Принципы обзора
Вся жизнь - борьба. С вирусами
"Пират" вряд ли поможет
Покупка - еще не все
Антивирусная война с точки зрения Gartner Group
Это может сделать каждый
От всего ли "лечат" антивирусы?
Принципы работы современных антивирусов
Обзор продуктов

PictureВряд ли кто из пользователей хотя бы раз не сталкивался с ситуацией, когда давным-давно знакомая и многократно проверенная на надежность программа вдруг, словно по мановению волшебной палочки, выходит из подчинения, начинает творить непонятные вещи, а на экране появляется странная надпись, призывающая легализовать марихуану или выразить почтение какому-то юному дарованию из Болгарии или Венесуэлы. "Вирус?!" - сокрушенно вопрошает пользователь. "Возможно", - отвечает ему системный администратор и бежит искать в своем архиве антивирусную программу.


Принципы обзора

Цель данного обзора - осветить проблему защиты корпоративных пользователей от компьютерных вирусов на фоне общей картины отечественного рынка антивирусного ПО, а также попытаться предложить способы создания оптимальной антивирусной защиты информационных систем. Его основу составили беседы с представителями компаний, поставляющих антивирусное ПО на российский рынок. Мы встретились со специалистами российских фирм - разработчиков антивирусных программ, их коллегами из представительств иностранных компаний, создающими продукты этого класса, а также с экспертами и консультантами отечественных компаний, которые обладают статусом партнеров зарубежных фирм, специализирующихся на создании антивирусного ПО и не имеющих представительств в России.


К счастью, средств борьбы с компьютерной нечистью сейчас предостаточно. Антивирусные программы для индивидуальных пользователей хорошо известны. Менее известны средства и методы организации антивирусной защиты корпоративных систем. А между тем сегодня вирусные атаки гораздо опаснее для больших информационных систем, чем деятельность Internet-хакеров. Наш сегодняшний рассказ - о стражах информационного порядка (и немалых денег) корпоративных пользователей.

Вся жизнь - борьба. С вирусами

Несколько лет назад ваш покорный слуга решил навестить приятеля, работавшего в небольшой фирме, которая, помимо всего прочего, занималась оказанием антивирусной "скорой помощи", и стал невольным свидетелем довольно показательной сцены. К одному из экспертов по вирусам приехал клиент с системным блоком ПК, зараженным каким-то вредоносным "агентом". Внимательно изучив ситуацию, эксперт дал заключение: диск в принципе можно восстановить, но на это уйдет примерно месяц кропотливой ручной работы. Когда огорченный клиент с системным блоком под мышкой ушел, эксперт резюмировал: "Был банк - и нет банка!"

Судя по сегодняшним рассказам сотрудников антивирусных компаний, положение с тех пор кардинально не изменилось. Во многих фирмах люди зачастую пользуются старыми версиями антивирусных программ, забывая, что c момента их выпуска появилось очень много новых вирусов, которые, естественно, не выявляются устаревшими средствами. Многие по-прежнему в значительной степени полагаются на "авось", приобретая новые антивирусные средства лишь после очередной антивирусной атаки.

При этом мало кто задумывается о возможных потерях организации в случае, если очередной зловредный вирус уничтожит базу данных бухгалтерии или превратит в мешанину байтов базу данных по клиентам. Еще меньше волнует людей ущерб от деятельности макровирусов, мешающих нормальной работе сотрудников, которым изо дня в день приходится тратить (в общем-то уже не дешевое) рабочее время на борьбу с причудами зараженных офисных пакетов да еще отрывать от дел специалистов информационных отделов.

Не менее серьезные проблемы, стоящие перед предприятиями, - недостаток специалистов, умеющих грамотно организовать защиту, а также отсутствие целенаправленной антивирусной политики. Даже если предприятие купит самые лучшие в мире антивирусные средства, оно все равно может оказаться практически незащищенным. Причин тому может быть масса: либо антивирусное ПО установлено не на всех машинах, либо настроено не так, либо запускается крайне редко, либо базы данных по вирусам давно не обновлялись, а если и обновлялись, то не на всех имеющихся в компании машинах, а бывает и так, что администратор с какого-то момента просто перестал заниматься контролем состояния защиты от вирусов. Так или иначе в один "прекрасный" момент происходит пусть и маловероятная, но все же возможная неприятность, причина которой - цепь роковых ошибок персонала. Предприятие несет потери - вот тогда-то и затевается "разбор полетов" и встают традиционные вопросы: кто виноват, что делать и с чего начать. И начинают, как правило, с покупки нового антивирусного ПО.

"Пират" вряд ли поможет

Примечательно, что в случае вирусной атаки в офисе пользователи, как правило, спешат приобрести легальные версии антивирусных программ либо скачать по Internet их оценочные копии. К лоткам с пиратской продукцией отправляются лишь единицы. И это правильно. Во-первых, потому что пиратские копии в силу вполне объективных причин содержат далеко не свежие версии антивирусного ПО и баз данных по вирусам. Во-вторых, при покупке нелегальных версий никто не сможет гарантировать, что содержащиеся на пиратском диске версии не окажутся усеченными или поврежденными каким-либо иным образом. Даже если удастся "отбить" одну вирусную атаку, следующая опять поставит пользователя в положение, при котором помощи ждать неоткуда.

С легальными копиями проще: если что случится, пользователь может обратиться в службу технической поддержки компании-производителя или ее партнера и через несколько часов (максимум через двое суток) получить "вакцину". В конце концов, к свежей легальной копии доверия гораздо больше, чем к записанной неизвестно кем и неизвестно когда на пиратский диск.

Кстати, антивирусные компании это прекрасно понимают, поэтому рассматривают пиратов скорее не как конкурентов, а как своего рода рекламных агентов, распространяющих, по сути, демонстрационные образцы программ, не отвечающие последним требованиям антивирусной защиты. Вот как высказался о пиратском рынке Василий Погорелов, директор по продажам российского представительства McAfee: "Мы любим пиратов. Они выполняют нашу работу - знакомят людей с нашими программами". Сергей Антимонов, генеральный директор компании "ДиалогНаука", считает, что хотя пиратский рынок наносит ущерб производителям антивирусных программ, его масштабы не очень велики - основную прибыль все-таки приносят корпоративные клиенты. Впрочем, это и неудивительно: за данными, хранящимися в информационных системах предприятий, стоят гораздо большие деньги, нежели за файлами частных клиентов, поэтому и средств на организацию антивирусной обороны компаний бывает не так жалко, как на защиту отдельно стоящего домашнего ПК. По мнению Вадима Заборского, менеджера по маркетингу российского представительства Symantec, в последнее время пиратский рынок вообще теряет активность в отношении антивирусных программ. Только один наш собеседник выразил серьезную озабоченность деятельностью пиратского рынка - Николай Смирнов, ответственный за маркетинг средств разработки ПО и продуктов для сетецентрических вычислений корпорации IBM.

Покупка - еще не все

Как уже говорилось, нельзя подходить к проблеме защиты от вредоносных программ, упрощенно сводя его лишь к покупке антивирусного пакета. По крайней мере купленное ПО еще нужно грамотно установить, настроить, не забывая обновлять как базы данных по вирусам, так и сам продукт.

Возникает вполне естественный вопрос: можно ли ограничиться лишь установкой антивирусного ПО или же следует предпринять дополнительные меры? На этот вопрос специалисты отвечают по-разному. Вадим Заборский из Symantec считает, что для надежной защиты от вирусов достаточно установить ПО, предназначенное для борьбы с программами-паразитами. А иначе зачем же тогда это ПО существует? Аналогичного мнения придерживается и Александр Николаев, менеджер по продуктам "Интерпроком ЛАН": хорошее антивирусное ПО само обеспечивает всю необходимую защиту.

Вряд ли стоит подробно рассказывать о том, куда именно следует устанавливать антивирусное ПО, поскольку ответ достаточно очевиден: нужно перекрывать основные пути проникновения и распространения вирусов - рабочие станции, оборудованные флоппи-дисководами и контроллерами компакт-дисков, файловые серверы, а также серверы Internet.

Вероятнее всего, на многих предприятиях и в офисах действительно можно ограничиться лишь профилактическими мерами. Основные трудности, которые при этом возникают, - это, во-первых, обучение всех сотрудников ключевым методикам профилактики вирусов и способам борьбы с ними, а во-вторых, контроль за соблюдением персоналом правил защиты от вирусных атак. По словам Константина Ларионова из компании "Прикладная логистика", в некоторых предприятиях, в частности в банках, все сотрудники, имеющие дело с компьютерами, оборудованными устройствами для чтения внешних носителей, берут на себя письменные обязательства соблюдать необходимые профилактические меры.

Очень надежную схему защиты от вирусов рекомендует Евгений Касперский из компании "Лаборатория Касперского". Основная ее идея - максимальное ограничение каналов связи с внешним миром. Такими каналами могут быть устройства для чтения дискет, компакт-дисков и других съемных дисковых накопителей, а также линии связи с Internet и прочими внешними сетями. Для этого нужно, во-первых, убрать с подавляющего числа клиентских станций все устройства для работы со съемными накопителями, оставив их лишь на нескольких выделенных машинах, во-вторых, установить антивирусное ПО на все компьютеры, оборудованные дисководами для съемных дисков, а также машины, имеющие прямой выход во внешние сети. Кроме того, естественно, необходимо назначить ответственных за обеспечение антивирусной обороны. По мнению Касперского, такие меры дают 99%-ную гарантию защиты от проникновения вирусов при условии, что во внутренней сети предприятия вирусов заведомо нет. Если же паразитирующая программа все-таки проникла в локальную сеть, то необходимо установить антивирусное ПО на все компьютеры, уничтожить вирус повсюду, после чего убрать лишние экземпляры вышеупомянутого ПО. Поскольку местами наибольшей концентрации вирусов внутри офиса являются серверы, Касперский рекомендует поставить на них антивирусные программы, сканирующие файлы в режиме реального времени в тот момент, когда к ним осуществляют доступ пользователи. Как видим, меры довольно жесткие, но если хранимая на офисных серверах информация действительно дорого стоит, то на эти шаги следует пойти.

Константин Ларионов из "Прикладной логистики" привел мнение членов Международной ассоциации по компьютерной безопасности (ICSA), согласно которому оптимальная защита от вирусов обеспечивается путем установки на рабочие станции резидентных антивирусных мониторов. В этом случае можно обойтись и без серверных антивирусных программ. Кроме того, Ларионов советует снабдить персонал специальными памятками с перечнем действий на случай вирусной атаки.

Дмитрий Лозинский из компании "ДиалогНаука" настоятельно советует хранить документы в форматах, не могущих содержать вирусы, - HTML и RTF, использовать для знакомства с документами не сами офисные программы, а средства просмотра (Word Viewer, Excel Viewer и другие), а также устанавливать антивирусные программы на серверы, дабы те не превращались в "помойку" для документов и питомник для вирусов. И конечно же, по мнению Лозинского, следует обратить внимание на уровень подготовки специалистов, занимающихся антивирусной защитой, поскольку даже относительно простые в использовании антивирусные средства нужно уметь правильно установить и настроить, иначе толку от них не будет никакого. Яркий тому пример - ситуация с Doctor Web и ADinf. По замыслу разработчиков, эти программы должны работать, что называется, в одной связке: во время проверки ADinf составляет список измененных файлов, а затем передает его на обработку Doctor Web. Управление процедурой взаимодействия этих программ производится с помощью командных файлов DOS. К сожалению, на практике эти возможности используются не так часто, зато нередки жалобы пользователей (не настроивших программы должным образом) на медлительность Doctor Web (хотя известно, что с полиморфными вирусами особенно быстро не поработаешь) и якобы низкую эффективность ADinf.

Наиболее радикальной позиции придерживается Николай Смирнов из IBM: он ратует за отказ от платформ, на которых в изобилии водятся вирусы, в пользу надежных - прежде всего OS/2, NetPC и JavaOS. Как знать, возможно, когда-нибудь так и произойдет: пользователи, уставшие от борьбы с непослушными и громоздкими платформами и офисными пакетами, станут постепенно переходить на альтернативные системы. Однако сейчас ситуация вынуждает работать с тем, что есть, постоянно помня о том, что с любой дискетой, с любым исполняемым файлом или документом на компьютер может попасть вирус.


Антивирусная война с точки зрения Gartner Group

Вирусы и пути их распространения

Наибольшее распространение в настоящее время получили макровирусы, которые вместе с документами популярных офисных пакетов проникают через дискеты, электронную почту, Web и корпоративные серверы. К сожалению, далеко не все макровирусы безобидны, некоторые из них представляют угрозу данным. Так, например, макровирус Hot уничтожает документ спустя 14 дней после заражения. Выявление макровирусов осложняется еще и тем, что сканирующим антивирусным программам приходится просеивать значительные объемы данных, а это приводит к замедлению процедуры проверки.

Второе место по частоте инфицирования по-прежнему занимают вирусы, поражающие загрузочные секторы дискет и жестких дисков (до конца 1995 года именно они занимали лидирующее положение). Следом идут вирусы, "живущие" в кодах исполняемых файлов. По мере роста популярности Internet активизируется деятельность вредоносных Java-апплетов и модулей ActiveX, реализованных в виде "троянских коней".

Что касается путей распространения, то сейчас наиболее популярным среди них является перенос вирусов на дискетах с последующим их "размножением" на корпоративных файловых серверах. В дальнейшем ожидается преобладание вирусов, передаваемых посредством различных служб Internet, прежде всего через электронную почту и перекачиваемые исполняемые файлы.

Технологии антивирусной охоты

  • Распознавание сигнатур. Хорошо подходит для выявления известных вирусов, но почти бесполезно для обнаружения неизвестных. Требует значительных вычислительных ресурсов.
  • Метод контрольных сумм. Обеспечивает неплохие возможности для определения самого факта вирусного заражения, но не конкретного вируса.
  • Распознавание поведения, характерного для вирусов. Помогает выявить неизвестные и полиморфные вирусы. Не исключена вероятность, что за вирусную деятельность может быть принято поведение вполне надежного приложения.
  • Эмуляция кода на виртуальном компьютере. Позволяет выявлять вирусы еще до того, как они начнут действовать. Метод подходит для распознавания полиморфных вирусов.

    Это может сделать каждый

  • Отключить возможность загрузки компьютера с дискеты. Тем самым уменьшается вероятность заражения загрузочного сектора жесткого диска.
  • Не создавать без особой надобности самораспаковывающиеся архивы. В случае вирусной атаки они станут еще одним питомником для "размножения" вредоносных программ.
  • Не устанавливать на машины с важными данными, а также на компьютеры, подключенные к серверу локальной сети, неизвестное ПО и программы, поступившие из ненадежных источников.
  • Использовать для хранения офисных документов форматы, свободные от вирусов, такие как "чистый" текстовый, HTML, RTF. Последний весьма удобен тем, что позволяет хранить практически все особенности оформления документов, но не может содержать кодов макрокоманд.
  • Просматривать поступившие из ненадежных источников документы с помощью специальных программ - Word Viewer, Excel Viewer и других. Предназначенные для просмотра документов программы Microsoft игнорируют коды макрокоманд.
  • Установить на дискетах с редко изменяемыми данными защиту от записи.
  • Систематически осуществлять резервное копирование наиболее важных данных.
  • Проверять посредством антивирусных средств все приносимые извне дискеты, компакт-диски, а также файлы, которые приходят через Internet или взяты на корпоративном сервере. Кроме того, рекомендуется всегда иметь под рукой загрузочную дискету, содержащую, помимо всего прочего, свежую версию антивирусной программы.

    От всего ли "лечат" антивирусы?

    На сегодня известно около 20 тыс. вирусов, каждый месяц к ним в среднем добавляется еще 200. Однако подавляющее большинство - это "коллекционные" вирусы (к счастью, авторам хватает ума и здравого смысла не пускать их в "большое плавание"), а также довольно неудачные экземпляры, эпидемические вспышки распространения которых быстро выявляются, локализуются и погашаются. Реальную угрозу и ощутимый ущерб наносит лишь небольшое число вирусов. Учитывая это, многие разработчики антивирусного ПО встраивают в свои программы мощные средства распознавания, однако "лечащие" модули ориентированы на нейтрализацию и выявление прежде всего реально "живущих", наиболее распространенных вирусов, а также тех, которые, несмотря на свою "молодость", имеют тенденцию к массовому распространению и эпидемиям. Должно ли это смущать пользователей? Скорее нет. Во-первых, потому, что вероятность появления "коллекционных" вирусов невелика, а во-вторых, если какой-то из них окажется на свободе, его нейтрализация займет всего несколько часов.


    Принципы работы современных антивирусов

  • Сканирование памяти и содержимого дисков по расписанию.
  • Сканирование памяти компьютера, а также записываемых и читаемых файлов в реальном режиме времени с помощью резидентного модуля.
  • Выборочное сканирование файлов с измененными атрибутами - размером, датой модификации, контрольной суммой и т. д.
  • Сканирование архивных файлов.
  • Распознавание поведения, характерного для компьютерных вирусов.
  • Автоматическое обновление баз данных по вирусам посредством Internet.
  • Удаленная установка, настройка и администрирование антивирусных программ с консоли системного администратора.
  • Удаленное обновление антивирусного ПО и баз данных с информацией о вирусах.
  • Принудительная проверка подключенных к корпоративной сети компьютеров, инициируемая системным администратором.
  • Оповещение системного администратора о событиях, связанных с вирусными атаками, по электронной почте, пейджеру и т. п.
  • Ведение протоколов, содержащих информацию о событиях, касающихся антивирусной защиты.
  • Фильтрация трафика Internet на предмет выявления вирусов в программах и документах, передаваемых посредством протоколов SMTP, FTP, HTTP.
  • Выявление потенциально опасных Java-апплетов и модулей ActiveX.
  • Функционирование на различных серверных и клиентских платформах, а также в гетерогенных корпоративных сетях.

    Обзор продуктов

    DSAV


    "ДиалогНаука"

    Видимо, программы этой компании - Doctor Web, ADinf и ADinf Cure Module, объединенные в пакет DSAV, входят в разряд наиболее известных нашим пользователям. Кроме них, в пакет включена также утилита Aidstest, однако, как отметил Дмитрий Лозинский, председатель совета директоров и заместитель генерального директора по перспективным разработкам АО "ДиалогНаука", летом прошлого года было решено прекратить ее выпуск (последняя версия датирована сентябрем) в связи с тем, что к тому времени программа Doctor Web вобрала все функции, а также базы данных по вирусам Aidstest. Именно Doctor Web сейчас выполняет функции антивирусного сканера. Другой модуль - ADinf - работает в качестве ревизора дисков, отслеживающего изменения размера, времени модификации программ и офисных документов, а также связанных с ними контрольных сумм. Уникальными свойствами обладает третий модуль - ADinf Cure Module. Он способен "лечить" файлы, зараженные еще не известными вирусами, используя общие сведения об устройстве вирусов, а также информацию о внешнем виде файлов до инфицирования.

    Doctor Web и ADinf функционируют под управлением DOS, существует также версия ADinf для Windows 3.x. Все эти версии способны работать с длинными именами файлов. Практически готов 32-разрядный вариант Doctor Web. Затянувшиеся сроки выхода версий для Windows 95 и NT в компании не считают особенно критичными, во-первых, потому, что, по словам Дмитрия Мостового, заведующего отделом программирования компании, версии антивирусных программ для Windows создавать намного легче, чем для DOS, а во-вторых, без DOS-версий антивирусных программ все равно не удастся обойтись (например, для нейтрализации вирусов, "живущих" в загрузочных секторах ПК).

    В ближайшее время "ДиалогНаука" собирается выпустить ряд новых продуктов - антивирусную систему для фильтрации электронной почты Microsoft Exchange и Microsoft Outlook, а также систему для защиты от вирусов серверов NetWare (все разработанные сейчас программы являются чисто клиентскими версиями). В более отдаленной перспективе - создание программ фильтрации трафика на серверах Internet для платформ Windows NT и Unix.

    Имеющиеся у "ДиалогНауки" базы данных содержат описания примерно 5 тыс. вирусов, с учетом же многочисленных модификаций число распознаваемых вирусов удваивается. Обновление баз данных программы Doctor Web происходит каждые две недели, исполняемых модулей - раз в месяц. Стоимость пакета DSAV 2.51 для 100 пользователей составляет 1329 долл. По словам генерального директора компании Сергея Антимонова, годовой объем розничных продаж достигает 2 тыс. "коробочных" лицензий с подпиской, действующей в течение года, 40 тыс. разовых лицензий (в этом случае программы просто копируются на дискеты), еще по 3 тыс. лицензий ежемесячно продается по линии OEM-контрактов. Однако основную прибыль (три четверти оборота) приносят контракты с корпоративными пользователями (их насчитывается около 2 тыс., каждая лицензия рассчитана минимум на 10 пользователей).

    AVP


    "Лаборатория Касперского"

    Продукция этой компании - она входит в состав холдинга НТЦ КАМИ - пожалуй, способна составить достойную конкуренцию антивирусным программам "ДиалогНауки". Главный принцип, которого придерживается компания, - не нужно зацикливаться на DOS: если вирус работает под Windows, то и "лечить" его нужно средствами, предназначенными для Windows. Естественно, это отнюдь не означает, что "Лаборатория Касперского" прекратит выпуск программ для DOS, однако планы сделать антивирусный сканер для DOS бесплатным у компании имеются.

    В арсенале фирмы - клиентские продукты для DOS, Windows 3.x, Windows 95 и NT. Разработка клиентской программы для OS/2 пока заморожена из-за отсутствия спроса. Из серверных платформ поддерживается Novell NetWare (все последние версии, включая IntranetWare). Как сказал руководитель отдела разработок компании Евгений Касперский, нынешняя продукция чуть-чуть не дотягивает до уровня западных программ по полноте функций. Реализованы простой и резидентный сканеры для рабочих станций, модуль проверки на сервере "входящих" и "выходящих" файлов, а также запуск сканирования хранимых на сервере файлов по расписанию. Однако пока нет запуска сканирования по расписанию на рабочих станциях и автоматического обновления баз данных по вирусам, а также принудительного запуска антивирусной проверки на рабочих станциях с консоли системного администратора.

    AntiViral Toolkit Pro (AVP) способен проверять архивные файлы многих популярных форматов, в том числе RAR, независимо от того, защищены они паролем или нет. Имеется разработка для рабочих станций, позволяющая сканировать базы данных писем электронной почты систем Microsoft Mail, Exchange и Internet Mail. При этом проверяются и файлы, вложенные внутрь писем. Сейчас создаются системы, встраиваемые в брандмауэры компании CheckPoint.

    AVP "отлавливает" около 12 тыс. вирусов, не считая их модификаций. С особой гордостью Касперский говорит об оперативности "скорой помощи": гарантированное время, за которое клиенту предоставляется антивирусное "противоядие", составляет 48 часов, однако в большинстве случаев оно не превышает трех-четырех часов. Обновление баз данных производится каждую неделю. Стоимость серверной версии, включая годовую гарантию, составляет 594 долл., клиентской программы AVP for Windows 95/NT с лицензией на 100 пользователей - 2300 долл. Ежемесячно продается 3-5 тыс. лицензий корпоративным клиентам, еще около 3 тыс. - через OEM-каналы и более 600 "коробок" - через розничную сеть.

    PC-cillin/ServerProtect


    Trend Micro

    В арсенале этой компании - множество автономных продуктов, предназначенных для защиты разнообразных узлов корпоративной сети - от рабочих станций до почтовых серверов и шлюзов Internet. Для установки на рабочих станциях предлагается продукт PC-cillin. Его версия для предприятий (Corpotate Edition), помимо выполнения основных процедур по защите от вирусов, обеспечивает автоматическую установку и обновление версий и баз данных. Для этого она устанавливается на сервер (NetWare или NT), затем осуществляется автоматическое распознавание платформ, подключенных к локальной сети рабочих станций (поддерживаются DOS, Windows 3.x, Windows 95 и NT), установка программ и их настройка по образцу. Для защиты серверов NetWare и Windows NT предназначен другой продукт - ServerProtect. Его основная функция - отслеживание в реальном времени поведения работающих на сервере программ и проверка всех записываемых или читаемых файлов.

    Другие продукты Trend Micro обеспечивают проверку потоков электронной почты систем Lotus Notes, Microsoft Exchange, cc:Mail, почтовых систем для Unix (пяти коммерческих версий), а также трафика Internet с возможностью проверки как "перекачиваемых" файлов, так и вложенных внутрь писем, выявляя вирусы и враждебные программы на Java и ActiveX. Антивирусное ПО может проверять также архивные файлы форматов Pklite, ARJ, Diet, LZEXE, LZH и кабинетных файлов Microsoft.

    В базе данных по вирусам насчитывается около 8 тыс. сигнатур, ее новые версии появляются два раза в месяц. Стоимость продукта для рабочих станций с лицензией на 100 пользователей составляет 2855 долл., серверного продукта на аналогичное число пользователей - 1795 долл. Trend Micro не имеет в России своего представительства. Интересы компании в нашей стране представляют ее авторизованные реселлеры - фирмы "Прикладная логистика" и "ИнтерТраст". Что касается объемов продаж, то они пока не очень велики: по словам одного из сотрудников отдела продаж компании "Прикладная логистика", на сегодня продано около 400 лицензий. Правда, и сотрудничество с Trend Micro началось недавно.

    VirusScan/NetShield


    McAfee

    Одна из лидирующих на Западе компаний, которая специализируется в области защиты от вирусов, McAfee открыла представительство в России менее года назад. Недавно McAfee объединилась с Network General, образовав новую компанию Network Associates. По словам Василия Погорелова, менеджера по продажам московского офиса, розницей в нашей стране она вообще не занимается - минимальный комплект лицензий составляет 10 штук.

    В числе разработок Network Associates имеются продукты и для клиентских платформ (они объединены в пакет VirusScan Security Suite), и для серверных (NetShield Security Suite). Среди платформ для рабочих станций поддерживаются DOS, Windows 3.x, Windows 95, Windows NT, OS/2, Macintosh, а также шесть клонов Unix. Серверные программы рассчитаны на Windows NT и NetWare.

    В состав клиентского ПО входят как обычные сканирующие, так и резидентные модули. Создана любопытная утилита ScreenScan, осуществляющая сканирование дисков в периоды, когда компьютер простаивает. Еще одна интересная программа из клиентского пакета - WebScanX - производит сканирование электронной почты систем cc:Mail, Eudora, Netscape Messenger, Exchange и, интегрируясь с популярными браузерами, проверяет на наличие вирусов скачиваемые из Internet файлы, а на наличие подозрительных действий - Java-апплеты, элементы ActiveX и "плюшки" (модули cookies).

    В серверную версию входят сканирующий модуль, модуль запуска проверки дисков по расписанию, реализованный в виде сервиса сетевой ОС модуль для проверки поступающих на сервер и исходящих данных, а также система оповещения системного администратора и даже брандмауэр (модуль WebWall). Для серверов, подключенных к Internet, весьма полезной может оказаться утилита WebShield, обеспечивающая фильтрацию входящего трафика. За удаленную установку и администрирование антивирусных программ также отвечает специальная утилита.

    Антивирусное ПО Network Associates опознает около 13,5 тыс. вирусов. Время реакции на большинство вирусных атак составляет около 24 часов, часть из них "отражается" силами московских программистов, постоянно работающих в составе компании либо сотрудничающих с ней. По словам Погорелова, частота обновления баз данных по вирусам составляет сутки. Объем продаж в России пока не разглашается. Стоимость антивирусного пакета с лицензиями на 100 пользователей, рассчитанного на двухлетнее сопровождение, составляет 1860 долл.

    eSafe


    EliaShim

    Эта компания долгое время работала как американский филиал израильской компании EliaShim. Статус головного офиса она получила относительно недавно. Продукция eSafe включает в себя набор программ eSafe Protect Enterprise для защиты рабочих станций (DOS, Windows 3.x, Windows 95, Windows NT) и серверов (Windows NT и NetWare), а также систему ViruSafe Firewall, используемую совместно с брандмауэрами производства CheckPoint и Trusted Information Systems для проверки трафика Internet на наличие вирусов и вредоносных модулей Java и ActiveX. eSafe Protect Enterprise также обеспечивает защиту от разрушительного действия программ на Java и ActiveX. Помимо этого он может ограничивать время соединения с Сетью, доступ к отдельным внешним узлам Internet, анализируя как их адреса, так и содержание (по ключевым словам), а также автоматически удалять "плюшки" (cookies). Осуществляется проверка архивных файлов формата ZIP. Также имеются централизованная установка и администрирование продуктов. Основное ограничение антивирусного ПО eSafe - ориентация на работу в относительно небольших сетях с малым числом серверов.

    Базы данных по вирусам насчитывают около 10,5 тыс. сигнатур. Таблицы сигнатур обновляются раз в месяц, исполняемые модули - раз в три месяца. Цена на продукт, с учетом годовой поддержки, составляет 3978 долл., включая лицензии на один сервер и 100 пользователей. В России eSafe работает через своего дистрибьютора - компанию "Прикладная логистика". Объем продаж здесь за прошлый год оказался не очень велик - около 1600 лицензий (как серверных, так и клиентских).

    IBM Antivirus


    IBM

    Антивирусная продукция этой корпорации наверняка знакома пользователям операционных систем IBM DOS и OS/2, поскольку она входит в их комплекты поставки. Имеются версии IBM AntiVirus как для рабочих станций (Desktop Edition) под управлением DOS, Windows 3.x, Windows 95, Windows NT и OS/2, так и для серверов (Enterprise Edition) на платформе OS/2, NT и NetWare.

    IBM AntiVirus выполняет все основные функции антивирусного пакета: обычное и фоновое резидентное сканирование, проверку модифицированных файлов и т. д. Кроме того, он обеспечивает автоматическую установку, удаленное администрирование, принудительное сканирование рабочих станций, автоматическое обновление баз данных по вирусам, сканирование файлов, получаемых через Internet, и другое. Примечательной особенностью пакетов является использование для распознавания вирусов не только эвристических алгоритмов, но и методов нейронных сетей, а также "лечение" зараженных файлов в тех случаях, когда возможно их восстановление в исходном виде (для этого используется ранее собранная информация о файлах).

    Этот антивирусный пакет выявляет около 7 тыс. вирусов, в том числе вредоносные Java-аплеты и модули ActiveX. Базы данных обновляются каждые две недели. Стоимость лицензии на 25 пользователей составляет примерно 700 долл., включая трехгодичное сопровождение. Николай Смирнов с некоторым сожалением отметил, что объемы продаж продукта в нашей стране невелики - около 10 тыс. лицензий приходится на поставки в комплекте с IBM DOS, еще около 2 тыс. - на все остальные продажи.

    InocuLAN


    Computer Associates

    Основу антивирусной продукции всемогущей Computer Associates составляет система InocuLAN, которая в свое время была разработана поглощенной ею компанией Cheyenne. Продукт имеет архитектуру клиент-сервер. Серверная часть, а также базы данных по вирусам хранятся на сервере под управлением Microsoft Windows NT или Novell NetWare. На рабочей станции функционирует клиентская программа (для DOS, Windows 3.x, Windows 95, Windows NT, Macintosh), которая при необходимости может работать как совместно с InocuLAN, так и самостоятельно. Предлагаются также программы-агенты, обеспечивающие взаимодействие с системами Lotus Notes, Microsoft Exchange и Novell GroupWise.

    Система осуществляет все виды антивирусной защиты, в том числе и анализ трафика Internet, поступающего через Web-браузеры или брандмауэры (в частности, поддерживается FireWall-1 компании CheckPoint). Пакет обеспечивает трассировку файлов и автоматически отключает компьютер, с которого пришел вирус, от сети. Функционирование InocuLAN полностью невидимо для пользователя и не требует каких-либо дополнительных административных мер типа ограничения пользования дисководами, контроллерами CD-ROM, другими внешними устройствами или сетевыми дисками (попытка чтения зараженного файла из любого источника автоматически пресекается). Проверка архивов форматов ZIP, ARJ и кабинетных файлов Microsoft осуществляется автоматически. Имеются также развитые средства оповещения администратора о вирусной атаке сети, в частности через пейджер и электронную почту SNMP. Старший инженер компании "Интерпроком ЛАН" Олег Амиров особо отмечает тесную интеграцию InocuLAN с продуктом ARCserve производства Cheyenne, который предназначен для резервного копирования, позволяющего предотвращать попадание вирусов в архивы данных. Важной особенностью пакета является тесная интеграция с системами CA-Unicenter TNG и OpenView компании Hewlett-Packard, что делает InocuLAN привлекательным для корпоративных клиентов.

    В базе данных пакета содержится информация примерно о 10 тыс. вирусов. Новые версии баз данных сигнатур вирусов появляются два раза в месяц и автоматически обновляются с сервера Computer Associates через Internet, CompuServe или BBS. Лицензия на 100 клиентских программ стоит 695 долл., на один сервер - 995 долл. По словам главного менеджера по сетевым продуктам компании "Интерпроком ЛАН" Александра Клебанова, объем продаж продукта InocuLAN пока невелик, однако за последние три месяца интерес к этим системам значительно возрос.

    Dr. Solomon


    Dr. Solomons's Software

    Компания продвигает обычные и резидентные сканеры (VirusGuard, WinGuard, ViVeryfy, Magic Bullet) для различных ОС - DOS, Windows 3.x, Windows 95, Windows NT (рабочих станций и серверов), NetWare, OS/2, Macintosh и SCO Unix, равно как и для систем группового взаимодействия Lotus Domino и Microsoft Exchange, а также для почтовых систем, основанных на протоколе SMTP. Также предусмотрена возможность проверки архивных файлов. Как и многие компании, Dr.Solomon's располагает развитыми средствами установки и администрирования антивирусных программ и баз данных по вирусам, а также инструментом оповещения системного администратора о вирусных атаках.

    Недостаток этих продуктов - в отсутствии проверки Java-апплетов и модулей ActiveX. Однако, учитывая высокий уровень обнаружения вирусов (что подтверждают данные опубликованных в феврале тестов Virus Bulletin), можно сказать, что программы Dr.Solomon's достойны всяческого внимания.

    По словам консультанта компании "Кварта Технологии" Андрея Крючкова, продукты Dr.Solomon's выявляют примерно 15 тыс. вирусов. Базы данных по вирусам обновляются 12 раз в год. Стоимость лицензии на один сервер и сотню пользователей составляет 3257 долл., включая годовое сопровождение. Dr.Solomon's в нашей стране не имеет своего представительства, поэтому работает через партнеров - компании RPI и "Кварта Технологии". Объемы продаж последней - около 10 тыс. лицензий.

    NAV


    Norton Antivirus

    В условиях всеобщего интереса со стороны отечественных пользователей к средствам, создаваемым коллегами Питера Нортона, продукт Norton AntiVirus (NAV) также не мог остаться без внимания нашей компьютерной общественности. Кстати, это единственный зарубежный антивирусный пакет, имеющий русскую версию.

    Пакеты серии NAV позволяют защитить компьютеры на платформе DOS, Windows 3.x, Windows 95, Windows NT, а также серверы под управлением NT и NetWare. Продукты выполняют все необходимые функции, включая обычное сканирование, резидентный мониторинг, запуск сканирования по расписанию, удаленную установку программ, централизованное управление антивирусной защитой и т. д. В пакет NAV Deluxe включен Norton Safe on the Web, предназначенный для проверки модулей Java и ActiveX, а также Norton CrashGuard. Уникальной особенностью этой серии является сочетание статических и динамических методов эвристического анализа. Правда, любителям архивных файлов следует иметь в виду, что из форматов архивов поддерживается только ZIP. Еще два средства - NAV for Firewalls и NAV for Internet Email Gateways - обеспечивают соответственно проверку IP-трафика (NAV for Firewalls интегрируется с несколькими программными брандмауэрами, в том числе и с продуктом компании CheckPoint) и почты SMTP (на платформе NT).

    "Скорая помощь" старается снабдить пользователя "вакциной" не позже чем через 48 часов с момента обращения. Кстати, у Symantec четыре антивирусных центра, расположенных в разных часовых поясах. Обновление баз данных по вирусам происходит не очень часто - раз в месяц. Вадим Заборский объясняет это тем, что базы данных проходят тщательное тестирование. Стоимость серверной версии - 619 долл., клиентской на 100 пользователей - 3109 долл. Срок обслуживания в лицензионном соглашении не ограничен. Объемы продаж в России не разглашаются.