Четвертая мера безопасности: антивирус и антишпионское программное обеспечение.
Каждый скачанный вами файл из интернета должен рассматриваться вами как потенциальный носитель вредоносного ПО, даже если этот файл на первый взгляд был скачан из надежного источника. Зараженный файл сам по себе неопасен, т.к. вирус может активироваться только тогда, когда вы запустите зараженный файл на исполнение. Поэтому перед запуском любой новый файл следует проверять антивирусом. Это актуально не только по отношению к файлам, полученным из интернета, но и скопированными на ваш компьютер из любых других внешних источников (CD, DVD, дискеты, flash, домашняя локальная сеть и т.д.).
Несмотря на свое историческое название, все современные полноценные антивирусы способны обнаруживать и лечить/удалять не только вирусы, но и практически все остальные виды зловредного ПО. Однако специализированные утилиты (антируткиты, анти-spyware и пр.) на данном историческом этапе способны решать свою задачу несколько лучше универсального антивируса (мы рассмотрим лучшие из специализированных программ ниже).
Вот самые основные требования, предъявляемые к современному антивирусу:
наличие резидентного монитора (альтернативные названия: резидентный сторож, резидентная защита). Это компонент антивирусного ПО, который постоянно находится в оперативной памяти компьютера и сканирует в режиме реального времени все файлы, с которыми осуществляет взаимодействие пользователь, операционная система или другие программы.
Вы должны знать, что существует два режима работы антивируса:
Режим сканера — это основной режим. В этом режиме пользователь просто указывает антивирусу файлы, которые нужно проверить, тот их сканирует, выдает отчет и на этом заканчивает свою работу.
Режим резидентного монитора — в этом режиме антивирус работает постоянно в оперативной памяти, пока работает операционная система, и налету проверяет все файлы, с которыми осуществляются какие-нибудь действия в системе (запуск, открытие, копирование и т. п.). В случае обнаружения зловредного ПО резидентный монитор блокирует зараженный файл, чтобы предотвратить заражение компьютера, и выдает на экран предупреждение.
Все антивирусы способны работать в режиме сканера, но в режиме резидентного монитора могут работать только антивирусы, снабженные резидентным монитором. Сам я часто отключаю резидентный монитор своего антивируса (как он отключается, будет рассказано далее), т.к. мне часто приходится экспериментировать с вредоносными программами, а резидентный монитор препятствует этому. Кроме того, резидентный монитор немного замедляет работу компьютера. Но я ни в коем случае не призываю вас отключать резидентный монитор.
Частое обновление антивирусных баз. Чтобы понять, зачем нужно частое обновление антивирусной базы, нужно знать принцип работы антивируса. Антивирус стандартно ищет вредоносное ПО по так называемым сигнатурам, т.е. по некоторым уникальным последовательностям данных. Например, в простейшем виде сигнатура некоторого вируса может выглядеть как ряд байтов (в шестнадцатеричном виде): 5А 66 97 В5 00 7 D. Если антивирус обнаружит такую сигнатуру в каком-нибудь файле, то он сделает вывод о его заражении. Однако таким способом антивирус может находить только известное ему вредоносное ПО, т.е. для которого имеется сигнатура в его базе данных. По статистике буквально каждый час появляется какое-нибудь новое вредоносное ПО, поэтому производители антивирусов постоянно пополняют базы данных своих антивирусов новыми сигнатурами. Самые лучшие производители антивирусов делают обновления ежечасно. Если вы не будете обновлять базу данных антивируса, то антивирус в режиме сканера не сможет обнаружить самые свежие зловредные программы. Полноценные антивирусы периодически выполняют обновления антивирусных баз в автоматическом режиме.
Эвристический анализатор (heuristic). Это компонент антивируса, предназначенный для детектирования вредоносного ПО для которого нет соответствующих сигнатур в базе данных антивируса. Другими словами эвристические анализаторы предназначены для поиска неизвестного вредоносного ПО. Эвристический анализатор исследует код файла и, если обнаруживает функции присущие вредоносному ПО, то выдает предупреждение. Разумеется, возможен небольшой процент ложных срабатываний. Эвристический анализатор, несомненно, является полезным средством, однако многие современные вредоносные программы умеют обходить эвристический анализатор (для этого существуют десятки различных методов "обмана"), поэтому эвристический анализ используется лишь как дополнение к обычному сканированию (по сигнатурам) для более эффективного обнаружения вредоносного ПО. В последние годы эвристический анализ получил логическое развитие, в результате которого появилась так называемая проактивная (превентивная) защита. Проактивная защита, также как и эвристический анализатор, предназначена для обнаружения неизвестного вредоносного ПО, но включает гораздо более сложные проверки: мониторинг системного реестра, контроль целостности критических файлов и пр. На момент написания книги проактивная защита находилась в зачаточном состоянии, но за ней, несомненно, будущее, и наряду сигнатурным сканированием и эвристическим анализатором наличие проактивной защиты в полноценных антивирусах будет обязательным условием. Важно также понимать, что проактивная защита не отменяет эвристический анализатор, хотя бы потому, что проактивная защита способна работать только в режиме резидентного монитора, а эвристический анализатор, как в режиме резидентного монитора, так и в режиме обычного сканера.
Проверка файлов в архивах. Все полноценные современные антивирусы умеют проверять файлы в архивах, созданных популярными архиваторами: ZIP (PKZIP, WinZIP), RAR/WinRAR, ARJ/WinARJ, ACE/WinACE и др. Разумеется, такая проверка возможна только незашифрованных архивов (на которых не установлен паролью. Если антивирус не умеет проверять файлы в архивах, то пользователь вынужден будет предварительно разархивировать архивы и только после этого передавать извлеченные файлы на проверку антивирусу.
Несмотря на эту полезную функцию, в особо важных случаях необходимо проверять файлы именно после извлечения из архива, т.к. антивирус может не знать самые современные и экзотические методы сжатия.
В настоящее время существует много коммерческих фирм-производителей антивирусов. Самыми популярными и одними из лучших не только в России, но и в мире коммерческими антивирусами, являются отечественные Dr. Web (http://www.drweb. com) и Антивирус Касперского (http://www.kaspersky.ru).
Существуют бесплатные полнофункциональные антивирусы.