Качество антивирусной защиты и проблемы антивирусных программ

Перечисленные в разделе “Выбор антивирусной защиты” характеристики реализованы по-разному в разных антивирусных продуктах — и, увы, они далеко не всегда обеспечивают её достаточный уровень, не говоря уже о защите гарантированной. Не существует антивирусов, обеспечивающих стопроцентную фильтрацию вредных программ. Проблема “гонки вооружений” между антивирусными компаниями и киберпреступниками обостряется год за годом, и большинство антивирусных программ уже не в состоянии обеспечить надёжный уровень защиты пользователей. Можно даже говорить о кризисе антивирусной индустрии и о связанных с ним проблемах обеспечения надёжной защиты пользователей.

Уровень детектирования

Основной показатель качества защиты. Антивирус должен уметь распознавать максимально большое количество существующих вредоносных программ — именно в этом и состоит его работа. При этом он должен уметь распознавать новые модификации уже известных вирусов, червей и троянцев, искать их даже в упакованных файлах (модифицированных программами упаковки исполняемых файлов), проверять содержимое архивов и инсталляторов.

Какие же могут быть проблемы у антивирусных программ, за исключением обычного маркетингового противоборства? Есть вирусы — и есть антивирусы, которые их ловят. И, на первый взгляд, антивирус давно стал обычным потребительским товаром, который практически ничем не отличается от конкурирующих продуктов и который покупают либо за более красивый дизайн, либо потому, что данный продукт был удачно разрекламирован, либо по какой-либо еще совсем не технической причине. Т.е. антивирус вроде как давно должен стать тем самым “commodity”, продуктом массового потребления, вроде стиральных порошков, зубных щеток или автомобилей.

Но это не совсем так, и часто выбор антивирусного решения основывается не на его дизайне, цене или удачной рекламе, а на технических характеристиках, которые сильно отличаются в различных антивирусных продуктах. Основной вопрос — от каких именно компьютерных угроз защищает данное решение и насколько качественна предоставляемая защита.

Антивирус должен защищать от всех видов вредоносных программ, и чем лучше он это делает, тем спокойнее живет его пользователь и дольше и крепче спит системный администратор. И кто этого не понимает теоретически, очень скоро осознаёт всю глубину проблемы практически — когда вдруг куда-то начинают утекать деньги с банковского счета, компьютер сам по себе начинает звонить по каким-то совершенно “левым” телефонным номерам, внезапно и по непонятной причине резко увеличивается исходящий трафик.

Ведь если антивирусный продукт X ловит, предположим, 50% всех современных вирусов, которые в данный момент активны в сети, продукт Y — 90%, а продукт Z — 99,9%, то нетрудно подсчитать вероятность того, в каком случае в результате N атак компьютер останется целым и невредимым или, наоборот, в нем поселится какая-нибудь очередной зловред. Если компьютер был атакован 10 раз, то вероятность “залёта” для продукта X практически гарантирована (99,9%), для Y более чем вероятна (65%), а для Z весьма незначительна — всего 1%.

К сожалению, далеко не все антивирусные продукты, которые можно обнаружить на полках магазинов или в сети, дают защиту, близкую к 100%. Большинство продуктов не гарантирует даже 90%-ный уровень защиты! В этом и заключается основная проблема антивирусных программ на сегодняшний день.

Проблема №1. Количество и разнообразие вредоносных программ неуклонно растет год за годом. В результате многие антивирусные компании просто не в состоянии угнаться за этим потоком, они проигрывают в вирусной “гонке вооружений”, а пользователи этих программ оказываются защищены далеко не от всех современных компьютерных угроз. Увы, продукты далеко не всех антивирусных компаний можно назвать действительно антивирусными.

Регулярность и частота обновлений

Антивирус должен регулярно обновляться — поскольку активность компьютерных злоумышленников растёт год за годом, то увеличивается как количество новых вредоносных программ, так и частота их появления. Далеко не всегда антивирусы способны остановить новые, ранее неизвестные вирусы и троянские программы проактивными методами. По этой причине антивирус должен уметь оперативно реагировать на новые вредоносные программы.

При этом лет пять или десять назад можно было сказать, что защищать от всех новых вирусов и троянских программ не надо — ведь большинство из них так никогда и не попадают в компьютеры пользователей, поскольку были написаны подростками-хулиганами с целью самоутверждения либо просто из любопытства. И что защищать надо только от тех немногих вирусов, которые все же добрались до компьютеров-жертв. Сейчас это не так. Подавляющее большинство (по данным “Лаборатории Касперского” — более 75%) вредоносных программ сейчас создаются компьютерным криминальным андеграундом с целью заражения необходимого количества компьютеров в сети, а число новых вирусов и троянских программ исчисляется сотнями ежедневно.

Что это означает? А ровно то, что вероятность подцепить новый “криминальный вирус” далеко не нулевая, и не исключено, что в сети уже десятки, сотни, а может, и тысячи зараженных пользователей. А если новый образец является сетевым червем, то счет жертв может пойти и на миллионы. Ведь интернет — штука исключительно скоростная. Т.е. антивирусным компаниям необходимо моментально выпускать обновления против всех вновь обнаруженных вирусов и троянцев. И в этом заключается вторая проблема.

Проблема №2. Скорость распространения современных вредоносных программ заставляет антивирусные компании выпускать защитные обновления как можно чаще — чтобы максимально быстро прикрыть своих пользователей от новоявленного компьютерного “зверя”. Увы, далеко не все антивирусные компании достаточно расторопны. Часто обновления от таких компаний доставляются пользователям слишком поздно.

Корректное удаление вирусного кода и последствий заражения

Но предположим, что вирус, несмотря на все установленные фильтры, пробрался в систему и поселился в ней, а защищающий систему не очень бдительный страж-антивирус не заметил ничего подозрительного. Или антивирус установлен у ленивого пользователя или системного администратора, не спешащего скачивать очередные обновления антивирусных баз. Рано или поздно апдейты доставляются, и вирус обнаружен — но не побежден, поскольку для окончательной победы необходимо аккуратно удалить зараженные файлы из системы. Ключевое слово — “аккуратно”, и в этом кроется очередная проблема антивирусных программ.

Проблема №3. Удаление обнаруженного вредоносного кода из зараженной системы. Часто вирусы и троянские программы предпринимают специальные действия, чтобы скрыть факт своего присутствия в системе, или встраиваются в нее так глубоко, что задача его “выковыривания” становится достаточно нетривиальной. К сожалению, иногда антивирусные программы не в состоянии благополучно и без всяких побочных последствий изъять вирусный код и полностью восстановить работоспособность системы.

Баланс: производительность или полноценная защита?

Далее, любое программное обеспечение потребляет ресурсы компьютера. Антивирусы — не исключение. Для того чтобы защищать компьютеры, антивирусным программам требуется производить некоторые действия: открывать файлы, читать из них информацию, раскрывать архивы для их проверки и т.п. И чем тщательнее проверяются файлы, тем больше отъедается ресурсов компьютера (это как железная дверь: чем она толще, тем лучше защищает, однако открывать-закрывать ее становится тем сложнее, чем больше тонн металла в неё заложено). В результате появляется проблема баланса: полноценная защита или скорость работы.

Проблема №4. Целесообразность потребления ресурсов компьютера. Проблема не решаемая — как показывает практика, все самые “скорострельные” антивирусы очень сильно “дырявы” и пропускают вирусы и троянские программы, как дуршлаг воду. Обратное неверно: далеко не все “тормознутые” антивирусы защищают вас достаточно хорошо.

Совместимость дублирующих антивирусных программ

Для того чтобы проверять файлы “на лету” и постоянно защищать подопечный компьютер, антивирусным программам приходится достаточно глубоко проникать в ядро системы, причем проникать приходится в одни и те же зоны. Говоря техническим языком, антивирусы должны устанавливать перехватчики системных событий глубоко внутри защищаемой системы и передавать результаты своей работы антивирусному “движку” для проверки перехваченных файлов, сетевых пакетов и прочих потенциально опасных объектов.

Увы, далеко не всегда в один разрез можно засунуть два скальпеля. Далеко не всегда в необходимую зону ядра операционной системы можно установить два перехватчика. В результате — несовместимость постоянно работающих антивирусных “мониторов”; второму антивирусу либо не удается перехватить системные события, либо попытка дублирующего перехвата приводит к краху системы. В этом заключается очередная антивирусная проблема.

Проблема №5. Технологическая исключительность, т.е. несовместимость различных антивирусных программ между собой. В подавляющем большинстве случаев (за редкими исключениями) установить два различных антивируса на один компьютер (чтобы обеспечить двойную защиту) невозможно по техническим причинам, и они просто не уживаются друг с другом.