В последние годы аналитики отмечают заметное снижение относительного ущерба от компьютерных вирусов (в пересчете на один компьютер). Основная причина — четкое осознание уровня этой угрозы в массе пользователей и реальное применение средств защиты. А вот дальнейший успех в борьбе с вирусами, которая протекает по классической схеме "пушки и брони", уже в очень сильной степени зависит от качества применяемых технологий.

Одна из основных проблем развития антивирусных технологий — необходимость поиска оптимального решения двух противоречивых задач: повысить уровень "отлова" вирусов и не слишком заметно снизить общую производительность вычислительной системы. К этому еще нужно добавить высокий уровень стабильности, простоту в настройке и т. д. Все эти задачи стояли и перед разработчиками "Лаборатории Касперского" (http://www.kaspersky.ru), которые представили нынешней весной новое поколение своих антивирусных программ для Windows "Антивирус Касперского 5.0".

Photo

По сравнению с прежней версией 4.x новый механизм защиты имеет существенно модифицированную архитектуру, его исходный код почти полностью переработан. Особое внимание в новом продукте уделено повышению скорости проверки файлов в фоновом режиме: новая версия "Антивируса Касперского" работает в среднем в три раза быстрее и требует в два раза меньше оперативной памяти, чем предыдущие версии, несмотря на возросший уровень защиты и расширение функциональности. Это достигается за счет применения трех новых технологий — iChecker, iStream и iCache.

Суть подхода, заложенного в iChecker, в том, чтобы не проверять файлы, которые не изменились с момента предыдущей проверки: антивирусный "движок" ведет специальную базу данных, в которой хранятся контрольные суммы всех проверенных ранее файлов. По сути "Лаборатории Касперского" удалось интегрировать ревизор изменений (раньше именно этот модуль подсчитывал и хранил контрольные суммы файлов) в антивирусный сканер. Такое решение позволяет сэкономить примерно 30—40% времени на исполняемых файлах и до 100 раз — на архивах.

Технология iStream работает только в Windows 2000 и XP (ей необходима файловая система NTFS). Ее основная идея заключается в более полном задействовании дополнительных ресурсов самой ОС для проверки файлов. Выигрыш во времени от использования iStream достигает 40%. Технология iCache не так эффективна, как рассмотренные выше, но все же позволяет сэкономить около 10% времени. Ее идея — взаимодействие антивируса с кэш-менеджером Windows XP, благодаря чему стало возможно предварительное чтение файла антивирусом.

В новом продукте удалось существенно расширить функциональность — в частности, технология, реализующая интеллектуальные алгоритмы излечения инфицированных файлов внутри архивов, называется iCure, а ее аналог, позволяющий антивирусу работать с многотомными архивами, носит имя iArc. Система поддерживает огромное число форматов архивов и «запаковщиков» — более 800 штук! Очень важно, что "Антивирус Касперского" может не только проверять файлы на вирусы в архивах любой степени вложенности, но и лечить их (в архивах форматов ZIP, ARJ, CAB, RAR). Между тем работа с архивированными файлами катастрофически влияет на эффективность всего антивирусного комплекса в целом. Многие современные решения легко обмануть, достаточно лишь заархивировать файл, зараженный каким-нибудь очень опасным и хорошо известным вирусом. В последнее время вирусописатели стали все чаще и чаще прибегать к такому трюку. Хорошо, что они пользуются лишь самыми популярными архиваторами. Но что будет, если кто-нибудь додумается архивировать вирус чем-нибудь "посложнее"? Ведь средний антивирус поддерживает не более четырех-пяти форматов сжатых файлов.

Говоря об архивах, нужно заметить, что "Антивирус Касперского" не просто умеет лечить инфицированные файлы в архивах, но и делает это очень быстро. Почти любой антивирус работает с архивами по следующей схеме: полностью распаковывает их, проверяет и лечит инфицированные файлы, запаковывает все заново. Разработчикам из «Лаборатории Касперского» удалось значительно сократить длительность этого процесса за счет работы только с инфицированными данными. Например, на финальной стадии (а именно повторное сжатие отнимает больше всего времени) все файлы заново не запаковываются — сжатию подлежат лишь те из них, которые изменились (они добавляются в уже существующий архив). «Антивирус Касперского» умеет также работать с многотомными архивами. Для него не составит труда излечить инфицированный файл, находящийся в пятом томе десятитомного архива.

Не остался без внимания и основной источник вирусных угроз — электронная почта. Новый модуль Mail Traffic Monitor проверяет почтовый трафик на уровне протоколов, абстрагируясь тем самым от почтового клиента. Пользователю не нужно ни менять настройки в своем клиентском ПО, ни устанавливать дополнительные программные модули.

Модификации подверглись и драйверы антивируса. В частности, они были перенесены из третьего кольца защиты (в котором работают преимущественно прикладные программы) в нулевое (уровень ядра ОС Windows). Результатом такого портирования стали существенно возросшие надежность и отказоустойчивость антивирусного комплекса.

В семейство "Антивирус Касперского 5.0" войдет несколько продуктов, рассчитанных на разные категории пользователей; они будут постепенно выпускаться в течение 2004 г. Состав семейства будет таким:

  • Personal (апрель) — для домашних компьютеров;
  • Personal Pro (июль) — для домашних компьютеров с расширенными возможностями настройки (для опытных пользователей);
  • Business Optimal (август) — гибкое, конфигурируемое решение защиты от вирусов для средних и малых предприятий: охватывает рабочие станции, файловые серверы и почтовые шлюзы;
  • Corporate Suite — полномасштабная система защиты от вредоносных программ для корпоративных сетей любых масштабов и топологической сложности.