Самый лучший антивирус ?
"Самый лучший антивирус". Многие пользователи ищут его, не задумываясь о том, что, если бы в природе существовал такой антивирус, то он был бы единственным, поскольку остальные, не "самые лучшие" были бы попросту никому не нужны.
В жарких спорах на многих интернет-форумах понятие "самый лучший", в данном контексте, отражает субъективное предпочтение каждого участника обсуждения и, как правило, серьезно не аргументируется. Главный критерием считается довод, что использовался такой-то антивирус, но вирус все равно попал в систему, а после установки такого-то антивируса - все нормально. И новый антивирус после старого обнаружил кучу зараженных файлов.
Вывод, на первый взгляд, вполне справедливый, но..., куча зараженных файлов, как правило, - это карантин предыдущего антивируса или фрагменты вирусов обнаруженных и обезвреженных предыдущим "отстойным" антивирусом, А тот факт, что "все нормально" - это явление временное и, рано или поздно, новый антивирусобязательно и неизбежно пропустит вредоносную программу и допустит заражение системы.
На сегодняшний день, разработкой антивирусного программного обеспечения занимается около полусотни компаний, выпускающих, как минимум, по 3-4 программных продукта. Существует также немалое количество организаций, занимающихся тестированием и составлением рейтингов различных антивирусов. При схожих методиках и критериях оценки эффективности антивирусного программного обеспечения (ПО), результаты тестирования, тем не менее, могут значительно расходиться и однозначно выбрать "лучший антивирус" не могут даже люди, профессионально занимающиеся данным вопросом. Иногда сравнение результатов тестирования антивирусов, выполненные разными организациями, наводят на мысль, что эти данные не стоит воспринимать в качестве решающего фактора при выборе антивируса, а всего лишь, как дополнительную информацию к размышлению. Вот характерный пример оценки антивирусов по версии разных организаций (данные за один и тот же месяц):
Первая пятерка по данным американской компании TopTenReviews
1. BitDefender
2. Kaspersky
3.ESET Nod32
4. AVG
5. F-Secure
По данным греческой компании Virus.gr
1.AVK (Gdata)
2.F-Secure
3.TrustPort
4.Kaspersky
5.The Sield Delux
По данным российской компании FS
1. DrWeb
2. F-Secure
3. Kaspersky
4. ESET Nod32
5. Ikarus
Как видно из представленных данных, лидеры рейтинга по версии одной организации, даже не попадают в первую пятерку, по версии другой. А так выглядит усредненный рейтинг по данным пяти наиболее авторитетных компаний за тот же месяц:
1. Kaspersky и F-Secure
2. AVK (G-Data)
3. ESET Nod32 и Avira
4. Avast и AVG
5. BitDefender
Кроме всего прочего, картина может значительно меняться по данным за другой месяц и по итоговым результатам тестирования разными организациями за год. Очевидно, немалую роль играют еще и чисто маркетинговые соображения, как, например, самый высокий рейтинг продуктов Symantec и полное отсутствие в рейтинге DrWeb по данным некоторых тестирующих организаций. В некоторой степени, эффективность антивируса зависит и от региональной принадлежности компьютера, на котором он будет использоваться. Для русскоязычных пользователей наиболее соответствуют действительности, как мне кажется, обзоры, подготовленные, например, информационно-аналитическим центром Anti-Malware . В целом, позиция конкретного антивирусного продукта в рейтингах может лишь частично характеризовать его эффективность.
Технологии разработки вредоносных программ постоянно развиваются и совершенствуются. Разработчики вредоносного ПО придумывают все новые методы противодействия обнаружению и удалению своего вредоносного кода из системы антивирусными программами, например, при помощи развития руткит-технологий(rootkit) маскировки, когда в зараженной системе устанавливается специальный драйвер, обрабатывающий системные вызовы таким образом, что стандартными средствами невозможно обнаружить файлы вируса, создаваемые им записи в реестре, сетевые соединения и т.п. В таких условиях ни один антивирус не способен гарантировать 100% защиту компьютера. Даже "самый лучший". Более того, если пользователь будет считать себя полностью защищенным, полагая, что на его компьютере функционирует "самый лучший" антивирус, возникает ложное чувство успокоения, которое в любой момент может смениться шоком от потери конфиденциальных данных, краха системы или других последствий деятельности вредоносного ПО.
Защитить компьютер от вирусного заражения одним только антивирусом невозможно, нужны комплексные меры, включающие, кроме всего прочего, и возможность противостоять заражению системы, в случае, когда антивирус не обнаруживает вредоносное программное обеспечение. При чем, подчеркну, любой даже "самый лучший антивирус", рано или поздно обязательно не сработает на угрозу.
Что же происходит, после того, как вирус не обнаружен антивирусом и получил управление? Он, практически всегда, пытается обеспечить свой автоматический запуск для обеспечения постоянного контроля над зараженной системой. Вирусы, работающие на однократный запуск и самоуничтожающиеся, например, после воровства паролей, встречаются крайне редко. А подавляющее большинство вредоносных программ всегда выполняют запись в определенные ключи реестра данных, необходимых для обеспечения своего автоматического запуска. И если факт модификации реестра не проходит незамеченным пользователем компьютера, обезвреживание, пока еще внедряющегося в систему, вируса становится вполне решаемой задачей. Практически, для исправления ситуации нужно всего лишь обнаружить и завершить процесс, выполняющий подозрительную запись в реестр, и отменить произведенные им изменения. Другими словами, необходимо осуществлять постоянный мониторинг и отмену нежелательных изменений ключей реестра, через запись в которые возможен автозапуск вирусной программы, и иметь возможность обнаружить и уничтожить процесс, выполняющий такую запись. Желательно также удалить файлы вируса, но в принципе, необязательно, поскольку не получив возможности запуска такие файлы не представляют никакой угрозы для компьютера. Если исполняемый программный файл вируса не может быть запущен, то его наличие в файловой системе, не имеет никакого значения.
Решение подобной задачи не представляет особой сложности при использовании специального программного обеспечения, удачным представителем которого является бесплатный PT Startup Monitor - монитор автозапуска от компании Positive Technologies и в помощь ему - так же бесплатный FAR Manager
PT Startup Monitor - удобная в работе, компактная, нетребовательная к ресурсам и распространяемая бесплатно программа, главным назначением которой является оповещение пользователя об изменении ключей реестра, обеспечивающих запуск программных модулей и возможность сохранения или удаления этих изменений.
Сайт программы - www.ptsecurity.ru
PT Starup Monitor осуществляет постоянное наблюдение за изменением ключей реестра, обеспечивающих запуск программ (секции HKLM\Software\...\Run, HKCU\...\Run, HKLM\SYSTEM...\Services, ...\Winlogon и т.п.). Позволяет быстро найти и удалить не только ссылки в реестре на исполняемые модули, но и внедренные в обозреватель элементы ActiveX (BHO - Browser Helper Objects), очень часто используемые для изменения свойств обозревателя, связанных с подмененной домашней страницы или постоянно прописывающихся в папке "Избранное" нежелательных ссылок. И кроме своего прямого назначения, программа удобна для быстрого просмотра точек автоматического запуска программ и служб в используемой операционной системе.
Имеется возможность выбора режима отображения с помощью переключателей "Списки", в нижней левой части основного окна. Для автоматического запуска монитора используется галочка "Автозапуск монитора". Кнопка "Авто" позволяет просмотреть списки действий, выполняемых автоматически, без уведомления пользователя, в виде 2-х категорий - "то, что удаляется всегда", и "то, что не удаляется никогда". В целом, программа очень проста и удобна.
Скачать последнюю версию с сайта ptsecurity.ru(менее 800кб)
Скачать версию 1.0.2(менее 800кб)
Наличие монитора в системе практически незаметно благодаря незначительному потреблению ресурсов. А практика его использования показала довольно высокую эффективность в противодействии вирусному заражению.
Любое вредоносное программное обеспечение, в первую очередь, пытается обеспечить свой автозапуск и функционирование в зараженной системе. В подавляющем большинстве случаев это выполняется путем записи нужных для этого данных в реестр, что фиксируется Positive Technologies StartUpMonitor'ом и пользователю выводится соответствующее окно с предупреждением.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Обычно вирус модифицирует ключи Shell и Userinit, которые в реальных условиях работы системы без вредоносного ПО, никогда не изменяются.
PT Startup Monitor не выполняет никаких активных действий по отношению к программе, которая выполняет нежелательные изменения в реестре, поэтому обнаружение им факта вирусного заражения еще не является решением проблемы. Необходимо также убить процесс, связанный с Недопустимой модификацией реестра. Для этих целей можно воспользоваться различными программными средствами, от стандартных утилит Windows XP Professional и старше tasklist.exe и taskkill до специальных программ наблюдения и управления процессами, ярким представителем которых является утилита Process Monitor Марка Руссиновича. В более выигрышном положении оказываются те пользователи, которые в своей работе постоянно используют файловый менеджер Far, возможности которого позволяют решить огромное множество задач без использования какого-либо дополнительного программного обеспечения. FAR не очень популярен в среде начинающих пользователей, однако большинство системных администраторов многие годы пользуется им, так и не найдя адекватной замены. Наверно потому, что в FAR'е найдется все, или почти все, что необходимо для комфортной работы.
В файловом менеджере FAR можно просмотреть список процессов и получить информацию о конкретной задаче - родительский процесс, имя и путь запускаемого файла, командная строка, переменные окружения, используемые библиотеки и т.п. Выбираем панель (ALT-F1) и "Список процессов" (0).
Как работать с файловым менеджером FAR
При умелом использовании, комбинация "PT Startup Monitor + FAR" оказывается тем самым искомым "самым лучшим антивирусом". И тем более - бесплатным.
Необходимо также отметить, что существуют программные продукты "все в одном", позволяющие контролировать состояние критических, с точки зрения заражения вирусами, ключей реестра. Как, например, бесплатный Anvir Task Manager . Он обладает даже большими возможностями, чем связка PT Startup Monitor + FAR и удобнее в использовании. Главный же его недостаток - сравнительно высокая степень потребления ресурсов системы.
Сайт программы: anvir.net
Anvir Task Manager позволяет:
И в завершение статьи, несколько рекомендаций по выбору антивируса, основанных на моих личных предпочтениях.
- не стоит пользоваться взломанными платными антивирусами, лучше уж выбрать бесплатный, тем более, что на сегодняшний день, имеется несколько, вполне сопоставимых по функциональности с платными аналогами, бесплатных антивирусных пакетов. Здесь краткий перечень и ссылки для скачивания наиболее популярных из них.
- при выборе антивируса не стоит обращать внимания на крайне позитивные, или крайне негативные отзывы пользователей о конкретном антивирусном продукте. В большинстве случаев, они необъективны. Функциональные возможности большинства антивирусов очень близки и, если необходимы более-менее объективные данные о результатах тестирования антивирусного ПО, лучше пользоваться информацией от независимых профессионалов. С 2008 г. существует международная организация AMTSO (Anti-Malware Testing Standards Organization)( Virus Bulletin, av-comparatives.org, av-test.org и др.) , которая объединяет специальные лаборатории по созданию рейтинга антивирусов. Рейтинги AMTSO рассчитываются по стандартизированным методикам, которые опубликованы на сайте организации в разделе "Documents" (на английском языке).
- не стоит рассчитывать на то, что антивирус, занимающий сегодня ведущие места в рейтинге, является "самым лучшим антивирусом" и обеспечит полную защиту вашего компьютера от заражения завтра.
- при близких возможностях по обезвреживанию вредоносного программного обеспечения, стоит обратить основное внимание на удобство пользования продуктом, скорость его работы, степень ложных срабатываний и потребления ресурсов системы. Антивирус, кроме своего основного назначения по противодействию вирусному заражению, не должен создавать трудности в повседневной работе, и, тем более, раздражать пользователя.
- предпочтительнее использовать "чистый антивирус", а не антивирусные пакеты "антивирус+ фаервол" (всевозможные ... Internet Security). Это, все же, разные программные продукты, объединенные в один пакет, как правило, исходя из маркетинговых соображений. Чтобы не быть голословным, приведу характерный пример. Кроме неплохого антивируса Eset NOD32, компания-производитель выпускает пакет ESET NOD32 Smart Security, позволяющий выполнять блокировку подозрительных сайтов. Казалось бы, полезное дополнение к стандартному антивирусу, но на практике - все с точностью до наоборот. Первое, с чем сталкивается пользователь, - это массовая блокировка вполне благонадежных сайтов. При чем , заблокированный продуктом Smart Security сайт, при проверке стандартным антивирусом Nod32 считается безопасным! Очевидно, разработчики решили, что чем больше блокируется сайтов, тем выше эффективность продукта. И что пользователь покупает SMART Security не для обеспечения своей безопасности, а для решения проблем с распространением нелегальных ключей продуктов компании . Кроме того, что это изделие прославилось необоснованной, с точки зрения создания безопасной среды для потребителя, блокировкой сайтов, для него еще характерно регулярное ложное срабатывание на скрипты систем сбора статистических данных ( рейтинг Openstat в начале 2012г. ), счетчиков, ссылок на программы восстановления паролей и удаленного администрирования , упакованные или шифрованные файлы.
Ссылка на статью автора
