обновлять антивирусные базы. Если включен Resident Shield, файлы проверяются при каждом обращении к ним.

    Для проверки дисков вызывается Test Center (рис. 2.21).

    Рис. 2.21. Test Center антивируса AVG


    Доступно три варианта сканирования по запросу. В данном окне доступны только два из них.

    Scan Computer – полное тестирование системы, проверка всех жестких дисков, имеющихся в компьютере. Параметры такого сканирования задаются заранее, и для начала проверки достаточно нажать кнопку Scan Computer.

    Если проверка была прервана, то при следующем запуске будет выдан запрос на возобновление сканирования с последней позиции (рис. 2.22). Такое возобновление возможно благодаря тому, что в корне каждого раздела диска создается скрытый каталог $vault$.avg, в который заносятся результаты проверки.

    Рис. 2.22. Возобновление сканирования с последней позиции


    Scan Selected Areas – пользователь сам указывает, какие разделы необходимо проверить. Нужно отметить разделы и нажать соответствующую кнопку.

    Таблица разделов, загрузочный сектор диска С:, системная область и реестр проверяются при выборе любого варианта теста. Их можно проверить и отдельно, выполнив команду меню Tests > Scan System Areas или нажав клавишу F3. С помощью меню Tests можно настроить параметры любого теста. Например, выберите пункт Complete Test Setting. Появится окно, представленное на рис. 2.23.

    Рис. 2.23. Наcтройка параметров сканирования


    Это окно содержит четыре области.

    Test name and description – позволяет задать описание теста.

    Scanning parameters. Если установить флажок Scan files without interruption, то при обнаружении вируса проверка прерываться не будет, а если установить и флажок Automatically heal infected files, такие файлы будут сразу удаляться.

    Scanning properties. Здесь настраиваются параметры сканирования. Установленный флажок Scan System Areas before the test starts указывает на необходимость проверки системной области, флажок Use heuristic Analysis включает эвристический анализатор, Scan inside archives задает проверку файлов внутри архивов.

    File extensions – настройка проверки файлов на основании расширения. При установке переключателя в положение Scan all files будут проверяться все файлы без исключения, Scan all infectable files – файлы, которые можно заразить, а флажок и поле Add extensions позволяют самостоятельно задать список расширений файлов для проверки.

    Нажатием кнопки ОК подтвердите изменения и выйдите из режима настроек. Если вы считаете, что при настройке допустили ошибку, параметры можно вернуть в исходное состояние нажатием кнопки Default.

    Совет

    Чтобы быстро проверить файл или папку, можно выбрать в контекстном меню пункт Scan with AVG Free.

    Теперь, чтобы проверить диски компьютера, достаточно открыть окно Test Center и нажать кнопку Scan Computer. Если при сканировании программа обнаружит вирус, который нельзя вылечить, зараженный файл будет помещен в Virus Vault (рис. 2.24).

    Рис. 2.24. Здесь AVG хранит обнаруженные вирусы


    Назначение Virus Vault – безопасное хранение зараженных объектов. Чтобы избежать случайностей, имя файла изменяется, тело шифруется, но сохраняется возможность восстановления файла. В Virus Vault можно еще раз попытаться вылечить, удалить или восстановить объект.

    Для автоматического удаления файлов выполните команду меню Service > Program Settings. Здесь можно задать максимально допустимые размер и количество хранимых файлов (при этом наиболее старые файлы будут автоматически удалены) или указать срок хранения подозрительных.

    По окончании сканирования можно получить общий или полный отчет о выполненной проверке.

    AVG предупреждает о скрытом, то есть двойном расширении файла (hidden extention) – любимом приеме создателей вирусов; при этом файл полностью блокируется, не позволяя пользователю открыть его (рис. 2.25).

    Рис. 2.25. Предупреждение о скрытом расширении файла


    Этот простой, но эффективный прием позволяет в большинстве случаев предотвратить негативные последствия, но, к сожалению, используется не во всех программах защиты.

    Антивирус Avast! Home Edition

    Антивирус Avast! Home Edition прост в установке. Получить его можно на сайте проекта http://www.avast.com/eng/download-avast-home.html. Необходимо скачивать файл, помеченный как Russian version, – в этому случае интерфейс антивируса будет локализован. Следует также перейти на страницу http://www.avast.com/eng/home-registration.php, зарегистрироваться и получить ключ активизации, иначе установленный антивирус будет работать только в течение 60 дней в демонстрационном режиме. Выберите в раскрывающемся списке Registration language русский язык – меню русифицируется. Далее дважды введите правильный электронный адрес и в поле Control Letters – буквы, изображенные на картинке. Остальные параметры не обязательны. После нажатия кнопки Регистрация на указанный электронный адрес придет ключ и инструкции по его установке на русском языке.

    Далее запустите исполняемый файл и следуйте указаниям мастера установки. На определенном этапе вам предложат выбрать конфигурацию антивируса: Нормальная, Минимальная и Выборочная. В варианте Нормальная содержатся все необходимые для работы компоненты. Если хотите что-то убрать, используйте вариант Выборочная. После установки антивируса в Панели задач появятся два новых значка.

    После установки появится основное окно программы (рис. 2.26), внешний вид которого можно изменить с помощью тем.

    Рис. 2.26. Интерфейс Avast! Home Edition


    Большое количество тем можно найти на сайте проекта. Чтобы их подключить к Avast! Home Edition, следует скопировать полученный файл в каталог C:\Program Files\Alwil Software\Avast4\DATA\Skin и дважды щелкнуть на архиве – тема станет доступна в меню Выбрать обложку. Некоторые темы не локализованы.

    В Avast! Home Edition обновления разделены на две части: обновление модулей программы и антивирусных баз. Для каждой можно указать свой режим обновления. Для этого достаточно перейти в Настройки программы, выбрать пункт Обновление (основной) и указать нужный режим обновления в каждой области:

    Антивирусная база данных – для обновления антивирусных баз;

    Программа – режим обновления модулей программ.

    В обеих областях доступны три варианта обновления:

    Выполнять обновления автоматически – при наличии последних обновлений компоненты обновляются автоматически (без запроса пользователя);

    Уведомлять о возможности выполнения обновлений – проверяется наличие новых баз и модулей программы, если таковые обнаруживаются, пользователю выдается запрос;

    Выполнять обновления вручную – пользователь сам решает, когда обновлять антивирус.

    По умолчанию настройки соединения с Интернетом берутся в Internet Explorer. Параметры подключения к Интернету настраиваются в меню Обновление (Подключение).

    Выбор объектов проверки производится с помощью кнопок. Доступны три кнопки. Одна отвечает за выбор всех разделов диска, вторая поможет выбрать сменные носители, третья предназначена для отбора конкретных каталогов.

    После того как задание сформулировано, нажмите кнопку Запустить.

    Совет

    Быстро проверить каталог или файл можно, выбрав в контекстном меню пункт Сканировать.

    Некоторые настройки можно произвести из контекстного меню, вызываемого щелчком на значке. Отсюда можно настроить сканер доступа, приостановить работу резидентных провайдеров, обновить базу данных, настроить параметры резидентной защиты, установить или изменить пароль, защищающий доступ к антивирусу.

    Примечание

    Резидентными провайдерами в антивирусе Avast! Home Edition называются модули, отвечающие за защиту специфических подсистем компьютера: файловая подсистема, электронная почта, веб, сети мгновенного обмена сообщений, сетевой экран и др.

    2.4. Программы для поиска руткитов

    Обнаружить руткит в системе крайне сложно. Пользователь может не догадываться о его наличии, хотя сигнатуры самых известных руткитов занесены в антивирусные базы и каждый антивирус может найти эти приложения.

    Ознакомиться со специализированными утилитами, предназначенными для поиска руткитов, и иметь их под рукой полезно, тем более что они просты в использовании.

    Руткиты некоторых типов можно обнаружить вручную. Достаточно поместить систему защиты руткита в обстановку, где она не будет работать. Например, загрузившись в безопасном режиме с загрузочного WinPE или с другой системы, можно сравнить результат выполнения команд dir, s, b, ah с помощью утилиты WinDiff (http://keithdevens.com/files/windiff/windiff.zip) или Compare It! (http://www.grigsoft.com/). Найденные расхождения могут свидетельствовать о проблеме.

    Такой подход приемлем не всегда, поэтому можно воспользоваться специальными утилитами, которые сравнивают ответы процессов на разных уровнях во время работы системы. Примером может служить самая простая в использовании коммерческая разработка компании Greatis Software – UnHackMe (http://www.unhackme.com/) (рис. 2.27), умеющая останавливать подозрительные процессы и полностью удалять их с диска.

    Рис. 2.27. Окно утилиты для поиска руткитов UnHackMe


    Для поиска запрятанных руткитов достаточно нажать кнопку Check Me Now!– начнется проверка всех запущенных процессов. Если в системе нет отклонений, на экран будет выведено соответствующее сообщение. Чтобы попрактиковаться в удалении руткитов, можно щелкнуть на кнопке Demo – вам предложат поучаствовать в удалении руткита HackerDefender. Программа не бесплатна и после установки будет работать в течение 30 дней, после чего нужно будет ее удалить или заплатить. В последних версиях добавился резидентный монитор, защищающий систему в реальном времени, и RegRun Reanimator, позволяющий контролировать объекты автозапуска.

    Бесплатная утилита RootkitRevealer, разработанная компанией Sysinternals (сейчас – собственность Microsoft: http://www.microsoft.com/technet/sysinternals/default.mspx), также проста в использовании и может работать в графической среде или запускаться из командной строки. Для проверки системы необходимо только распаковать архив, запустить исполняемый файл, убедиться, что в меню Options установлены флажки Hide NTFS Metadata Files и Scan Registry, после чего закрыть все приложения, нажать кнопку Scan и некоторое время не работать на компьютере.

    Утилита RootKit Hook Analyzer (http://www.resplendence.com/) позволяет обнаружить руткиты, перехватывающие системные вызовы. Программа бесплатна: для проверки системы достаточно установить ее и нажать кнопку Analyse. По окончании на экране появятся результаты проверки. Процессы, вмешивающиеся в работу других сервисов, будут помечены красным цветом, а в столбце Hooked на вкладке Hooks будет отображаться YES (рис. 2.28).

    Рис. 2.28. Поиск руткитов с помощью RootKit Hook Analyzer


    Для удобства можно вывести список только таких сервисов, установив флажок Show hooked services only. На отдельной вкладке выводятся загруженные модули. Особый интерес представляют те, которые прячут путь (patch) и не имеют описания. Разобраться с результатом может не каждый пользователь, зато можно периодически просматривать список, например, сделав экранный снимок, не появилось ли что-то новое.









    Главная | В избранное | Наш E-MAIL | Добавить материал | Нашёл ошибку | Вверх