Первая версия Doctor Web появилась еще в 1992 году. Я до сих пор помню, как словил свою первую заразу, а потом лечил ее запущенным с дискеты «вебом», фанатея от того, как он управляется с вирусом. Тогда это все казалось чем-то фантастическим. Но и сегодня, когда на рынке доступна масса антивирусных решений, продукты Dr.Web остаются одними из лидеров отрасли.

По правде говоря, с антивирусными решениями я не экспериментировал довольно давно. Перебиваясь бесплатными программами и своевременными апдейтами, проблем я долгое время не знал. Если бы не дело случая, то и знакомства с последней версией Dr.Web вероятно и не было.

Для хранения файлов в Сети я уже давно использую замечательный сервис от Яндекса — Яндекс.Диск, который теперь интегрирован в старый добрый «Народ.ру». Залив в один прекрасный день архив с хорошо знакомым мне бинарником, я увидел сообщение, что файл инфицирован. Ручной анализ показал, что в исполняемый файл действительно был хитро заджоинен троян, при этом установленные на моей машине сканеры заразы не обнаружили. Оказалось, что для антивирусной проверки Яндекс использует решения от «Доктор Веб»: им проверяется как вся корреспонденция их почтового сервера, так и файлы на «народном» хостинге. С чего такая любовь? У меня был положительный опыт использования бесплатной утилиты Dr.Web CureIt!, которая за последнее время выручала меня не раз. Но посмотреть, на что способен полноценный Dr.Web, было, по меньшей мере, любопытно.

 

Технологии самозащиты

Для теста я скачал демо-версию самого топового продукта для домашнего пользователя — Dr.Web Security Space Pro, представляющего собой комбайн из антивируса и файрвола. В предвкушении полевых испытаний, я сразу стал устанавливать антивирус на одну из своих виртуалок, и тут меня поджидал первый сюрприз. Вирус! Дело в том, что прямо во время установки запускается сканер (очень похожий на CureIt!), который осуществляется первичную проверку системы. Оказалось, я забыл откатить виртуальную машину до предыдущего Snapshot'а, и в системе остался активный трой, который я когда-то анализировал на этой виртуалке. Обнаружить его — задача несложная, но безусловно порадовало, что это было сделано еще во время установки.

Фактически это означает, что ты можешь установить антивирус на уже зараженную систему без предварительного ее лечения. Позже, обнаружился еще один любопытный механизм для защиты антивируса от атак на самого себя (общая технология называется Dr.Web SelfPROtect). Так, когда ты хочешь выключить все механизмы защиты, всплывает окошко с запросом CAPTCHA'и — и только после ввода правильного кода, антивирус выключается.

Несложно понять, зачем это сделано: таким простым способом реализуется вполне действенная страховка на случай, если малварь захочет деактивировать антивирус, эмулируя пользовательский ввод (движение и клики мышки, нажатия клавиш клавиатуры). Такой хинт с использованием API-функций системы мы не раз описывали на страницах журнала.

 

Насколько эффективен сканер?

Впрочем, одной только защиты самого себя для хорошего антивируса мало. Гораздо интереснее было посмотреть, как Dr.Web детектирует малварь. И тут не придумать способ более наглядный, чем прогнать антивирус в различных реальных ситуациях. Я обратился к своим друзьям, активно занимающимся реверсингом малвари, которые с радостью подогнали мне несколько интересных образцов руткитов и троев. Я постарался выбрать разношерстную малварь, использующую различные, в том числе самые современные, техники сокрытия в системе. Подход к тестированию прост: берем девственно чистую ось, заражаем ее вирусом и, установив антивирус, пробуем вылечить заразу, затем оцениваем результат.

Первоначально я хотел провести все в рамках виртуальной машины, но ради чистоты эксперимента тестирование было решено перенести на вспомогательную машину.

Это нужно из-за того, что часть руткитов успешно определяет запуск в виртуальном окружении и инфицирование системы намеренно не производит («Ага, анализировать меня собрался? Отвали!»). В качестве ОС на тестовой машине была выбрана Windows XP со всеми установленными сервиспаками и апдейтами. Проблема возвращения системы к изначальному состоянию после заражения легко решилась с помощью образа, который я заливал с помощью TrueImage.

Далее нужно было разобраться, что считать фактом лечения? Понятно, что одного только сообщения «Я нашел вирус, надо что-то делать!» недостаточно. К тому же мы не сильно доверяем фразам а-ля «Ура, вирус удалось удалить», поэтому всякий раз, после сообщения об успешном лечении, мы будем делать слепок реестра и файловой системы, чтобы посмотреть, что, по сравнению с чистой системой, изменилось после заражения и последующего лечения. Левые ветки реестра, бинарники и скрытые потоки NTFS говорят о том, что малварь, возможно, удалена не полностью — в этом случае результат засчитывался как провальный.

Итак, повторив итерацию для каждого образца малвари, мы составили таблицу с результатами, которую тебе и спешу представить.
Не надо быть особо проницательным, чтобы понять, что символ «+» означает успешное детектирование вируса и его лечение. Собственно, проблемы возникли только с Mebroot'ом, но справедливости ради, стоит заметить, что тестирование проводилось на новой и пока мало распространенной модификации.

В некоторых случаях срабатывал активный монитор SpIDer Guard, а в других — с задачей справлялся сканер, использующий сигнатурный и эвристический анализаторы. Антируткит модуль — это, конечно, не утилита GMER в умелых руках, но со всей участвовавшей в тестировании малварью справилась «на ура».

 

Файрвол файрволит?

Помимо непосредственно антивирусной защиты, в Dr.Web Security Space Pro есть модуль брандмауэра. Собственно, проявление активности файрвола не заставит себя ждать. По умолчанию он находится в режиме обучения, поэтому для любой попытки приложения выйти в сеть будет отображаться окно, с помощью которого ты сможешь создать правило: пропускать указанный трафик или блокировать. Часть правил по умолчанию включена в продукт, но все они в основном касаются работы самого Dr.Web Security Space Pro. А вот рулесы для популярных приложений (аська, почтовик и т.д.) придется прописывать вручную — было бы здорово, если основные профили были включены по умолчанию.

Помимо непосредственно файрвола, в продукт включен HTTP-монитор SpIDer Gate. По этой причине не надо пугаться появившемуся в Firefox'е новому плагину — это не малварь :). Система в реальном времени проверяет контент веб-страницы, причем совместима со всеми известными браузерами. Чтобы проверить, насколько хорошо работает анализатор HTTP-трафика, я посерфил несколько сайтов из списка www.malwareurl.com, что сразу же вызвало сигнал тревоги: SpIDer Gate ругался на iframe'ы и зловредные JS-скрипты.

Ранее я говорил, что вся корреспонденция почтовых серверов Яндекс проверяется как раз решением на базе Dr.Web, и аналогичное решение доступно и домашним пользователям. Почтовый монитор SpIDer Mail проверяет сообщения на вирусы до того, как они попадают в почтовый ящик. А модуль «антиспам» неплохо распознает рекламные письма как на русском, так и английском языках, и при этом порадовал низким количеством ложных срабатываний.

 

Быть или не быть?

Если хочешь краткий вердикт, то Dr.Web Security Space Pro оказался более чем работоспособным решением. Привыкнув к тому, что антивирусы не всегда могут распознать даже распространенную малварь, но хорошо закриптованную, было приятно увидеть, что «веб» справился с обнаружением многих серьезных руткитов. В общем, рекомендую попробовать продукт: демо-версию ты найдешь на диске.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии