16 Апреля 2005

«Реактивный» двигатель NOD32

«Реактивный» двигатель NOD32

Евгений Яворских, Upgrade
16 апреля 2005 года


Стереотипность мышления свойственна многим пользователям ПК, раз и навсегда выбравших тот или иной софтверный продукт. Подавляющее большинство использует два-три антивирусных приложения, названия которых у всех на слуху. Да, эти программы имеют заслуженную популярность, равно как и недостатки, знакомые тем, кто использует подобный «звездный» софт: один продукт грешит ощутимым воздействием на систему, другой имеет огромный дистрибутив и напрочь отказывается общаться на русском языке. Попробуем разобраться не в том, насколько оправдана подобная «звездность» (тем более что совсем недавно мы уже писали и об Антивирусе Касперского, и о Norton Antivirus), а насколько действенными и функциональными окажутся альтернативные продукты для борьбы с компьютерной заразой.

Основные критерии, по которым будет проводиться оценка антивирусов: наличие инструментов для восстановления инфицированного загрузочного сектора; эффективность нейтрализации макровирусов; наличие почтового сканера; возможность определения инфекции на начальной стадии при загрузке файлов из Сети; частота обновления вирусных баз и наличие возможности свободной загрузки оных с сайта разработчика; общая нагрузка на работу операционной системы и время сканирования разделов. В качестве полигона была использована мультисистемная конфигурация: Windows 98SE + Windows 2000 SP4 + Windows XP SP2. Для рабочего материала использовалась коллекция из 1200 вирусов.

NOD32

Продукт от чешской компании Eset Software ($39) имеет две разновидности: Standard (7,2 Мб) и Administrator (7,9 Мб); последняя позволяет создавать локальные зеркала обновлений антивирусных баз и программных компонентов. Причем, имеются два подвида NOD32: для линейки Windows 95/98/ME и NT/2000/2003/XP. Ознакомительные версии доступны на сайте разработчика. По окончании установки в системном лотке пропишется значок NOD32 Control Center, каковой является своеобразным «мозговым центром» программы, позволяя быстро переходить от одного модуля к другому (рис.1). Обновление антивирусных баз происходит автоматически, сразу после инсталляции NOD32 и перезапуска системы. Встроенный планировщик дает возможность гибко настроить периодичность проверки и загрузки обновлений, например, при каждом запуске компьютера. Обновления антивирусных сигнатур выходят один-два раза в сутки.


Рис.1. NOD32 Control Center - своеобразный «мозговой центр», позволяющий быстро переходить от одного модуля к другому.

Как уже говорилось, NOD32 имеет модульную структуру и содержит четыре главных компонента: AMON – резидентный антивирусный монитор; DMON, ведающий наблюдением за документами MS Office; IMON, проверяющий электронную почту и контент, загружаемый из Сети, а также сканер NOD32.

Вкладка POP3 окна настроек IMON содержит включенную опцию для безусловной проверки электронной почты и, помимо прочего, предлагает ставить отметку в тело вида «NOD32 1.869 (20040913) Information. This message was checked by NOD32 antivirus system. http://www.nod32.com». Для отключения бесплатной рекламы NOD32 следует отметить опцию No notification в секции Checked email adjustments. При обнаружении инфицированной корреспонденции тема такого письма будет заменена предупреждением, а NOD32, сигнализируя об опасности, предложит либо переименовать вложение, либо уничтожить опасное вложение (рис.2).


Рис.2. NOD32 обнаружил зараженное письмо.

При использовании NOD32 можно не опасаться за проверку файлов, загружаемых из Интернета - на вкладке HTTP окна настроек IMON по умолчанию включена опция Enable HTTP Checking, что означает проверку трафика, входящего по протоколу HTTP через порты 80, 8080 и 3128, причем, по умолчанию будут определено HTTP-соединение и по другим портам (Automatically detect HTTP communication on the others ports too). При обнаружении заразы в файле, который мы планируем загрузить из Сети (если быть точным – в кэше браузера), нас немедленно известят, предлагая «прибить» данное соединение (рис.3).


Рис.3. Дальше кэша браузера вирус не пройдет!

Четвертый модуль, обозначенный в окне Control Center как NOD32, является антивирусным сканером, запускаемым как при вызове данного модуля щелчком по значку NOD32 на Рабочем столе, так и командой NOD32 Antivirus system контекстного меню. По умолчанию предлагается сканирование все дисков компьютера, в том числе, и сетевых. Однако, мы советуем поставить флажки в некоторых переключателях вкладки Setup, например, проверку сканером архивов, почтовых файлов и файлов, упакованных специализированными программами. Другими словами, можно смело отметить все опции секции Objects to diagnose (рис.4). Ко всему прочему, NOD32 успешно борется с приложениями класса Riskware: Potentially dangerous applications. При изменении умолчальных параметров нам предложат сохранить измененный профиль настроек; то же самое можно (и нужно) сделать для редактирования профиля командной строки при сканировании объектов командой контекстного меню.


Рис.4. Включаем дополнительные объекты сканирования.

Теперь испытуемому будет предложено исправить загрузочную область диска, пораженную вирусами Stoned.A, Form.A и Nyb.B, с тремя упоминавшимися операционными системами. Лицензионный CD «коробочной» версии не является загрузочным, однако, с сайта разработчика можно скачать DOS-версию продукта, которая успешно справилась с задачей и вернула к жизни испорченную MBR.

Абсолютно все DOC-файлы, зараженные макровирусами, были успешно вылечены. Точно так же в течение трех дней тестирования NOD32 ни одно зараженное письмо не проникло на подопытный компьютер. Сканирование тестовой вирусной коллекции (см. выше) показало великолепный результат: все вирусы были распознаны адекватно.

Но самым главным преимуществом NOD32 перед конкурентами является практически незаметное влияние на быстродействие системы и высокая скорость сканирования: время проверки системного раздела объемом 2,2 Гб составило всего 190 секунд! И это – при максимально возможной «строгости» сканирования. Последующее сканирование разделов Антивирусом Касперского 5-й версии не выявила ни одного пропущенного вируса.

Из недостатков отметим лишь два: необходимость обновления антивирусных сигнатур исключительно через Интернет и отсутствие загрузочного механизма для проверки и лечения NTFS-разделов.

В целом же NOD32 можно смело рекомендовать пользователям любого уровня подготовки, в особенности, владельцам не очень мощных машин и с учетом скорого релиза русской сборки продукта.

«Реактивный» двигатель NOD32

Необычайная быстрота работы NOD32 является следствием того, что программа в процессе мониторинга и сканирования проверяет только те файлы, что представляют реальную опасность. Например, инфицированный файл с расширением *DAT, пришедший с письмом автору этих строк, невозможно запустить обычными средствами (в т.ч. и проигрывателями, воспроизводящими видеофайлы формата DAT), а, следовательно, нет причин для беспокойства. Кстати, вот что нам ответили в компании ESET по поводу инфицированного, но неопасного DAT-файла: «We don't detect files, which are not harmful and contain maybe some parts of viruses, which can not run». Другими словами, резидентный монитор NOD32 не определяет файлы, содержащие, возможно некоторые части вирусов, которые не могут выполняться, а, следовательно, не вредны.