В последнее время в области компьютерной вирусологии четко прослеживается новая тенденция - превращение вирусов в инструмент получения материальной выгоды. Сегодня вирусы, наносящие вред операционной системе или приложениям, появляются все реже. Их активно замещают программы, предназначенные для хищения конфиденциальной информации, в основном финансового характера. Создание таких вирусов уже превратилось в целую индустрию. Компьютерный андеграунд хорошо зарабатывает на создании вирусов. При этом пользователь чаще всего даже и не подозревает, что стал жертвой. В одно мгновение все пароли и данные c кредитной карточки, введенные при совершении покупок через интернет, могут стать добычей третьих лиц, а электронная почта и ICQ любого пользователя, не позаботившегося о защите своего компьютера, может быть использована для рассылки спама. Вирусы прошлого не настолько опасны - ведь максимальный ущерб от них выражался в потере данных, а сегодня он может исчисляться вполне внушительной суммой.
Не так давно (23.04.2004) "Лаборатория Касперского", ведущий российский разработчик средств защиты от вирусов, хакерских атак и спама, сообщила о предстоящем коммерческом выпуске нового антивируса для домашних пользователей - Kaspersky Anti-Virus Personal 5.0. Сегодня мы подробно рассмотрим все функциональные особенности этой новинки.
НАСТРОЙКА
Комплект поставки
Новый антивирус Касперского будет поставляться либо в коробочном варианте, либо в одном интернет-магазинов (в том числе на http://www.kaspersky.ru/)
В коробочный комплект поставки входит:
- Запечатанный конверт с установочным компакт-диском программы.
- Руководство пользователя.
- Лицензионный ключ, записанный на специальную дискету.
- Регистрационная карточка (с указанием серийного номера продукта).
- Лицензионное Соглашение.
Обратите внимание, что в дистрибутив программы включено подробное 96-страничное руководство пользователя. Такой подход к своим клиентам заслуживает только одобрения.
Установка
Установка антивируса стандартна. При обнаружении прошлых (4x) версий KAV, вас попросят ее удалить, в противном случае инсталляция будет невозможна. Внимательно отнеситесь к системным требованиям и установите требуемые Service Pack`и для ваших операционных систем.
Продукт представляет собой одну программу, тогда как предыдущая версия продукта состояла из набора программ, каждая из которых выполняла одну функцию антивирусной защиты.
УЛУЧШЕНИЯ
Интерфейс
Интерфейс 5-й версии отличен от внешнего вида своего предшественника (4.5.0.94). Основной упор был сделан на простоту использования программы. Главное (оно же - единственное) окно антивируса представлено всего тремя закладками. Если раньше продукт представлял набор модулей, каждый из которых выполнял свою функцию, то теперь вся функциональность сосредоточена в одном исполняемом файле. Если вы неопытный пользователь, то можете оставить настройки нетронутыми. По умолчанию, после установки программы, ваш компьютер защищен, а обновления будут закачиваться автоматически.
- Защита - закладка главного окна, на которой приведены задачи антивирусной защиты и их состояние. Данная закладка является основным интерфейсом программы.
- Настройка - закладка главного окна, содержащая задачи по настройке основных параметров антивирусной защиты и их состояние.
- Поддержка - закладка, включающая информацию, используемую в случае возникновения проблем или необходимости обращения за помощью в Лабораторию Касперского.
Каждая закладка делится на две части:
- Левая часть закладки, содержащая гиперссылки, посредством которых реализуются задачи антивирусной защиты. Список задач зависит от назначения закладки.
- Правая часть закладки, включающая информацию о текущем состоянии антивирусной защиты вашего компьютера (постоянной защиты, проверки по требованию и антивирусных баз, лицензионной информации).
Предусмотрены три состояния антивирусной защиты, которые приводятся на закладках Защита и Настройка и обозначаются следующими значками:
- Критическое состояние антивирусной защиты. Такое состояние означает, что постоянная защита отключена, какая-либо из задач (проверка и/или обновление) не выполнялась очень давно или настройки не обеспечивают должного уровня антивирусной защиты вашего компьютера.
- Антивирусная защита на уровне, отличном от рекомендуемого. Такое состояние информирует о том, что настройки антивирусной защиты не соответствуют рекомендуемым экспертами Лаборатории Касперского или существует необходимость выполнения какой-либо из задач антивирусной защиты.
- Антивирусная защита на рекомендуемом уровне. Данный статус обозначает полное соответствие настроек защиты и антивирусной безопасности рекомендациям экспертов Лаборатории Касперского.
Порядок состояний в правой части закладки следующий: первым отражается состояние постоянной защиты, затем - проверки по требованию, третьим приводится состояние актуальности антивирусных баз.
Каждый из приведенных выше состояний сопровождается комментариями и рекомендациями. Так, например, при антивирусной защите на уровне, отличном от рекомендуемого, вам может быть предложено восстановить рекомендуемые настройки, поскольку они обеспечивают оптимальный уровень антивирусной защиты.
Быстродействие
В программу встроены технологии обработки файлов iChecker, iStream и iCache (Более подробно о них в самом конце статьи ). В их основе лежит интеллектуальное ядро распознавания целостности файла и взаимодействия с кэш-менеджером операционной системы. По словам разработчиков, эти методы позволят "избежать повторного сканирования ранее проверенных файлов и увеличить быстроту работы в три раза и уменьшить использование оперативной памяти в два раза". Так ли это мы, рассмотрим ниже.
Сканирование почты
В предыдущей версии антивирусная защита почты обеспечивалась только для почтовых программ, совместимых с Microsoft Exchange. Теперь же программа лечит входящую и исходящую почту любой почтовой системы, принимающей почту по протоколу POP3 и отправляющей почтовые сообщения по протоколу SMTP. Если раньше c антивирусами KAV поставлялись плагины (например, к "The Bat!"), то сейчас в этом нет необходимости, благодаря внедренной технологии MailChecker Traffic Monitor.
Лечение архивов
Пятый KAV позволяет лечить зараженные файлы в архивах zip, arj, cab, rar. В старой версии программа позволяла только обнаруживать зараженные файлы в архивах, а лечить зараженные объекты только в zip-архивах.
Экспертиза Касперского
Если вы подозреваете какой-нибудь файл в том, что он заражен или сам является вирусом, есть возможность отправить его для исследования в Лабораторию Касперского. Ранее такого встроенного сервиса в продуктах Лаборатории Касперского не было.
Обновление
Улучшен механизм обновлений вирусных баз. Теперь, в случае разрыва связи, процесс загрузки возобновляется с места обрыва. Другим, более важным нововведением является отмена необходимости в ручном вводе адресов загрузки расширенных баз.
Для справки: В расширенный набор баз входят так называемый класс riskware. К нему относятся программы удаленного администрирования, клавиатурные шпионы, программы вскрытия паролей, а также программы автоматического дозвона.
Лаборатория Касперского обновляет антивирусные базы на серверах обновлений дважды в день (без учета экстренных обновлений во время массовых вирусных эпидемий).
Анимация иконки программы
Значок в системной панели теперь анимирован. Если постоянная защита файлов включена, значок активен (красного цвета) , если выключена - неактивен (серого цвета) , даже если выполняется проверка почты или сценариев.
Если выполняется анализ какого-либо объекта в режиме постоянной защиты, то значок располагается поверх мигающей бело-синей папки: / . При проверке почты вместо папки появляется конвертик. Когда происходит важное, с точки зрения антивирусной безопасности, событие, на некоторое время над значком появляется информационное сообщение с рекомендацией от экспертов Лаборатории Касперского.
Другие улучшения
Существенно усовершенствованы функции модуля карантина и резервного копирования для надежной изоляции вредоносных кодов. Оптимизирована система обработки зараженных и подозрительных объектов в процессе сканирования. Улучшена поддержка кодировки UNICODE, что позволяет Антивирусу
Касперского более эффективно работать на любых платформах и, в том числе, любых версиях Windows (в особенности китайской, японской, корейской и других восточных языков).
РАБОТА
Сканирование
Возможно возникновение такой ситуации, когда выполнить действие над объектом невозможно. Например, когда зараженный объект используется другим приложением в момент проверки и его нельзя лечить. В таком случае на экран будет выведено соответствующее сообщение, где в качестве действия будет предложено:
- лечить при перезагрузке компьютера;
- удалить при перезагрузке компьютера;
- пропустить.
Работа с архивами
Постоянная защита не предполагает проверку и лечение архивов. Для этого вам необходимо использовать полную проверку компьютера. Антивирус проверяет архивы в том случае, если в качестве уровня защиты установлен уровень Максимальная защита или Рекомендуемый, и если их проверка не была отключена.
Разработчики предупреждают, что антивирус НЕ ЛЕЧИТ самораспаковывающиеся архивы. Если в самораспаковывающемся архиве будет обнаружен вирус, вылечить который невозможно, такой архив будет удален. Если архив или объект внутри архива защищен паролем, то перед их проверкой на экран будет выведен запрос пароля.
При обнаружении во время проверки другого защищенного паролем объекта внутри архива Касперский 5.0 попытается применить к нему введенный вами пароль для первого объекта. И только в том случае, если этот пароль не подходит, на экран вновь будет выведен запрос на ввод пароля. Если же вы не знаете пароля, то проверка защищенного архива и всех включенных в него объектов будет невозможна. В течение 30 секунд программа ожидает ввода пароля, после чего пропустит защищенный паролем объект и перейдет к проверке следующего.
Уровни безопасности
В процессе настройки пользователю предлагается 3 уровня безопасности: "Максимальная скорость" (проверка только основных компонентов компьютера), "Максимальная защита" (полная проверка компьютера) и "Рекомендованный" (оптимальный уровень с точки зрения временных затрат и глубины проверки).
Максимальная защита - уровень, на котором осуществляется максимально полный контроль за открываемыми, сохраняемыми и запускаемыми объектами.
Рекомендуемый - настройки данного уровня постоянной защиты рекомендованы экспертами Лаборатории Касперского и определяют проверку тех же объектов, что и при Максимальной защите, за исключением самораспаковывающихся архивов и исходящей почты.
Максимальная скорость - уровень с настройками, которые позволят вам комфортно работать с приложениями, требующими значительных ресурсов оперативной памяти, поскольку набор проверяемых объектов на данном уровне сокращен.
Мониторинг системы
Для справки: OLE-объекты - присоединенные или встроенные в другие файлы объекты. Например, если вы вставите какую-либо таблицу Microsoft Excel в документ Microsoft Word, данная таблица будет проверяться антивирусом как OLE-объект.
Сканирование файлов
Работа в интернет
Если вы работаете с почтой удаленных веб-серверов с помощью интернет-браузера, например, с помощью Microsoft Internet Explorer, программа будет проверять только вложенные во входящие сообщения файлы в момент их запуска или записи на диск.
ТЕСТИРОВАНИЕ
Все познается в сравнении, поэтому мы решили протестировать новый KAV с предыдущей версией.
Тестовая система:
- процессор: Celeron-1800MHz
- материнская плата: Gigabyte GA-8IE2004P (i478)
- винчестер: 40Gb Seagate ATA, 7.200 rpm, 2Mb кэш;
- память: 256Mb DDR266 Samsung;
- видеокарта: 64Mb GeForce4 MX420;
- ОС: Windows XP Pro (SP1) с DirectX 9.0
Разделы винчестера
Скорость сканирования (максимальная зашиты)
Сухие цифры тестирования говорят о том, что новый антивирус (KAV 5.0.103) сканирует (ненамного, но) медленнее старого (KAV 4.5.0.94).
Давайте не будем спешить с выводами, потому что и 4.5 и 5.0 версии при первом сканировании тщательно проверяют все файлы, т.к. необходимо убедиться в отсутствии вирусов на машине, которую далее будет защищать антивирус. При дальнейших сканированиях начинают работать технологии iChecker, iStream, iCache. Программа при этом контролирует целостность файла и повторно не проверяет заведомо чистые файлы. Поэтому спустя несколько дней постоянной работы антивирусов мы провели вторичное сканирование и получили следующие результаты:
Вторичное сканирование (максимальная зашиты)
Улучшение скорости налицо, при этом мы убедились, что новый антивирус (KAV 5.0.103) сканирует заметно быстрее старого (KAV 4.5.0.94).
ВЫВОДЫ
Плюсы:
- возросшая скорость сканирования;
- продуманная настройка по умолчанию (принцип "установил и забыл");
- простой, удобный интерфейс;
- множество улучшений по сравнению с предшественником;
- малые требования к оперативной памяти (до 13Мб.);
- отказ от модульной системы.
Минусы:
- требовательность к установленным Service Pack`ам.
Честно говоря, мы не думали, что выход Kaspersky Anti-Virus Personal 5.0 принесет с собой много улучшений по сравнению с предыдущей версией. Получилась действительно новая программа. Вместе с этим Лаборатории Касперского есть над чем работать. Например, устранить все несовместимости в работе с разными версиями Windows, а также устранить некоторую заторможенность, возникающую при работе антивирусного монитора.
Более подробно о новых технологиях
iChecker - новая разработка специалистов "Лаборатории Касперского". Технология iChecker позволяет добиться разумного баланса между надежностью постоянной защиты рабочих станций и, особенно серверов, и использованием системных ресурсов защищаемого компьютера (использование процессорного времени). Благодаря этой технологии значительно сокращается время старта (до 30-40%) операционной системы (по сравнению с традиционными антивирусными защитами) и приложений при активной постоянной антивирусной защите и при этом гарантируется, что все файлы на дисках защищаемого компьютера будут проверены. Основная идея данной технологии - "не надо проверять то, что не изменялось, и уже было проверено". Программа ведет специальную базу данных, в которой хранятся контрольные суммы всех проверенных (и не инфицированных) файлов. И прежде чем отдать файл на проверку, подсчитывается и сравнивается контрольная сумма файла с данными, хранящимися в базе данных. Если данные совпадают, то это значит, что файл был проверен и повторная проверка не требуется. Стоит заметить, что время, затрачиваемое на подсчет контрольных сумм файла значительно меньше, чем время антивирусной проверки.
Впервые эта технология была применена в Антивирусе Касперского Lite версии 4.5. В версии 5.0 будет использоваться вторая, оптимизированная, версия этого модуля, в которой учтен опыт использования в KAV Lite 4.5, что позволит дополнительно уменьшить загрузку процессора во время работы подсистемы постоянной защиты компьютера.
iCache - новая система кэширования файлов во время проверки (сканирования) файлов на заражения вирусами. Благодаря тесной интеграции с подсистемой кэш менеджмента Windows XP достигается повышение производительности и как следствие уменьшение времени сканирования исполняемых файлов на 5-10%. iStream - технология интеллектуального сканирования файлов на серверах и рабочих станциях, работающих под управлением Windows NT/2000/XP. Является развитием технологии iChecker и позволяет гарантировать "не выход" инфицированных файлов за пределы рабочих станций и файловых серверов и при этом снизить загрузку серверов на 20-30% по сравнению с предыдущими поколениями Антивируса Касперского. Технология позволяет хранить информацию о том, что файл не изменялся в Alternative Data Streams (тесная интеграция с KLIF.SYS).
Благодаря перечисленным выше технологиям работа при включенной постоянной защите компьютера практически не отличается от работы без антивируса, за исключением одной детали - пользователь может быть уверен, что его компьютер находится под постоянной защитой Антивирус Касперского.
Следующие две технологии расширяют и без того богатые возможности антивирус по обнаружению и обезвреживанию вирусов.