В реестре хранятся вирусы — чистим его! Признаки присутствия на компьютере вредоносных программ

Для защиты операционной системы от вирусов и шпионских программ хорошо подходит служба Защитник Виндовс 8 (англ. Windows Defender). Она вызывается с помощью строки поиска, где достаточно набрать словосочетание «Защитник», а затем выбрать появившуюся опцию «Защитник Windows».

Эта программа (или Служба Защитника Windows) является полноценным антивирусом, при ее наличии нет нужды устанавливать на компьютер другие антивирусные программы.

Лучше на компьютер не ставить одновременно две и более антивирусные программы, поскольку они могут друг друга воспринимать в качестве вирусов или . Более того, если в системе используется сторонний антивирус, Защитник Виндовс 8 отключается автоматически.

Настройка Защитника Windows 8

На сайте разработчика Windows (фирма Microsoft) про Защитник читаем следующее:

Быстро проверить, есть ли на вашем компьютере вирусы, можно с помощью Защитника Windows. Это антивредоносное приложение входит в состав Windows и помогает обнаружить и удалить вирусы, программы-шпионы и другие вредоносные программы.

Добавлю, что правильные настройки позволяют надежно защищать операционную систему от и шпионских программ.

Для этого открываем окно программы Защитник Windows и заходим на вкладку «Параметры» (рис. 1).

Рис. 1. Вкладка «Параметры» окна программы Защитник Виндовс 8

В данной вкладке нужно сделать следующее:

1) В опции «Защита в реальном времени » (цифра 1 на рис. 1) поставить галочку напротив описания параметра «Включить защиту в режиме реального времени (рекомендуется)». Защита в режиме реального времени позволяет пользователям ПК (Персонального Компьютера) получать оповещения в случаях, когда вредоносные или потенциально нежелательные программы будут пытаться установить или запустить себя на данном компьютере.

2) В опции «Исключенные файлы или расположения » (цифра 2 на рис. 1) не должно быть установлено никаких исключений. Дело в том, что при наличии заданных исключений Защитник Windows не будет контролировать ситуацию в этих исключенных файлах или в исключенных местах их расположения. Но, как известно, береженого бог бережет. Лучше исключений не делать.

Зачем они, эти исключения, вообще нужны? Ситуации бывают разные. Лично я встречался с пользователем компьютера, который в прямом смысле этого слова коллекционировал вирусы на своем ПК. Обнаруженные вирусы он помещал в специальную папку. Зачем? Да кто ж его знает! Но в этом случае эту папку он должен был бы пометить как исключение для антивируса Защитник Виндовс 8. Иначе при первой же проверке компьютера на вирусы и шпионы, все коллекционные вирусы были бы обнаружены и изолированы или удалены с ПК.

3) В опции «Исключенные типы файлов » (цифра 3 на рис. 1) также не должно быть никаких исключений. Зачем исключать некоторые типы файлов? Например, исключив расширения.doc, .docx, .rtf, .txt, мы позволим антивирусу не проверять файлы, созданные с помощью программы Microsoft Word. Чтобы антивирус их не проверял, и при этом делал бы проверку компьютера быстрее, пропуская исключенные файлы.

Но я предпочитаю проверять все типы файлов, поскольку современное программное обеспечение позволяет активно обмениваться данными разных типов между собой с помощью буфера обмена. И, значит, внутри.doc и.docx могут быть картинки.jpeg, слайды.ppt и.pptx и многое другое. И зачем рисковать? Пусть антивирус проверяет все типы файлов без исключений.

4) В опции «Исключенные процессы » (цифра 4 на рис. 1) также не должно быть установлено никаких исключений. Причина – прежняя. Лучше проверить все, чем делать опрометчивые исключения, и допускать вирусы и шпионы на свой компьютер.

5) В опции «Подробно » (цифра 5 на рис. 1) желательно установить галочки так, как это показано на рис. 1.

6) В опии «MAPS » (цифра 6 на рис. 1) желательно установить «Базовый уровень участия» в службе MAPS, которая позволяет отправлять в Майкрософт информацию об обнаруженных вирусах и шпионах. Совсем не присоединяться к службе MAPS – это можно посоветовать тем пользователям, у которых ограничен трафик Интернет, чтобы зря его не тратить на передачу данных в Майкрософт.

Нажав на кнопку «Сохранить изменения» (цифра 8 на рис. 1), можно сохранить все внесенные изменения в параметры установки Защитника Виндовс. На этом настройка параметров завершается. Защитник Windows готов к дальнейшей работе с этими параметрами защиты.

О проверке флешек и внешних дисков

Изначально Защитник Виндовс 8 не проверяет и внешние диски. Поэтому скорость работы с ними высокая, но безопасность компьютера снижается. Чтобы исправить ситуацию,

• во вкладке Параметры выберите запись «Подробно», как это сделано на рис. 1.
• Поставьте галочку напротив опции «Проверять съемные носители» (цифра 7 на рис. 1).
• Щелкните по кнопке «Сохранить изменения».

В результате программа будет работать немного дольше, но безопасность будет намного выше.

Обновления Защитника Windows

Вирусы и шпионы постоянно совершенствуются. Поэтому нуждаются в постоянном обновлении. Это относится и к Защитнику Windows. Фактически Защитник Виндовс 8 надо обновлять ежедневно, а то и чаще. Повторюсь, не потому что Защитник Windows столь несовершенен, а потому, что вирусы и шпионы постоянно совершенствуются, и требуются новые и новые методы защиты от них.

Обновления Защитника Windows делают на вкладке «Обновить» окна программы Защитник Windows (цифра 1 на рис. 2).

Рис. 2. Вкладка «Обновить» окна программы Защитник Windows 8

На вкладке «Обновить» есть информация о дате последнего обновления Защитника Виндовс 8 (цифра 2 на рис. 2). И есть большая кнопка «Обновить» (цифра 3 на рис. 2), нажав на которую можно запустить процесс обновления.

Нужно обратить внимание на желтую полосу в верхней части окна Защитника Windows на рис. 1 и такую же желтую полосу, отмеченную цифрой 4 на рис. 2. На ней написано «Состояние компьютера: предположительно без защиты». Данное состояние Защитник Windows фиксирует в нескольких случаях:

1. Защитник Windows давно не обновлялся и ожидает дальнейших действий от пользователя ПК (установите обновления, как именно – описано далее)
2. Защитник Windows давно не делал проверку компьютера на наличие вирусов и шпионов и ожидает дальнейших действий от пользователя ПК (проверьте компьютер на наличие или отсутствие вирусов и шпионов – об этом речь пойдет ниже).
3. Защитник Windows обнаружил и изолировал вирусы или шпионы на компьютере, и ожидает дальнейших действий от пользователя ПК (определитесь, что делать с зараженными файлами – подробнее об этом ниже).

Чтобы обновить Защитник Виндовс 8, нужно обязательно подключиться к Интернету и нажать на большую кнопку «Обновить» (цифра 3 на рис. 2). Если подключения к Интернету нет, то вместо обновления Защитника Виндовс 8 будет выдано диагностическое сообщение «Не удалось обновить определения вирусов и программ-шпионов» (рис. 3).

Рис. 3. Диагностическое сообщение о невозможности обновить Защитник Windows, если нет подключения к Интернету

Если компьютер подключен к Интернет, то после нажатия на большую кнопку «Обновить» (цифра 2 на рис. 2) можно следить на экране монитора за тем, как последовательно выполняются одна за другой стадии обновления Защитника Windows 8. Точнее, будет выводиться следующая информация в виде бегущей зеленой строки и пояснительных надписей под этой бегущей зеленой строкой:

• Выполняется поиск (в это время программа обновления Защитника Windows будет искать в Интернете новые обновления).
• Выполняется скачивание (в это время найденные обновления будут скачиваться из Интернета на ПК).
• Выполняется установка (в это время скачанные обновления будут устанавливаться на компьютер).

И, наконец, мы сможем увидеть окно «Обновить» с надписью «Определения вирусов и программ-шпионов: Последняя версия». А сверху окна Защитника Виндовс 8 желтая надпись «Состояние компьютера: Предположительно без защиты» (как на рис. 1 и на рис. 2) сменится зеленой надписью «Состояние компьютера: С защитой» (рис. 4):

Рис. 4. Вкладка «Обновить» после успешного завершения установки последних обновлений Защитника Windows

Во время обновления Защитника окно Защитника Windows 8 можно свернуть. Не обязательно визуально наблюдать за процессом. Поскольку данный процесс может идти довольно долго. Во время обновления Защитника Виндовс 8 можно открывать другие окна, и запускать другие программы на компьютере.

Напоминания пользователю ПК о необходимости обновления Защитника Windows

Кстати, если даже пользователь ПК забудет про обновления Защитника Windows, операционная система Windows 8 ему об этом напомнит. Для этого в в правой ее части появится флажок «Устранение проблем с компьютером» (цифра 1 на рис. 5), а над ним (над этим флажком) – два сообщения о необходимости обновить защиту от вирусов и обновить защиту от шпионского программного обеспечения (ПО) (цифра 2 на рис. 5).

Рис. 5. Напоминание в Панели задач о необходимости своевременного обновления защиты от вирусов и программ-шпионов

Программа Защитник после ее запуска открывается на вкладке «Домой». Но если Защитник Виндовс 8 давно не обновлялся, то на этой вкладке вместо сообщения на зеленом фоне «Ваш компьютер защищен, как на рис. 6, …

Рис. 6. Окно программы Защитник Windows когда все действия по защите компьютера выполнены в полном объеме, и компьютер защищен.

… будет сообщение на желтом фоне «Определения вирусов и программ-шпионов устарели», а также будет изображение кнопки «Обновить», несмотря на то, что находимся мы не на вкладке «Обновить», а на вкладке «Домой», как на рис. 7.

Рис. 7. Требование обновить Защитник Windows на вкладке «Домой», если давно не делались обновления защиты от вирусов и шпионского ПО.

Таким образом, Защитник Windows и операционная система Windows 8 постоянно предупреждают пользователя ПК о необходимости выполнить процедуру обновления защиты от вирусов и программ-шпионов. Чтобы компьютер был надежно защищен.

Три режима проверки компьютера с помощью Защитника Виндовс 8

Защитник Виндовс 8 в реальном времени, в фоновом режиме постоянно контролирует и не допускает проникновения на ПК вирусов и программ-шпионов. Но также дополнительно периодически с помощью Защитника Windows надо проверять компьютер на наличие (точнее, на отсутствие) в нем вирусов и шпионов. Зачем? Чтобы иметь дополнительную уверенность в том, что компьютер надежно защищен. А также в том случае, если Вы заметите какие-то странности в поведении своего ПК.

На рисунках 6 и 7 в правой части окна можно видеть параметры проверки ПК (цифра 1 на рис. 6 и 7) и кнопку «Проверить сейчас» (цифра 2 на рис. 6 и 7). Можно выбрать любой из 3-х вариантов проверки и нажать на данную кнопку, чтобы запустить проверку компьютера с помощью Защитника Windows.

1. «Быстрая» проверка предполагает действительно быструю по времени проверку. При этом будут проверяться только самые основные файлы и папки компьютера, где могли бы «спрятаться» вирусы и шпионы.
2. «Полная» проверка предполагает проверку всех файлов и папок на всех дисках компьютера. Такая проверка может длиться достаточно долго. Но именно эта проверка является наиболее полезной, поскольку будет проверен весь компьютер.
3. «Особая» проверка – это проверка некоторой части компьютерных папок и файлов. Перед запуском особой проверки пользователю будет предложено выбрать папки и файлы, которые он предполагает проверить с помощью Защитника Виндовс.

Во время проверки компьютера в окне Защитника Windows на вкладке «Домой» можно наблюдать зеленую бегущую строку, показывающую состояние проверки (цифра 1 на рис. 8). Под этой строкой постоянно показывается информация о ходе проверки:

• выбранный тип проверки,
• время запуска (начала) проверки,
• длительность проверки,
• количество проверенных файлов и папок (объектов) (цифра 2 на рис. 8).

Рис. 8. Информация в окне Защитника Windows на вкладке «Домой» о ходе проверки компьютера на наличие (отсутствие) в нем вирусов и программ-шпионов.

Во время проверки, которая может длиться достаточно долго, окно программы Защитник Виндовс 8 можно свернуть. И параллельно можно заниматься другой работой на компьютере, не дожидаясь окончания проверки.

Также проверку компьютера можно в любой момент прекратить, нажав на кнопку «Отменить проверку» (цифра 3 на рис. 8). Но лучше этого не делать, и дождаться окончания проверки. Кстати, в связи с большой длительностью проверки компьютера, особенно в режиме «Полная» проверка, на время проверки ПК его лучше подключить к зарядному устройству, если это переносной компьютер (ноутбук, нетбук, планшет и т.п.), чтобы проверка не прервалась из-за разряда

Анализ результатов проверки

Результаты проверки компьютера можно видеть на вкладке «Журнал» окна программы Защитник Виндовс 8 (рис. 9).

Рис. 9. Просмотр на вкладке «Журнал» программы Защитник Windows результатов проверки компьютера на наличие (отсутствие) в нем вирусов и программ-шпионов.

Если вирусов и шпионов на компьютере не обнаружено, то, выбрав опцию «Все обнаруженные элементы» (цифра 1 на рис. 9), в области просмотра обнаруженных элементов (цифра 2 на рис. 9) не будет ни одного обнаруженного элемента, как это и показано на рис. 9.

В противном случае в области просмотра будет представлена информация о найденных на компьютере вирусах или программах-шпионах. Прямо скажем, неприятный случай! Найденные вирусы или программы лучше всего удалить из компьютера. Для этого нужно выделить все показанные в области просмотра вредоносные программы и нажать на кнопку «Удалить все» (цифра 3 на рис. 9, эта кнопка имеет серый цвет, поскольку вирусы и шпионы на компьютере, к счастью, не обнаружены) .

После удаления всех программ (файлов), зараженных вирусами, следует повторить проверку (полную проверку!) компьютера. И только после того, как полная проверка ПК покажет полное отсутствие вирусов и шпионов, можно считать компьютер полностью защищенным. Причем, так уверенно считать, что проблем нет, можно только до следующей проверки.

Напоследок

Важно, чтобы окно Защитника Windows всегда имело вид, как это показано на рис. 6. А именно,

• зеленая надпись гласит «Состояние компьютера: С защитой».
• Также мы видим радующие глаза надписи: «Ваш компьютер защищен» (цифра 3 на рис. 6),
• «Защита в реальном времени: Включено» (цифра 4 на рис. 6),
• «Определения вирусов и программ-шпионов: Последняя версия» (цифра 4 на рис. 6).

Если хотя бы одна из этих надписей отсутствует или выглядит иначе, а также вместо зеленой полосы в верхней части окна Защитника Windows имеет место быть желтый цвет, тогда следует немедленно предпринять определенные действия:

• обновить определения вирусов и программ-шпионов,
• произвести проверку ПК,
• удалить обнаруженные на компьютере вирусы или программы-шпионы и

В некотором смысле данные рекомендации можно воспринять, как спасение утопающих – дело рук самих утопающих. Но так оно на самом деле и есть. Служба Защитник Windows надежно защищает компьютер пользователя, если сам пользователь в этом заинтересован. Пользователь ПК не должен расслабляться настолько, чтобы не контролировать Защитник Windows.

Этот контроль состояния дел у Защитника Виндовс 8 нужно делать регулярно, желательно ежедневно при включении ПК. Включили ПК, и первым делом вызвали программу Защитник Windows. Убедились в том, что проблем нет, и продолжаем работу. Если появились признаки выполнения требуемых действий, то запускаем обновления, проверку и прочее.

Кстати, помимо желтой надписи о проблемах на компьютере пользователя, Защитник Windows может и «покраснеть». Если надпись стала красной, то это означает наибольшую угрозу заражения ПК

• из-за проблем с Защитником Windows (например, если совсем давно, ну очень давно, он не обновлялся),
• или с компьютером пользователя (например, обнаружены ну очень неприятные вирусы).

При «красном» цвете Защитника Виндовс 8 пользователю надо, что называется, бросить все, и заняться только Защитником Windows (обновление, проверка, удаление вирусов из компьютера). Работать на ПК с другими программами, когда Защитник Windows «покраснел» категорически нельзя, ибо это может привести к разрушению операционной системы, лишившейся на какое-то время своей надежной защиты в лице Службы Защитника Windows.

Надеюсь, что до красного уровня опасности у Вас дело не дойдет. И зеленый цвет Защитника Windows, как в окне этой программы, так и в Панели задач (там значок Службы Защитник Windows также синхронно меняет свой цвет с зеленого на желтый при обнаружении опасности и на красный при наличии реальной угрозы операционной системе) будет служить Вам сигналом безопасной работы на компьютере.

И еще. Не забывайте делать резервные копии файлов с помощью программы « », которая входит в состав Windows 8.

Получайте актуальные статьи по компьютерной грамотности прямо на ваш почтовый ящик .
Уже более 3.000 подписчиков

.

СТАНИСЛАВ ШПАК , более пяти лет занимается сопровождением Active Directory и Windows-серверов. Имеет сертификаты MCSE по Windows Server 2000/2003

История одного вируса
Сорок антивирусов сочли его безвредным

На примере зараженного файла хочу показать, как реагируют антивирусные компании на появление новых угроз

Любому системному администратору иногда приходится чистить компьютеры от вредоносных программ – будь то рабочие станции сотрудников или ноутбуки знакомых. Каждый из нас имеет свои предпочтения в плане использования антивирусных средств. И не секрет, что ни один антивирус не дает стопроцентной защиты компьютера. Но на порядком поднадоевшие вопросы пользователей посоветовать лучший антивирус мы всегда что-то однозначно советуем и даже порой с жаром готовы отстаивать любимый антивирус так, будто сами его писали.

Однако в погоне за внушительными цифрами известных антивирусу вредоносных программ иногда забывается один немаловажный, на мой взгляд, фактор – способность разработчика антивируса оперативно реагировать на появление новых угроз. Модификации различных типов вирусов, в том числе сборщиков паролей и смс-вымогателей, плодятся как грибы после дождя на благодатной отечественной правовой почве полной безнаказанности.

Когда в очередной раз я вручную вычистил с компьютера порно-блокер, то решил провести небольшое исследование, которое и опишу в этой статье.

Итак, в мои руки попался вирус, который выводил на экран порно-баннер с требованием отправить смс на короткий номер, чтобы разблокировать компьютер. Вирус блокировал запуск диспетчера задач, нажатие кнопки «Пуск» и сворачивал окно Process Explorer. Подключившись к зараженному компьютеру через локальную сеть, я без труда обнаружил «лишний» процесс и снял его.

Чтобы выяснить, насколько обнаруженный порно-баннер известен антивирусам, я воспользовался сервисом Virustotal .

Результаты анализа оказались следующими:

File name: virus.rar Submission date: 2010-06-16 14:03:21 (UTC) Result: 3/ 42 (7.1%) Panda 10.0.2.7 2010.06.16 Suspicious file Sunbelt 6454 2010.06.16 Trojan.Win32.Generic.pak!cobra TrendMicro 9.120.0.1004 2010.06.16 PAK_Generic.012

Таким образом, три из 43 антивирусов опознали файл как вирус, остальные же сочли его безвредным.

Следующим моим шагом была отправка файла для анализа в различные антивирусные лаборатории. Конечно, я не собирался это делать для всех оставшихся 39 антивирусов, поэтому решил остановиться на наиболее популярных в России разработчиках:

• «Лаборатория Касперского » – выпускающая одноименный антивирус;
• «Доктор Веб» – антивирус DrWeb;
• Microsoft – антивирус Microsoft Security Essential и Forefront Security;
• Eset – антивирус Nod32;
• Symantec – антивирус Symantec Endpoint Protection и другие продукты.

Хотел было сюда добавить еще антивирус AVAST, но на сайте разработчика нет не только онлайн-сканера для проверки файлов, но даже возможности отправить для анализа подозрительный файл (по крайней мере я не нашел этой возможности ни в русской секции, ни в английской, ни через поиск).

Там, где было возможно, перед отправкой файл был проверен онлайн-сканером на сайте разработчика, чтобы убедиться, что вирус действительно еще не определяется этим антивирусом. Не все из перечисленных выше разработчиков антивирусов предлагают на своем сайте сервис онлайн-сканирования. К таковым относятся только «Антивирус Касперского», DrWeb и Nod32.

Файл на проверку был отправлен 16 июня 2010 года в промежутке между 18.00 и 19.00 по московскому времени (UTC+4) последовательно в следующие антивирусные компании.

«Лаборатория Касперского»

http://support.kaspersky.ru/virlab/helpdesk.html или [email protected] . Когда-то форма для онлайн-сканирования располагалась на главной странице сайта, но те времена давно прошли. Теперь добраться до нее с главной страницы можно так: «Сервис -> Сайт технической поддержки -> Для дома» слева раздел «Борьба с вредоносными программами». За те несколько дней, пока писалась эта статья, на сайте произошли некоторые изменения, теперь добраться до формы онлайн-сканирования можно проще – об этом ниже.

Онлайн-сканер «Лаборатории Касперского» подтвердил, что вирусов в файле нет, и я смог смело отправить файл на анализ. Пока еще это делается с главной страницы – в правом нижнем углу ссылка «Прислать вирус». Тип ссылки периодически меняется с http:// на mailto:// – я несколько раз наталкивался то на одну, то на другую версии. В первом случае ссылка ведет к открытию веб-формы (см. рис. 1), с которой также можно перейти к онлайн-сканированию; во втором случае можно просто написать письмо на адрес [email protected] , приложив к письму исследуемый файл и сопроводительный текст. Последнее – не обязательно, но я всегда стараюсь так делать, искренне веря, что где-то там, «с другой стороны Интернета», это поможет людям разобраться с файлом. Спустя 5-10 минут на e-mail пришло уведомление о том, что файл принят к обработке и «будет передан вирусному аналитику».

«Доктор Веб»

Форма для сообщения о новом вирусе – https://vms.drweb.com/sendvirus .

Онлайн-сканер DrWeb’а , доступный через нижнее меню на главной странице сайта, также не обнаружил в файле ничего подозрительного. Большая зеленая кнопка «отправить файл на анализ» очень к месту располагается прямо на странице онлайн-сканера. Для отправки нужно заполнить небольшую форму (см. рис. 2), в которой надо выбрать отсылаемый файл, указать категорию запроса, оставить адрес электронной почты для связи и комментарий к отсылаемому файлу. После успешной отправки на почтовый ящик приходит уведомление о принятии файла.

Microsoft

Форма для сообщения о новом вирусе – https://www.microsoft.com/security/portal/Submission/Submit.aspx .

Почему-то многие системные администраторы не относятся серьезно к антивирусу софтверного гиганта, который, на мой взгляд, достаточно неплохо себя показывает. Зная особенности сайта Microsoft, я не решился искать форму отправки подозрительного файла на сайте, а воспользовался ссылкой из встроенной справки антивируса. Она привела меня в раздел Malware Protection Center, откуда уже несложно было найти в верхнем меню ссылку Submit a sample. Поссылке доступна простенькая форма (см. рис. 3), в которой нужно обязательно указать свое имя и отсылаемый файл, а также опционально заполнить поля адреса электронной почты, используемого продукта и комментарии.

После отправки можно не закрывать страницу – она будет периодически обновляться и содержать текущую информацию о ходе исследования файла, которая также будет дублироваться и на e-mail, если его указали при отправке файла. Первое уведомление о принятии файла для анализа приходит почти сразу же после отправки.

Eset

Форма для сообщения о новом вирусе – [email protected] .

Онлайн-сканер этого популярного антивируса также сообщил о том, что в проверяемом файле вирусов не обнаружено. Безрезультатно поискав на сайте ссылку для отправки файлов на анализ, я решил не бороться с интерфейсом и воспользоваться поиском. По запросу Submit a virus первая же ссылка оказалась тем, что нужно, а именно – инструкцией по отправке. Из нее следовало, что подозрительный файл нужно упаковать в RAR или ZIP-архив, закрыть его паролем infected, после чего вложить в письмо с темой suspected infection, указать в теле письма пароль от архива, опционально добавить описание и комментарии и отправить на адрес [email protected] . Что я и сделал.

Symantec

Форма для отправки вирусов – http://www.symantec.com/business/security_response/submitsamples.jsp .

Отправить файл на анализ в Symantec можно, поместив подозрительный файл вручную в карантин (разумеется, с использованием какого-нибудь из продуктов Symantec), а затем из карантина осуществив отправку. Другой вариант – воспользоваться сайтом Symantec. И хотя онлайн-сканера там я не обнаружил, зато через поиск нашел форму для отправки подозрительных файлов (см. рис. 4). В форме обязательно требуется указать не только файл для анализа, но и фамилию/имя и дважды адрес электронной почты. Комментарий опционален. Форма защищена CAPTCHA.

Похоже, файл сначала автоматически проверяется в Symantec по текущей базе, так как спустя 15-20 минут мне пришло уведомление о том, что в результате автоматического сканирования в присланном файле вирусов не обнаружено, и он будет сохранен для дальнейшего анализа. Спустя еще 20 минут пришло письмо, в котором говорилось, что файл принят к обработке.

Результаты проверки

Теперь, когда я сделал все от меня зависящее для противодействия пойманному порно-блокеру, мне оставалось только ждать плодов своих усилий.

Через час после отправки пришло письмо из Microsoft. Относительно исследуемого файла сообщалось следующее: Changes to detection currently undergoing testing. Я интерпретировал это как то, что это модификация известного вируса, и будет проводиться его дальнейшая проверка.

Однако не буду настаивать на том, что я понял фразу правильно, важно здесь то, что вердикт Microsoft еще не окончательный, и надо ждать дальше.

Следующее письмо пришло от «Доктор Веб», где сообщалось, что в результате автоматического (!) анализа в присланном файле обнаружен вирус Trojan.Winlock.1897, который будет добавлен в антивирусную базу. Итак, первый антивирус справился с задачей чуть больше, чем за час. Я не знаю принципов работы и настроек DrWeb, но наличие слова «автоматический» в ответе наводит на мысль, что в реальных условиях (а не по сервису Virustotal) данный вирус мог быть обнаружен этим антивирусом при включенном режиме эвристики.

Eset хранил настоящее самурайское молчание, даже не посчитав нужным уведомить о принятии файла для анализа. Однако спустя четыре с лишним часа после отправки сообщил, что в присланном файле найден вирус Win32/LockScreen.UE trojan.

Спустя восем часов после отправки файла в почте вновь отметился Microsoft, написав, что обнаруженная модификация вируса Trojan:Win32/Calelk.C будет добавлена в антивирусную базу.

Оставшиеся двое испытуемых – «Лаборатория Касперского» и Symantec – не пожелали больше сообщать о себе. Это было ожидаемо от Symantec (так как имелся подобный печальный опыт ранее) и несколько неожиданно для «Лаборатории Касперского». Дело в том, что я периодически отправлял файлы для исследования в «Лабораторию Касперского» и в большинстве случаев получал ответ. Иногда ответа не было, но вирусная сигнатура появлялась в базах. Ввиду отсутствия ответа пришлось проверять обнаруживаемость вируса по Virustotal. Вот как развивались события:

• 2010.06.16 14.03.21 (UTC) – первое санирование, вирус обнаруживался тремя из 42 антивирусов;
• 2010.06.17 11.32.50 (UTC) – вирус обнаруживался пятью из 36 антивирусов. Symantec и «Лаборатория Касперского» в это число не входят. Добавился DrWeb и Nod32 (Virustotal еще не обновил базу Microsoft’овского антивируса);
• 2010.06.18 07.45.47 (UTC) – результат: 9 из 39. Добавился Microsoft и еще несколько. «Лаборатория Касперского» и Symantec все еще не опознают вирус;
• 2010.06.19 20.06.42 (UTC) – 17 из 41. «Лаборатория Касперского» наконец-то сообщил, что в файле вирус Trojan-Ransom.Win32.PinkBlocker.bsu. Symantec все еще не видит вирус в файле.

Чтобы выяснить время, когда антивирус «Лаборатория Касперского» обнаружил этот вирус, я зашел на сайт компании и провел онлайн-сканирование файла. Судя по базе securelist.com, время детектирования – 18 июня 2010 13.51 MSK. Напомню, что файл на анализ был прислан 16 июня 2010 в 18.11 MSK.

На этом можно было бы перейти к выводам, но странное поведение «Лаборатории Касперского» и Symantec несколько смущали. Может быть, это случайность? Спустя пять дней мне выпала возможность это проверить. Появившаяся на компьютере одного из пользователей новая модификация предыдущего порно-блокера не определялась еще никаким из вышеперечисленных антивирусов, кроме Nod32. Я решил повторить эксперимент и снова разослал файл в антивирусные лаборатории.

Как и в прошлый раз, первым среагировал «Доктор Веб», сообщив мне, что присланный вирус уже есть в базе (в этот раз я не делал онлайн-проверку на сайте разработчика, полагаясь на Virustotal). Спустя восем часов после отправки Microsoft опять сообщил о том, что новая модификация вируса будет добавлена в базу. «Лаборатория Касперского» и Symantec в точности повторили прошлые результаты – прислали уведомления о принятии файла для анализа и замолчали. Спустя сутки ни тот ни другой антивирусы все еще не определяли новую модификацию вируса.

Для наглядности полученные результаты представлены в таблице 1.

Таблица 1. Время обнаружения нового вируса разработчиками антивирусов

Мы видим достаточно оперативную реакцию у первых трех разработчиков, довольно вялую у «Лаборатория Касперского» и просто наплевательское отношение у Symantec.

Говорить о последнем даже не хочется – если вы найдете у себя в сети вирус, который не знает Symantec, то вам остается только надеяться, что каким-то образом его сигнатура все-таки попадет в базу, потому что сами вы на этот процесс повлиять, видимо, никак не можете. Возможно, такое отношения Symantec испытывает только к порно-блокерам (насколько я понимаю, такой тип вируса не распространен в Америке, так как за подобный «баннер» контент-провайдера завалили бы коллективными исками, причем досталось бы еще и оператору, который предоставляет обслуживание и смс-поддержку). Впрочем, на мой взгляд, Symantec это не оправдывает.

«Лаборатория Касперского» удивила не столько большим временем добавления вируса в базу, сколько тишиной в ответ на отправку файла для анализа. На форуме журнала в разделе «Антивирусы» в одной из веток модератор пишет (орфография сохранена): «Отправляйте недетектящееся [вирусы] в вирлаб используемого антивируса. Этим Вы помогаете не только себе. И пользователи, которые так поступают, помогают не только антивирусным компаниям». Однако при этом хочется получить хоть какой-то ответ от самой антивирусной компании, чтобы знать, что твои усилия не пропали зря.

Откуда берут образцы новых вирусов антивирусные компании, которые не содержат на своем сайте возможности получить подозрительные файлы на анализ от пользователей – это еще один любопытный вопрос. Судя по статистике на сайте «Лаборатория Касперского» , ежедневно для анализа им присылают десятки тысяч подозрительных файлов. Конечно, я думаю, это не единственный источник информации о новых вирусах. Но все-таки отсутствие такой возможности заставляет более серьезно относиться к слухам о том, что некоторые разработчики антивирусов якобы заимствуют сигнатуры вирусов из баз конкурентов.

Не секрет, что в битве вирусов и антивирусов последние всегда чуть-чуть позади, так зачем еще и отворачиваться от потенциальных союзников?

P.S. Когда эта статья была готова, и я собирался отправлять ее в редакцию, мне пришло письмо из «Лаборатории Касперского». Там говорилось, что в присланном во второй раз файле обнаружен вирус Trojan-Ransom.Win32.PinkBlocker.bus. Это радует, но принцип, по которому в «Лаборатории Касперского» то отвечают, то не отвечают пользователям на сообщения о новом вирусе, все равно остается неясен.

1. www.virustotal.com .

Другой метод, основанный на эвристике, исходит из предположения, что вредоносные программы так или иначе стремятся нанести вред компьютеру. Метод основан на выделении основных вредоносных действий, таких как, например:

• Удаление файла
• Запись в файл
• Запись в определенные области системного реестра
• Открытие порта на прослушивание
• Перехват данных вводимых с клавиатуры
• Рассылка писем
• И др.

Понятно, что выполнение каждого такого действия по отдельности не является поводом считать программу вредоносной. Но если программа последовательно выполняет несколько таких действий, например, записывает запуск себя же в ключ автозапуска системного реестра, перехватывает данные вводимые с клавиатуры и с определенной частотой пересылает эти данные на какой-то адрес в Интернет, значит эта программа по меньшей мере подозрительна. Основанный на этом принципе эвристический анализатор должен постоянно следить за действиями, которые выполняют программы.

Преимуществом описанного метода является возможность обнаруживать неизвестные ранее вредоносные программы, даже если они не очень похожи на уже известные. Например, новая вредоносная программа может использовать для проникновения на компьютер новую уязвимость, но после этого начинает выполнять уже привычные вредоносные действия. Такую программу может пропустить эвристический анализатор первого типа, но вполне может обнаружить анализатор второго типа.

Отрицательные черты те же, что и раньше:

• Ложные срабатывания
• Невозможность лечения
• Невысокая эффективность

Дополнительные средства

Практически любой антивирус сегодня использует все известные методы обнаружения вирусов. Но одних средств обнаружения мало для успешной работы антивируса, для того, чтобы чисто антивирусные средства были эффективными, нужны дополнительные модули, выполняющие вспомогательные функции.

Модуль обновления

В первую очередь, каждый антивирус должен содержать модуль обновления. Это связано с тем, что основным методом обнаружения вирусов сегодня является сигнатурный анализ, который полагается на использование антивирусной базы. Для того чтобы сигнатурный анализ эффективно справлялся с самыми последними вирусами, антивирусные эксперты постоянно анализируют образцы новых вирусов и выпускают для них сигнатуры. После этого главной проблемой становится доставка сигнатур на компьютеры всех пользователей, использующих соответствующую антивирусную программу.

Именно эту задачу и решает модуль обновления. После того, как эксперты создают новые сигнатуры, файлы с сигнатурами размещаются на серверах компании - производителя антивируса и становятся доступными для загрузки. Модуль обновления обращается к этим серверам, определяет наличие новых файлов, загружает их на компьютер пользователя и дает команду антивирусным модулям использовать новые файлы сигнатур.

Модули обновления разных антивирусов весьма похожи друг на друга и отличаются типами серверов, с которых они могут загружать файлы обновлений, а точнее, типами протоколов, которые они могут использовать при загрузке - HTTP, FTP, протоколы локальных Windows-сетей. Некоторые антивирусные компании создают специальные протоколы для загрузки своих обновлений антивирусной базы. В таком случае модуль обновления может использовать и этот специальный протокол.

Второе, в чем могут отличаться модули обновления - это настройка действий, на случай, если источник обновлений недоступен. Например, в некоторых модулях обновления можно указать не один адрес сервера с обновлениями, а адреса нескольких серверов, и модуль обновления будет обращаться к ним по очереди, пока не обнаружит работающий сервер. Или же в модуле обновления может быть настройка - повторять попытки обновления с заданным интервалом определенное количество раз или же до тех пор, пока сервер не станет доступным. Эти две настройки могут присутствовать и одновременно.

Модуль планирования

Второй важный вспомогательный модуль - это модуль планирования. Существует ряд действий, которые антивирус должен выполнять регулярно: в частности, проверять весь компьютер на наличие вирусов и обновлять антивирусную базу. Модуль обновления как раз и позволяет настроить периодичность выполнения этих действий.

Для обновления антивирусной базы рекомендуется использовать небольшой интервал - один час или три часа, в зависимости от возможностей канала доступа в Интернет. В настоящее время новые модификации вредоносных программ обнаруживаются постоянно, что вынуждает антивирусные компании выпускать новые файлы сигнатур буквально каждый час. Если пользователь компьютера много времени проводит в Интернете, он подвергает свой компьютер большому риску и поэтому должен обновлять антивирусную базу как можно чаще.

Полную проверку компьютера нужно проводить хотя бы потому, что сначала появляются новые вредоносные программы, а только потом сигнатуры к ним, а значит всегда есть возможность загрузить на компьютер вредоносную программу раньше, чем обновление антивирусных баз. Чтобы обнаружить эти вредоносные программы, компьютер нужно периодически перепроверять. Разумным расписанием для проверки компьютера можно считать раз в неделю.

Исходя из сказанного, основная задача модуля планирования - давать возможность выбрать для каждого действия расписание, которое больше всего подходит именно для этого типа действия. Следовательно модуль обновления должен поддерживать много различных вариантов расписания из которых можно было бы выбирать.

Модуль управления

По мере увеличения количества модулей в антивирусе возникает необходимость в дополнительном модуле для управления и настройки. В простейшем случае - это общий интерфейсный модуль, при помощи которого можно в удобной форме получить доступ к наиболее важным функциям:

• Настройке параметров антивирусных модулей
• Настройке обновлений
• Настройке периодического запуска обновления и проверки
• Запуску модулей вручную, по требованию пользователя
• Отчетам о проверке
• Другим функциям, в зависимости от конкретного антивируса

Основные требования к такому модулю - удобный доступ к настройкам, интуитивная понятность, подробная справочная система, описывающая каждую настройку, возможность защитить настройки от изменений, если за компьютером работает несколько человек. Подобным модулем управления обладают все антивирусы для домашнего использования. Антивирусы для защиты компьютеров в крупных сетях должны обладать несколько иными свойствами.

Уже не раз говорилось, что в большой организации за настройку и правильное функционирование антивирусов отвечают не пользователи компьютеров, а специальные сотрудники. Если компьютеров в организации много, то каждому ответственному за безопасность сотруднику придется постоянно бегать от одного компьютера к другому, проверяя правильность настройки и просматривая историю обнаруженных заражений. Это очень неэффективный подход к обслуживанию системы безопасности.

Поэтому, чтобы упростить работу администраторов антивирусной безопасности, антивирусы, которые используются для защиты больших сетей, оборудованы специальным модулем управления. Основные свойства этого модуля управления:

• Поддержка удаленного управления и настройки - администратор безопасности может запускать и останавливать антивирусные модули, а также менять их настройки по сети, не вставая со своего места
• Защита настроек от изменений - модуль управления не позволяет локальному пользователю изменять настройки или останавливать антивирус, чтобы пользователь не мог ослабить антивирусную защиту организации

Карантин

Среди прочих вспомогательных средств во многих антивирусах есть специальные технологии, которые защищают от возможной потери данных в результате действий антивируса.

Например, легко представить ситуацию, при которой файл детектируется как возможно зараженный эвристическим анализатором и удаляется согласно настройкам антивируса. Однако эвристический анализатор никогда не дает стопроцентной гарантии того, что файл действительно заражен, а значит с определенной вероятностью антивирус мог удалить незараженный файл.

Или же антивирус обнаруживает важный документ зараженный вирусом и пытается согласно настройкам выполнить лечение, но по каким-то причинам происходит сбой и вместе с вылеченным вирусом теряется важная информация.

Разумеется, от таких случаев желательно застраховаться. Проще всего это сделать, если перед лечением или удалением файлов сохранить их резервные копии, тогда если окажется, что файл был удален ошибочно или была потеряна важная информация, всегда можно будет выполнить восстановление из резервной копии.

Методика тестирования

Организация EICAR при участии антивирусных компаний создала специальный тестовый файл, который был назван по имени организации - eicar.com.

Eicar.com - это исполняемый файл в COM-формате, который не выполняет никаких вредоносных действий, а просто выводит на экран строку "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!". Тем не менее, все антивирусные компании договорились включить этот файл в свои антивирусные базы и детектировать его как вирус, специально чтобы пользователи могли без риска протестировать свою антивирусную защиту.

Получить eicar.com можно на сайте организации EICAR по адресу http://www.eicar.org/anti_virus_test_file.htm, но проще создать этот файл самому. Дело в том, что машинный код файла eicar.com состоит из печатных символов и его можно создать при помощи любого текстового редактора. Например, можно воспользоваться стандартным для операционных систем Windows редактором Notepad. В окне Notepad нужно набрать строку

X5O!P%@AP}