Результат будет одним и тем же — появится окно программных настроек. По умолчанию файловый антивирус, проверяющий файлы на диске в момент обращения к ним, при обнаружении опасности станет спрашивать нас, каким образом распорядиться судьбой подозрительного «субъекта». Если вы знакомы с именами наиболее «популярных» вирусов, то вряд ли ошибетесь в выборе. С другой стороны, можно автоматизировать процесс борьбы с заразой, включив параметр «Заблокировать доступ» в секции «Действие» — антивирус попытается вылечить инфицированный файл, а если это окажется невозможным, уничтожит источник опасности.
Однако большинство дополнительных параметров любого компонента скрыты под кнопкой «Настройки» (рис. 12).
По умолчанию файловый антивирус не станет «бдить» за архивами и пакетами инсталляции17(все равно при распаковке подобных архивов все будет проверено досконально). Если вас интересует содержимое вкладки «Область защиты» в окне настройки компонентов, программа предложит проверять абсолютно все диски, включая сетевые.
«Почтовый Антивирус» умеет встраиваться не только в системные «почтовики» (MS Outlook и Outlook Express), но и в программу The Bat!18, контролируя трафик по протоколам POP3, SMTP, IMAP и NNTP19. Здесь условия более жесткие: «умолчальная» проверка исходящих и входящих писем плюс мониторинг абсолютно всех файлов — не забалуешь (рис. 13).
Наконец-то в новой версии программы появился компонент, контролирующий HTTP-трафик, что позволит не только избавляться от вирусов при загрузке файлов из Сети, но и блокировать вредоносные скрипты в системном браузере. Давайте попробуем скачать некий «хитрый» файл из Интернета и посмотрим на реакцию антивируса. Враг не прошел — рис. 14.
Нам лишь остается решить судьбу инфицированного архива, тем более что Веб-Антивирус доложил о возможности успешного лечения.
Не следует бояться столь «заумного» названия, равно как и «мониторинга системного реестра». Дело в том, что технологии, на которых построена «Проактивная защита», позволяют избежать потери времени и обезвредить новую угрозу еще до того, как она нанесет вред компьютеру. В отличие от реактивных технологий, где выполняется анализ кода20, превентивные технологии распознают новую угрозу, выявляя последовательность действий, выполняемых каким-либо приложением или задачей. В поставку Kaspersky Internet Security Suite Personal 2006 включен набор критериев, позволяющих определять уровень опасной активности.
Если активность приложения напоминает действия, характерные для вредоносной активности, оно сразу же классифицируется как опасное, и к нему применяются меры, описанные в соответствующем правиле. К опасной активности, например, относятся изменения файловой системы, ключей системного реестра Windows, скрытие процессов и встраивание модулей в другие процессы.
Теперь посмотрим, как это работает — достаточно запустить всем известный мессенджер ICQ. Модуль проактивной защиты немедленно обратит наше внимание на то, что «некое» приложение ICQLite.exe, расположенное в каталоге C:\Program Files\ICQLite, жаждет обратиться к разделу реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce (рис. 15).
Если вы не поленитесь и просмотрите содержимое данного раздела в «Редакторе реестра» (кнопка Пуск» Выполнить» regedit), то обнаружите строковый параметр ICQ Lite со значением C:\Program Files\ ICQLite\ICQLite.exe -trayboot. Как видите, в данном (да и во многих других) случае обращение программ к системному реестру не представляет опасности. Но будьте бдительны, если название приложения или процесса вам незнакомо.
Анти-спамерский модуль, входивший в поставку Kaspersky Personal Security Suite 1.0, тоже был далек от идеала — только размер первого обновления составлял около 6 Мбайт! Да и эффективность определения российского спама была, мягко говоря, невысока. Ко всему прочему, он интегрировался только в почтовые клиенты от Microsoft (Outlook и Outlook Express).
Для пользователей, работающих с альтернативными почтовыми клиентами, предлагалось создание правил, предоставляемых сторонними почтовиками. Например, в The Bat! приходилось открывать меню Ящик» Настройка сортировщика писем, и в разделе Incoming messages популярно объяснять «летучей мыши», что она должна делать с письмами, содержащими в теме письма фирменную метку [!!SPAM] (именно так «клеймит» спамерские письма приложение от Касперского).
К сожалению, первая версия «Анти-спама» не позволяла просматривать заголовки писем на почтовом сервере — пользователь был вынужден загружать всю корреспонденцию на ПК, и лишь затем программа начинала сортировать почту на «белую» и «черную».
Данный модуль позволяет защититься от всплывающих окон («Включить Анти-рекламу»), от назойливых баннеров («Включить Анти-Баннер»), попыток дозвона на платные номера («Включить Анти-Дозвон») и так называемых фишинг-атак21(рис. 16).
Суть последней напасти — в том, что посредством спамерских писем злоумышленники заманивают доверчивых состоятельных граждан на веб-ресурсы, очень похожие на сайты электронной коммерции различных фирм и банков. Подчас такие сайты — клоны известных пользователю страниц, полностью контролируемые мошенниками. А пользователь, ничего не подозревая, оставляет на сайте нужную злоумышленникам информацию: пароли, номера карт социального обеспечения, банковских счетов или кредитных карт22.
Для «Анти-рекламы», «Анти-Баннера» и «Анти-Дозвона» существуют настройки, в которых можно указать доверенные сайты или телефонные номера, но, разумеется, никаких дополнительных настроек для «Анти-фишинга» не может быть по определению…
После установки программного пакета «Анти-Спам» интегрируется в системные почтовые клиенты, а также в The Bat!. Работа с этим компонентом в среде Outlook Express чрезвычайно проста: в панели программы появляются три дополнительные кнопки: «Спам», «Не спам» и «Настройки» (рис. 17).
В настройках в списке «Спам» настоятельно рекомендую выбрать параметр «Удалить» (рис. 18) -
17 Также являющиеся, в своем роде, архивными файлами.
18 Напомню, восклицательный знак в названии программы придумали разработчики.
19 Аббревиатура от Network News Transfer Protocol (протокол передачи новостей по Сети).
20 Например, при сканировании файлов, используя записи в антивирусных сигнатурах.
21 Phishing — одна из форм сетевого мошенничества.
22 Обычно предлогом для предоставления этой информации является обновление данных учетной записи пользователя.