SoftMaker logo

Байты и не только

Антивирус — для чего он нужен?

Антивирусное программное обеспечение часто воспринимается как докучливое и надоедливое. Предупреждения постоянно появляются в самые неподходящие моменты, нарушая концентрацию и рабочий процесс. Иногда чересчур рьяное антивирусное приложение блокирует даже нужное, не содержащее никаких вирусов программное обеспечение.

Время для короткой экскурсии за кулисы: для чего служит антивирусное программное обеспечение? Как оно работает? И стоит ли вообще платить за защиту от вирусов?

Чем может помочь защита от вирусов и вредоносных программ?

Разработчики антивирусов любят говорить о том, что без них вы бы просто пропали. Или, по крайней мере, пропали бы ваши данные. Некоторые пользователи Windows придерживаются противоположной точки зрения: антивирусные программы снижают производительность системы, раздражают ненужными предупреждениями и блокируют совершенно безвредные приложения, и при этом настоящее вредоносное ПО все равно может проскользнуть на компьютер.

Несмотря на то что антивирусное программное обеспечение может быть невероятно раздражающим, оно обеспечивает необходимую «страховку». Без антивирусного программного обеспечения любые сетевые взаимодействия могли бы привести к заражению компьютера вредоносным программным обеспечением. Коротко говоря: без антивирусной защиты использование интернета стало бы невозможным.

Принцип, который существующие в настоящее время антивирусные программы используют для защиты пользователей от вредоносного программного обеспечения (для краткости — «вредоносных программ»), в общем и целом одинаков. Антивирусные модули защиты проверяют все файлы в режиме реального времени, т. е. как только они попадают на компьютер. Модуль веб-защиты пытается предотвратить доступ к вредоносным сайтам. И, наконец, антивирусный сканер по требованию пользователя проверяет все локальные данные на наличие возможных заражений.

Все эти функции действительно требуют вычислительной мощности; другими словами, они в определенной степени снижают производительность системы. Вместе с тем существуют техники, которые используются для уменьшения такого эффекта. Одной из них является многоуровневый подход к выявлению вредоносного программного обеспечения.

Краткое введение в работу антивирусной защиты

Самым простым способом выявления угроз является сопоставление кода с «сигнатурами» известных вредоносных программ. Проще говоря, он сводится к проверке, соответствует ли анализируемый файл контрольной сумме из черного списка.

Недостаток этого подхода заключается в том, что злоумышленники могут обойти распознавание сигнатур посредством незначительных изменений кода. Эвристический анализ — это метод, при котором антивирусная программа использует расширенные критерии обнаружения, сопоставляя более широкий шаблон, например определенный фрагмент кода вместо всего файла.

Преимущество эвристического анализа состоит в том, что он легко распознает различные варианты угрозы. Но... В случае с антивирусным программным обеспечением всегда есть «но» ... Поскольку эвристика предполагает некоторую степень допущения, она склонна принимать обычные безвредные приложения за вредоносные программы.

Другой подход — это поведенческий анализ. Для этого подозрительные приложения сначала запускаются в изолированной от операционной системы «песочнице». Однако этот метод обнаружения очень ресурсоемкий, то есть при запуске песочницы на вашем компьютере она может существенно повлиять на его производительность.

Для обхода этих проблем разработчики антивирусных программ разработали онлайн-системы проверки репутации файлов. Если локальная антивирусная программа не уверена в чистоте файла, она тут же может связаться с серверами своего создателя, чтобы проверить, находится ли он в централизованном белом списке. Если подтверждается, что код безопасен, запуск файла будет разрешен. Если код неизвестен, он в качестве образца отправляется на серверы разработчика для централизованного анализа. Там образец запускается в виртуальной среде Windows, где его поведение проверяется на необычную активность.

Все это обычно происходит без какого-либо участия пользователей. Поэтому антивирусные программы можно представить как добрых маленьких эльфов, которые незаметно работают и защищают вас. Однако от ошибок не застрахованы даже эльфы.

Когда антивирусные инструменты «барахлят»

Несмотря на белые списки и онлайн-проверки репутации, антивирусное программное обеспечение иногда бьет вхолостую. Безвредное программное обеспечение перестает работать должным образом, доступ к безобидным сайтам заблокирован. Эти ошибки называются «ложными срабатываниями».

В качестве примера ложного срабатывания можно привести Comodo Internet Security Pro, который при определенных условиях не позволяет пользователям запускать SoftMaker Office 2018. При использовании стандартных настроек встроенный межсетевой экран Comodo может блокировать доступ к серверам активации SoftMaker. В результате программное обеспечение не может проверить действительность лицензии, и активация не происходит.

У разработчиков программного обеспечения, столкнувшихся с такой проблемой, есть мало других вариантов, кроме как обратиться к компании-разработчику антивируса, убедить ее в легитимности своего программного обеспечения и запросить добавление своего продукта в белый список компании. Это может занять определенное время. Тем временем пользователям приходиться искать обходные пути.

В случае с Comodo Internet Security Pro и SoftMaker Office 2018 единственным способом активировать офисный пакет в настоящее время является отключение модуля антивирусной программы под названием «Контент-фильтр». Для этого надо открыть настройки Comodo Internet Security и перейти в меню Контент-фильтр. В этом разделе следует отключить параметр «Использовать контент-фильтр (рекомендуется)» и подтвердить свой выбор, нажав «ОК».

В общем и целом при отключении элементов антивирусной защиты вы должны быть очень осторожными. Лучшее решение — создать исключения для конкретных приложений, — что, по сути, является созданием локального белого списка. Вместе с тем прежде чем добавить такое исключение, вам следует проверить и затем перепроверить, что исключение не поставит под угрозу безопасность компьютера. В проведении такой проверки могут помочь несколько бесплатных онлайн-сервисов.

Проверка файла на безвредность

Некоторые антивирусные приложения любят драконовские меры: подозрительные файлы быстренько удаляются или отправляются в «карантин» — специальный контейнер, где файл не может причинить вреда. Обычно это происходит даже до того, как антивирусная программа выдает какое-либо предупреждение.

Для того чтобы проверить, является ли такой файл ложным срабатыванием или действительно содержит вредоносный код, есть несколько способов. В большинстве случаев сначала нужно восстановить файл из карантина — этот процесс сильно зависит от приложения, поэтому его пошаговое описание следует искать в документации антивируса. Во избежание повторного удаления восстановленного файла иногда может потребоваться создание временного исключения.

Затем необходимо загрузить файл в онлайн-сервис антивирусного сканирования, например, HerdProtect, Jotti's Malware Scan, Opswat Metadefender Cloud или VirusTotal. Никогда не запускайте подозрительный файл до его загрузки в сервис! Сервис выполнит проверку загруженного файла, используя несколько антивирусных ядер, — это может занять несколько минут.

Результаты антивирусных онлайн-сканеров не всегда однозначны. Однако, если несколько ядер подтверждают, что файл является вредоносным, ваш локальный антивирус, скорее всего, был прав. С особенной осторожностью следует подходить к результатам, отмеченным как эвристические результаты (обычно обозначаемые как heur), — как упоминалось ранее, эвристический анализ склонен к ошибкам.

Сервисы антивирусного онлайн-сканирования неидеальны: может случиться и такое, что все они не смогут обнаружить вредоносность загруженного файла. В частности, это особенно актуально в отношении файлов, которые вы получили в виде вложений электронной почты. Вредоносные программы такого типа часто создаются специально для обхода средств антивирусной защиты.

Обычно разработчики антивирусов разгадывают уловку в течение нескольких часов. Поэтому, если файл по-прежнему вызывает у вас подозрения, не трогайте его, а затем через несколько часов снова загрузите в антивирусный онлайн-сервис. Это часто приводит к заметно отличающимся результатам, которые могут прояснить все сомнения.

Однако, когда речь идет о файлах с персональными данными, лучше избегать их загрузки в антивирусные онлайн-сканеры. Большинство из них отправляет подозрительные файлы для дальнейшего анализа поставщикам антивирусных программ. Об этом обычно говорится в условиях использования онлайн-сканера, которые никто никогда не читает.

Как выбрать антивирус

Если вы домашний пользователь Windows, Защитник Windows — вполне достойное антивирусное решение. Он разработан Microsoft, поэтому интегрирован в Windows. Защитник Windows использует как сигнатуры, так и онлайн-проверку репутации. Хотя он бесплатный, его без зазрения совести можно назвать совсем ненавязчивым.

Все другие бесплатные антивирусные инструменты по сути являются рекламой своих коммерческих версий. Это означает, что они постоянно стремятся привлечь внимание к себе и, соответственно, к продукту, который они продают. Защитник Windows следует другой бизнес-модели.

С другой стороны, если вы используете свой компьютер в коммерческих целях, Защитник Windows может оказаться не лучшим выбором. Его использование связано с активным участием в работе SpyNet, службе репутации Microsoft. Если Защитник Windows обнаруживает подозрительные файлы на компьютере, он без запроса загружает их в службу Microsoft. Потенциально это может привести к раскрытию конфиденциальных данных третьим сторонам.

Такая схема разработана потому, что Microsoft также продает коммерческое антивирусное решение под названием Endpoint Protection, предназначенное для корпоративных клиентов. По существу, Защитник Windows снабжает Endpoint Protection образцами вредоносных программ.

Для профессиональных пользователей коммерческое антивирусное решение может стать наиболее подходящим вариантом. Большинство платных антивирусов дают возможность отказаться от загрузки подозрительных файлов в соответствующие службы, хотя это и может снизить степень защиты. Кроме того, они предлагают дополнительные уровни защиты — некоторые из них полезны, некоторые не очень.

Производители коммерческих антивирусов обычно предлагают несколько пакетов с разными функциями и уровнем цен: базовый пакет антивирусной защиты содержит только основные функции. Расширенный пакет интернет-безопасности включает в себя дополнительные функции, среди которых безопасные среды для онлайн-банкинга, блокировщики рекламы, менеджеры паролей и родительский контроль. Самая полная версия предлагает еще больше функций, польза от многих из которых сомнительна.

При выборе пакета сначала следует установить пробную версию, чтобы ознакомиться с приложением и решить, соответствует ли оно вашим потребностям. Всегда проверяйте, не пытается ли приложение «удержать вас», то есть вынудить вас продолжить использовать продукт этой компании.

Например, менеджеры паролей, как правило, очень полезная функция, но менеджеры паролей, которые входят в антивирусные пакеты, в большинстве случаев не могут экспортировать данные в формат, который могут прочитать другие менеджеры паролей. Поэтому при худшем сценарии развития событий вы можете оказаться привязанными к посредственной антивирусной программе только потому, что она держит ваши пароли «в заложниках».

Полезность инструментов для «настройки» или «очистки» операционной системы также сомнительна, поскольку в Windows уже есть такие средства, как «Очистка диска» и «Контроль памяти», позволяющие освободить место на жестком диске. Стоит также добавить, что программы для очистки реестра могут повредить операционную систему — известно, что Microsoft отказывается от технической поддержки клиентов, использующих такие инструменты.


Комментарии

qqqq

21.07.2019 22:42

За 15 лет использования ПК не сталкивался не с одним вирусом (трояном и т.п.)
Я не специалист, конечно, но кажется достаточно проверять скаченные файлы антивирусным сканером (Microsoft Safety Scanner), а ссылки через настройки браузеров (Phishing and Malware Protection), ну и 'ESNI и DNS over HTTPS' использовать.

Алексей

14.07.2019 10:15

Антивирус не нужен.

Александр

18.06.2019 16:38

Хорошо, что Виндоус бесплатно ловит вирусы. Плохо, что много раз от очень разных людей слышал одно и то же, причём с конкретными аргументами: лицензионная ОС ворует информацию...

Валерий

18.06.2019 04:38

Более шести лет использую операционные системы с ядром Linux - антивирусник не нужен!

Александр Мотовилов

17.06.2019 18:50

Статейка для бабушек... Чтобы не было вирусов, нужно использовать операционные системы, где каждая программа собирается индивидуально с учетом особенностей текущего компьютера без возможности установки бинарных (читай заранее собранных инсталяционных пакетов)... Только сборка из исходников спасет мир от вирусов.... Юзайте Генту!!!

Alex Wakizashi

17.06.2019 22:18

Генту - не для всех, это надо быть особо одаренным красноглазиком ;))
К тому-же, не пригодно для enterprise.

Как вариант, можно использовать Qubes, там как раз применены решения с изоляцией ВМ, в которых работает "недоверенное" ПО. Но настройка этого дела требует каких-никаких, но знаний :)

Так что проще воткнуть какую-нибудь Бубунту, и ходить в Инет через выделенную ВМ (KVM+VirtManager - даже девочка гуманитарий-переводчик справляется - проверено ;)

My

18.06.2019 03:20

Действительно генту круто зощитит, но не только от вирусняка, но и от вполе себе приличного софта, исходников которого нет, как того офиса softmaker, да и время на компиляцию уйдет туча :-D спасибо за совет, но мне и в mx linuxe вирусняк не очень то страшен даже без антивируса.

SoftMaker

18.06.2019 08:35

Спасибо за комментарии. Обратите внимание, что SoftMaker Office можно установить под Gentoo, используя наш архив TGZ.

[Thanks for your comments. Please note that you can install SoftMaker Office under Gentoo using our TGZ archive.]

Александр

17.06.2019 17:20

Не очень понял предыдущий комментарий :-)
Но в глобальном плане, считаю, есть направление, предполагающее в разы более высокую безопасность использования ПК на уровне конечного пользователя - антивирусное ПО на стороне провайдера. Любой трафик идет через провайдера, значит угрозу можно выявить даже до того, как она попадет на клиентский компьютер.

Alex Wakizashi

17.06.2019 22:20

Вы ошибаетесь :) Через провайдера идет (теперь, наверное, на 80%) уже шифрованный поток данных - большинство сайтов используют HTTPS. Так что если кто-то и предлагает такую услугу - это просто разводилово ;)

Alex Wakizashi

17.06.2019 13:40

Заказная статейка от Microsoft...

Антивирусное ПО - продажа прошлогоднего снега.

Соблюдайте "гигиену" в сети - и все будет нормально.

Существенным моментом является Операционная Система - не используйте Windows! В ней полно дыр и закладок, которые, кстати, и эксплуатируются вирусами и троянами.

Или если уж совсем необходима Windows - используйте ее в виртуальной машине - сделали образ системы, запустили из временного "снимка" - а после использования - вернулся оригинальный.

А для обычной офисной работы какого-нибудь Debian или Ubuntu - более чем достаточно.
Особенно с учетом наличия версии под Linux офисного пакета SoftMaker.

Regards,
Alex

Сергей Т

18.06.2019 06:04

Вот именно - "соблюдайте гигиену" как в сети, так и на своем компьютере

Ник

17.06.2019 13:18

Почему сам интернет не защищен?

Михаил

17.06.2019 17:33

Потому что интернет это фикция - объединение компьютеров и других устройств. Могут быть защищены устройства.

Добавить комментарий

Благодарим вас.

Продукт был добавлен в корзину.