Обзор антивируса Panda Internet Security 2008 (часть 2)

Продолжение. Начало читайте здесь – Panda Internet Security 2008 (часть 1)

Практические испытания

У каждого мало-мальски уважающего себя пользователя всегда под рукой имеется парочка вирусов, ну так, про запас. Вот и у меня отыскалось несколько экземпляров, на которых я, собственно, и буду проводить опыты, попутно рассказывая о вреде, который они могут причинить. Вообще-то, сказать по правде, с коллекцией вирусов нужно обращаться так, словно вы владелец небольшого мешочка с маленькими змейками, которые хоть и маленькие, но жалят иногда смертельно. Так что предупреждаю сразу: лучше все описанное не повторять на собственном компьютере, поверьте мне на слово. Ведь для того, чтобы извлечь вирус из запароленного архива, антивирус приходится отключать, иначе извлекаемые файлы будут немедленно обезврежены. Но стоит помнить, что есть вирусы, которые могут выполняться даже при их выделении или при вызове их контекстного меню.

Начнем с того, что практически любой современный антивирус имеет в своем составе так называемые монитор и сканер. Монитор – это резидентный модуль, сидящий в памяти и постоянно сканирующий все обращения к накопителям (носителям) информации. Таким образом, если ваш CD с пиратским софтом имеет вирус под автозапуском, то во время старта антивирус заблокирует запуск инфицированного файла, который прописан в строке OPEN=FileName.exe. Это касается и почтовых клиентов, которые при запуске или во время отправки/приема сообщений сканируют трафик и директории с корреспонденцией в поисках заразы. Одним словом – высоко сижу, далеко гляжу.

Давайте проверим, как на практике работает монитор Panda Internet Security 2008. В первом примере я разархивирую зараженный файл, и Panda мгновенно реагирует на вирус.

Panda Internet Security 2008

Если нажать на восклицательный знак, то нам откроется секрет имени вируса, кои порой бывают как забавными, а порой очень трудными для понимания.

На втором примере мы с вами запустим файл, который я когда-то скачал, увидев ссылку в популярном глянцевом журнале. Программа, по идее, должна была перехватывать пароли дозвонщиков и учетных записей, но внутри сидит троянец, которого «Панда» быстро подхватывает и обезвреживает (лечит).

Вот и доверяй программам, которые якобы помогают забывчивым пользователям вспомнить пароли от учетных записей Интернета! В подобном случае, если ваш антивирус не обнаружит «подарочек», ваши данные «уплывут» его создателю, и он будет пользоваться Инетом «на шару».

Ну, с резидентом разобрались, давайте немного поговорим о сканере. Сканер призван проверять файлы и директории с дисками по вашей команде. Если вы принесли дискетку или CD-ROM и решили вставить в дисковод, не мешало бы проверить все файлы. Но для большей безопасности я все же советую отключить автозапуск накопителей на оптических дисках. Конечно, с флэшками немного тяжелей, они несколько иным способом монтируются в систему, а посему и оградить вас от некоторых «зверушек» антивирус может не во всех случаях, но не будем пессимистами :) . Сделайте правый клик на подозрительном файле (диске, директории) и выберите в контекстном меню команду «Проверить с помощью Panda Internet Security 2008». Если в недрах файла (архива, директории, диска) притаился враг, он будет найден по одному из способов (эвристика или сигнатура). Не спешите нажимать кнопку «ОК», а лучше присмотритесь к его навигационному наполнению.

Так, из выпадающего списка вы можете выбрать действие, которое нужно применить к зараженному файлу, из доступных «Переместить в карантин», «Удалить» и «Игнорировать» (в случае с накопителем типа «только для чтения» пункт «Удалить», естественно, будет недоступен). Непосредственно в этом же окне есть краткое описание вируса, имя и путь дислокации (в моем случае это Dutch_Tiny (99.111)). Чуть ниже есть чекбокс «Применить данную опцию ко всем», который заставит сканер заносить дамоклов меч над головами вражий по единому сценарию. Если в момент проверки вы подключены к сети Интернет, есть возможность узнать подробнее о том, что пробралось к вам на винт – для этого нажмите кнопку «Подробнее» и, подключившись к серверу www.viruslab.ru, узнайте все о вирусе.

Не так давно меня пригласил к себе друг, который с тревогой в голосе сообщил, что на его 120-гиговом винте куда-то пропадает место и машина так тормозит, что словами не передать. Я пришел к нему в гости и обнаружил, что антивирус отсутствует как таковой в принципе, а дискетки, флэшки и сидюки (не всегда с приличным контентом) – довольно частые гости на его машине. Первым делом я загрузил компьютер в безопасном режиме (в этом случае ничего лишнего не запускается и есть шанс получить стабильно функционирующую систему) и установил ему Panda Internet Security 2008.

После установки Panda Internet Security 2008 с новыми на то время базами сигнатур я перезагрузился – и началось. Вирусы прыгали, как черти на сковородке. Когда ОЗУ было «вычищено», я запустил сканирование дисков (об этом процессе немного позже) и на одиннадцатитысячном вирусе остановил сканер. А дело было вот в чем: абсолютно весь винт был покрыт мелкими файлами, содержащими код вируса. Файлы имели имя вида jswbqyww.t (то есть случайно сгенерированное имя, плюс расширение .t). Все они имели атрибут «Скрытый» и фиксированный размер 16 457 байт.

Перед завершением работы ОС один из этих файлов становился в автозагрузку, таким образом, в ветви Run- я обнаружил пару сотен «мертвых» записей. Внутреннее содержимое этих файлов, как я уже и говорил, имело код вируса. На жестком диске моего друга было обнаружено полмиллиона таких файлов (суммарный объем занимаемого пространства составил без малого 8 Гб). Конечно, доверять их удаление «Панде» я не стал, поскольку это продлилось бы часов десять. Я поступил проще: запустил поиск файлов по F3 и, отыскав их по расширению, удалил, выделяя примерно по 15-20 тысяч (при выделении большего количества утилита поиска просто зависала).

Инфицированные файлы я сразу скопировал в архив с паролем (чтобы его случайно не просканировал антивирус) и забрал для лабораторных работ, а главный модуль, который использовал эти файлы, был найден и уничтожен «Пандой». Теперь для обезвреживания этих файлов на них достаточно сделать правый клик и запустить сканирование – тело вируса будет удалено и файлы (контейнеры) попросту исчезнут. Если вы «натравите» антивирус на незапароленный архив с такими вирусами, то он и там их достанет. Так что для хранения или отправки вирусов в лабораторию обязательно поставьте пароль на архив, иначе почтовые серверы удалят их, не отправив вашего послания в службу поддержки. Когда же антивирус отсылает данные в лабораторию собственными силами, это идет не через SMTP-протокол, а по его личному каналу Р2Р.

Но есть вирусы, с которыми может справиться только поведенческий модуль. В пример могу привести такой случай: буквально во время написания статьи мне позвонил один из моих клиентов с довольно неординарной проблемой – у его дочери на компьютере вместо имен директорий стали появляться бранные слова )). Я пришел и убедился, что так и происходит. Директории, будучи переименованы в нормальный вид, спустя пару минут опять меняли имена на такие матюги, которых я в свои почти тридцать лет и не знал )). Запустив «старую» «Панду» (Platinum 7.07.01 без поведенческого анализатора), я никаких вирусов не обнаружил. Дальше в ход пошли ручные поиски, которые привели к реестру и его ветви HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и RunOnce, где были обнаружены ссылки на некогда установленную игру GTA и файл в ее директории csrbat.exe. В дополнение к этому в корне диска «D:\» создавался текстовый файл с именем !!!!FOR ИМЯ_УЧЕТНОЙ_ЗАПИСИ!!!! В нем сообщалось: «Поздравляю Вас ИМЯ_КОМПЬЮТЕРА, Вы стали счастливым обладателем антиантивируса AAV1» (прошу обратить внимание на название АнтиАнтивирус). Я, конечно же, удалил ссылку на «вирус», произведенный каким-то начинающим вирусмейкером из пиринговой сети (поскольку принцип действия и внедрения был весьма ламерский, да и в Интернете о нем нет никакой информации, я решил, что «мейкер» действительно начинающий), затем установил новую «Панду» и настроил ее файервол на пиринговый клиент, как положено. Из этого следует вывод, что сигнатурный антивирус может обнаружить далеко не все вирусы.

К сожалению, показать вам на практике эффективность Panda Internet Security 2008, сканирующей РОРЗ-трафик, я не смог, так как при отправке почтового сообщения хоть через веб-интерфейс, хоть через почтового клиента, я натыкался на сообщения робота Yandex о том, что мои мессаги содержат вирюгу. Искать альтернативные почтовые серверы для проведения опытов я не стал. За всю мою практику мне неоднократно пытались прислать вирус (помню, Panda Internet Security 2008 даже обнаружила зверька в неправильно оформленном теге IFRAME; кажется, это был NetSky-B), но «Панда» всегда отлавливала их и убивала, что называется, в зародыше.

На зачистку становись!

Для более масштабной проверки хорошо бы отметить сразу несколько объектов. Можно, конечно же, сделать правый клик по диску в Проводнике, но ведь после этого придется делать клики и по другим объектам (CD-ROM, локальные диски, флоппик). Для большего удобства запустите главное окно Panda Internet Security 2008 (правый клик по мордочке в трее) и переключитесь во вкладку «Проверка».

Panda Internet Security 2008

Откроется главное окно в котором можно будет произвести нужные вам установки проверки и запустить любую из имеющихся. Нажимаем кнопку «Установки» и открывается окно настроек.

Panda Internet Security 2008

В принципе, здесь нас интересует только самая первая вкладка, на которой и расположены самые основные настройки; другие вкладки имеют точно такие же опции, которые мы с вами уже рассматривали. Здесь присутствуют сжатые файлы, файлы почтовых программ, радиокнопка выбора файлов по расширению (например, в моем примере запросто можно было отключить все расширения, кроме «*.t»). Также присутствует возможность выбора проверки на типы вирусов (дозвонщики, шутки или руткиты), ну, и в самом низу – эвристический анализатор, который, к слову сказать, зачастую поднимает ложную тревогу.
Наиболее гибкие настройки можно найти в меню списка «Проверить прочие объекты». Самое первое меню запускает сканирование оперативной памяти, следующее меню запускает проверку дисковода гибких магнитных дисков, после него идет локальный диск «С:\», который, в принципе, можно проверить из контекстного меню в Проводнике. Следом за диском «С:\» пойдут оптические приводы и другие разделы (их имена и количество зависят от вашей системы), далее на очереди почтовики, поддерживаемые Panda Internet Security 2008, и директории, где хранится корреспонденция. Пункт «Папки» запускает диалоговое окно, в котором вы можете вручную указать те директории, которые нужно проверять. To же самое и с нижним пунктом «Файлы»: указываете в окне файлы, которые стоит проверять.

См. скриншот

Прошу заметить, что антивирус Panda Internet Security 2008 очень лоялен к производительности машины во время сканирования, и на конфигурации Barton 2500+; nForce 2 Ultra 400; 1024 РС-3200 Dual; WD-400BB можно продолжать работу, не замечая сканера. Загрузка процессора при этом составляет от 6 до 70% (интеллектуальная система контроля коэффициента производительности распределяет процессорное время самостоятельно). Хотя, признаться честно, Panda Internet Security 2008 кушает немного больше ресурсов из-за ТruРгеvent; это еще более справедливо для Panda Antivirus Platinum.

Аргументы ЗА!

Одной из самых насущных проблем при использовании антивируса считается его обновление, иначе какой толк его использовать, вирусы-то ведь пишут каждый день, и правила с сигнатурами тоже нуждаются в обновлении. Во многих антивирусных пакетах процесс обновления устроен настолько сложно, что после переустановки операционной системы нет возможности начать обновление именно с того места, на котором вы остановились. И если учесть, что эти самые обновления весят довольно прилично, то и по карману это может ударить самым непосредственным образом. Также далеко не каждый антивирус умеет производить докачку баз при обрыве линии (Dial-Up все еще в обиходе), в этом случае закачка базы размером в несколько десятков мегабайт может стать настоящей каторгой. Чем мне всегда нравилась концепция антивируса Panda Internet Security 2008 так это простотой его обновления. Все сигнатуры хранятся в одном единственном файле pav.sig, который перед переустановкой Винды может быть сохранен на винт и после инсталляции возвращен обычным копированием в директорию со свежеустановленным антивирусом. Для этого даже не требуется перезагрузка или какие-либо пляски с бубном. К тому же антивирус Panda Internet Security 2008 имеет полноценный тридцатидневный trial-период, во время которого он будет честно выполнять все свои обязанности, а по окончании срока всего лишь прекратит обновляться через Интернет. Все остальные функции при этом будут работать в нормальном режиме.

Окончание: Обзор антивируса Panda Internet Security 2008 (часть 3)


Comments (2)

костяMarch 5th, 2009 at 4:05 pm

хочу установить панду 2008

BossApril 18th, 2009 at 10:06 pm

Хорошая безопасность, в комплекте с официальной Vista – совершенно непробиваемый вариант!

Оставить комментарий

Ваш комментарий