Антивирусы

Версия 2019.04.15

Разработка и внедрение антивирусного программного обеспечения и систем предотвращения атак (файерволы, брандмауэры), а также средств восстановления после заражения системы компьютерными вирусами – это одна из самых важных и сложных тем после решения круга вопросов, собственно говоря, посвященных разработке операционных систем.

Именно поэтому, количество компаний по разработке антивирусного программного обеспечения относительно невелико – ведущих не более нескольких десятков во всём мире. Ответственность – огромная. Знания, которые требуются для того чтобы определить наличие в компьютере вредоносного программного обеспечения, даже на глаз – нужны громадные. Для того, чтобы сделать это в полуавтоматическом режиме нужна проверка всей компьютерной системы, которая, в зависимости от её производительности, может занять от нескольких минут до десятков часов.

Более того, далеко не все компьютерные вирусы могут быть своевременно обнаружены. К сожалению, также существует некоторые их типы, после заражения, которыми операционную систему и пораженные файлы вылечить нельзя вообще, кроме как удалением или с помощью полной переустановки. А иногда и после переустановки операционной системы вирус остается в памяти компьютера, так как мог быть поставлен на не перезаписываемых дисках или поразил загрузочные области жесткого диска, или же находится в базовой системе ввода-вывода / в составе обновлений операционной системы. Поэтому, есть случаи, когда без обращения в сервисный центр или на завод-изготовитель компьютерного оборудования сделать ничего не получится.

Неслучайно, именно поэтому, большинство антивирусных компаний являются лабораториями (САЛД – Санкт-Петербургская Антивирусная Лаборатория Данилова или Лаборатория Касперского). Лаборатория осуществляет превентивную защиту устройств, в зависимости от приобретенной или свободной лицензии, а также диагностику и лечение в случае заражения. Впрочем, именно по этой же причине качество обслуживания этими лабораториями, как бесплатных, так и платных антивирусных продуктов отличается очень нехорошими особенностями.

По моей статистике, с защитой наших рабочих станций, планшетов и умных телефонов в свое время не справились и Лаборатория Касперского, и Лаборатория Данилова, и совместная словацко-российская компания ESET.

Например, в лаборатории Данилова (САЛД) основная проблема – это качество самих продуктов: в разное время, в течение минимум 6-8 лет использования их лицензионных версий для ПК и смартфонов были отмечены: неработоспособный брандмауэр, потеря антивирусных баз, ложные срабатывания, потеря части функциональности операционной системы, простая невозможность перезагрузить компьютер антивирусом после установки обновлений (всё это и многое другое задокументировано запросами в службу поддержки), а также неоднократное аварийное завершение сервиса защиты в версиях их продуктов для умных телефонов вплоть до сброса в режим ввода PIN-кода. Это ошибки, которые не исправлены даже по состоянию на конец января 2019 года (момент правки этой статьи). Отмечу, что это один из лучших отечественных антивирусных комплексов по версии журнала “Хакер”. Правда, все это на основе рекламной информации которую они дают. На деле, действительно Лаборатория Данилова признает наличие проблем связанных с работой их продуктов в ОС Android выше 8.0, связанную с завершением их процессов.

Лаборатория Касперского не отлавливает некоторые виды клавиатурных шпионов, считая их вполне нормальным программным обеспечением, имеет проблемы с функционированием условно бесплатных версий антивирусов для смартфонов - такого же характера, как и в Лаборатории Данилова. По состоянию на сегодняшний день им частично удалось обеспечить функционирование сервиса проверки на новых версиях ОС Android, но эту функциональность еще требуется тестировать, что затруднено общими проблемами связанными с Android/Google Play: выходящие обновления для операционной системы могут затруднять работу антивируса.
 
Иногда обе выше упомянутые лаборатории пропускают вирусы на заводских компакт дисках и DVD дисках, входящих в комплект книг, посвященных программированию и разработке веб-ресурсов (примеры также есть).

Лицензионные продукты ESET отличаются более стабильным качеством, но тоже иногда пропускают вирусы на защищаемые устройства, допускают подмену библиотек времени выполнения более старыми версиями или полное отключение антивируса. Минимум странной выглядит политика ESET в области то добавления, то удаления нужной и оплаченной функциональности - например, такой, как фильтры входящих звонков, в зависимости от версии инсталлятора. 

В общем, в большинстве случаев, с одной стороны, эти компании задачи, связанные с защитой устройств успешно решают - то есть опережают на шаг хакеров, по крайней мере в случае использования платных антивирусных комплексов. С другой стороны, как видно, в результате многолетнего тестирования, ни одна из трех антивирусных компаний не смогла на 100% надежно защитить платными версиями своих программ оборудование и систему. Кстати, это связано с недоработками самих операционок. Одним из последних скандалов, лучше всего показывающих, что фактически происходит на рынке, было обнаружение лабораторией Касперского факта, что вместе с обновлениями для части программных продуктов компании Asus, в течение полугода рассылались вирусы.

Продукты, поставляемые антивирусными компаниями, зависят от операционной системы (наиболее популярные – это DOS, Windows, Linux, MacOS, Android), её версии, разрядности (на сегодня бывают 16, 32х или 64х разрядными), быть графическими, консольными, собранными для определенных типов процессоров.
 
Еще одной отличительной особенностью коммерческого антивирусного обеспечения является повышенный уровень защиты от его взлома хакерами и самими вирусами  – удаления антивирусных баз, их подмены (в случае использования сигнатурных антивирусов), несанкционированного отключения антивируса, а также затруднение попыток его реверс-инжиниринга и отладки. Это делает почти невозможным использование большинства стандартных антивирусов в системах виртуализации – таких как Oracle VirtualBox или VMWare – они просто не будут в них запускаться и корректно работать.

Кстати, именно создание антивирусных защит, которые способны нормально функционировать в системах виртуализации – это одно из важнейших и приоритетных направлений в разработке защитных комплексов. Ведь в этом случае возможно создание защищенных “матрёшек” из операционной системы и функционирующих в них программ.
 
Как ни странно, но одним из главных моментов при выборе антивируса является также правильно выбранная и установленная операционная система. В случае использования Linux ввиду сложности операционной системы и множества поддерживаемых аппаратных конфигураций (платформ, процессоров) количество вирусов не очень большое. Для операционной системы DOS написано уже очень много вирусов. Также их много и для старых версий Windows – таких как Windows 95, 98, Me, NT, 2000, XP, Vista – для 32-х разрядных версий операционной системы количество вирусов исчисляется миллионами. В целом, все просто – они устарели, и их лучше не использовать. Несмотря на то, что для Windows XP, Vista поставляется и до сих пор обновляется встроенный антивирус от Майкрософт – Защитник Windows (Windows Defender), большинство компаний уже отказались от поддержки этих ОС и завершили цикл разработки программ для них.

Наиболее безопасным вариантом при выборе ОС Windows, с точки зрения минимального количества написанных под платформу вирусов, является выбор 64-х разрядных версий ОС (Win64) – это Windows 7 x64, Windows 8.1 x64 и Windows 10 x64. Собственно, работу с этими ОС вот уже 10 лет поддерживает большинство выпускаемого компьютерного оборудования от компаний Intel и AMD. Выбирая современную 64-разрядную систему Вы платите чуть больше финансов, но получаете более высокую производительность и большую защищенность. Все 32х разрядное программное обеспечение в этих системах будет запускаться через специальную прослойку, которая делает невозможной выполнение большинства вирусов для систем x32. Поэтому, перед установкой 64-разрядного антивируса просто поставьте 64-разрядную ОС и забудьте о большинстве вирусов навсегда.

Разумеется, от всех, и, тем более от новых вирусов вас это не защитит. Современные антивирусы делятся на сигнатурные (это устаревшая, но наиболее часто встречающаяся модель, при которой выполняемые файлы во время проверки сравниваются с заранее составленным в лаборатории набором сигнатур, содержащих образцы вирусов), поведенческие (определяющие вредоносную активность обращению к защищенным функциям ОС, административным аккаунтам и областям компьютера) и репутационные (когда каждый выполняемый файл или программа заносятся в специальную базу данных антивирусной компании и, в соответствие этой программе выставляется репутационный рейтинг и приблизительное количество пользователей в мире).

Для правильного функционирования сигнатурных антивирусов требуется периодическое получение антивирусных баз, поведенческие требуют обновления базы правил, а репутационные - постоянное подключение к серверам с рейтингами. Всё это требует наличия доступа к сети Интернет. Это и хорошо, и плохо одновременно. Для нормальной работы, скажем, в текстовом или графическом редакторе постоянное подключение к Интернету не нужно. Также оно не нужно для большинства нормально спроектированных приложений, кроме веб-броузеров для просмотра сайтов и веб-сервисов.
 
В случае нормальной работы компьютера, подключение его к Интернету дает дополнительные функции, например, возможность отправки и чтения электронной почты, загрузки программного обеспечения или обновлений, просмотра сайтов. В случае, если ваш компьютер инфицирован, подключение к Интернету, наоборот, скорее всего, создаст проблемы – возможно увеличится объем оплачиваемого вами трафика, увеличится риск инфицирования удаленно подключаемых к вам компьютеров и возрастет риск удаленного управления вашим компьютером авторами вредоносов (например, включения его в бот-сети).
 
Обновления антивирусные компании обычно выпускают несколько раз в день, настоятельно рекомендую, по возможности, поддерживать эти базы в актуальном состоянии. Правда, в большинстве случаев, вам для этого необходимо будет оформить платную подписку.

Впрочем, бывают и бесплатные версии антивирусов с ограниченными возможностями – например, без системы предотвращения вторжений. Также, для пользователей ОС Windows доступен продукт Windows Defender (Защитник Windows), входящий во все лицензионные версии ОС, старше Windows XP SP3 (с пакетом обновления 3) и Windows Vista. Некоторым такого антивирусного сервиса вполне достаточно – например, директор по информационным технологиям одного из петербургских заводов сказал мне, что этот антивирус его вполне устраивает, и выкладывать большие деньги за защиту парка компьютеров организации сторонними продуктами они не планируют.

Если Вы пользуетесь операционной системой класса Linux, кроме коммерческих антивирусов, для них существует решение, которое называется ClamAV.

Отличным и очень авторитетным антивирусным ресурсом является портал VirusTotal.com

Вы можете проверить любой из файлов на вашем компьютере, вне зависимости от ОС, просто загрузив его на этот портал – там он будет автоматически просканирован большинством имеющихся в мире антивирусов на наличие вредоносов и занесен в репутационную базу данных со множеством параметров и возможностью экспертной оценки. После сканирования вам будут наглядно показаны его результаты – что в файле найдено и насколько он опасен или безопасен.

К сожалению, новые вирусы появляются ежедневно. Существуют даже автоматические генераторы вирусного программного обеспечения, которые продаются хакерами менее продвинутым пользователям, за деньги. Даже, если вы заплатили за защиту вашего компьютера и регулярно обновляете антивирусные базы, возможно заражение. Всегда может найтись кто-то (бизнес-конкурент или разведка другой страны), кому ваши данные могут оказаться настолько нужными, что они будут готовы заплатить за взлом вашего компьютера и установку на нём вредоносного программного обеспечения либо использования уязвимостей вашей ОС для её взлома. Будьте внимательны, 100% гарантии защиты нет и быть не может. Некоторые антивирусные производители, впрочем, в случае обнаружения заражения, иногда готовы вернуть вам заплаченные за антивирус деньги. Правда, уверен, ваши данные всё равно стоят существенно дороже.

Что делать если всё-таки заразились? Главное – не паниковать. Лучше всего обратится к квалифицированному системному администратору или специалисту по информационной безопасности (которому рекомендую платить за поддержку ежемесячно). Также можете попытаться решить проблему самостоятельно.

Удаление некоторых типов вирусов, поражающих жизненно важные функции ОС в нормальном режиме функционирования компьютера невозможно. Рекомендую перезагрузится в безопасном режиме, либо со специального антивирусного носителя (включающего в себя ОС класса Linux, антивирус и набор диагностических баз), подмонтировать рабочие диски, пролечить их, сделать резервную копию на специальные носители и попытаться загрузить ОС компьютера в штатном режиме. Получится – хорошо, не получится – хуже. В этом случае вам придется переустанавливать ОС, программы для нее и восстанавливать рабочие файлы из сделанных резервных копий. Это займет время.
 
Кстати, по статистике, умеют устанавливать ОС только более-менее грамотные пользователи компьютеров, которых не более 3% от общего числа. Еще меньшее их количество умеет грамотно настраивать установленную ОС и программы для неё, включая антивирусные. Это хорошая новость, так как разрабатывать программное обеспечение умеет ещё меньшее количество пользователей, и в разы меньшее способно написать вирус. Это существенно увеличивает ваши шансы на то, что вы вирус не подхватите.