15.07.2003.

Для тех, кто любит "Касперского"

Сегодня, надеюсь, у многих на компьютере установлена антивирусная защита и, скорее всего, эта программа "Лаборатории Касперского". У нее хорошая репутация и у наших пользователей и в мире. Я сам ею пользовался до последнего времени. "Прокололся" только 2 раза, да и то по собственной инициативе. Первый раз, когда "убивал" зараженный файл. Дело в том, что программы "Лаборатории Касперского" индицируют обнаружение вируса, иногда лечат (если задать в настройках), но не "убивают". Это надо делать вручную, отключив "Монитор", т. е. сняв защиту. В тот раз я где-то погорячился. Второй раз я "заразился", когда открыл письмо с расширением EXE. Да, да! Я знаю, что нельзя открывать письма с таким расширением, если не известен отправитель. Увы, корреспондента и его адрес я знал, а "Касперский" первый раз промолчал. После этого мне не удалось восстановить защиту, и я поставил антивирус другого производителя.

Во-первых, решил не испытывать каждый раз судьбу, "убивая" вирус при отключенной защите. Во-вторых, при моем коммутируемом доступе регулярные (кумулятивные) обновления объемом в 1 Мбайт принять не всегда удается. После повторной попытки не ясно, все ли правильно установилось. И, наконец, я многократно задавал свои вопросы "официальным представителям", но ответов, понятных мне, не получил.

Однако, как я уже сказал, программы "Лаборатории Касперского" широко распространены. Поэтому в интересах их пользователей я воспользовался случаем и обратился с вопросами к генеральному директору "Лаборатории Касперского" Наталье Касперской.

Она поручила ответить на них менеджеру по развитию продуктов Алексею Калгину.

В.: Почему AVP не "убивает" вирус, когда AVP вирус обнаруживает и "убийство" задано в настройках? Приходится отключать защиту, удалять "зараженное" сообщение, и вновь активировать защиту.

О.: Все зависит от того, какой почтовой программой вы пользуетесь.

Для Microsoft Outlook в 4-ой версии нашего антивируса есть специальный plug-in MailChecker, который проверяет почту в момент ее прихода. Эта компонента обеспечивает и лечение сообщений во вложениях электронной почты на лету.

Основная проблема в том, что почтовые базы различных программ очень сильно различаются. Почтовая база это, по сути, один большой архив, в котором хранятся все сообщения и все вложения.

Мы можем разобрать структуру этой почтовой базы. Вылечить вирус в файле мы можем, но потом необходимо вылеченный объект поместить обратно в базу, а это означает изменение структуры самой базы. Не для всех почтовых баз это возможно, в ряде случае формат недокументирован производителем почтовый программы.

Антивирусный сканер 4-ой версии обладает возможностью лечения почтовых баз программы Outlook Express.

Мы работаем в этом направлении. В 5-ой версии нашего антивируса будет специальный модуль, перехватывающий и проверяющий почтовый трафик до того, как зараженное письмо попадет в базу почтовой программы.

В.: Почему так часто приходят обновления, и почему они такие объемные?

О.: Частота выхода обновлений антивирусной базы это скорее достоинство антивирусной компании, а не недостаток. В настоящий момент мы выпускаем обновления антивирусной базы 2 раза в день. У нас очень хорошая скорость реакции на появление новых вирусов.

Общий размер наших антивирусных баз на сегодняшний день 3 Мбайт. Это совсем не много и меньше, чем у большинства конкурентов.

Кроме того, процесс обновления является инкрементальным, ежедневные обновления не превышают размер 30 кбайт и, как правило, существенно меньше. Все ежедневные обновления собираются в еженедельное обновление, его размер редко превышает 40 кбайт.

Например, на компьютер, не обновлявшийся с начала июня по сегодняшний день (т.е. 1 месяц), для получения полного набора антивирусных баз потребуется загрузить примерно 120 кбайт. Это очень хороший показатель.

Поддерживать работу большого количества разрозненных еженедельных обновлений весьма сложно, поэтому периодически (примерно раз в квартал) мы выпускаем кумулятивное обновление антивирусной базы. Это оптимизированная база размером 3 Мбайт, включающая в себя более 60 тысяч записей обо всех вирусах, известных нам с момента начала работы над антивирусным проектом и по текущий день. Никакие вирусы не удаляются из антивирусной базы по причинам срока давности, соответственно, антивирусная база растет с годами.

Кроме того, новые типы вирусов требуют новых алгоритмов эффективного детектирования. Это еще одна причина выпуска кумулятивных обновлений, которые, по сути, являются обновлением антивирусного движка программы.

В.: Как гарантируется целостность (правильная работа) AVP? Ведь в процессе многократных обновлений могут возникать искажения как самих обновлений в Интернете, так и сбои ПК при их инсталляции.

О.: Целостность и правильная работа обеспечивается тем, что во всех исполняемых модулях используется цифровая подпись. Изменение, хотя бы одного бита кода, автоматически отразится в несовпадении этой цифровой подписи, и программа выдаст соответствующее предупреждение. Большое количество вирусов пытается отключить антивирусную защиту, испортить исполняемые файлы антивируса, заразить его файлы. Антивирус проверяет свою целостность: умеет вылечивать модули и перезапускаться.

Еще одно дополнение. Мы уже несколько лет не используем название AVP (Antiviral Toolkit Pro). Антивирусные продукты Лаборатории Касперского сейчас называются "Антивирус Касперского".

Юрий Бортняков