Wirusy zmieniają techniki ataku w zawrotnym tempie, lecz producenci programów antywirusowych trzymają rękę na pulsie. W efekcie, w aplikacjach antywirusowych pojawia się coraz więcej wyszukanych mechanizmów.
Jeszcze kilka lat temu działanie programów antywirusowych sprowadzało się do szukania w skanowanych plikach sekwencji wskazujących na przyklejonego bakcyla.
Choć i dziś jest to podstawą tropienia „wrednego kodu”, rosnąca złożoność wirusów sprawiła, że aplikacje antywirusowe coraz wyraźniej zmierzają w stronę zintegrowanych pakietów, które są zdolne już nie tylko do leczenia zainfekowanych zasobów, lecz także do szeroko rozumianej prewencji.
Ekspansja możliwości
Metody zapobiegania infekcjom rozwijają się w kilku niezależnych kierunkach. Po pierwsze skanery potrafią wykrywać coraz więcej wirusów. To oczywiste, ponieważ każdy choć raz przyłapany na gorącym uczynku szkodnik na zawsze trafia do sieciowych kartotek. Są nimi ogromne bazy danych prowadzone przez firmy produkujące oprogramowanie antywirusowe.
Bardzo dynamicznie zmienia się też zakres przeszukiwanych zasobów. Kiedyś były to wyłącznie pliki, dziś dobry program antywirusowy radzi sobie z przeglądaniem poczty, przeczesuje skompresowane archiwa, sprawdza rejestr, a nawet, tak jak w przypadku programu Norton Antivirus 2006, nadzoruje połączenie z siecią.
Aplikacje AV stosują też coraz to nowe techniki poszukiwań. Na przykład metody heurystyczne pozwalają na wykrycie wirusów nigdy wcześniej nie rejestrowanych. Kwalifikacja odbywa się na podstawie charakterystycznych wzorców w strukturze kodu.
Jeszcze dalej idzie technologia Trueprevent, którą zastosowano w Panda Titanium 2006. Jest to metoda behawioralna, czyli badająca nie tyle budowę wirusa, ile jego zachowanie w pamięci. Jeśli określony proces zaczyna działać jak typowy wirus, na przykład próbując uruchomić serwer plików czy rozsyłać e-maile, Panda wykrywa to i neutralizuje intruza.
W stronę bezpieczeństwa
Coraz częściej zdarza się, że programy antywirusowe zostają dozbrojone w funkcje specyficzne dla pakietów typu Internet Security. Są nimi na przykład w pełni funkcjonalne firewalle albo ich odmiany wyspecjalizowane tylko w wykrywaniu intruzów.
Te ostatnie noszą wspólną nazwę Intrusion Detection System, a ich główne zadanie polega na reagowaniu na podejrzane żądania z sieci oraz zapobieganiu próbom ingerencji w system operacyjny.
Inne, powszechne dziś dodatki to moduły wykrywające dialery oraz programy szpiegujące. Czasami, tak jak w aplikacjach Mks_Vir 2005 czy ArcaVir 2006, występuje oddzielny moduł przeznaczony do sprawdzania i monitorowania rejestru.
ArcaVir jest wyposażony w moduł wykrywający próby wyłudzenia poufnych informacji. Działalność ta nazywa się phishing i polega między innymi na wysyłaniu fałszywych e-maili, które sugerują, że pochodzą z banku albo internetowego domu akcyjnego, takiego jak eBay czy Allegro.
Cena za postęp
Kolejną widoczną zmianą w aplikacjach antywirusowych jest wzrost apetytu na zasoby. Absolutnym rekordzistą wśród prezentowanych programów jest Norton Antivirus 2006. Aplikacja przypomina amerykański krążowniki szos z czasów przed kryzysem paliwowym – świetne osiągi, ale do pracy potrzeba ma raczej superkomputera w typie Cray, niż zwykłego peceta.
Niewiele lepiej pod tym względem prezentuje się Panda Titanium 2006. Wyposażono ją co prawda w wiele użytecznych dodatków, ale ceną za to jest wyraźnie spowolnienie pracy systemu operacyjnego.
Jeśli chodzi o szybkość, to miłym zaskoczeniem jest rodzimy mks_vir 2005 – bogaty w funkcje dodatkowe, a jednocześnie elastyczny i łatwo dostosowujący się do szybkości procesora. Podobnie gładko działa Kaspersky w wersji 5.0 oraz większość aplikacji typu freeware. W tych ostatnich jednak odpowiada za to nie tyle dobra technologia, co raczej jej brak – są po prostu skromnie wyposażone w dodatki, co owocuje mniejszą konsumpcją zasobów.
Kupić, nie kupić?
Jeśli prowadzimy firmę, to szkody wynikłe z działalności destrukcyjnego wirusa albo ataku hakera mogą przełożyć się na wymierne straty finansowe. Dlatego w takim przypadku kalkuluje się zakup dobrego programu antywirusowego.
Co prawda roczny abonament waha się, w zależności od firmy, od 120 do 250 złotych, ale jeśli uchroni to przed znacznie kosztowniejszą utratą danych bądź cennego projektu, to wydatek może się opłacić. Wcześniej jednak warto sięgnąć po pełnowartościową, ograniczoną czasowo wersję demo. Udostępnia ją prawie każdy z wytwórców.
Wstępne przymiarki są ważne, ponieważ po instalacji może się okazać, że mamy zbyt słaby komputer, aby w pełni wykorzystać możliwości zakupionego programu.
Przegląd najlepiej zacząć od aplikacji darmowych. Może się okazać, że całkowicie spełniają nasze oczekiwania. Nie najlepiej pod względem możliwości prezentuje się ClamWin Free Antivirus – działa wolno i potrafi jedynie skanować określone katalogi. Do tego brak mu polskiego interfejsu. Ma go natomiast avast! Home Edition 4.6, razem z wbudowanym monitorem antywirusowym. Jeszcze lepiej pod względem możliwości wypada AVG Free Edition 7.1, więc jeśli nie przeszkadza nam angielskie menu, może to być całkiem trafiony wybór.
mks_vir kontra ArcaBit
Trzon specjalistów polskiej firmy ArcaBit wywodzi się z firmy mks_vir. Dlatego najnowsze produkty obu firm: mks_vir 2005 oraz ArcaVir 2006 mogą wydawać się zbliżone. Jednak Grzegorz Michałek, programista ArcaBit wskazuje na wyraźne różnice.
Grzegorz Michałek: Przede wszystkim obydwa skanery różni silnik, czyli główny napęd aplikacji. W naszej wersji składa się on z niezależnych modułów, które pasują do siebie jak klocki lego. Dlatego łatwiej się go uaktualnia i konserwuje. Ważny jest też system wykrywania rootkitów, czyli obiektów, które potrafi przeoczyć większość współczesnych aplikacji AV. ArcaVir ma też własny moduł antyspamowy oraz blok wykrywający phishing.
