В последних версиях защитных программ разработчики усовершенствовали функцию обнаружения вирусов в режиме реального времени на основе поведенческого анализа и «облачную» защиту. Традиционные вирусные сигнатуры используются до сих пор, но они неэффективны против свежих, еще неизвестных вредоносных приложений. В последнем случае программа безопасности должна проанализировать, как поведет себя незнакомая утилита. Для этого она контролирует изменения в системе или же сразу запускает приложение в безопасной среде («песочнице»).

Новые интернет-угрозы

«Профессиональные» вирусы скрываются лучше и шпионят за пользователем. Разработчики защитных продуктов рассказали нам о тенденциях развития угроз в ближайшие месяцы.

Слежение за личной жизнью. Чем интенсивнее люди используют цифровые технологии, тем больше можно узнать об их частной жизни и индивидуальных предпочтениях. Израильские исследователи предупреждают, что эта информация скоро окажется в центре внимания создателей вредоносного ПО: злоумышленники станут все чаще продавать и публиковать ее или идти на шантаж.

Специальные вирусы. Подобно тому как Stuxnet поразил промышленные системы, скоро вирусы смогут прицельно атаковать и домашних пользователей. Опасность заключается в том, что, если вредоносное приложение находится лишь на нескольких компьютерах, разработчики антивирусных программ вряд ли его обнаружат. Как только существующие наборы вирусов перестанут быть экономически выгодными, начнутся подобные атаки.

Повышение профессионализма. Киберпреступники объединяются в профессиональные группы для концентрации ресурсов. За счет этого они могут создавать более совершенные вирусы, которые еще лучше скрываются от программ защиты.
Репутация: защита в режиме реального времени



Важнейшим новшеством «облачной» защиты в этом году стали технологии репутации. От всех используемых пакетов безопасности производители с согласия пользователя получают информацию об источнике, размере и поведении неизвестных файлов, которые отправляются на «облачный» сервер, где выполняется их анализ. «Таким образом можно различать неопасные и сомнительные файлы еще до того, как они появятся в лаборатории», — замечает Штефан Веше, технический директор компании Symantec. Анализ репутации — это только один из этапов обнаружения вредоносных программ, но он помогает системе безопасности решить, как поступить с неизвестными файлами. На схеме на примере F-Secure можно увидеть, как это функционирует.

Технологии нуждаются в постоянном совершенствовании, так как создатели вредоносного ПО особенно пристально следят за поведенческим анализом антивирусных программ, чтобы обмануть его. Согласно информации Symantec, им удается опередить антивирусы в среднем на одну-две недели, пока разработчики защитных средств не отреагируют на это. Однако наше тестирование подтверждает: уровень распознавания неизвестных вредоносных приложений значительно повысился по сравнению с позапрошлым годом: в 2009-м он не превышал 80%, а теперь у всех программ составляет минимум 85%. F-Secure выявила все неизвестные вирусы, так же как и PC Tools (утилита PC Tools ThreatFire, обнаруживающая вредоносное ПО на основе поведенческого анализа, размещена на нашем DVD).

Сканирование без использования анализа сигнатур также заметно улучшилось, но все еще не обеспечивает оптимальной защиты. Штефан Веше утверждает: «Улучшение функций обнаружения вредоносного ПО на основе анализа поведения программ и развитие технологии репутации являются главными задачами ближайших лет».
Охота на вирусы: не все средства безопасности работают



Наряду с реально существующими вирусами участникам тестирования необходимо было обнаружить созданные в лаборатории вредоносные приложения, моделирующие новые потенциальные угрозы. Антивирусные сканеры по требованию не смогли распознать по сигнатурам даже эти программы. Тут потребовались прежде всего эвристические методы, которые анализируют вредоносный код по сходству с известным вирусом. В то время как группа лидеров достигла серьезных результатов и обнаружила от 97 до 100% троянов, бэкдоров и фальшивых защитных программ, у Kaspersky и ESET с этим возникли проблемы. У них процент верного распознавания — прежде всего в случае с троянами и фальшивыми антивирусными продуктами — был ниже среднего показателя. ESET не преодолел даже 90-процентного барьера и пропустил около 30 000 потенциальных угроз. Как должен работать антивирус, показало решение Panda: из 270 000 образцов она не отследила лишь 646.



Тем не менее, с обязательным тестом — полным обнаружением известных вредоносных продуктов — все программы справились отлично. Даже количество ошибочных предупреждений при обнаружении неопасных файлов оказалось в пределах допустимого. При сканировании 11 604 файлов Windows и офисных приложений никто из участников тестирования не бил ложную тревогу. При проверке 135 712 файлов других программ без ошибочных сигналов обошлись FSecure и G Data. Больше всего ложных предупреждений сделал пакет Avira: за время теста их набралось в общей сложности семь.

Поражение вирусом: неполное лечение

Лечение. PC Tools Internet Security лучше всех очищает зараженные компьютеры

Разработчики оптимизировали антивирусные движки: они демонстрируют высокий процент распознавания угроз, и лишь немногие из них подают ложные сигналы тревоги. Но очень важному пункту не было уделено достаточно внимания: речь идет об очистке зараженной системы. Ни одному антивирусу не удалось уничтожить все вредоносные файлы. Лучший результат продемонстрировала утилита PC Tools: у девяти из десяти вирусов она удалила по меньшей мере активные компоненты, а в случае с восемью из них — все измененные системные файлы. McAfee и ESET не справились с аналогичной ситуацией: у четырех вредоносных продуктов они не смогли удалить даже активные компоненты.

В случае если вирусная атака окажется настолько агрессивной, что деактивирует антивирус или сделает невозможным загрузку компьютера, поможет аварийный Live CD, который после запуска обновит сигнатуры вредоносного ПО. К сожалению, загрузка машины с установочного носителя не всегда возможна, и пользователю приходится самостоятельно создавать диск аварийного восстановления после инсталляции антивируса. В результате соответствующим программам был снижен итоговый балл. Так, PC Tools это испытание стоило двух позиций в общем зачете. Пакет McAfee тоже показал себя не с лучшей стороны: он не позволяет создавать диск аварийного восстановления.


Без сомнения, защита от вирусов является самым важным критерием в тестировании. Но когда антивирус сильно тормозит работу системы, даже самый надежный компьютер вызывает у пользователя негативные эмоции. Поэтому нам хотелось также узнать, какие антивирусы экономнее всего расходуют системные ресурсы. Измерения производительности подтвердили наше субъективное впечатление: здесь имеются заметные различия. Только результат утилиты BitDefender можно назвать отличным: она довольно быстро просканировала файлы в системном разделе и несильно отстала по другим показателям. Norton Internet Security, недостатком которой раньше было чрезмерное потребление ресурсов, благодаря быстрым загрузке и сканированию системы показала второй результат и при этом отлично справилась с защитой от вирусов, обеспечив себе победу.
Загрузка системы: спринтеры и стайеры

Измерение времени запуска ознаменовало полный провал пакета Kaspersky: в случае с ним необходимо намного дольше, чем при использовании других программ, ждать, пока Windows загрузится и запустит защиту в режиме реального времени. ESET, конечно, не обеспечивает абсолютную безопасность, зато не замедляет запуск системы.

Были выявлены большие различия и при сканировании файлов в системном разделе. В идеале сканер должен запоминать данные, которые были проанализированы, и при последующих процедурах тщательно проверять только новые или измененные документы. Panda, G Data и ESET при первичном сканировании понадобилось в три раза больше времени, чем BitDefender, да и при втором проходе они были ненамного быстрее. Согласно заявлениям разработчиков пакета G Data, требуемое время должно уменьшиться после нескольких сканирований, однако шесть других участников теста сократили его до нескольких минут уже при втором проходе.

При распаковке архивов и копировании файлов с ПК на внешний накопитель по USB были выявлены незначительные отличия. При поочередной установке антивирусных программ тестовый компьютер справлялся с этими задачами примерно с одинаковой скоростью, а без антивируса выигрыш во времени составил лишь несколько секунд.
Интерфейс: понятный и информативный

Информативность. BitDefender позволяет выбрать наиболее удобный внешний вид

Запутанное устройство и всплывающие сообщения были давними проблемами антивирусных пакетов. Так как в вопросах безопасности необходима полная ясность, программы должны использовать однозначные символы для указания уровня защищенности компьютера и путей решения возникающих проблем. Кроме того, антивирусные утилиты должны оповещать пользователей только в случае опасности, чтобы не сбивать их с толку. BitDefender с его возможностью выбора одного из трех интерфейсов (для новичков, обычных пользователей и профессионалов) и G Data показали, что они учитывают эти потребности, предложив предельно понятный интерфейс. F-Secure также подкупает доступно изложенной информацией и хорошо продуманной структурой меню.

А вот в программе Norton найти нужную информацию несколько сложнее. Ее внешнему виду разработчики уделили больше внимания, чем функциональности, что не лучшим образом сказалось на удобстве использования. Средство безопасности eScan раздражает тем, что начинает стандартное сканирование файлов на внешних накопителях сразу же при их подключении к компьютеру. Пользователи ESET сталкиваются с другой проблемой: о некоторых функциях программы не предоставлено совершенно никакой информации.
Дополнительно: различия в деталях

Фильтрация веб-сайтов. Сканеры отлично блокируют доступ к опасным ресурсам

Выяснилось, что антивирусы все больше походят друг на друга, причем не только по дизайну, но и техническим характеристикам и принципу работы. Все производители учатся друг у друга и перенимают удачные решения. Различия — как положительные, так и отрицательные — заключаются в деталях. Так, защита электронной почты, антиспам-модуль и фильтр веб-страниц давно относятся к стандартным функциям, но пользователю eScan после инсталляции необходимо сначала активировать их. Зато Kaspersky, BitDefender и ESET предлагают дополнительную опцию поиска слабых мест в системе (например, отсутствующих обновлений для Windows).

Существенные различия выявились и при инсталляции программ. В то время как победитель теста Norton уже меньше чем через минуту был готов к работе, ESET потребовал настроить брандмауэр, действия с нежелательными приложениями и анализ поведения вредоносного ПО. eScan, напротив, после инсталляции автоматически запустил сканирование системы. Это разумно, но за шесть недель программа ни разу не обновила сигнатуры вирусов. У McAfee мы обнаружили другую проблему: из-за невозможности соединиться с сервером не удается активация, хотя, по утверждению производителя, ни у одного пользователя раньше не возникало подобной проблемы. При использовании G Data, BitDefender, PC Tools и Avira кажется излишним и вызывает раздражение то, что после инсталляции необходимо зарегистрироваться, чтобы получить доступ к последним обновлениям.

Таким образом, новейшие пакеты безопасности несовершенны, однако они все же обеспечивают значительно лучшую защиту, чем их предшественники.
Вывод

Большинство участников тестирования сделали серьезный шаг вперед в деле защиты от неизвестных вредоносных программ. Победитель теста Norton вне конкуренции: он предлагает лучший пакет средств безопасности. BitDefender с его высокой производительностью и F-Secure, обеспечивающий надежную защиту в режиме реального времени, тоже выглядят вполне убедительно. А вот лечение зараженной системы является слабой стороной всех антивирусных пакетов — производителям необходимо поработать над этим.