С течением времени, вопреки ожиданиям многих пользователей, компьютерные вирусы не стали меньшей проблемой, нежели раньше, скорее наоборот. Теперь вирусы попадают на компьютер не только с зараженных дискет, но и из Internet, и из сообщений, приходящих по электронной почте. Так что проблема зашиты от компьютерных вирусов до сих пор остается острой, подтверждением чему может с успехом служить бурное развитие соответствующей отрасли производства ПО. Итак, защищаться от компьютерных вирусов надо, вопрос лишь в том, какой программный продукт для этого использовать. Попробуем разобраться в этом, рассмотрев программные комплексы, выпускаемые двумя крупнейшими российскими компаниями, работающими над созданием антивирусных программ, - "ДиалогНаука" и "Лаборатория Касперского". Начнем, по праву старшинства, с продуктов "ДиалогНауки".
Антивирусный комплект DSAV
Пакет DSAV содержит достаточно мощный набор антивирусных программ, пригодный практически "на все случаи жизни". В него входят "старый добрый" антивирус Aidstest, и боле новые Doctor Web, ADinf и ADinf Cure Module. По заверениям "ДиалогНауки", DSAV на данный момент способен находить и обезвреживать порядка 8000 различных вирусов (включая полиморфные) и "троянских коней". По желанию в этот чисто программный комплект может быть добавлен аппаратный антивирусный продукт - плата Sheriff. Таков состав пакета. А теперь - о каждой программе в отдельности.
Aidstest
Программа Aidstest создавалась еще в те времена, когда основной операционной системой была DOS и о широкомасштабном применении Windows никто не задумывался. Она плохо приспособлена для работы в многозадачных средах, но, несмотря на свой почтенный возраст, до сих пор обновляется и распространяется, причем распространяется бесплатно.
Работает Aidstest по принципу анализа файлов на наличие так называемых сигнатур, т. е. характерных фрагментов вирусов. Как следствие, она неспособна выявлять полиморфные вирусы, которые модифицируют собственный код так, чтобы в нем не оставалось постоянных фрагментов. База сигнатур не очень велика и позволяет распознать лишь около 1800 вирусов.
Но уж с вирусами, занесенными в базу, Aidstest справляется великолепно. Кроме того, эта программа крайне неприхотлива: работать она будет на любой машине с работоспособной системой DOS версии 3.30 и выше.
В современных условиях лучше не использовать Aidstest как полноценное антивирусное средство, а лишь проверять этой программой вновь полученные файлы. Тогда она будет работать нормально под управлением и Windows NT, и OS/2. Но, учитывая небольшой размер базы вирусов, целиком полагаться на Aidstest нельзя.
Doctor Web
Программа Doctor Web разработана позже, чем Aidstest, и в ней реализованы некоторые возможности, которых в Aidstest нет, в частности работа с архивированными файлами и эвристический анализатор, распознающий вирусы, сигнатуры которых неизвестны программе. Doctor Web вполне успешно обнаруживает и макровирусы, заражающие документы Word и Excel. База сигнатур у Doctor Web обширнее, чем у Aidstest, но тоже не слишком велика (в ней немногим более 4000 вирусов), хотя, конечно, вирусы, отсутствующие в базе, чаще всего успешно распознаются эвристическим анализатором (например, в тестах, которые проводил в январе международный журнал Virus Magazine, Doctor Web распознал 100% полиморфных вирусов). Что же касается этого анализатора, то он, похоже, страдает излишней подозрительностью: по моему опыту, едва ли не треть всех его срабатываний оказываются ложными. Впрочем, я свято верю в принцип "лучше перебдеть, чем недобдеть", и отчасти даже рад такому положению дел.
ADinf и ADinf Cure Module
Программы ADinf и ADinf Cure Module относятся к классу ревизоров, т. е. их функция - отслеживать изменения данных на диске. Иначе говоря, никакие вирусы, уже имеющиеся в системе, найдены не будут, и, что самое интересное, если поставить ADinf на машину, зараженную вирусом, а потом этот вирус удалить, то ADinf будет "ругаться" по поводу вылеченных файлов, а ADinf Cure Module еще и предложит их восстановить. Вот так-то.
В действительности ревизоры сделаны весьма качественно: проверка изменения данных производится по 32-разрядным (а в версии ADinf Pro - даже по 64-разрядным) CRC-кодам, предусмотрена также проверка точки входа в прерывание 13h, с помощью которого в DOS выполняется низкоуровневый доступ к дискам. Возможность же восстановления измененных программ с помощью ADinf Cure Module весьма полезна и работает очень точно: во всех случаях, когда мне доводилось пользоваться этой функцией, восстановленный файл оказывался работоспособным.
К сожалению, ADinf не распознает макровирусы: их нужно "вылавливать" отдельно с помощью Doctor Web. "ДиалогНаука" разработала также антивирусный модуль "Пристав" для Word 6, 7 и 97 (но не Excel), автоматически проверяющий на наличие макровирусов загружаемые в Word документы (сейчас он находится в заключительной стадии бета-тестирования и его можно получить с Web-сервера "ДиалогНауки").
Серьезным недостатком пакета DSAV является то, что его компоненты написаны для DOS. Даже при том, что они совместимы с Windows 3.x, 95 и NT, корректно работают с длинными именами файлов и файловой системой FAT32, это неприятно с чисто эстетической точки зрения. Для ADinf и ADinf Cure Module существует и Windows-версия, но она является версией для Windows 3.x (а не 95/NT) и, кроме того, представляет собой не полноценный продукт, а надстройку над DOS-вариантом программы.
Версия DSAV для Windows 95 находится сейчас на стадии бета-тестирования. Разрабатывается также Doctor Web для Novell NetWare; бета-версию можно получить на Web-узле "ДиалогНауки".
Программно-аппаратный комплекс Sheriff
Комплекс Sheriff состоит из платы, устанавливаемой в один из разъемов расширения, и набора программного обеспечения для работы с ней. Он не умеет ни исследовать файлы на наличие вирусов, ни лечить их, но позволяет защитить компьютер от появления вирусов, а также просто от случайной или умышленной порчи данных. Можно сказать, что Sheriff - это усиленная версия ADinf, работающая на низком уровне и не дающая вирусам и им подобным программам "обойти" операционную систему.
После установки на машину и задания необходимых параметров Sheriff ограничивает доступ к тем или иным логическим и физическим дискам и конкретным их областям, блокирует прямой доступ к диску. Это, конечно, создает определенные неудобства: например, для запуска дисковых утилит, таких как дефрагментация диска или восстановление удаленных файлов, защиту требуется отключать.
И, чтобы закончить с продуктами "ДиалогНауки", упомяну об одной действительно уникальной услуге Web-сервера фирмы - удаленном антивирусном контроле. По адресу http://www.dials.ccas.ru/www_av.home.htm можно в интерактивном режиме проверять свои файлы на наличие вирусов.
AVP
Закончив рассказ о продуктах "ДиалогНауки" - первой российской компании, начавшей разработку антивирусных программ, - естественно перейти к разработкам другой ведущей российской компании - "Лаборатории Касперского".
Евгений Касперский начал разработку своего детища несколько позже, когда "ДиалогНаука" уже вовсю работала, что, впрочем, не помешало ему довести свою программу до такого уровня, что она вышла на мировой рынок и довольно активно продается во многих странах. Программных продуктов у "Лаборатории" несколько меньше, чем у "ДиалогНауки", но зато это комплексные решения.
AVP Scanner
Этот программный продукт существует на данный момент в трех различных вариантах: для DOS, для Windows 95/NT и для Novell NetWare. Все они позволяют находить и удалять и обычные, и полиморфные, и маскирующиеся (stealth) вирусы, и так досаждающие многим макровирусы Word и Excel, обрабатывают сжатые и архивированные файлы, ко всем подключаются специальные унифицированные модули, такие как база сигнатур вирусов. База сигнатур AVP - одна из самых больших в мире (около 12 000 вирусов), причем эвристический анализатор тоже имеется и работает очень неплохо. Обновляется база довольно часто, и никогда не следует пренебрегать возможностью получить из Internet ее новую версию (подписка для этого не требуется, - она нужна лишь для обновления версии программы - а вся процедура занимает пару минут).
Версия AVP для DOS - самая заслуженная и весьма мощная: как и Doctor Web, она показала очень хорошие результаты в уже упоминавшихся тестах журнала Virus Magazine. Но при всех своих достоинствах это программа для DOS и, следовательно, она не особенно перспективна. DOS-версия спасет положение, если по той или иной причине нет возможности запустить Windows, но будущее все же принадлежит Windows-программам.
Пакет AVP для Windows 95/NT представляет собой осовремененную AVP для DOS: код всех модулей полностью 32-разрядный и оптимизирован для выполнения под управлением либо Windows 95, либо Windows NT. Помимо антивирусного сканера (вышедшего по ряду категорий на первое место в тестах английского журнала Secure Computing в октябре прошлого года), в состав пакета входит резидентный монитор, который следит за работой системы и реагирует на возможные проявления вирусов.
Версия AVP для Novell NetWare умеет все то же, что и версии для DOS и Windows 95/NT, а кроме того, обладает рядом специфических сетевых возможностей, таких как блокировка зараженной рабочей станции, сканирование файл-сервера по запросу администратора и "складирование" зараженных файлов в специально отведенный для этой цели каталог. Запустить эту версию AVP и добиться от нее должной скорости работы можно практически на любом компьютере под управление Novell NetWare 3.x или 4.x, а сейчас на завершающей стадии разработки находится и версия для NetWare 5, работающая в графическом режиме.
AVP Inspector
Этот пакет сейчас находится на стадии финального бета-тестирования (его уже можно получить с Web-узла "Лаборатории") и является прямым конкурентом уже знакомого нам ревизора ADinf, с той только разницей, что он оптимизирован для работы в Windows 95 и имеет полностью 32-разрядный код. Еще одно отличие состоит в том, что таблицы данных для имеющихся в системе дисков Inspector хранит в каталоге, указанном пользователем, в то время как в ADinf расположение таблиц фиксировано.
Особенно привлекательной представляется возможность "отлавливания" маскирующихся (stealth) вирусов за счет проверки файлов на наличие характерных для этих вирусов изменений. Но, конечно, ревизор остается ревизором: он не может, например, найти вирус во вновь записанном файле. Подобные программы хорошо использовать вместе с антивирусными сканерами: в совокупности ревизор и сканер дают намного лучшие результаты, чем по отдельности.
В дальнейшем "Лаборатория Касперского" планирует выпустить программу Mail Scanner, анализирующую на предмет наличия вирусов электронную почту, причем не только вновь пришедшую, но и полученную ранее.
Мы рассмотрели практически все отечественные антивирусные средства, вкратце рассказав об их возможностях и недостатках. Окончательный выбор остается за вами.
"Лаборатория Касперского", тел. в Москве: (095)494-1473, www.avp.ru
"ДиалогНаука", тел. в Москве: (095)137-0150, 135-6253, www.dials.ccas.ru, www.dials.ru
Евгений Михайлов - независимый журналист, автор ряда статей по компьютерной тематике. E-mail: eugen@pol.ru