О программе БУРАН ЗАРЯ Скачать Регистрация Заметки
10.02.2016

Антивирусная экскурсия

Иногда поступают вопросы от пользователей примерно такого содержания: "мы хотим посмотреть БУРАН, скачиваем его, а наш антивирус говорит, что программа заражена вирусом, что теперь делать?". Ответ на этот вопрос разработчики программного обеспечения начали давать еще со времен Windows 95 или даже раньше - в инструкциях по установке программ появился пункт об отключении антивируса на время выполнения установки. Причем, это требование было обычно связано даже не с тем, что антивирус мог ошибочно признать программу зараженной, а с тем, что антивирус иногда не давал нормально отработать инсталлятору, запрещая некоторые его действия.

Дальнейшее соревнование снаряда и брони, то есть вируса и антивируса, идет явно на пользу индустрии антивирусов, но затрудняет жизнь пользователю. Популярные антивирусы превратились в огромные мощные комбайны, для нормальной эксплуатации которых требуется определенная компьютерная квалификация, которой, конечно, нет у большинства пользователей. Продвинутый пользователь знает, как поступать в описанной ситуации, а упомянутый выше вопрос задают как раз очень слабые пользователи. Почему мы знаем, что они очень слабые? Потому, что в описании своей беды они даже не указывают название антивируса, не говоря уже о иной конкретике.

В Сети есть замечательный ресурс www.virustotal.com, на котором можно проверить подозрительный файл сразу всеми известными антивирусами. Скачиваем БУРАН и отправляем его туда на проверку. Как видим, 1 из 54 антивирусов утверждает, что файл BURAN-2016-01.exe заражен.

Сложность в борьбе с вирусами еще и в том, что отсутствие вируса невозможно доказать в принципе - нет здоровых, есть недообследованные. Но и никаких доказательств наличия вируса антивирусная программа тоже не предлагает, она просто имеет свое экспертное мнение. А уже какому эксперту доверять, решает пользователь. Видимо, в данном случае прислушаемся к мнению большинства экспертов и будем считать, что вируса в программе нет. Тем более, что в данном консилиуме имеем убедительное соотношение голосов 1 к 54, бывают соотношения и похуже.

Проведем натурный эксперимент - поставим себя на место бухгалтера, который хочет просто скачать программу БУРАН. Посмотрим, как эта нехитрая операция будет происходить в сопровождении различных антивирусов. Щупать все 54 штуки не будем, попробуем осилить с десяток популярных, разместим их по алфавиту:

  • 360 TOTAL SECURITY
  • AVAST
  • AVG
  • Bitdefender ANTIVIRUS PLUS 2016
  • Comodo Internet Security Pro
  • Dr.WEB
  • ESET Smart Security
  • Kaspersky Free
  • Microsoft Security Essentials
  • Panda Free Antivirus

Будем поочередно устанавливать на компьютер эти антивирусы, чтобы под их чутким наблюдением скачивать программу BURAN-2016-01.exe.

360 TOTAL SECURITY

Этот антивирус на сайте www.virustotal.com признал файл зараженным. Посмотрим, как это будет выглядеть на нашем компьютере.

Установили антивирус, а теперь скачиваем программу БУРАН. Антивирус "обнаруживает" троян. Теперь понимаем ощущения бухгалтера, у которого при виде такого сообщения начинается паника. В данном случае приходится взять себя в руки, нажать кнопку Больше и восстановить файл. Дальше программа БУРАН устанавливается и запускается без проблем. Другим вариантом решения может быть временное отключение антивируса через меню, которое вызывается из системного лотка.

AVAST

При скачивании программы БУРАН антивирус бодро "блокирует угрозу" - уничтожает файл. А повторную попытку скачивания антивирус пресекает в зародыше - блокирует доступ к сайту. Уменьшение чувствительности антивируса эффекта не дает, поэтому просто отключаем его на 10 минут и без проблем скачиваем и устанавливаем программу.

AVG

Этот антивирус, хотя и успел за короткое время тестирования накидать несколько рекламных предложений, но загрузке, установке и запуску программы БУРАН не помешал.

Bitdefender ANTIVIRUS PLUS 2016

Программа довольно странная, но использовать БУРАН не мешает.

Comodo Internet Security Pro

Этот антивирус загрузке программы не мешает. Но при запуске программы сообщает, что поставщик ему не известен, поэтому спрашивает наше мнение. Собственно, такой вопрос довольно часто задает Windows и без всякого антивируса при попытке запуска программ из Сети. Мы даем согласие на запуск программы.

Dr.WEB

Антивирус не мешал программе БУРАН.

ESET Smart Security

Антивирус не мешал программе БУРАН.

Kaspersky Free

Антивирус не мешал программе БУРАН.

Microsoft Security Essentials

Антивирус не мешал программе БУРАН.

Panda Free Antivirus

Загрузка файла прошла нормально, а при запуске инсталляции программа была уничтожена. Причем файл BURAN-2016-01.exe уничтожается только в том случае, если он загружен из интернета. Если его скопировать с флешки и запустить, то антивирус не реагирует. Решением является временное отключение антивируса.

Итого

Мы пощупали десяток антивирусов, заранее зная, что 9 из них на сайте www.virustotal.com не обнаруживают вирус в нашем файле. Но на практике оказалось, что еще два антивируса выдали ложное срабатывание, поэтому теперь их уже три:

  • 360 TOTAL SECURITY
  • AVAST
  • Panda Free Antivirus

Такой диссонанс, отчасти, объясняется тем, что на сайте www.virustotal.com тестирование выполняется базовыми движками с сигнатурным и, возможно, некоторым эвристическим анализом. А в практической работе антивирус, кроме относительно достоверного сигнатурного анализа, дополнительно руководствуется всякими репутационными соображениями и косвенными уликами, среди которых факт получения файла по интернету является отягчающим обстоятельством.

Впрочем, чем руководствуется антивирус - это его дело, нам это не интересно. Но мы знаем, что на практике он все равно вряд ли сможет обнаружить новый вирус до тех пор, пока вирус не будет занесен в антивирусную базу. А вот уничтожение файла пользователя - это конкретный вред, которым даже не всякий вирус похвастать может. Видимо, при выборе антивируса следует в первую очередь руководствоваться критерием "не навреди". Глупо обременять себя и ресурсы компьютера некоторой программой, которая удаляет полезные файлы или постоянно мешает работать своими надоедливыми сообщениями и вопросами.

Для большинства простых пользователей оптимальным выбором будет Microsoft Security Essentials, который начиная с Windows 8 даже устанавливать не нужно, так как он встроен в операционную систему и доступен через Панель управления под названием Защитник Windows. Этот совет основан на опыте использования данного антивируса в течении нескольких лет.

Более продвинутым пользователям, которые хотят чуть более плотной защиты, можно воспользоваться антивирусом Kaspersky Free. По сравнению с антивирусом Microsoft, у него повыше уровень обнаружения зараженных файлов и оперативность включения в базу новых вирусов.

Если общие соображения о взаимодействии вируса, антивируса и пользователя являются неизменными, то данная антивирусная экскурсия отражает лишь конкретное состояние протестированных программ на февраль 2016 года. Ассортимент и качество защитных программ постепенно изменяется. За последние лет 15 автор отдавал предпочтение разным антивирусам, каждый из них использовался по нескольку лет в следующей последовательности - Каперский, Dr.WEB, AVAST, Microsoft. Примерно один раз в год стоит обращать внимание на новинки антивирусной индустрии, чтобы иметь возможность воспользоваться ее достижениями.

P.S. На следующий день

Данная заметка была опубликована 10.02.2016, а уже на следующий день проверка этого же файла на сайте www.virustotal.com показала, что и антивирус 360 TOTAL SECURITY перестал признавать файл зараженным. Теперь при загрузке файла антивирус 360 TOTAL SECURITY выдает скромное сообщение.

Следует понимать, что с очередным обновлением антивирусной базы любой антивирус может как прекратить ложное срабатывание, так и начать назначать невинные файлы зараженными. Поэтому во многих антивирусах есть возможность как отослать подозрительный файл разработчику антивируса, так и сообщить о ложном срабатывании.

Когда есть сомнения, является ли файл из интернета вредоносным, то его можно проверить еще до загрузки на свой компьютер. Для этого сначала копируем в буфер обмена ссылку на этот файл. А затем идем на сайт www.virustotal.com, выбираем вкладку URL-адрес, вставляем нашу ссылку и нажимаем Проверить!.