Программы борьбы со шпионящим ПО совершенствуют механизмы обнаружения

Технический анализ: создатели антивирусов расширяют арсенал инструментов чистки компьютеров

Лаборатория eWeek Labs считает, что, во всяком случае в долгосрочном плане, защита от шпионящего ПО является необходимым и логически обоснованным элементом антивирусных пакетов. Интеграция защиты от шпионящих программ и непрошеной рекламы с антивирусными платформами позволит осуществлять управление из одной точки, упростит процессы исследования, тестирования и развертывания приложений, а в идеале позволит рационально и эффективно обнаруживать, удалять и блокировать угрозы.

Однако в ходе проведенных ранее тестов мы обнаружили, что интегрированные продукты нескольких хорошо известных производителей антивирусных программ пока что не готовы к выполнению этих задач. По эффективности они значительно уступали специализированным решениям, особенно в том, что касается недопущения заражений "защищенных" систем в результате появления новых угроз. (См. обзор антишпионских и антивирусных продуктов по адресу www.eweek.com/labslinks).

Но некоторые создатели антивирусов добились значительных успехов в войне со шпионящим ПО, применяя новые технологии или лучше используя традиционные для предотвращения заражения настольных компьютеров.

В продуктах компании Panda Software International задействованы обширная база данных сигнатур и механизм TruPrevent, помогающие им предотвращать заражение не встречавшимися ранее штаммами вредоносного ПО. TruPrevent - это модуль анализа поведения. Он анализирует действия установленных приложений, пресекая подозрительное или способное причинить вред поведение.

Некоторые продукты, в частности NOD32 компании Eset, используют технологии фильтрации веб-контента, чтобы помочь уберечься от загрузки вредоносного кода с известных зловредных веб-сайтов. NOD32 применяет совершенные эвристические методы. С их помощью в оперативной памяти создается виртуальная машина, которая позволяет NOD32 распаковывать или расшифровывать пакеты, не заражая находящиеся на более низком уровне ОС или файловую систему. Таким образом продукт Eset может избавиться от вредоносного кода, содержащегося в упакованных или зашифрованных файлах. NOD32 имеет встроенный механизм, призванный увеличить скорость работы. Благодаря этому NOD32 помимо прочего быстрее всех производит сканирование на предмет обнаружения вирусов, непрошеной рекламы, шпионящих программ и других потенциально опасных приложений.

Лаборатория Касперского (Kaspersky Lab) также использует несколько приемов блокирования угроз. Среди методов Лаборатории Касперского - несколько типов эвристического анализа, проверка контрольной суммы, чтобы избежать сканирования файлов, уже известных как доброкачественные, и сканирование повторно упакованных файлов и архивов.

Однако наибольшую славу принесла Лаборатории Касперского ее база данных сигнатур. В конечном итоге, сигнатуры - это наиболее точный способ выявления угроз или их полной ликвидации. А Лаборатория Касперского известна тем, что быстро выпускает сигнатуры вновь обнаруженных угроз. Она обещает рассылку обновлений каждый час. Чтобы снизить нагрузку на сеть, инженеры Касперского делают эти постоянные обновления очень маленькими по объему, обычно около 50 Кб каждое.

Соревнуясь в чистке

Мы изучили в Лаборатории eWeek Labs два антивирусных пакета - Panda Platinum 2006 Internet Security компании Panda Software International и NOD32 версии 2.5 компании Eset, - чтобы проверить на нескольких зараженных системах их способность бороться со шпионящим ПО. Оба продукта предназначены для домашних пользователей, но применяют ту же технологию сканирования, чистки и блокирования, что и версии, созданные для предприятий.

Platinum 2006, поставки которого начались в прошлом месяце по цене 80 долл., содержит брандмауэр для настольных систем, антиспамовый фильтр и фильтр веб-контента. В ходе тестирования Platinum 2006 показал очень хорошие результаты при чистке и блокировании. Он немедленно удалил с наших систем все следы шпионящего ПО, вызывавшего наше беспокойство, включая ISTbar, 180solutions и Internet Optimizer. После того как мы обновили сигнатуры, Platinum 2006 нашел и уничтожил также SurfAccuracy. Однако Platinum 2006 оставил нетронутыми несколько менее опасных приложений на базе Claria и не предпринял никаких действий в отношении WeatherBug.

Platinum 2006 очень хорошо блокировал попытки нового заражения. Наши усилия по инфицированию систем с помощью 180solutions, PurityScan, Zango и других вредоносных программам закончились провалом. Platinum 2006 блокировал инсталляцию через веб-браузер и удалил зловредные компоненты архивных файлов, сохраненные на локальной системе перед началом установки программ.

С помощью Platinum 2006 мы смогли также сохранить настройки браузера по умолчанию, чтобы в случае, если вредоносной программе удастся подменить домашнюю страницу или страницу, с которой начинается поиск в Интернете, мы могли бы восстановить их нажатием одной кнопки.

Правда, Platinum 2006 прячет от пользователя средства управления сканированием. В результате гораздо проще согласиться с его действиями по умолчанию, чем настроить защиту. Шпионящее ПО и непрошеная реклама объединены в категорию известных угроз, куда входят также вирусы и тому подобное. От нас потребовалось полностью согласиться со всеми действиями, предпринимаемыми по умолчанию в отношении этой категории в целом.

NOD32 версии 2.5 компании Eset (39 долл. за лицензию на одного пользователя) превосходно блокировал установку шпионящего ПО. В состав NOD32 входят средство мониторинга файловой системы AMon, средство мониторинга Интернета IMon, наблюдающее за трафиком по протоколам HTTP и POP3 (Post Office Protocol 3), а также механизм сканирования NOD32 по запросу.

IMon отверг наши попытки установить вредоносное ПО через браузер, а AMon успешно удалил все известные угрозы, когда мы попытались распаковать и инсталлировать их с диска нашего компьютера. Уведомление об обнаруженных угрозах в случае NOD32 было несколько подробнее, чем у Platinum 2006. Но само блокирование оба продукта производили одинаково эффективно.

Хотя NOD32 легко прерывал процессы, протекающие в оперативной памяти, он был менее эффективен при полном удалении угроз из файловой системы. После перезагрузки компьютера вновь появилось несколько угроз, созданных на основе 180solutions. Незамеченным остался и Internet Optimizer.

NOD32 в отличие от Platinum 2006 не уничтожал объекты в диалоговом окне Windows "Добавить/Удалить программы", даже если прочие следы приложения были удалены.