Рынок антивирусных программ можно было считать сложившимся еще
во времена доминирования на персональных компьютерах операционной системы MS-DOS, однако с появлением и распространением новых
технологий и новых ОС появлялись и новые игроки — притом что и корифеи антивирусного бизнеса не переставали держать ухо востро и совершенствовать свои продукты. Сегодня акценты несколько сместились:
если ранее подавляющее большинство вредоносного программного кода
распространялось путем обмена файлами (при помощи дискет, компактдисков и посредством локальных сетей), то теперь основной источник
угрозы — сеть Интернет.
По большому счету, задача любой антивирусной программы — не допустить заражения или же вылечить компьютер в случае, если таковое все-таки произошло. Этим требованиям удовлетворяет подавляющее большинство продуктов, предлагаемых современным рынком,
различия заключаются лишь в нюансах: удобстве использования, качестве
проверки и лечения, скорости работы и объеме потребляемых вычислительных ресурсов. Речь сегодня пойдет о программе NOD32 от словацкой
компании ESET (Essential Security against Evolving Threats, что дословно
означает «существенная безопасность от развивающихся угроз»).
Казалось бы, никто уже не сможет пошатнуть монолитные позиции «Лаборатории Касперского», Symantec, McAffee или Trend Micro.
Но словакам это удалось, в первую очередь за счет огромной скорости работы NOD32 — именно этот фактор скорее всего отметило бы
большинство продвинутых пользователей, когда-либо сталкивавшихся
с NOD32.
Компания ESET основана в 1992 году и по праву может считаться старожилом рынка IT. Разработка антивируса NOD32 началась в 1998 году,
и к настоящему времени актуальная версия программы имеет индекс 2.5.
Процедуру покупки или загрузки пробной версии с сайта www.eset.com
(или www.esetnod32.ru/) опустим, как и установку антивируса, — они не содержат
практически никаких «тонких» мест.
Структурно NOD32 состоит из антивирусного алгоритма-ядра и нескольких модулей, передающих ядру поток данных для проверки. Ядро
реализовно на основе патентованной технологии ESET ThreatSense, позволяющей обнаруживать компьютерные вирусы, троянские программы,
почтовые черви, нежелательное рекламное и шпионское программное
обеспечение, потенциально небезопасное ПО, попытки взлома (изменения) «благонадежного» ПО, а также попытки «фишинга». Помимо этого
ядро позволяет производить глубокий эвристический анализ кода, чтобы
с высокой долей вероятности (производитель заявляет о 90%) отлавливать
вирусы и черви, еще отсутствующие в базе данных сигнатур антивируса
NOD32.
Для борьбы с известными вирусами применяется классический в индустрии метод использования сигнатур — «подписей» вирусов. Кроме этого
имеется полезное дополнение в виде «родных» сигнатур вирусов, что позволяет отлавливать различные вариации уже известных их представителей,
ведь незначительное изменение кода вируса по сравнению с оригиналом
фактически порождает новый вирус, который методом «в лоб», путем сравнения с оригинальной сигнатурой, может и не опознаться.
Компания ESET является владельцем веб-ресурса www.virusradar.com, который отображает статистику общей вирусной активности,
а также другую полезную информацию, скажем, предупреждает о масштабах различных ожидаемых вирусных атак и предлагает прогнозы
на ближайшее будущее. Так, например, на момент подготовки материала по степени потенциальной опасности лидировал почтовый червь Win32/NetSky.Q.
Как уже говорилось выше, ядро NOD32 получает входную информацию
от нескольких модулей, отвечающих за различные возможные пути заражения компьютера и дальнейшее распространение вируса.
Antivirus MONitor (AMON)
Это резидентный сканирующий модуль, постоянно находящийся в памяти ПК и оперативно сканирующий файлы на диске компьютера при попытке обращения к ним. Модуль способен работать с файлами, расположенными на съемных, жестких и сетевых дисках компьютера, а сама процедура
сканирования производится при открытии, выполнении или создании
файла. По умолчанию задействованы такие возможности ядра, как эвристический анализ, проверка на принадлежность к AdWare/SpyWare/RiskWare или потенциально опасным приложениям. Помимо привычных
типов файлов (исполняемые, подключаемые библиотеки и т. п.) проверке
подлежат самораспаковывающиеся архивы и исполняемые файлы, заархивированные специальными программами сжатия. Подозрительные
объекты могут быть перемещены в зону карантина.
NOD32
«Тезка» самого антивируса представляет собой модуль, позволяющий
пользователю самостоятельно, в ручном режиме, просканировать и,
при необходимости, вылечить локальные и сетевые диски с файлами. Перед
проверкой дисков в обязательном порядке проверяется целостность самого
антивируса и выполняется проверка оперативной памяти компьютера.
Internet MONitor (IMON)
Это также резидентный модуль, работающий на уровне Windows Winsock
и проверяющий весь интернет-трафик, с которым приходится иметь дело
данному ПК. Основная задача модуля — не допустить заражения файлов
на локальных дисках при работе с протоколом HTTP или POP3. Нужно
отметить, что красное окошко тревоги весьма часто появляется при интенсивном веб-серфинге, поэтому отключать IMON крайне не рекомендуется, хотя возможность деактивации каждого из модулей предусмотрена
разработчиками.
Модуль имеет весьма развитые и логичные настройки. Самое главное —
порты POP3 и HTTP не ограничиваются какими-либо фиксированными
значениями (стандартно 110 и 80), а могут быть изменены и дополнены.
Например, если для подключения к сети Интернет используется прокси-сервер (как правило, порт 3128), то проверка трафика на 80-м порту
выглядит лишней и ненужной, зато необходимо фильтровать весь трафик
на порту 3128. Нелишне добавить в этот список и порт 443 — по нему происходит защищенный трафик HTTPS. Хотя антивирус обладает возможностью автоматически определять порт обмена HTTP-трафиком, но все же
предосторожность в данном случае не будет излишней. Модуль определяет
также изменение сетевых настроек и автоматически приспосабливается
к новой конфигурации сети.
В свое время, примерно два года назад, наблюдались проблемы при использовании возможностей модуля IMON и программы Kerio Winroute
Firewall — по непонятным причинам ОС Windows XP могла совершить
фатальную ошибку с синим экраном. На то время единственным решением
было использование подключаемой библиотеки для KWF, задействующей
проверку трафика при помощи NOD32. Кроме того, пользователи NOD32
до сих пор жалуются на значительное падение скорости веб-серфинга
при фоновой проверке трафика.
E-mail MONitor (EMON)
Огромное количество вирусов попадает на ПК посредством зараженных
сообщений электронной почты. Этим же путем зараженный компьютер
распространяет вирус далее, как правило, всем адресатам актуальной
адресной книги. NOD32 работает на уровне MAPI и способен проверять
входящие и исходящие почтовые сообщения совершенно прозрачно
для пользователя и для почтового клиента — в настройках учетной почтовой записи не требуется ничего изменять, хотя многие современные антивирусы требуют указывать особые промежуточные IP-адреса входящего
и исходящего почтового сервера для активации возможности проверки
электронной почты.
Окно настройки модуля EMON, помимо присутствия в главном окне
интерфейса NOD32, интегрируется в почтовый клиент, по крайней мере,
в Microsoft Outlook. Здесь можно указать тип почтовых сообщений, подлежащих проверке, а также действия, которые будут выполнены с зараженным сообщением.
Document MONitor (DMON)
NOD32 использует программный антивирус Microsoft API для проверки документов MS Office (как локальных, так и открываемых в Internet
Explorer) на наличие внедренных «сюрпризов». Настройка модуля подразумевает применение стандартных процедур: эвристику, принадлежность
к потенциально опасным объектам и т. п., а также обычный набор действий
(удаление, переименование) с зараженным объектом плюс помещение его
в карантин.
Относительно беззаботная жизнь при условии использования любого
антивируса обеспечивается лишь при своевременном обновлении антивирусных баз, содержащих наиболее актуальные сигнатуры известного
вредоносного кода. NOD32 выполняет смешанное обновление: проверяется наличие как новых описаний вирусов, так и обновлений для самой программы с изначально прописанных в настройках веб-сайтов.
При обновлении обязательно потребуются логин и пароль, полученные
от компании ESET при покупке продукта, без них процедура невозможна.
Хотя последнее утверждение справедливо лишь при обновлении с вебсайтов, ведь возможно еще обновление с локального жесткого диска
или с «зеркала» в локальной сети, которое может быть организовано,
например, системным администратором, регулярно скачивающим свежие базы с сайтов ESET и параллельно выкладывающим их на сетевое
«зеркало».
Надо отметить, что создать «зеркало» можно с любого антивируса
NOD32 — для этого не требуется особая «продвинутая» версия.
Пробная проверка жестких дисков показала, что антивирус работает действительно быстро. На ноутбуке с процессором Celeron 2,4 ГГц,
с 256 Мбайт оперативной памяти и 40-Гбайт жестким диском полная проверка (диск был заполнен файлами наполовину) заняла менее пяти минут — за это время прочие антивирусы зачастую способны подобраться
лишь к 30–50% всего процесса.
В чем же секрет скорости работы NOD32? Дело в том, что ядро этого
антивируса написано на языке Assembler, наиболее полно задействующем возможности аппаратуры и быстро выполняющем программный
код.
По сравнению с версией 2.0 NOD32 версия 2.5 выглядит гораздо
более убедительно. Известные детские болезни ушли в прошлое,
что позволяет рекомендовать NOD32 тем пользователям, кому важны скорость проверки, качество сканирования и неприхотливость
программы к ресурсам. Для тех же, кто сомневается, предназначена
пробная 30-дневная версия — срок вполне достаточный, чтобы убедиться в возможностях NOD32.