Домашний_компьютер - Домашний компьютер №8 (122) 2006

Хотя и здесь не обошлось без комедии: вначале было предложено правило для «Просмотра Интернета» (несколько странная формулировка!). Затем «Анти-Хакер» счел, что одного правила маловато будет и запросил для своей «родни» правило для… «Обмена сообщениями (ICQ, AIM)». Лишь после этого «Анти-Спам» соизволил обновиться. Ко всему прочему, не было ни малейшего намека на блокировку рекламных модулей и прочего хлама по имени ActiveX.

Антивирусные модули расположены в секции «Защита» главного окна. Для настройки параметров «Файлового Антивируса», «Почтового Антивируса» и «Веб-Антивируса» щелкните по нужному компоненту, а затем либо воспользуйтесь кнопкой «Настройка», либо нажмите на любую строчку в разделе «Статус» ( рис. 11).

Результат будет одним и тем же – появится окно программных настроек. По умолчанию файловый антивирус, проверяющий файлы на диске в момент обращения к ним, при обнаружении опасности станет спрашивать нас, каким образом распорядиться судьбой подозрительного «субъекта». Если вы знакомы с именами наиболее «популярных» вирусов, то вряд ли ошибетесь в выборе. С другой стороны, можно автоматизировать процесс борьбы с заразой, включив параметр «Заблокировать доступ» в секции «Действие» – антивирус попытается вылечить инфицированный файл, а если это окажется невозможным, уничтожит источник опасности.

Однако большинство дополнительных параметров любого компонента скрыты под кнопкой «Настройки» ( рис. 12).

По умолчанию файловый антивирус не станет «бдить» за архивами и пакетами инсталляции 17 (все равно при распаковке подобных архивов все будет проверено досконально). Если вас интересует содержимое вкладки «Область защиты» в окне настройки компонентов, программа предложит проверять абсолютно все диски, включая сетевые.

«Почтовый Антивирус» умеет встраиваться не только в системные «почтовики» (MS Outlook и Outlook Express), но и в программу The Bat! 18 , контролируя трафик по протоколам POP3, SMTP, IMAP и NNTP 19 . Здесь условия более жесткие: «умолчальная» проверка исходящих и входящих писем плюс мониторинг абсолютно всех файлов – не забалуешь ( рис. 13).

Наконец-то в новой версии программы появился компонент, контролирующий HTTP-трафик, что позволит не только избавляться от вирусов при загрузке файлов из Сети, но и блокировать вредоносные скрипты в системном браузере. Давайте попробуем скачать некий «хитрый» файл из Интернета и посмотрим на реакцию антивируса. Враг не прошел – рис. 14.

Нам лишь остается решить судьбу инфицированного архива, тем более что Веб-Антивирус доложил о возможности успешного лечения.

Не следует бояться столь «заумного» названия, равно как и «мониторинга системного реестра». Дело в том, что технологии, на которых построена «Проактивная защита», позволяют избежать потери времени и обезвредить новую угрозу еще до того, как она нанесет вред компьютеру. В отличие от реактивных технологий, где выполняется анализ кода 20 , превентивные технологии распознают новую угрозу, выявляя последовательность действий, выполняемых каким-либо приложением или задачей. В поставку Kaspersky Internet Security Suite Personal 2006 включен набор критериев, позволяющих определять уровень опасной активности.

Если активность приложения напоминает действия, характерные для вредоносной активности, оно сразу же классифицируется как опасное, и к нему применяются меры, описанные в соответствующем правиле. К опасной активности, например, относятся изменения файловой системы, ключей системного реестра Windows, скрытие процессов и встраивание модулей в другие процессы.

Теперь посмотрим, как это работает – достаточно запустить всем известный мессенджер ICQ. Модуль проактивной защиты немедленно обратит наше внимание на то, что «некое» приложение ICQLite.exe, расположенное в каталоге C:\Program Files\ICQLite, жаждет обратиться к разделу реестра

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce ( рис. 15).

Если вы не поленитесь и просмотрите содержимое данного раздела в «Редакторе реестра» (кнопка Пуск» Выполнить» regedit), то обнаружите строковый параметр ICQ Lite со значением C:\Program Files\ ICQLite\ICQLite.exe -trayboot. Как видите, в данном (да и во многих других) случае обращение программ к системному реестру не представляет опасности. Но будьте бдительны, если название приложения или процесса вам незнакомо.