Обзор антивируса NOD32

Бороздя просторы глобальной сети интернет, нередко вы сталкиваетесь с возможностью заражения вашего железного друга - компьютера вирусными кодами. И вы, конечно же, полностью уверены в том, что именно ваш антивирус самый мощный, что именно он на сто процентов осуществляет функцию стражника, который не пропустит ни одного вируса и единственное что он требует за свой нелёгкий труд - это немного виртуальной памяти и пополнения своих баз новыми «приметами» вредителей.

Так думают практически все люди, у которых установлены антивирусы известных фирм, на красочных коробках продуктов которых большими, запоминающимися лозунгами написано - «самый продаваемый продукт года», «антивирус, получивший в награду все премии во всех номинациях». И всё бы ничего, если бы в один прекрасный день вы ни обнаружили, что с вашего почтового адреса друзьям и знакомым тучами рассылаются черви и троянские кони, на вашем жёстком диске удалены все личные документы и фотографии, и в конце всех этих событий ваш монитор антивируса, которому вы доверяли последние годы, обнаруживает, что файл, к которому вы обращаетесь в данный момент, как впрочем, и все остальные на вашем компьютере, заражен вирусом трёхлетней давности. Вы решаете, что больше так жить нельзя - нужно срочно искать замену стражнику.

Так решил и я... Просидел в Интернете более часа, посетив кучу форумов и перечитав гору статей, и не нашёл ничего лучше, чем установить для тестирования триал-версию антивируса “NOD32 Antivirus System” компании Eset Software с сайта http://www.nod32.ru , благо есть на свете люди, которые предоставляют свой продукт для бесплатного тестирования на месяц, правда, после истечения этого срока программа требует активизации, всего за 40 евро в год. На выбор было предложено скачать версии не только для 9х (Windows 95, 98, Ме), 2к (Windows 2000), Windows XP чему бы я и не удивился, но и для nix- систем (Linux)! И это было только начало неожиданностей. Далее, что сразу бросается в глаза из приятных аргументов, это размер дистрибутива, с учётом процесса скачки порядка девяти мегабайт (9216 Кб), и довольно большое количество лестных высказываний в адрес NOD-а на форумах по защите информации. После установки была обновлена антивирусная база в размере двух мегабайт, и тестирование началось…

Как ни странно, после перезагрузки заработал не только сам монитор, но с первой же секунды работы был пойман вирус-червь Plexus, который, как выяснилось потом, просто пребывал в рядах системных процессов, чувствуя себя как дома и приготовившись в любой удобный момент отправить копии своего кода всем машинам моей сети, не забыв отрыть чёрный ход на 1250 порту хакерам для выкачивания с компьютера всевозможной информации и возможности иметь shell, но всю картину испортил тот факт, что вирус был обнаружен, но обезвреживаться не хотел, блокируясь вторым монитором другой антивирусной программы. До сих пор не понятно, почему монитор довольно известного антивируса, который стоял ранее, не обнаруживал присутствия вируса, хотя был обновлён последними базами; из этого делаем вывод, что монитор НОД-а конфликтует с другими антивирусными мониторами, да это и не удивительно - ведь если рассмотреть всю картину в целом, то начинает быть понятен тот факт, что если первый монитор на секунду раньше обнаруживает вирус, то в его основную задачу входит заблокировать к нему доступ и выдвинуть предложение пользователю о действиях, но мне кажется, что есть возможность избежать этой участи, предложив разработчикам более внимательно относиться к проблемам интеграции антивирусов различных производителей.

Щёлкаем по значку в трее и мгновенно приходим в восторг от простоты работы управления НОДом. Сразу удивляет, что нет той громоздкости и запутанности в панели управления, как иногда бывает у программного обеспечения такого типа, все пункты выглядят довольно солидно в виде древовидной структуры, довольно интересный подход, четыре основных пункта меню, которые и должны присутствовать в любом антивирусе: «Резидентные модули (модули, которые помещается во время работы компьютера в оперативную память, не выгружаются автоматически из нее после выполнения, выполняются по мере необходимости и не мешают работе других программ) и фильтры», «обновление», «логи (отчеты, несут в себе описание проделанной работы)» и «Служебные программы NOD32». Действительно приятно, что эти четыре пункта не нужно выискивать в «Пуск - программы» (прим. AVP), а они собраны в одном месте, там, где и должны быть. Вообще пункт «Резидентные модули и фильтры» является довольно специфическим для антивирусов, так как в других представителях этого рода программного обеспечения этот пункт реализован в одном модуле, а здесь представлено целых четыре, но за это при грамотной настройке данного меню можно добиться полноценной работы антивирусной системы при минимальной загрузке виртуальной памяти.

Итак, первый модуль AMON (Antivirus MONitor) является резидентным сканером, проще говоря «монитором вирусной активности» - использует сканирующий механизм NOD32 и при обнаружение вирусного кода блокирует доступ к нему и выводит на экран окно с предупреждением, отправляет уведомления о заражениях по электронной почте или по локальной сети, поддерживает работу сервера терминальными сессиями, то есть, если вы работаете под управлением Terminal Server, то вы будете уже надёжно защищены модулем AMON. Если он поставлен на сервере, то проверяет подключенные сетевые диски. Также очень приятно было видеть, помимо возможности проверки сети и отдельных дисков, проверку загрузочного сектора на наличие так называемых загрузочных вирусов. Загрузочными называют вирусы, способные заражать загрузочные сектора гибких и жестких дисков и получающие управление при попытке " запустить " операционную систему с зараженного диска. Довольно необычно было встретить и пункт меню «проверка по расширению файлов» (по типу файла), хотя, честно говоря, я считаю это лишним, так как если уж проверять файлы, то лучше проверять все. Также замечу, что проверка может выполняться двумя методами - по сигнатурам известных вирусов и с помощью эвристических методов.

Производители антивирусного программного обеспечения пытаются использовать некоторые известные приемы для борьбы с компьютерными вирусами, распространяющимися в Internet. Один из методов называется эвристическим и предусматривает для выявления потенциальных вирусов проверку "подозрительных" команд в программах. Эвристические технологии могут выявлять новые вирусы, никогда ранее не встречавшиеся, и, таким образом, способны предотвращать распространение опасного программного кода. В старом методе, получившем название поиска по сигнатурам (характерным признакам вируса), для идентификации вирусов используются конкретные фрагменты их программного кода. Оба метода имеют свои недостатки. Эвристические методы нередко дают ложные предупреждения, помечающие "чистый" программный код, как подозрительный. Метод поиска по сигнатурам требует, чтобы произошло заражения вирусом (для его изучения) - лишь после этого исследователь может создать для него "вакцину" (антивирусную корректировку). Тем временем вирус будет продолжать распространяться. Некоторые специалисты считают, что отрасли пора проанализировать и другие подходы, поскольку прежний метод поиска по сигнатурам недостаточно эффективен при выявлении новых вирусов.

ОК, вернемся к продукту. Модуль IMON (Internet MONitor) - это также резидентный сканер NOD32, порадовал возможностью проверки напрямую 110, 3128, 8080 и 80 портов, разве что только несколько антивирусов поддерживают проверку вирусов на портах, и НОД также попадает в этот список, представьте как приятно, когда вирус ловится на лету. NOD32 работает на уровне Winsock (это прикладной программный интерфейс, предоставляемый обычно разработчиками TCP/IP-продуктов в виде файла WINSOCK.DLL и предлагающий стандартный набор API для пользователей и разработчиков Windows-приложений) и проверяет входящий POP3-трафик. Это означает, что письмо только вступит в процесс скачки, как зловредный вирус, если он присутствует, уже будет повержен. Модуль IMON работает также и на других портах, таких как порты гипертекста (Hyppertext Transfer Protocol (HTTP), протокол пересылки гипертекста - это язык, которым клиенты и серверы World Wide Web пользуются для общения между собой. Клиент устанавливает связь с сервером по назначенному номеру порта (по умолчанию 80) и порт подключения к прокси серверу (программа, которая передает запросы вашего ПО в Интернет, получает ответы и передает их обратно), в плюс есть возможность самому задать необходимые номера портов. Сканер практически не требует какой-либо настройки, что очень важно для многих пользователей. Но главным минусом данного модуля считается, конечно же, снижение быстродействия, т.е. медленней будет загружаться страничка в Интернете, медленней будет работать почта, но согласитесь, что из двух зол всегда выбирают меньшее.

EMON - дополнительный сканер электронной почты - проверяет почту, полученную через интерфейс MAPI. В широком понимании MAPI (Messaging Application Programming Interface) — это целая архитектура, специфицирующая процессы взаимодействия отдельных приложений с различными почтовыми системами. Интерфейс MAPI используется, к примеру, в следующих почтовых клиентах: Microsoft Outlook 95, 97, 2000 (не Outlook Express) в корпоративном режиме (MS Outlook 2002 - Office XP не имеет корпоративного режима), MS Exchange. Интерфейс MAPI также используется при получении почты с почтового сервера Microsoft Exchange по протоколу Exchange. Важное замечание: когда интерфейс MAPI не используется, в модуле EMON нет необходимости, и он не устанавливается. Почта, получаемая по протоколу POP3, проверяется сканером IMON.

Последний модуль пункта «Резидентные модули и фильтры» - это «модуль NOD32 для сканирования по требованию». Обычная вещь, скажите вы, это самый распространённый модуль во всех программных продуктах антивирусной защиты. Но позвольте с вами не согласиться - в НОД-е существует возможность интеграции в контекстные меню Windows Explorer, что обеспечивает возможность быстрой проверки файлов или каталогов с помощью нажатия на правую клавишу мыши. Антивирус сканирует оперативную память и проверяет собственную целостность, лечит, удаляет и перемещает в карантинную область зараженные объекты, удаляет заражения из заблокированных на запись файлов (к примеру, из загруженных библиотек DLL). Удаляет вирусы, червей и троянов, сканирует почтовые базы Outlook и Outlook Express, имеет возможность запуска по расписанию с помощью различных пользовательских профилей, содержит детальные, интерактивные подсказки, имеет простой в использовании графический пользовательский интерфейс.

Вторым пунктом общего меню является «Обновление». Модуль поддерживает инкрементальные апдейты и апгрейды, Небольшой размер инкрементальных обновлений вирусных баз минимизирует сетевую нагрузку и время закачки. Имеется возможность гибкого планирования времени обновления и выбор различных профилей, проверка обновлений через интервалы времени, заданные пользователем, или по наступлению заранее определенного события, интеллектуальная настройка для диалап-пользователей (пользователи, которые получают доступ к серверу через телефонный пул), поддержка прокси-серверов (Basic и NTLM аутентификация), поддержка локальных обновлений с сетевых ресурсов без доступа в Интернет (если программа установлена в сети, то достаточно установить серверную версию на одном из компьютеров и создать конфигурационный файл для управления клиентами). Система апгрейда может быть настроена на использование многоуровневой иерархии и других нужд крупной организации, возможность создания дискет или CD с обновлениями для компьютеров вне сети, параметры могут быть распространены по локальным рабочим станциям с компьютера администратора, поддержка режима ‘silent mode’ на клиентских рабочих станциях: уведомления и сообщения об ошибках перенаправляются администратору, возможность парольной защиты настроек.
Следующим пунктом панели управления NOD-ом является модуль «Логи»: «работа сканера NOD32», «лог событий (события различного рода -обновления, выполненные задачи и т.п.)» и «лог вирусов (попытки заражения, предотвращенные резидентными модулями и фильтрами)».

Последний пункт панели управления НОД-ом считается сервисным, т.к. в нём собраны параметры «Карантин», «Планировщик», «Настройка системы» и «Информация». Параметр «Планировщик» занимается работой планирования выполнения той или иной задачи (обновление баз, сканирование дисков на наличие вирусных кодов и так далее), параметр «Настройка системы» занимается обслуживанием ряда сервисных настроек программы, таких как, например, графика (её можно отключить), смена пароля, параметры логирования, удалённое администрирование, папки карантина и т.п. Параметр «Информация» выдаёт пользователю данные о последней версии антивирусной базы, об установленных компонентах НОД-а, краткую характеристику операционной системы, из-под которой и запущен данный антивирус.

Тестирование

Перед тестированием антивируса я слышал много лестных слов про быстродействие НОД-а, в чём, в принципе, и не сомневался, но, если честно говорить, то меня мало интересует, чтобы НОД сканировал диски быстрее, чем аналоги других фирм на 10 минут, здесь главное качество, хотя могу признаться, что удивился, когда НОД просканировал диск в сорок гигабайт за три с половиной минуты. Меня интересовало, чтобы проверялись почтовые архивы сервера, архив клиента, и проверка на портах.

Для тестирования использовались: почтовый сервер Mail Enable, клиент Outlook Express, клиент the BAT, PHP скрипт вэб доступа к почтовому серверу, древний вирус-троян Pinch, который присутствует во всех вирус-базах.

- Проверка обнаружения вирусных кодов в почтовых архивах Outlook Express и Exchange

НОД справился со своей задачей, через секунду обнаружил запрятанный в архивах Pinch

- Отправляем данный вирус через сервер, на котором установлен NOD32

Без лишних слов вместо письма с вложенным вирусом был получен ответ: «Warning: NOD32 antivirus system found the following infiltrations in the message:
Parser.exe - Win32/PSW.LdPinch.P1 trojan». Делаем вывод, что на почтовом сервере НОД ведёт себя достойнее многих антивирусных аналогов.

- Пробуем принять заражённый файл клиентом Outlook Express на машину с установленным NOD32

При приеме файла появилось сообщение от НОД-а: «Обнаружен вирус через электронную почту, от root568@ukraina.ru с файлом Parser.exe заражённым Win32/PSW.LdPinch.P1», Outlook –ом было принято сообщение: «Внимание: Антивирусная система NOD32 обнаружила следующие проникновения в сообщении: Parser.exe - Win32/PSW.LdPinch.P1»

- Пробуем принять заражённый файл клиентом The BAT на машину с установленным NOD32

При приёме файла появилось сообщение от НОД-а: «Обнаружен вирус через электронную почту, от root568@ukraina.ru с файлом Parser.exe заражённым Win32/PSW.LdPinch.P1», The BAT –ом было принято сообщение: «Внимание: Антивирусная система NOD32 обнаружила следующие проникновения в сообщении: Parser.exe - Win32/PSW.LdPinch.P1». Делаем заключение, что мы можем использовать любой клиент для работы с почтой.

- Пробуем принять файл PHP скриптом вэб доступа к почтовому серверу.

Удалось прочитать тело письма, но при начале копирования файла-вируса на локальный диск появилось сообщение об ошибке скрипта и обнаруженном вирусе, указан IP адрес и точное местонахождение, в доступе к копированию было отказано. Делаем заключение, что можем не бояться скачивать файлы с ВЭБ сервера.

- Теперь попробуем проверить простенький ВЭБ скрипт (создав html документ с заданным скриптом), который считается частью вирус-кода.

Действительно, код был обнаружен и доступ к открытию вэб страницы был запрещён. Делаем заключение, что скрипт вирусы нам не помеха.

Заключение: NOD32 отлично справился со своими обязанностями, люди, которые хотят чувствовать себя безопасно могут смело устанавливать NOD32 у себя на машине.

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (Пока оценок нет)
Загрузка...

Дата публикации:
Автор публикации: