Антивирус — для чего он нужен?

Антивирус — для чего он нужен?

Чем может помочь защита от вирусов и вредоносных программ?

Разработчики антивирусов любят говорить о том, что без них вы бы просто пропали. Или, по крайней мере, пропали бы ваши данные. Некоторые пользователи Windows придерживаются противоположной точки зрения: антивирусные программы снижают производительность системы, раздражают ненужными предупреждениями и блокируют совершенно безвредные приложения, и при этом настоящее вредоносное ПО все равно может проскользнуть на компьютер.

Несмотря на то что антивирусное программное обеспечение может быть невероятно раздражающим, оно обеспечивает необходимую «страховку». Без антивирусного программного обеспечения любые сетевые взаимодействия могли бы привести к заражению компьютера вредоносным программным обеспечением. Коротко говоря: без антивирусной защиты использование интернета стало бы невозможным.

Принцип, который существующие в настоящее время антивирусные программы используют для защиты пользователей от вредоносного программного обеспечения (для краткости — «вредоносных программ»), в общем и целом одинаков. Антивирусные модули защиты проверяют все файлы в режиме реального времени, т. е. как только они попадают на компьютер. Модуль веб-защиты пытается предотвратить доступ к вредоносным сайтам. И, наконец, антивирусный сканер по требованию пользователя проверяет все локальные данные на наличие возможных заражений.

Все эти функции действительно требуют вычислительной мощности; другими словами, они в определенной степени снижают производительность системы. Вместе с тем существуют техники, которые используются для уменьшения такого эффекта. Одной из них является многоуровневый подход к выявлению вредоносного программного обеспечения.

Краткое введение в работу антивирусной защиты

Самым простым способом выявления угроз является сопоставление кода с «сигнатурами» известных вредоносных программ. Проще говоря, он сводится к проверке, соответствует ли анализируемый файл контрольной сумме из черного списка.

Недостаток этого подхода заключается в том, что злоумышленники могут обойти распознавание сигнатур посредством незначительных изменений кода. Эвристический анализ — это метод, при котором антивирусная программа использует расширенные критерии обнаружения, сопоставляя более широкий шаблон, например определенный фрагмент кода вместо всего файла.

Преимущество эвристического анализа состоит в том, что он легко распознает различные варианты угрозы. Но… В случае с антивирусным программным обеспечением всегда есть «но» … Поскольку эвристика предполагает некоторую степень допущения, она склонна принимать обычные безвредные приложения за вредоносные программы.

Другой подход — это поведенческий анализ. Для этого подозрительные приложения сначала запускаются в изолированной от операционной системы «песочнице». Однако этот метод обнаружения очень ресурсоемкий, то есть при запуске песочницы на вашем компьютере она может существенно повлиять на его производительность.

Для обхода этих проблем разработчики антивирусных программ разработали онлайн-системы проверки репутации файлов. Если локальная антивирусная программа не уверена в чистоте файла, она тут же может связаться с серверами своего создателя, чтобы проверить, находится ли он в централизованном белом списке. Если подтверждается, что код безопасен, запуск файла будет разрешен. Если код неизвестен, он в качестве образца отправляется на серверы разработчика для централизованного анализа. Там образец запускается в виртуальной среде Windows, где его поведение проверяется на необычную активность.

Все это обычно происходит без какого-либо участия пользователей. Поэтому антивирусные программы можно представить как добрых маленьких эльфов, которые незаметно работают и защищают вас. Однако от ошибок не застрахованы даже эльфы.

Когда антивирусные инструменты «барахлят»

Несмотря на белые списки и онлайн-проверки репутации, антивирусное программное обеспечение иногда бьет вхолостую. Безвредное программное обеспечение перестает работать должным образом, доступ к безобидным сайтам заблокирован. Эти ошибки называются «ложными срабатываниями».

В качестве примера ложного срабатывания можно привести Comodo Internet Security Pro, который при определенных условиях не позволяет пользователям запускать SoftMaker Office 2018. При использовании стандартных настроек встроенный межсетевой экран Comodo может блокировать доступ к серверам активации SoftMaker. В результате программное обеспечение не может проверить действительность лицензии, и активация не происходит.

У разработчиков программного обеспечения, столкнувшихся с такой проблемой, есть мало других вариантов, кроме как обратиться к компании-разработчику антивируса, убедить ее в легитимности своего программного обеспечения и запросить добавление своего продукта в белый список компании. Это может занять определенное время. Тем временем пользователям приходиться искать обходные пути.

В случае с Comodo Internet Security Pro и SoftMaker Office 2018 единственным способом активировать офисный пакет в настоящее время является отключение модуля антивирусной программы под названием «Контент-фильтр». Для этого надо открыть настройки Comodo Internet Security и перейти в меню Контент-фильтр. В этом разделе следует отключить параметр «Использовать контент-фильтр (рекомендуется)» и подтвердить свой выбор, нажав «ОК».

В общем и целом при отключении элементов антивирусной защиты вы должны быть очень осторожными. Лучшее решение — создать исключения для конкретных приложений, — что, по сути, является созданием локального белого списка. Вместе с тем прежде чем добавить такое исключение, вам следует проверить и затем перепроверить, что исключение не поставит под угрозу безопасность компьютера. В проведении такой проверки могут помочь несколько бесплатных онлайн-сервисов.

Проверка файла на безвредность

Некоторые антивирусные приложения любят драконовские меры: подозрительные файлы быстренько удаляются или отправляются в «карантин» — специальный контейнер, где файл не может причинить вреда. Обычно это происходит даже до того, как антивирусная программа выдает какое-либо предупреждение.

Для того чтобы проверить, является ли такой файл ложным срабатыванием или действительно содержит вредоносный код, есть несколько способов. В большинстве случаев сначала нужно восстановить файл из карантина — этот процесс сильно зависит от приложения, поэтому его пошаговое описание следует искать в документации антивируса. Во избежание повторного удаления восстановленного файла иногда может потребоваться создание временного исключения.

Затем необходимо загрузить файл в онлайн-сервис антивирусного сканирования, например, HerdProtect, Jotti’s Malware Scan, Opswat Metadefender Cloud или VirusTotal. Никогда не запускайте подозрительный файл до его загрузки в сервис! Сервис выполнит проверку загруженного файла, используя несколько антивирусных ядер, — это может занять несколько минут.

Результаты антивирусных онлайн-сканеров не всегда однозначны. Однако, если несколько ядер подтверждают, что файл является вредоносным, ваш локальный антивирус, скорее всего, был прав. С особенной осторожностью следует подходить к результатам, отмеченным как эвристические результаты (обычно обозначаемые как heur), — как упоминалось ранее, эвристический анализ склонен к ошибкам.

Сервисы антивирусного онлайн-сканирования неидеальны: может случиться и такое, что все они не смогут обнаружить вредоносность загруженного файла. В частности, это особенно актуально в отношении файлов, которые вы получили в виде вложений электронной почты. Вредоносные программы такого типа часто создаются специально для обхода средств антивирусной защиты.

Обычно разработчики антивирусов разгадывают уловку в течение нескольких часов. Поэтому, если файл по-прежнему вызывает у вас подозрения, не трогайте его, а затем через несколько часов снова загрузите в антивирусный онлайн-сервис. Это часто приводит к заметно отличающимся результатам, которые могут прояснить все сомнения.

Однако, когда речь идет о файлах с персональными данными, лучше избегать их загрузки в антивирусные онлайн-сканеры. Большинство из них отправляет подозрительные файлы для дальнейшего анализа поставщикам антивирусных программ. Об этом обычно говорится в условиях использования онлайн-сканера, которые никто никогда не читает.

Как выбрать антивирус

Если вы домашний пользователь Windows, Защитник Windows — вполне достойное антивирусное решение. Он разработан Microsoft, поэтому интегрирован в Windows. Защитник Windows использует как сигнатуры, так и онлайн-проверку репутации. Хотя он бесплатный, его без зазрения совести можно назвать совсем ненавязчивым.

Все другие бесплатные антивирусные инструменты по сути являются рекламой своих коммерческих версий. Это означает, что они постоянно стремятся привлечь внимание к себе и, соответственно, к продукту, который они продают. Защитник Windows следует другой бизнес-модели.

С другой стороны, если вы используете свой компьютер в коммерческих целях, Защитник Windows может оказаться не лучшим выбором. Его использование связано с активным участием в работе SpyNet, службе репутации Microsoft. Если Защитник Windows обнаруживает подозрительные файлы на компьютере, он без запроса загружает их в службу Microsoft. Потенциально это может привести к раскрытию конфиденциальных данных третьим сторонам.

Такая схема разработана потому, что Microsoft также продает коммерческое антивирусное решение под названием Endpoint Protection, предназначенное для корпоративных клиентов. По существу, Защитник Windows снабжает Endpoint Protection образцами вредоносных программ.

Для профессиональных пользователей коммерческое антивирусное решение может стать наиболее подходящим вариантом. Большинство платных антивирусов дают возможность отказаться от загрузки подозрительных файлов в соответствующие службы, хотя это и может снизить степень защиты. Кроме того, они предлагают дополнительные уровни защиты — некоторые из них полезны, некоторые не очень.

Производители коммерческих антивирусов обычно предлагают несколько пакетов с разными функциями и уровнем цен: базовый пакет антивирусной защиты содержит только основные функции. Расширенный пакет интернет-безопасности включает в себя дополнительные функции, среди которых безопасные среды для онлайн-банкинга, блокировщики рекламы, менеджеры паролей и родительский контроль. Самая полная версия предлагает еще больше функций, польза от многих из которых сомнительна.

При выборе пакета сначала следует установить пробную версию, чтобы ознакомиться с приложением и решить, соответствует ли оно вашим потребностям. Всегда проверяйте, не пытается ли приложение «удержать вас», то есть вынудить вас продолжить использовать продукт этой компании.

Например, менеджеры паролей, как правило, очень полезная функция, но менеджеры паролей, которые входят в антивирусные пакеты, в большинстве случаев не могут экспортировать данные в формат, который могут прочитать другие менеджеры паролей. Поэтому при худшем сценарии развития событий вы можете оказаться привязанными к посредственной антивирусной программе только потому, что она держит ваши пароли «в заложниках».

Полезность инструментов для «настройки» или «очистки» операционной системы также сомнительна, поскольку в Windows уже есть такие средства, как «Очистка диска» и «Контроль памяти», позволяющие освободить место на жестком диске. Стоит также добавить, что программы для очистки реестра могут повредить операционную систему — известно, что Microsoft отказывается от технической поддержки клиентов, использующих такие инструменты.

Related Post

Leave a Reply

Your email address will not be published. Required fields are marked *