Лучшие статьи журнала «Компьютеры+Программы» (comp.paper.bestarticles) : Рассылка : Subscribe.Ru

Лучшие статьи журнала «Компьютеры+Программы»

Сильнее угроза — крепче защита

Статистика

Внешний периметр: межсетевые экраны

Компьютер за брандмауэром

Борьба с «червями»

Объединенными силами

Внутренняя защита: антивирусы

Что делать с новыми «микробами»?

Самый удобный сканер

Заполняя пробелы: программы-антишпионы

Эшелонированная оборона

Заключение

Лучшие статьи о Компьютерах и Программах

Программные и аппаратные межсетевые экраны

Эффективность антивирусных сканеров¹

Эффективность сканеров шпионских программ¹

Подписаться Бесплатная «Серебряная» новостная рассылка . Подписчиков 4.859 RSS

← Октябрь 2004 →
	1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18 18.10.2004 14:01:28 21:01:22	19	20	21	22	23	24
25	26	27	28	29	30	31

За последние 60 дней ни разу не выходила

Сайт рассылки: http://www.webfile.ru/
Открыта: 28-01-2002
Адрес автора: comp.paper.bestarticles-owner@subscribe.ru

Автор

Фёдор Сорекс

4.859 подписчиков
0 за неделю

← Все выпуски →

Информационный Канал Subscribe.Ru

Здравствуйте, уважаемые читатели!

Очередной номер журнала «Компьютеры+Программы» готов. Выбор статьи, которая будет опубликована в этом выпуске, определился голосованием по содержанию номера и анонсам статей. Результаты голосования выглядят следующим образом.

Автор Статья Голосов

Сильнее угроза — крепче защита 32

Вторая жизнь старого компьютера 26

Покупаем цифровую видеокамеру 25

Арсений ЧЕБОТАРЁВ Экстремальное программирование и быстрая разработка ПО 23

Цифровые видеокамеры: лучшие устройства месяца 21

Взгляд на Windows через лупу 19

Какой ПК вам нужен? 18

Олег РЕМИЗОВ Асинхронное взаимодействие между процессами посредством COM Events 15

БЕЗМАЛЫЙ В.Ф., БЕЗМАЛАЯ Е.В. Чем нас пытаются взломать. Краткий обзор программ-взломщиков паролей 11

Александр ЛОЗОВЮК GnuPG — OpenSource шифрование и цифровые подписи 10

Новые суперкарты от ATI и nVidia 10

Арсений ЧЕБОТАРЕВ Путеводитель по ASUS P4P800 9

Николай ТКАЧЕНКО Добавление мультимедийных эффектов в презентацию 8

Владимир КОНОВАЛЕНКО Новые условия распространения программного обеспечения 4

Автор	Статья	Голосов
	Сильнее угроза — крепче защита	32
	Вторая жизнь старого компьютера	26
	Покупаем цифровую видеокамеру	25
Арсений ЧЕБОТАРЁВ	Экстремальное программирование и быстрая разработка ПО	23
	Цифровые видеокамеры: лучшие устройства месяца	21
	Взгляд на Windows через лупу	19
	Какой ПК вам нужен?	18
Олег РЕМИЗОВ	Асинхронное взаимодействие между процессами посредством COM Events	15
БЕЗМАЛЫЙ В.Ф., БЕЗМАЛАЯ Е.В.	Чем нас пытаются взломать. Краткий обзор программ-взломщиков паролей	11
Александр ЛОЗОВЮК	GnuPG — OpenSource шифрование и цифровые подписи	10
	Новые суперкарты от ATI и nVidia	10
Арсений ЧЕБОТАРЕВ	Путеводитель по ASUS P4P800	9
Николай ТКАЧЕНКО	Добавление мультимедийных эффектов в презентацию	8
Владимир КОНОВАЛЕНКО	Новые условия распространения программного обеспечения	4

Таким образом, наибольший интерес у читателей рассылки вызвала статья «Сильнее угроза — крепче защита», которая и предлагается вашему вниманию в этом выпуске. Второе место заняла статья «Вторая жизнь старого компьютера», а третье место — статья «Покупаем цифровую видеокамеру». Их мы опубликуем в следующих выпусках рассылки.

Дорогие читатели! Редакция будет рада узнать ваше мнение о прочитанных статьях. Пишите нам в редакцию по адресу ep_big@comizdat.com.

Мы протестировали 16 инструментов для защиты компьютеров и компьютерных сетей от интернет-червей, вирусов, шпионских программ и хакеров

Ваш компьютер давно уже перестал быть целью интернетовских злоумышленников. Сегодня их цель — вы сами. Преступники, пользующиеся ворованными номерами кредитных карточек и идентификационной информацией, широко используют вирусы и интернет-черви, чтобы заманить своих жертв в ловушку. Вирусы — это лишь одна из возможных угроз. В некоторых спамовых сообщениях электронной почты используются так называемые «рыболовные» схемы, цель которых — заставить получателя раскрыть конфиденциальную банковскую информацию или сообщить номер кредитной карточки. Поддельные рекламодатели создают ложные всплывающие окна, которые, используя слабые места операционной системы, устанавливают на компьютере жертвы шпионские программы.

Поскольку в зону внимания информационной безопасности все чаще попадают вещи более серьезные, чем обычные вирусы, специалисты по компьютерной защите ввели термин malware — «злонамеренное программное обеспечение», которым обозначают любой код, наносящий вред компьютеру или его владельцу. Для эффективного сопротивления посягательству на частную информацию необходима глубокая и хорошо продуманная система обороны, состоящая из нескольких барьеров между злонамеренным ПО и системой. В этом обзоре мы рассмотрим:

межсетевые экраны;
вирусные сканеры;
инструментарий для удаления программ-шпионов;
пакеты для обеспечения безопасности.

Надеемся, представленный материал поможет вам подобрать себе подходящий арсенал.

Первую линию обороны от хакеров, интернет-червей, программ-шпионов и прочих врагов держит межсетевой экран (см. также «Безоговорочная безопасность сети: установка межсетевого экрана для отдельного хоста», К+П №2/2004).

Во многих компаниях и даже в некоторых домашних сетях доступ к интернету осуществляется через общее широкополосное соединение. Для того чтобы выяснить уровень защиты, обеспечиваемый аппаратными межсетевыми экранами, было протестировано две модели маршрутизаторов со встроенными точками доступа: Linksys Wireless-G Broadband Router WRT54G и Microsoft Wireless-G Base Station MN-700. В состав этих маршрутизаторов — в качестве побочного продукта для обработки интернет-трафика — входит простейший межсетевой экран.

Используя трансляцию сетевых адресов (Network Address Translation, NAT) и протокол динамической конфигурации хоста (Dynamic Host Configuration Protocol, DHCP), маршрутизатор распределяет между компьютерами сети частные IP-адреса, скрывая их таким образом от внешних компьютеров, которые «видят» лишь IP-адрес самого маршрутизатора. Маршрутизатор открывает интернет-порты только если он соответствующим образом настроен или если компьютер сети запросит данные из интернета (например, обратиться к веб-странице).

Маршрутизаторы препятствуют атакам, при которых хакеры используют средства сканирования портов для поиска уязвимых объектов. Если ни одна из систем сети не запрашивала пакеты данных, маршрутизатор просто отбрасывает входящие пакеты. Оба продукта позволяют открыть определенные порты и назначить им IP-адреса предназначенных для этого компьютеров. Этот процесс, известный как пересылка порта (port forwarding), позволяет выделить отдельные серверы для игр в онлайне и посещения веб-сайтов, не открывая доступ к остальным компьютерам сети. В модуле от Microsoft есть еще одна приятная функция: по умолчанию в нем включено WEP-шифрование, для защиты беспроводного трафика генерируется специальный ключ.

Маршрутизатор защищает от атак извне. Однако некоторые типы злонамеренного программного обеспечения, например интернет-черви, троянские программы и программы-шпионы, работают изнутри. Чтобы прекратить их деятельность, необходим программный защитный экран, установленный непосредственно на компьютере.

Межсетевой экран, настроенный исключительно по принципу полномочий доступа, предупреждает о любой попытке приложения передать данные по сети и позволяет блокировать эту операцию, таким образом обращая внимание администратора на приложения, которые могут оказаться злонамеренными.

Из соображений удобства межсетевые экраны, встроенные в пакеты Panda Platinum Internet Security и Symantec Norton Internet Security 2004, автоматически предоставляют полномочия многим приложениям Windows. Однако такой шаг может привести к нарушению защиты. Например, первоначально продукт Panda, предоставляя доступ службам Windows, оставлял открытым порт 135 — а именно через этот порт проникает печально известный червь Blaster. Правда, когда это выяснилось, ошибка была исправлена.

Встречается и обратный «перегиб»: казалось бы, пакет обеспечения безопасности не может блокировать все подряд — он должен оставлять возможность работы хотя бы для собственных компонентов. Однако оказалось, что в McAfee Internet Security Suite 6 это не так. Например, при попытке отправить письмо программа выдает сообщение о том, что MCSHIELD.EXE и MGHTML.EXE (два компонента пакета McAfee) пытаются получить доступ к защищенному файлу — то есть к dat-файлу почтового клиента.

Sygate Personal Firewall Pro 5.5 и Zone Lab ZoneAlarm Pro 4.5 никогда не были замечены ни в атаке на «своих, чтоб чужие боялись», ни в чрезмерном попустительстве по отношению к другим приложениям. Благодаря этому они предоставляют широкие возможности контроля за системой. Однако если нетерпеливый администратор будет сначала жать на кнопку OK, а уж потом думать, о чем же это его предупреждают, он подвергнет систему большому риску.

Возьмем, к примеру, червь Bagle, который маскируется под Windows Explorer. Когда Bagle пытается передать данные в интернет, межсетевые экраны McAfee, Norton, Sygate и ZoneAlarm фиксируют эту попытку и посылают соответствующий запрос администратору. Если тот проявит достаточно бдительности, то заинтересуется, зачем это вдруг «Проводнику» понадобилось выйти в Сеть. Но если администратор «проспит» тревожный сигнал и просто нажмет OK, придется отвечать за последствия.

Во избежание подобных проблем можно воспользоваться межсетевым экраном с фильтрацией портов (экран такого типа встроен в Windows XP) или с фильтрацией портов и пакетов (как в Trend Micro PC-cillin Internet Security 2004). При фильтрации пакетов межсетевой экран контролирует данные, передаваемые между сетью и компьютером, на предмет подозрительного поведения или наличия известных уязвимых мест. Например, таким образом блокируются попытки «нелегального» доступа к портам, открываемым почтовыми вирусами-червями, для получения инструкций от удаленного хакера.

Вообще-то, в обязанности межсетевого экрана не входит «отлов» червей и нелегальных программ — это дело антивируса. Однако антивирусные сканеры лучше всего работают именно в случаях, когда могут сравнить потенциальный вирус с базой данных уже известных вирусов. Если же вирус «свежий», он зачастую остается нераспознанным, до тех пор пока не будет внесен в базу данных и пока та не будет обновлена на зараженном компьютере. На это может уйти от нескольких часов до нескольких дней (а то и недель — с учетом лени администратора).

Проведенные тесты показали следующие возможности распространенных межсетевых экранов. При попытке программы организовать массовую почтовую рассылку, содержащую ее копии, McAfee и ZoneAlarm блокируют эту операцию независимо от того, рассылаются ли письма все сразу или по очереди. При этом пользователь получает предупреждение. Panda останавливает «червя» иначе: блокирует все исходящие письма, во вложениях которых содержатся исполняемые файлы.

В случае если червь, такой как Bagle, пытается нелегально открыть порт системы и получит инструкции от удаленного хакера, Panda ничего не может сделать. Маршрутизаторы же блокируют это действие, а программные межсетевые экраны, работающие по принципу предоставления полномочий (McAfee, Norton, Sygate и ZoneAlarm) предупредят пользователя о такой попытке. Впрочем, при этом они принимают червя за Windows Explorer и, следовательно, не сообщают, что на самом деле это червь, маскирующийся под «Проводник». Межсетевые экраны с фильтрацией портов PC-cillin и экран Windows XP защищают компьютер тихо и надежно — они самостоятельно блокируют попытки червя получить доступ к порту, не заставляя пользователя гадать над значением предупреждений.

Злонамеренные программы не только по-тихому открывают порты — они могут начисто «оголить» компьютер, отключив систему защиты. Panda, Sygate и ZoneAlarm сопротивляются таким атакам, а вот межсетевой экран Windows XP, McAfee, Norton и Trend Micro под воздействием кода вторжения выключаются. Более того, такой код способен удалить файлы последних трех пакетов.

Межсетевые экраны	Программные							Аппаратные
Межсетевые экраны	Zone Labs ZoneAlarm Pro 4.5	Sygate Personal Firewall Pro 5.5	Trend Micro PC-cillin Internet Security 20042	Microsoft Windows XP, SP1 Internet Firewall	Panda Platinum Internet Security2	Symantec Norton Internet Security 2004²	Network associates McAfee Internet Security Suite 6²	Microsoft Wireless-G Base Station MN-700	Linksys Wireless-G Broadband Router WRT54G
Рейтинг	1	2	3	4	5	6	7	1	2
Тип	на базе полномочий	на базе полномочий	фильтрация портов и пакетов	фильтрация портов	на базе полномочий	на базе полномочий	на базе полномочий	фильтрация портов маршрутизатора	фильтрация портов маршрутизатора
Цена, у.е.¹	50	403	50	в комплекте с Windows XP Home и Professional	80	70	70	110	135
Блокирование отключения	+	+	-	-	+	-	-	+	+
Блокирование удаления	+	+	-	+	+	-	-	-⁴	-⁴
Блокирование открытия порта	+	+	+⁵	+	-	+	+	+	+
Блокирование массовой рассылки червя	+	-	-	-	+	-	+	-	-
Блокирование простейшего сканирования портов	+	+	+	+	+	+	+	+⁶	+
Блокирование обращения извне к сетевым дискам общего доступа	+	+	+	+	+	+	+	+	+
Блокирование всплывающих окон Windows Messenger	+	-	+	+	+	+	+	+	+
Быстродействие	*****	****	****	****	***	***	****	*****	*****
Удобство использования	*****	***	****	****	**	**	*	*****	****
Комментарии	наилучшее быстродействие; в бесплатной версии отсутствует защита от рассылки червя по почте, защита конфиденциальных данных и др.	высокая модульность предоставляет максимальную свободу опытному пользователю; стандартная настройка обеспечивает высокую степень защиты	предотвращает отправку конфиденциальных данных; инфицированная система изолируется	по умолчанию отключен	в стандартной конфигурации автоматически предоставляется доступ уже установленным приложениям и компонентам Windows	по умолчанию предоставляется доступ к интернету определенным программам	межсетевой экран иногда конфликтует с другими компонентами пакета	по умолчанию включено WEP-шифрование, ключ генерируется автоматически	управляющая консоль включается медленно; шифрование для беспроводной сети по умолчанию отключено
1 Среднерозничная. 2 Входит в состав пакета (цена указана за весь пакет). 3 Есть бесплатная упрощенная версия. 4 Устанавливается на маршрутизаторе, а не на ПК. 5 Вирус может открыть порт, но попытки доступа извне к компоненту вируса блокируются. 6 При стандартной настройке; допускает пингование.

Маршрутизаторы, такие как модели Linksys и Microsoft, отражают внешние атаки, в то время как программные межсетевые экраны защищают компьютерные системы от вирусов-червей, распространяющихся через диски общего доступа, электронную почту и приложения для обмена файлами, такие как Kazaa и Gnutella. Программные межсетевые экраны — необходимый защитный компонент для ноутбуков, подключаемых не только к защищенной офисной или домашней сети, но и к сетям общего доступа, особенно беспроводным.

Из рассмотренных межсетевых экранов нам больше всего понравились Sygate и ZoneAlarm.

Sygate впечатляет быстродействием и модульной конфигурацией, благодаря которой этот firewall можно настраивать практически как угодно. Правда, некоторые его сообщения способны поставить в тупик, несмотря даже на их подробность. Как, скажите пожалуйста, реагировать на такое предупреждение: «Internet Explorer (IEXPLORE.EXE) is trying to connect to www.microsoft.com (207.46.134.221) using remote port 80 (HTTP - World Wide Web)»? Даже в переводе на русский — «Internet Explorer (IEXPLORE.EXE) пытается соединиться с www.microsoft.com (207.46.134.221) через удаленный порт 80 (HTTP - World Wide Web)» — не совсем понятно…

А вот сообщение ZoneAlarm в той же ситуации вполне ясно: «Do you want to allow Internet Explorer to access the Internet?» — «Разрешаете ли вы доступ Internet Explorer к интернету?». Быстродействие ZoneAlarm не хуже, чем у Sygate, а интерфейс значительно понятнее.

Что же касается пользователей, которым недостает терпения настраивать межсетевой экран, работающий по принципу предоставления полномочий, можно порекомендовать экран с фильтрацией портов, PC-cillin например.

Антивирусный сканер	Trend Micro PC-cillin Internet Security 2004²	Symantec Norton Internet Security 2004²	Eset NOD32 2	Panda Platinum Internet Security²	Network Associates McAfee Internet Security Suite 6²	Grisoft AVG Anti-Virus Professional
Рейтинг	1	2	3	4	5	6
Цена, у.е. (продукт/ежегодное обновление)	50/15	70/30	39/27	80/70	70/30	33³
Удобство использования	*****	***	***	****	*	**
Скорость сканирования	****	*	*****	**	**	****
Обнаружение злонамеренного ПО всех видов4	92%	99%	94%	92%	99%	82%
Ложные срабатывания5	0	2	31	23	3	16
Обнаружение 32-разрядного злонамеренного ПО для Windows	99%	100%	100%	99%	100%	90%
Обнаружение троянских программ	76%	97%	72%	72%	99%	24%
Обнаружение 32-разрядных полиморфных вирусов	99%	100%	98%	89%	100%	67%
Обнаружение нелегальных каналов связи	66%	94%	84%	80%	96%	87%
Комментарии	располагает функцией защиты веб-почты; бесплатная интернет-база знаний	значительно замедляет включение и отключение ПК; бесплатная интернет-база знаний	занимает мало места, благодаря чему подходит для компьютеров старых моделей	самый дорогой антивирус обзора	использование затруднено из-за конфликтов и программных ошибок	не требует много места и поэтому подходит для старых ПК
1 По данным исследований лаборатории AV-Test (www.av-test.org). 2 Входит в состав пакета. Цена указана за весь пакет. 3 Лицензия выдается на два года; затем пользователь покупает пакет заново. 4 Обнаружение вирусов на базе VBS-скриптов у всех рассмотренных программ — 100%. 5 На 20000 файлов.

Несмотря на то, что межсетевые экраны успешно блокируют ряд вирусов, зондирующих сетевые порты, и задерживают некоторые попытки их массового саморазмножения по электронной почте, в системе все равно должен быть антивирусный сканер, который бы останавливал большинство инфекций, попадающих в компьютер через электронную почту и файлы, скачиваемые из интернета. Тем более что обезвредить эту инфекцию может только антивирусный сканер.

Кроме сканеров, входящих в состав описанных выше пакетов по обеспечению безопасности, мы рассмотрели и два самостоятельных продукта: Grisoft AVG Anti-Virus Professional и Eset NOD32 2.

Все эти продукты удовлетворяют минимальным требованиям по «отлову» основных злонамеренных программ, встречающихся в интернете,- тех, что хотя бы дважды упоминаются членами WildList Organization (www.wildlist.com), всемирного общества разработчиков антивирусных программ. Ведь далеко не каждым вирусом действительно можно заразиться через Сеть: из примерно 100 тыс. существующих вирусов в настоящее время всего около 250 встречается в «диком» интернете — остальные существуют только в «лабораторных» условиях.

Оказалось, что качество работы разных сканеров чувствительно зависит от типа вирусов. Например, все отобранные для обзора продукты хорошо справляются с вирусами и червями, действующими в 32-разрядной среде Windows — наиболее распространенным сегодня типом сетевой «инфекции». В этом случае качество распознавания очень высоко — от 90,4% до 100% (см. таблицу «Эффективность антивирусных сканеров»). Однако с троянскими программами, которые распространяются не сами по себе, а при помощи других программ, в том числе вирусов и «червей», дело обстоит похуже. Если сканеры McAfee и Norton задерживают, соответственно, 99% и 95% «троянцев», то AVG — всего 23,5%, что вряд ли можно считать достаточной защитой. Кроме того, троянские программы не включаются в список WildList, почему за ними труднее следить.

Наконец, очень желательно, чтобы антивирусный сканер не поднимал ложную тревогу, подозревая в наличии вируса обычные файлы. В этом смысле лучше всего обстоят дела у PC-cillin, где тест прошел без ложных срабатываний. На другом конце оценочной шкалы находится Eset NOD32 2 — 32 из 20000 файлов. Конечно, это настолько мало, что даже не стоит переводить в проценты, но, с другой стороны, и одного такого случая достаточно, если в результате вместо вируса будет удален нужный файл.

В своей работе антивирусные сканеры опираются, в основном, на точное соответствие известным злонамеренным программам, сигнатуры которых хранятся в базе данных. Впрочем, иногда они «ловят» и новые вирусы, которых нет в базе, используя эвристические алгоритмы. Строго говоря, слово «эвристический» здесь означает возможность идентифицировать неизвестный вирус на основании неких характерных признаков — например, наличия кода, использующего известную «дыру» в операционной системе или приложении. На практике в эвристических алгоритмах поиска вирусов используются различные «нечеткие» схемы распознавания новых модификаций уже известных вирусов с использованием их общих признаков — например, зная признаки вируса Netsky.gen, можно «отловить» его новые варианты вроде Netsky.R.

По данным тестов, наиболее удачными эвристическими алгоритмами обладают McAfee и AVG, идентифицирующие 70,1% и 65,6% файлов, зараженных неизвестными вирусами. Худший результат оказался у NOD32 — 41,4%. В любом случае, это гораздо меньше, чем при распознавании известных вирусов (да и сам процесс проходит куда медленнее), так что основной гарантией своевременного лечения по-прежнему остается регулярное обновление антивирусных баз.

Все программы тестировались в режиме максимально тщательного сканирования. Особый случай с NOD32 — в этой программе предусмотрен повышенный уровень эвристического сканирования (Advanced Heuristics) для электронной почты и веб-трафика, этих основных источников инфекций. Для сканирования жесткого диска этот режим тоже можно использовать, но уже не средствами графического интерфейса, а с помощью недокументированной команды nod32.exe /AH. В режиме Advanced Heuristics качество сканирования NOD32 возрастает до 53,5%.

К сожалению, все рассмотренные антивирусы успешно распознают новые инфекции лишь в случае, если последние принадлежат к уже известным вирусным «семействам» — при встрече же с совершенно новым вирусом они оказываются бессильными. Например, ни один из сканеров не распознал червя Netsky, пока его сигнатура не была внесена в базу данных.

Таким образом, эвристическое распознавание вирусов по-прежнему ненадежно. Приходится опираться на другие уровни защиты, такие как межсетевые экраны и собственный здравый смысл (см. также «Компьютер на замке», К+П № 5/2004).

Если бы главным в антивирусном сканере было удобство интерфейса, то лучшим наверняка был бы признан пакет McAfee. Правда, в остальном у McAfee много недостатков: например, ошибки в сценарии обновления, в результате которых программа сообщает, что сканер уже был обновлен, хотя на самом деле это не так.

McAfee, конечно, не единственный пакет с «глюками» — хотя их у него с избытком. Ни одной из рассмотренных программ не удалось более или менее гладко пройти тест на удаление вируса CTX, «троянского коня» Optix и червя Mydoom.A. Лучше всех справился с очисткой компьютера PC-cillin: инфекция была полностью удалена без каких-либо повреждений системы. А вот после попыток McAfee, NOD32 и Panda удалить CTX (безуспешно) система пришла в негодность.

Самым большим недостатком пакета Norton оказалась его медлительность. Система с установленным в ней Norton'ом запускается и отключается вдвое медленнее, чем при использовании Panda или NOD32 (их влияние на быстродействие вообще наименее заметно). Norton медленнее всех выполняет полное сканирование жесткого диска: проверка HDD (скорость вращения 5400 об/мин; данными занято 575 Мб) на компьютере с Windows XP, Pentium III 800 МГц и 256 Мб RAM длится около 12 минут. Для сравнения: самая быстрая из программ обзора, NOD32, выполняет эту операцию всего за 52 с — но, с другой стороны, Norton лучше распознает вирусы. Следующим по скорости после NOD32 был сканер Panda, у которого эта же задача отняла чуть более 2,5 мин.

Лучшим антивирусом обзора был признан пакет Trend Micro PC-cillin Internet Security 2004, отличающийся не только высоким качеством сканирования и разумной ценой, но также логичным и понятным интерфейсом.

Программа-антишпион	Spybot Search & Destroy	Lavasoft Ad-aware 6 Plus	Network Associates McAfee AntiSpyware	Network Associates McAfee Internet Security Suite 6	Aluria Spyware Eliminator	Symantec Norton Internet Security 2004	Trend Micro PC-cillin Internet Security 2004	Panda Platinum Internet Security 3	InterMute SpySubtract Pro 2
Рейтинг	1	2	3	4	5	6	7	8	9
Цена, у.е. (продукт/ежегодное обновление)	бесплатно	27/-	40/?²	70/30³	30/-	69/30⁴	49/25²	80/70³	30/-
Удобство использования	****	*****	***	*	***	***	*****	****	*****
Скорость сканирования	***	***	**	*	*	*	-	-	*
Качество обнаружения и удаления	57%	57%	43%	14%	29%	14%	0%	0%	29%
Сканирование реестра	+	+	+	+	+	-	-	-	+
Сканирование памяти	+	+⁵	+	+	+	+	+	+	+
Сканирование выбранных файлов и папок	-	+	-	+	+	+	+	+	-
Комментарии	сканирование оперативной памяти весьма ограниченно	при сканировании пропускает некоторые ключи реестра; есть монитор ad-ware реального времени	монитор реального времени слабо противодействует инфицированию	хорошо фиксирует текущие изменения реестра, но не сделанные ранее; слабо распознает процессы, ответственные за инфицирование	постоянно «забывает» проверить изменения в реестре; не распознает и не удаляет некоторые инфицированные файлы	хорошо распознает инфекцию, но удаляет ее неэффективно; включает утилиту по защите личных данных в интернете	хорошо распознает шпионские программы, но плохо их удаляет; блокирует отправку в интернет данных, помеченных пользователем как личные	удаление программ-шпионов неэффективно	удаляет данные о последних использованных файлах и историю посещения интернета, затрудняя работу «шпионам»
1 По данным исследований лаборатории AV-Test (www.av-test.org). 2 Политика обновления еще не определена. 3 Входит в состав пакета. Цена указана за весь пакет. 4 Сканер программ-шпионов является компонентом антивирусной утилиты, которая продается отдельно от пакета за $50. 5 Обнаружение в оперативной памяти компонентов программ класса ad-ware — только в платной версии.

Спору нет, межсетевые экраны и антивирусные сканеры в вопросе защиты компьютерной системы играют значительную роль. Однако иногда и они пропускают программы, порожденные специфическим спросом, а именно программы-шпионы. Впрочем, в эту категорию входят не только обычные сканеры мыши и клавиатуры, но и, например, «угонщики браузера». Задача этого рода adware (программ для распространения рекламы) — изменение записей системного реестра без ведома пользователя таким образом, чтобы вместо обращения к домашней странице или стандартному поисковому серверу (например, при ошибочном вводе URL) браузер переходил на страницу с рекламной информацией.

Зачастую такие программы принудительной загрузки, используя недостаточную защиту системы, самоинсталлируются при посещении веб-страницы. Например, печально известная утилита Surfbar (она же Junkbar и Pornbar) использует тот факт, что Internet Explorer допускает загрузку исполняемых файлов на компьютер пользователя. Затем она заменяет начальную страницу браузера на www.surferbar.com, заваливает рабочий стол сотней-другой ссылок на порносайты и устанавливает панель с еще несколькими десятками ссылок того же рода. Другие программы-«угонщики» спрашивают разрешения на начало работы — но делают это так, чтобы обманом вынудить пользователя согласиться.

«Чистые» программы-шпионы прослеживают использование интернета — обычно для того, чтобы определить, что именно пользователь делает в онлайне, и предложить ему соответствующую рекламу. Как правило, программы-шпионы сопровождают условно-бесплатные и бесплатные программы. Часто настоящая стоимость таких «бесплатных» программ скрыта в лицензионном соглашении: не читая его, пользователь соглашается на удаленный мониторинг своего компьютера службами, собирающими маркетинговые данные или рассылающими направленную рекламу. Во многих странах сейчас разрабатываются законы, направленные против такой деятельности, однако пока что лучшей защитой являются сканеры-антишпионы.

Мы исследовали пять специальных «антишпионских» пакетов:

Auria Spyware Eliminator;
InterMute SpySubtract Pro 2;
Lavasoft Ad-aware 6 Plus;
Network Associates McAfee AntiSpyware;
Spybot Search & Destroy.

Кроме того, были рассмотрены возможности по «отлову» программ-шпионов с помощью антивирусных сканеров и других утилит, входящих в состав следующих пакетов:

Network Associates McAfee Internet Security Suite 6;
Panda Platinum Internet Security 3;
Symantec Norton Internet Security 2004;
Trend Micro PC-cillin Internet Security 2004.

К сожалению, даже лучшие из них распознают едва больше половины предложенных им образцов шпионских утилит. Так что на данный момент лучшей стратегией является использование сразу нескольких сканеров.

Сканер Norton идентифицировал лишь две из предложенных семи шпионских утилит, PC-cillin и Panda — по одной. При установке антивирусов на уже инфицированный компьютер был обнаружен исполняемый файл, порождавший инфекцию Surfbar — но удалить уже установленную панель ссылок и пиктограммы порносайтов, а также вернуть первоначальную домашнюю страницу не удалось.

Утилита McAfee Privacy Service точно распознает попытки изменить реестр и настоятельно советует пользователю не поддаваться на провокации, однако не обнаруживает в оперативной памяти процессы, порождающие эти действия. Таким образом, не успевает человек отразить одну атаку, как накатывает следующая — словом, жизнь пользователя превращается в сплошную череду предупреждений и отказов, до тех пор пока он наконец не решит, что лучше уж один раз инфицировать компьютер, чем постоянно отрываться от дел.

В отличие от антивирусов, обнаруживающих инфицированные файлы путем сравнения их с сигнатурами злонамеренных программ из базы данных, антишпионские сканеры опираются главным образом на ключи системного реестра. Самые надежные результаты в тестах показали Spybot Search & Destroy и Lavasoft Ad-aware 6 Plus, при этом Spybot лучше удалял поврежденные файлы и восстанавливал значения реестра.

Сканер McAfee AntiSpyware обнаружил три из семи инфекций: Gator, Huntbar и MyFast Access — но полностью удалить смог только две последние.

Самым слабым оказался InterMute SpySubtract Pro 2, который обнаружил лишь один образец программы-шпиона — широко известную панель Gator.

Хорошую защиту в реальном времени обеспечивает компонент Ad-watch из Lavasoft Ad-aware 6 Plus. Он преграждал путь всем «угонщикам браузеров», пытавшимся изменить параметры доступа к интернету. (Правда, Ad-watch не входит в упрощенную версию Ad-aware, распространяемую бесплатно.)

К сожалению, как выяснилось, ни один из протестированных сканеров не обеспечивает 100-процентного распознавания и удаления инфекции. Лучше всего справляются с задачей Spybot Search & Destroy и Lavasoft Ad-aware 6 Plus. В Ad-aware более продуман мониторинг шпионских утилит, да и интерфейс удобнее,- зато Search & Destroy лучше находит и чистит инфицированные файлы.

Многоуровневая система, задерживающая атаки и обеспечивающая своевременное резервное копирование данных, состоит из следующих уровней.

Аппаратный маршрутизатор:

с помощью NAT (Network address Translation, трансляция сетевых адресов,- стандарт Internet, позволяющий использовать в локальной сети различные наборы IP-адресов для внешнего и внутреннего трафика) маскирует IP-адреса, делая неэффективным сканирование портов;
блокирует поступление из интернета данных, на которые нет разрешения пользователя;
не защищает систему от большинства злонамеренных программ, таких как «троянские кони», вирусы, почтовые «черви» и шпионский софт.

Программный маршрутизатор:

предотвращает несанкционированную передачу данных из компьютера в интернет «троянцами» и другими приложениями, установленными без ведома пользователя;
защищает портативные ПК при работе в беспроводных и других малозащищенных сетях;
блокирует некоторые злонамеренные программы (но удалить их не в состоянии).

Антиспамерское программное обеспечение:

блокирует вводящие в заблуждение, жульнические («рыболовные») схемы;
сокращает работу по фильтрации писем, уменьшая вероятность того, что пользователь случайно второпях активирует вирус, полученный по электронной почте.

Антивирусное программное обеспечение:

защищает систему от известных вирусов, червей и «троянцев», а также от новых инфекций (но гораздо менее эффективно);
не защищает систему от программ распространения рекламы (adware), шпионских программ и «угонщиков браузеров».

Антишпионское программное обеспечение:

защищает от программ класса adware, шпионских программ и «угонщиков браузеров», cookies-сканеров и других интернет-паразитов.

В идеале защита от нападений из интернета не должна быть многоуровневой. В почти идеальном случае можно было бы обойтись одним пакетом по обеспечению безопасности или хотя бы комплектом программ от одного производителя. К сожалению, ни один из протестированных пакетов не в состоянии достаточно надежно закрыть все уязвимые места. В частности, ни одним из них не обеспечивается надежное обнаружение и удаление шпионских программ.

В целом, лучшим из рассмотренных пакетов можно признать Trend Micro PC-cillin Internet Security 2004 — за лучший антивирусный сканер и один из лучших межсетевых экранов. В комбинации с бесплатным Spybot Search & Destroy он обеспечил бы достаточный уровень безопасности. А для усиления защиты от шпионских программ можно воспользоваться Lavasoft Ad-aware 6 Plus (все три программы хорошо сочетаются и работают без конфликтов).

Возможностей межсетевого экрана PC-cillin должно быть достаточно для большинства пользователей. Если же захочется чего-то покрепче, можно отключить межсетевой экран PC-cillin и установить Zone Labs ZoneAlarm Pro 4.5 (например, его упрощенную бесплатную версию).

К сожалению, ни один из рассмотренных пакетов не содержит по-настоящему надежной утилиты по борьбе со спамом. Так что придется устанавливать дополнительные продукты.

Задать вопрос
Прислать свою статью для публикации в журнале
Просто поговорить

До следующего выпуска!
Елена Полонская, редактор "К+П"
www.comizdat.com

Перепечатка материалов этой рассылки разрешается только по согласованию с редакцией журнала "Компьютеры+Программы"

http://subscribe.ru/
http://subscribe.ru/feedback/

Подписан адрес:
Код этой рассылки: comp.paper.bestarticles

Отписаться

В избранное

{#template MAIN} <div id="loginForm" style="display:none;" class="subscriberu_popup"> <div class="popup_register"> {#include js_tmpl_auth_reg_tab} {#if $P.login_register_tab == 1} <form class="authentication-form" method="post" action="/MEMBERLOGIN_authen_cred"> <dl class="rg_block_options"> <dt id="js_tap_panel_auth"> <h1>Войти на сайт</h1> {* {#include js_tmpl_auth_reg_button} *} {#include js_tmpl_auth_reg_action} <hr class="logreg_line noPhones"> <div class="logreg_descr noPhones"><p>{#include js_tmpl_auth_reg_descr} </p></div> <div class="logreg_advice noPhones"> Если вы еще не с нами, то начните с <a href="#" onclick="rgNav('js_tab_reg');return false;" class="dashed" data-func="registr">регистрации</a> </div> <br><br> <a class="dashed auth-enter" href="/manage/author/"><b>Вход для авторов</b></a> </dt> </dl> </form> {#/if} {#if $P.login_register_tab == 2} <div class="rg_block_options"> <div id="js_tap_panel_auth"> <h1>Регистрация</h1> <div class="social_reg"> {* <div class="rg_description">{#include js_tmpl_soc_auth_reg_descr}</div> *} {#include js_tmpl_auth_reg_soc} <div class="rg_soc_auth_agree">{#include js_tmpl_auth_reg_agree}</div> </div> <div class="subscribe_reg"> {* <div class="rg_description"> #include js_tmpl_auth_reg_descr </div> *} {#include js_tmpl_auth_reg_action} </div> {* {#include js_tmpl_auth_reg_button} *} <div class="clr"> </div> <hr class="logreg_line noPhones"> <div class="logreg_descr noPhones">{#include js_tmpl_auth_reg_descr} {#include js_tmpl_soc_auth_reg_descr} </div> </div> </div> {#/if} </div> {* <div class="gray_bg register_shadow"></div> *} </div> {#/template MAIN} {#template js_tmpl_auth_reg_tab} <ul class="rg_nav"> <li id="js_tab_auth" class="{#if $P.login_register_tab == 1} rg_active_nav {#/if} rg_first_nav"><a onclick="rgNav('js_tab_auth');return false;" href="">Вход на сайт</a></li> <li id="js_tab_reg" class="{#if $P.login_register_tab == 2} rg_active_nav {#/if}"><a onclick="rgNav('js_tab_reg');return false;" href="">Регистрация </a></li> </ul> <span onclick="hidebo();" class="rg_closed"> </span> {#/template js_tmpl_auth_reg_tab} {#template js_tmpl_auth_reg_action} {#if $P.login_register_tab == 1} {#include js_tmpl_auth_reg_soc} {#/if} <div class="rg_forms"> <input type="hidden" id="login_register_destination" value="{$P.login_register_destination}"/> {#if $P.login_register_tab == 1} <div class="rg_for_input"> <span class="rg_text_inner">E-mail или код подписчика</span> <input id="credential_0" class="js_keydown_selector rg_input_text" data-js_submit="no" data-js_next_input_name="credential_1" name="" type="text" /> </div> <div class="rg_for_input"> <span class="rg_text_inner">Пароль</span> <input id="credential_1" class="js_keydown_selector rg_input_text" data-js_submit="yes" data-js_action="js_loginFormBut" name="" type="password" onkeyup="showAttention(this,!!window.event.shiftKey)" /> <span class="pswd_attention" id="attention_pswd"> <span class="icon_attention"></span> <span class="pswd_attention-text" id="attention-text_pswd1">Русская раскладка клавиатуры!</span> <span class="pswd_attention-text" id="attention-text_pswd2">У вас включен Caps Lock!</span> <span class="pswd_attention-text" id="attention-text_pswd3">У вас включен Caps Lock и русская раскладка клавиатуры!</span> </span> </div> <div class="rg_for_input input-alien"> <span class="chk noPhones"><input id="chk_alien" name="" type="checkbox" /></span><label for="chk_alien" class="noPhones"> Чужой компьютер</label> <a class="forgot_pass" href="/member/totalrecall">Забыли пароль?</a> </div> <div class="rg_for_input"> <em id="auth_msg" class="reg_error"></em> <input id="lf_typeauthid" value="email" type="hidden"> <input type="submit" class="button button-red logreg_submit" id="js_loginFormBut" value="Войти">  <div class="loading loading-cover" style="display: none;"><div class="loader"></div></div> </div> {#/if} {#if $P.login_register_tab == 2} <div class="rg_for_input"> <span class="rg_text_inner">E-mail</span> <input id="arfemail" class="js_keydown_selector rg_input_text" name="" type="text" data-js_submit="yes" data-js_action="js_regFormBut"/> </div> <div class="rg_for_input rg_set_lineh rg_for_input_wide"> <label class="js_tap_panel_checkbox"> <span class="chk"><input name="" id='js_tap_panel_checkbox_terms' type="checkbox" data-js_submit="yes" /></span> Я ознакомился и согласен с <a class="link_txd logreg_accLink" href="/faq/vereinbarung.html">условиями сервиса Subscribe.ru</a> </label> <br /> <label class="js_tap_panel_checkbox"> <span class="chk"><input name="" id='js_tap_panel_checkbox_personal' type="checkbox" data-js_submit="yes" /></span> Нажимая на кнопку "Готово!", я даю <a class="link_txd logreg_accLink" href="/faq/persverordnung.html">согласие на обработку персональных данных</a> </label> </div> {* <div style="float: left;position: absolute;left: 11em;"> <img src="http://www.kupivip.ru/images/vip/logo.png?1604" style="width: 86px; vertical-align: middle;display: block;"> </div> <div class="rg_for_input rg_set_lineh"> <label class="js_tap_panel_checkbox"><input name="" id="js_tap_panel_checkbox_kupivip" type="checkbox" data-js_submit="yes"> Я хочу получать новости о скидках на одежду</label> </div> *} <div class="rg_for_input"> <em id="reg_msg" class="reg_error rg_for_input_wide"></em> <em id="reg_msg2" class="reg_error rg_for_input_wide"></em> <input id="rf_typeauthid" value="email" type="hidden"> <a class="button button-red logreg_submit" id="js_regFormBut" href="#">Готово!</a> <div class="loading loading-cover" style="display: none;"><div class="loader"></div></div> </div> {#/if} </div> {#/template js_tmpl_auth_reg_action} {#template js_tmpl_auth_reg_agree} <div class="rg_for_input rg_set_lineh rg_for_input_wide"> <label class="js_tap_panel_checkbox"> <span class="chk"><input name="" id='js_tap_panel_checkbox_terms_reg' type="checkbox" data-js_submit="yes" /></span> Я ознакомился и согласен с <a class="link_txd logreg_accLink" href="/faq/vereinbarung.html">условиями сервиса Subscribe.ru</a></label> <em id="reg_msg_soc" class="reg_error rg_for_input_wide"></em> </div> {#/template js_tmpl_auth_reg_agree} {#template js_tmpl_auth_reg_button} <div class="rg_butons_socials"> {#if $P.login_register_tab == 1} <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="auth_email" href="#"><span><i></i>Email</span></a> <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="auth_openid" href="#"><span><i></i>OpenID</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="auth_vkontakte" href="#"><span><i></i>Вконтакте</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="auth_mailru" href="#"><span><i></i>Mail.Ru</span></a> {#/if} {#if $P.login_register_tab == 2} <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="reg_email" href="#"><span><i></i>Email</span></a> <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="reg_openid" href="#"><span><i></i>OpenID</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="reg_vkontakte" href="#"><span><i></i>Вконтакте</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="reg_mailru" href="#"><span><i></i>Mail.Ru</span></a> {#/if} </div> {#/template js_tmpl_auth_reg_button} {#template js_tmpl_auth_reg_descr} {#if $P.login_register_tab == 1} Для оформления подписки на выбранную рассылку, работы с интересующей вас группой или доступа в нужный вам раздел, просим авторизоваться на Subscribe.ru {#/if} {#if $P.login_register_tab == 2} Для регистрации укажите ваш e-mail адрес. Адрес должен быть действующим, на него сразу после регистрации будет отправлено письмо с инструкциями и кодом подтверждения. {#/if} {#/template js_tmpl_auth_reg_descr} {#template js_tmpl_soc_auth_reg_descr} Или зарегистрируйтесь через социальную сеть. {#/template js_tmpl_soc_auth_reg_descr} {#template js_tmpl_auth_reg_soc} <div class="rg_soc"> {#if $P.login_register_tab == 1} <a onclick="return _checkSocConfirm(event)" href="https://oauth.vk.com/authorize?client_id=3954260&scope=wall,offline,photos,groups,video,audio,email&redirect_uri={location.protocol+'//'+location.host}/member/login/vk/&response_type=code&v=5.15" class="login_register_vk_button"> <span class="login_register_vk_icon"></span> </a> {#/if} {#if $P.login_register_tab == 2} <a onclick="return _checkSocConfirm(event)" href="https://oauth.vk.com/authorize?client_id=3954260&scope=wall,offline,photos,groups,video,audio,email&redirect_uri={location.protocol+'//'+location.host}/member/join/vk&response_type=code&v=5.15" class="login_register_vk_button"> <span class="login_register_vk_icon"></span> </a> {#/if} </div> {#/template js_tmpl_auth_reg_soc}

{#template MAIN} <div id="loginForm" style="display:none;" class="subscriberu_popup"> <div class="popup_register"> {#include js_tmpl_auth_reg_tab} <dl class="rg_block_options"> <dt id="js_tap_panel_auth"> <p class="rg_description">{#include js_tmpl_auth_reg_descr}</p> <div class="clr"> </div> {#include js_tmpl_auth_reg_action} <div class="clr"> </div> </dt> </dl> </div>  </div> {#/template MAIN} {#template js_tmpl_auth_reg_tab} <ul class="rg_nav"> <li id="js_tab_reg" class="rg_active_nav rg_first_nav"><a href="" onclick="return false;" >Регистрация</a></li> </ul> <span onclick="hidebo();" class="rg_closed"> </span> {#/template js_tmpl_auth_reg_tab} {#template js_tmpl_auth_reg_descr} <strong>Пожалуйста, подтвердите ваш адрес.</strong><br><br>Вам отправлено письмо для подтверждения вашего адреса {$P.register_confirm_mail}.<br>Для подтверждения адреса перейдите по ссылке из этого письма. {#/template js_tmpl_auth_reg_descr} {#template js_tmpl_auth_reg_action} <div class="rg_forms confirm_code_from_letter"> <div class="rg_for_input"> <span class="rg_inp_descr" style="width:15em;">Или введите код из письма:</span> <input type="text" value="" id="confirm_code" name="" data-js_submit="yes" data-js_action="js_confirmFormBut" class="js_keydown_selector rg_input_text_conf" > </div> <div class="rg_for_input"><label>Не пришло письмо? <b>Пожалуйста, проверьте папку Спам</b><br /> (папку для нежелательной почты).</label><br /> <a href="" onclick="ajax_recall_code();return false" >Вышлите мне письмо еще раз!</a></div> <div class="rg_for_input"> <em class="reg_error" id="confirm_msg"></em> <a href="#" class="button button-red" id="js_confirmFormBut">Готово</a> <div class="loading loading-cover" style="display: none;"><div class="loader"></div></div> <br> </div> </div> {#/template js_tmpl_auth_reg_action}

← Октябрь 2004 →

18 18.10.2004 14:01:28 21:01:22