02.11.2011 Автор: Евгений Яворских Версия для печати

Обзор антивирусных сканеров

Не станем перечислять все мыслимые источники заражения компьютера, а попробуем смоделировать ситуацию, когда операционная система загружается чудовищно долго, доступ к Интернету заблокирован, а установка антивирусных продуктов невозможна в силу деструктивных особенностей цифровой инфекции.


В случае если система вообще не загружается, используйте загрузочные носители с антивирусами — мы рассказывали об этих продуктах. Если Windows загружается хотя бы в безопасном режиме, все не так плохо — можно попытаться вылечить машину антивирусными сканерами, не требующими установки, а следовательно, без проблем запускающихся с внешних или оптических носителей. Главное отличие программ данного класса от полноценных антивирусов — отсутствие резидентной защиты и в большинстве случаев функции загрузки обновлений.

Дело в том, что разработчики предлагают для загрузки дистрибутивы «одноразовых» антивирусов с предустановленными сигнатурами, актуальными на момент скачивания продукта.

Антивирусные сканеры, о которых пойдет речь, готовы выполнить проверку системы или отдельных ее компонентов, а также иных дисковых разделов и, в зависимости от указанных вами настроек, либо уничтожить обнаруженную инфекцию (в дальнейшем — malware), либо переместить подозрительные файлы в карантинную папку.

Безусловное преимущество «одноразовых» антивирусов — бесплатный статус и отсутствие конфликтов с уже инсталлированными антивирусными продуктами. Очевидно, что функция загрузки обновлений антивирусных баз заслуживает высшей оценки. Если же на инфицированном компьютере заблокировано соединение с Интернетом, не забудьте скачать обновления на «чистой» машине и лишь после этого приступайте к лечению больного ПК.

 

«Антивирусная утилита AVZ» 4.35

Разработчики: Олег Зайцев и ЗАО «Лаборатория Касперского»

Веб-сайты: support.kaspersky.ru/faq/ ?qid=208635952, www.z-oleg.com

Размер дистрибутива: 6 Мбайт

Условия распространения: Freeware

Для работы с «Антивирусной утилитой AVZ» (AVZ) нужно всего лишь распаковать загруженный архив и в программном каталоге запустить файл avz.exe. Главная задача, выполняемая приложением, — обнаружение и удаление malware, входящих в категорию SpyWare и AdWare, то есть различных шпионских и рекламных модулей. AVZ поможет справиться с троянскими программами, руткитами, сетевыми и почтовыми червями, модулями BackDoor, TrojanSpy, TrojanDownloader, Trojan-Dropper, а также архаичными дозвонщиками на платные ресурсы.

В отличие от аналогов, AVZ умеет загружать обновленные сигнатуры: меню «Файл / Обновление баз». По умолчанию предлагается сканирование с использованием эвристического анализа. Кроме этого, AVZ готова проверять запущенные процессы и находить потенциальные уязвимости системы. Обратите внимание на чекбокс «Выполнять лечение» в разделе «Методика лечения», отключенный изначально: перед проверкой обязательно активируйте данную опцию (мы не советуем отказываться от параметров лечения, предлагаемых по умолчанию).

Для опытных пользователей представлено большое число дополнительных инструментов, в том числе набор скриптов, менеджер файла Hosts (подробнее о свойствах этого файла во врезке) и менеджер автозапуска (меню «Сервис»), а также инструмент AVZGuard, базирующийся на драйвере KernelMode, разграничивающем доступ запущенных приложений к системе. AVZGuard поможет справиться с malware, активно сопротивляющимися процедуре лечения компьютера. Еще одно программное достоинство — подробная инструкция для работы со скриптами на сайте разработчиков.

 

eScan Antivirus Toolkit Utility 12.0.166

Разработчик: MicroWorld Technologies Inc.

Веб-сайт: www.escan.com/34/escan-antivirus-toolkit-utility-mwav

Размер дистрибутива: 122 Мбайт

Условия распространения: Freeware

Несмотря на то что установочный файл был загружен в начале сентября, набор антивирусных баз датирован 29 апреля с.г. Так что первым делом загрузите обновленные сигнатуры (кнопка Update).

По умолчанию включены опции проверки оперативной памяти, запущенных процессов, системных папок, реестра и компонентов автозапуска. Программа считает необходимым сканировать абсолютно все файлы на всех дисковых разделах.

Мы же полагаем достаточной проверку системного раздела (чекбокс Drive) с включенной функцией Scan Spyware. При желании можно указать конкретные области проверки (чекбоксы Folder и Program Files), причем доступен выбор файлов по маске. Мы не думаем, что вас устроит голая проверка без конкретных результатов, поэтому рекомендуем не включать чекбокс Scan Only и приступать к проверке и уничтожению malware нажатием кнопки Scan & Clean. Настройки сканирования отсутствуют, зато к вашим услугам модуль сетевой активности (кнопка View Network Activity) и создание отчетов по результатам проверки.

 

Dr.Web CureIt! 6.0.11.07112

Разработчик: ООО «Доктор Веб»

Веб-сайт: www.freedrweb.com/cureit

Размер дистрибутива: 72,6 Мбайт

Условия распространения: Free for noncommercial use

Данный продукт вполне заслуживает оценки «Hard'n'Soft рекомендует», несмотря на неимоверно занудливую процедуру заполнения анкеты при каждой загрузке продукта. Дело в том, что Dr.Web CureIt! не умеет загружать обновленные сигнатуры. Самые актуальные базы уже входят в поставку сканера, а опция «Обновить» в программной заставке откроет вебстраницу с уже знакомой анкетой.

При каждом старте программа запускается в режиме усиленной защиты, что позволит обойти козни некоторых mal-ware, блокирующих работу антивирусных продуктов. По умолчанию используется режим «Быстрая проверка», в ходе которой сканируются основные системные объекты.

Эвристический анализ включен по умолчанию (меню «Настройки / Изменить настройки / Проверка»), для экономии времени и ресурсов архивные файлы не проверяются, зато все остальные подлежат сканированию. Кроме «Быстрой проверки» доступны режимы «Полная проверка» и «Выборочно».

 

F-Secure Easy Clean 1.1.16110.0

Разработчик: F-Secure Corporation

Веб-сайт: www.f-secure.com/en_EMEA-Labs/ security-threats/tools/easy-clean

Размер дистрибутива: 134 Мбайт

Условия распространения: Freeware

Разработчики настоятельно рекомендуют запускать этот сканер с правами администратора. После принятия условий лицензионного соглашения нам предложили отключить имеющуюся антивирусную программу и сохранить важные файлы.

В интерфейсе нет и намека на настройки или справочный файл — все данные о программе мы нашли на веб-странице продукта. Со слов девелоперов, в первую очередь проверяется наличие руткитов — зловредов, скрывающих присутствие в системе других malware. При обнаружении руткитов система будет перезагружена, после чего запустится процедура лечения.

К сожалению, мы не можем рассказать о программных действиях при детектировании malware — намеренно заражать операционную систему тестовой машины у нас нет ни малейшего желания, ведь это не только опасно для данных, но еще и противозаконно. Отметим лишь, что процесс сканирования сопровождается комментариями о проверке на тот или иной вид malware, после чего программа извещает о результатах сканирования. Функция загрузки обновленных сигнатур отсутствует, а тестируемый файл, загруженный в начале сентября с.г., снабжен цифровой подписью от 11 августа. Из этого мы делаем вывод об изрядно устаревших сигнатурах.

 

Kaspersky Virus Removal Tool 2011 11.0.0.1245

Разработчик: ЗАО «Лаборатория Касперского»

Веб-сайт: support.kaspersky.ru/viruses/avptool2011

Размер дистрибутива: 100 Мбайт

Условия распространения: Freeware

Чтобы пользователь не тешил себя иллюзиями, в главном окне ему сообщают, что-де Kaspersky Virus Removal Tool не обеспечивает полноценную защиту компьютера — еще раз напомним, что мы рассматриваем антивирусные сканеры с предустановленным набором сигнатур.

Можете запускать проверку сразу, но в этом случае осуществляется тестирование лишь загрузочных секторов, объектов автозапуска и оперативной памяти — включите хотя бы чекбокс напротив системного раздела в программных настройках («Область проверки»). Изначально включено сканирование всех файлов (вкладка «Действия»), а на вкладке «Дополнительно» вас ждут три уровня эвристического анализа. Поиск рут-китов включен по умолчанию, а для самых непредсказуемых случаев системного поведения предусмотрен «Углубленный анализ».

При детектировании mal-ware программа станет всякий раз запрашивать ваше решение, но мы советуем в разделе «Действие» активировать опцию «Выполнять действие», предлагающую два параметра: «Лечить» и «Удалять, если лечение невозможно». Коль скоро автоматический режим проверки не при- нес успеха, попробуйте «Лечение вручную»: в этом случае будут собраны сведения о системе и драйверах машины, после чего в дело вступит фирменная «Антивирусная служба 911» (kaspersky-911.ru).

 

Microsoft Safety Scanner 1.0.3001.0

Разработчик: Microsoft

Веб-сайт: www.microsoft.com/security/scanner/ru-ru

Размер дистрибутива: 70,7 Мбайт

Условия распространения: бесплатна для пользователей MS Windows

При каждом запуске вам будут напоминать, как и в случае с Kaspersky Virus Removal Tool, что данный продукт не заменяет собой решения для защиты от malware. Предлагаются три вариации проверки: «Быстрая» (сканируются системные области, наиболее подверженные воздействию malware), «Полная» (процесс может длиться несколько часов) и «Выборочная» (нужные области указываются самостоятельно). Фактически перед нами системное «Средство удаления вредоносных программ Microsoft Windows», но, судя по размеру дистрибутива, содержащее куда большее число антивирусных сигнатур. Настройки отсутствуют, а в случае обнаружения malware в режиме «Быстрой проверки», поступит запрос на выполнение «Полной проверки». Продукт не конфликтует с другими установленными программами. Вот и все таланты.

 

McAfee Fake Alert Stinger 10.2.0.267

Разработчик: McAfee Inc.

Веб-сайт: www.mcafee.com/apps/free-tools/termso-fuse.aspx?url=/us/downloads/free-tools/stinger.aspx

Размер дистрибутива: 6,62 Мбайт

Условия распространения: Freeware

Интересно, на что рассчитывали разработчики, предлагая свое решение с числом антивирусных записей 2686, выпущенных 30 августа с.г. (мы загрузили файл 5 сентября). С какими разновидностями malware умеет бороться эта крохотуля, нам неведомо (хотя, судя по названию, сканер призван выявлять вредоносы, выдающие себя за антивирусы), известно лишь, что авторы продукта советуют отключить функцию восстановления системы на время сканирования, чтобы этот самый «стингер» смог обезвредить содержимое папки с компонентами для реанимации Windows.

По умолчанию проверяются запущенные процессы и реестр (сканирование загрузочных секторов отключено по умолчанию). Изначально предлагается лечение malware, но при желании доступны функции переименования и удаления. Сканируются все файлы, но режим Super Scan лично для нас так и остался загадкой.

 

Norman Malware Cleaner 2.02.01

Разработчик: Norman ASA

Веб-сайт: www.norman.com/downloads/ malware_cleaner

Размер дистрибутива: 129 Мбайт

Условия распространения: Freeware

Разработчики из компании Norman ASA выпускают новые сборки продукта ежедневно: в нашем случае версия, загруженная за пять дней до подготовки настоящего материала, отказалась проверять компьютер, потребовав скачать актуальную версию.

На вкладке Options программного окна советуем включить чекбокс Enable FakeAV scanning для борьбы с псевдоантивирусами и принять к сведению, что программа выявит потенциально опасные приложения. Из четырех предлагаемых режимов проверки — Quick, Normal, Full и Custom — для двух первых не помешали бы более подробные пояснения о проверяемых объектах вместо безликих строчек Scan the computer for active malware и Scan the most common files.

В нашем случае сканер выявил отключенные оповещения центра безопасности Windows, трактуя это как Malicious objects. Недостаток, перечеркивающий все достоинства, — отказ работать в безопасном режиме. А как быть, если в обычном режиме система не загружается?

 

ClamWin Free Antivirus 0.97.2

Разработчик: ClamWin Pty Ltd.

Веб-сайт: ru.clamwin.com

Размер дистрибутива: 7,14 Мбайт

Условия распространения: Open Source

Мы условились, что будем рассматривать антивирусные сканеры, не требующие установки. На сайте данного продукта, который, несмотря на название, является всего лишь сканером по требованию, предлагается только инсталлятор. Однако на portableapps.com/ apps/security вас ждет portable-сборка, запускающаяся с любого носителя. После распаковки файла, который на момент написания данной статьи именовался ClamWinPortable_0.97.2_English.paf.exe, и загрузки обновленных сигнатур (предложение о которой делают при первом запуске) размер программной папки составил не менее 54 Мбайт.

Обратите внимание на параметры вкладки General программных настроек (меню Tools/Preferences): в секции Infected Files по умолчанию предлагается только информировать пользователя о найденных malware. На наш взгляд, целесообразно включить либо функцию уничтожения (Remove), либо перемещения в карантинную папку. Обнаруженные зловреды изначально будут выгружены из памяти. Предлагаются фильтрация файлов по маске, извлечение макросов из документов MS Office, а также поддержка прокси и отправка сообщений по e-mail.

 

Вместо заключения

Наш главный вывод таков: рынок продуктов для безопасности компьютеров давным-давно устоялся, а чудес, как известно, почти не бывает — лидеры остаются лидерами. Не станем гадать, но вряд ли зарубежные продукты знакомы с национальной российской «забавой», причисленной к категории «блокировщики Windows». Зато нам доподлинно известно, что отечественные сканеры Dr.Web CureIt и Kaspersky Virus Removal Tool отменно справляются с этой напастью (не забывайте об онлайн-реше-ниях этих компаний).

 

Сам себе блокировщик

История знавала случаи, когда после удаления деструктивных приложений переставали открываться многие веб-ресурсы. Причина такого «саботажа» известна опытным пользователям — это записи в файле hosts (без расширения), расположенного в каталоге \Windows\ system32\drivers\etc. Для просмотра содержимого hosts можно использовать системный «Блокнот».

По умолчанию в hosts присутствует только одна запись — 127.0.0.1 localhost. Вы не поверите, но сеть может состоять из единственного компьютера, причем ваша машина не исключение. Диапазон адресов от 127.0.0.1 до 127.255.255.255 резервируется именно для такой сети, называемой локальным хостом. Легитимные записи с определенными параметрами в таком файле позволяют ускоренно обращаться к определенным веб-ресурсам, но очень часто деструктивные программы изменяют содержимое hosts таким образом, что доступ к определенным сайтам становится либо невозможен, либо при вводе URL вы попадаете вовсе не туда, куда хотели.

Лечение сводится к удалению всех записей, кроме 127.0.0.1 localhost. Для вящей безопасности установите для файла hosts атрибут «Только для чтения». К слову, файл hosts можно использовать как действенное средство родительского контроля, но это уже другая история.