Я лично раньше пользовался DrWeb'ом, а сейчас NOD32 причем я на него не жалуюсь, тут на днях был случай у одного друга заглючила система он отнес винт к другу и поставили Каспера, но тот ничего не увидел. После чего они поставили NOD32 который нашел вирус практически в каждом exe'шнике которые были на том винте, ну и с помощью NOD32 они все эти файлы очистили от вируса (не удалили, а вылечили). Кстати вот у меня тут статейка завалялась про Ксаперского: Прежде чем погрузиться в анализ затронутых проблем, рассмотрим те ключевые мифы, на которых базируется нынешний образ «Лаборатории Касперского». Миф 1. Антивирусы Касперского — лучшие в мире. Это далеко не так. Ни с технологической точки зрения, ни тем более с рыночной лидерами они не являются. Их рыночная доля в мире измеряется единицами процентов. С точки зрения международной сертификации (VB 100%) в среде Windows XP «Антивирус Касперского» успешно прошел тестирование в 2004 г. (июнь, Kaspersky Anti-Virus 4.5.0.94) и 2005 г. (июнь, Kaspersky KAV Personal 5.0.227). До этого попытка сертификации неизменно завершалась неудачей: в 2000 г. (Windows 98/NT, Kaspersky Lab AVP 3.5.133.0), в 2002 г. (Kaspersky Anti-Virus 4.0.50), в 2001 г. (Windows 2000, Kaspersky Lab KAV 3.5.133.0), в 2003 г. (Kaspersky Anti-Virus 4.0.5.37). Если брать неформальную сторону, то по вскрытию угроз (особенно на базе сигнатурного подхода) компания, безусловно, одна из лучших в мире, а вот что касается остального (диагностика, корректная нейтрализация угроз, качество реализации ПО, сервис), то оно еще требует большой и кропотливой работы. Миф 2. Антивирусы Касперского — самые проницательные, ничто не скроется от их всевидящего ока. Знаете ли вы, что существуют такие вирусы, которые просто не обнаруживаются антивирусами Касперского? Подавляющее большинство антивирусных компаний (не исключение и «Лаборатория Касперского») использует в качестве основного подход на базе сканирования сигнатур (уникальной последовательности программного кода). В качестве правил верификации применяются знания об алгоритмах полиморфизма (видоизменения) сигнатур. Причем требуется постоянно проводить через Интернет «вакцинацию», т.е. обновлять базу сигнатур (по состоянию на июль 2005 г. в «Антивирусе Касперского» насчитывается свыше 125 тыс. сигнатур). Механизмы прогнозного эвристического анализа (попытки найти вирусную угрозу без прямого использования базы сигнатур) могут лишь слегка подсластить горькую пилюлю. Куда более надежным подходом являются особые поведенческие технологии, в частности имитация выполнения сомнительного кода, контролирующая и блокирующая опасные операции (принцип саркофага), чего антивирусы Касперского, к сожалению, пока не делают. Небольшой пример. В НПФ «Стокона» (http://www.stocona.ru) уже довольно давно разработана технология интеллектуального антивирусного сканирования, построенная на принципиально ином подходе — анализе функций программ без их выполнения. Для класса потенциально вредоносного ПО на основе интерпретируемых программных модулей, таких как макровирусы (VBA в документах Microsoft Office) и скрипт-вирусы (JavaScript в браузерах), задача успешно решена (сравнительный анализ с ведущими антивирусными программами мира см. http://www.stocona.ru/products/ antivirus/comparison.html). Другой штрих. Подавляющее большинство пользователей применяет в антивирусах только механизм статического сканирования файлов (без мониторинга операций). Если авторы вредоносных программ используют методы криптографии, то невозможно обнаружить потенциально опасные участки кода. Миф 3. Антивирусы Касперского — самые лучшие диагносты. Известно ли вам, что далеко не все, что выявляется как вирусы с помощью антивирусов Касперского, таковым является? Это, пожалуй, одно из самых уязвимых мест в антивирусной продукции компании. Если раньше все потенциально опасные коды без разбора обозначались убийственным словом «вирус», то в последнее время в «Лаборатории Касперского» после долгих и настойчивых обращений (в том числе и с нашей стороны) снизошли до просьб пользователей и стали применять понятие riskware («программы из зоны риска»). Показательно, что глубоко в недрах отчетов самых известных продуктов компании — Антивируса Касперского Personal 5.0 и Антивируса Касперского Personal Pro 5.0 — рядом с файлами сомнительной опасности фигурирует надпись на английском языке «not-a-virus» (т.е. «не вирус»), тогда как в итоговой статистике в самом начале отчета на понятном русском языке без тени сомнения эти же файлы включены в число вирусов. Мифотворчество — хорошо известное оружие маркетинговых войн, сыгравшее немалую роль в формировании нынешнего образа «Лаборатории Касперского». Разумеется, используются и другие эффективные приемы. Но в контексте данной статьи нет смысла касаться тонких материй закулисной конкурентной борьбы, вполне достаточно ограничиться взглядом рядового потребителя. Кто виноват и что делать? Кто виноват в подобном хаосе и что же делать обычному пользователю? Куда податься и на кого ориентироваться? Очевидно, хаос возник вследствие ожесточенной рыночной борьбы антивирусных продуктов, роль которых при постоянном нарастании и нагнетании информационных угроз становится все более и более значимой. Как известно, у человека иммунитет бывает врожденный и приобретенный, а у компьютерных систем — пока только приобретенный. Врожденный же должен устанавливаться на уровне грамотно продуманной интеграции ключевых аппаратных средств (процессоров) и ядра соответствующей операционной системы. Работы в этом направлении уже ведутся, но весьма неспешно. На протяжении двух последних десятилетий антивирусные компании желают закрыть образовавшуюся брешь и сделать на этом свой бизнес. Каждая из них проводит собственный поиск новых «микробов», пополняет свою базу сигнатур и ведет свой реестр «микроорганизмов». Для многих, думаю, будет откровением узнать, что названия, которые дают в этой бесконечной ежедневной гонке, через какое-то время могут изменяться даже внутри одной и той же компании (тут не поможет никакой VGrep)! При прочих равных условиях отдельные антивирусные компании (в том числе и «Лаборатория Касперского») не ограничиваются поиском конкурентного преимущества в одних только технологиях, а планомерно ведут агрессивную политику, намеренно (либо по недосмотру) замалчивая степень угрозы тех или иных программных кодов. Как вы думаете, если одна программа на тестовом наборе не найдет ни одного вируса, а другая — сразу три (причем неважно, что это всего лишь условно опасные коды), какую из них предпочтет использовать у себя обычный пользователь, не имеющий ни времени, ни желания погружаться в хитросплетения антивирусной индустрии? Что такое потенциально опасные программы (riskware, spyware, adware)? Это не черное (blackware) и не белое (whiteware), это пограничный слой (greyware), порождающий проблему грамотного управления подобными рисками. Если обратиться к бытовой ситуации, то это подобно наличию ножа. Но разве тот, кто его держит в руках, — обязательно преступник? В подавляющем большинстве случаев, конечно же, нет. С теми программами, которые наносят очевидный урон, все ясно. А вот в отношении потенциально опасных программ налицо диктат производителей антивирусных средств, единолично определяющих, какие программы плохие, какие — хорошие. Собственными ушами слышал, как на очередной пресс-конференции Евгений Касперский с Максимом Поташевым поясняли, какие параметры функционирования программ (некоторые скрытые и/или недекларированные действия) они считают «плохими», что автоматически заносит в черный список создающие их компании. Может быть, эти критерии утверждены какой-либо ассоциацией или на худой конец закреплены в публичном официальном документе «Лаборатории Касперского»? Если разобраться, то любая программа, осуществляющая явным или скрытым образом недекларированные действия (хотя бы из-за неточностей в документации), автоматически попадает в разряд потенциально опасных. Доказать умысел скрытого поведения или недекларированности возможностей очень сложно. Многое зависит от того, что это за функции и возможности. Таким образом, антивирусные компании, видимо, сами того не желая, взвалили на свои плечи обязанности не только полицейского (как любит говорить Евгений Касперский), но также законодателя, судьи и даже палача, немедленно приводящего приговор в исполнение. Каким образом могут «отмыться» мелкие компании-производители, попавшие ни с того ни с сего в подобный черный список? На Западе приходится добиваться восстановления попранных прав путем судебной тяжбы. Это подтверждает и Костин Раю, глава отдела исследований и разработки румынского отделения «Лаборатории Касперского». У нас же в стране такие прецеденты неизвестны. Возможно, пока... Нередко в прессе можно встретить обвинения, направленные в сторону антивирусных компаний, в якобы намеренном сокрытии информации о начале вирусных эпидемий или даже о том, что они организовали собственное подпольное производство некоторых вредоносных программ. В основном подобные обвинения наверняка надуманны. Но ведь сама антивирусная индустрия дает все основания так полагать. Де-факто статус полицейского, законодателя, судьи и палача одновременно не только предоставляет поистине безграничную власть, но и плодит у бесправных потребителей самые фантастические догадки. Деятельность антивирусных компаний нередко сравнивают с медициной и здравоохранением. В самом деле, параллелей здесь много, однако если спроецировать их продукты и услуги на типичную жизненную ситуацию, получится настоящий театр абсурда. Представьте себе, что вы пришли на прием к врачу (роль которого в нашем воображаемом случае выполняет «Антивирус Касперского»). Он собирает анализы, читает историю болезни, выслушивает жалобы и ставит диагноз — болезнь. Простите, доктор, а как она называется и каким образом ее лечить? Что это — легкое отравление или СПИД? В ответ врач молча пишет на листочке (в вирусном отчете) мудреное название латинскими буквами и говорит: «Следующий». Вы остаетесь в недоумении. Сначала пытаетесь найти в местном справочнике (у «Лаборатории Касперского» имеется онлайновая вирусная энциклопедия http://www.viruslist.com/ru, которая, как показал наш опыт, ведется из рук вон плохо). Там с трудом удается отыскать название, но к нему не дается никакого описания, а в других справочниках даже нет таких названий! Мыслимое ли дело, если бы врач назвал заболевание, но найти его описание в справочниках не смог даже специалист, не говоря уже о больном? А в области антивирусного ПО подобное считается нормой. Что же делать? Идти на прием к другому врачу? Потом сопоставить диагнозы, чтобы разобраться, в чем суть недомогания, и заняться самолечением. Увы, такой воображаемый случай не исключение, а скорее правило. Легендарный Касперский Имя Касперского гремит по всей стране. Трудно найти на российском компьютерном рынке другую персону, которая могла бы сравниться по уровню известности со столь непримиримым революционером, объявившим смертный бой всей вредоносной нечисти.
