Dr.Web CureNet!: проверка боем

Сегодня на рынке существует достаточно большой выбор средств антивирусной защиты, в том числе и для корпоративных сетей. Почти все решения обладают мощной и разнообразной функциональностью. Вместе с тем, споры о том, какое защитное ПО более эффективно, достаточно ли возможностей того или иного антивируса для надежной защиты сети предприятия, не прекращаются и, наверное, не прекратятся никогда. У каждого продукта находятся сторонники и противники, тем более что, как известно, идеальной защиты от вирусов не бывает. При этом, выбрав антивирусное решение, пользователи фактически вынуждены полностью ему довериться. Подстраховка с помощью альтернативного антивируса, как правило, оказывается проблематичной, поскольку продукты разных производителей «не уживаются».

Решение — лечащая утилита

Компания «Доктор Веб» предложила свое решение проблемы «подстраховки», выпустив продукт Dr.Web CureNet! — лечащую утилиту, которая не конфликтует с другим ПО, в том числе защитным, и позволяет проверить качество работы уже установленного у заказчика антивируса. До недавнего времени единственным такого рода продуктом была бесплатная утилита Dr.Web CureIt!, предназначенная для проверки отдельных компьютеров. В отличие от нее, новый продукт Dr.Web CureNet! был создан для работы в корпоративных сетях, независимо от их масштаба. Кроме того, в продукте предусмотрена возможность обновления вирусных баз, благодаря которой Dr.Web CureNet! остается актуальным в течение всей продолжительности его использования.

Производитель стремился сделать новый продукт максимально удобным и простым в использовании — для работы Dr.Web CureNet! не требуются ни наличие сервера, ни установка лечащих сканеров на рабочие станции или серверы Windows. Мастер Dr.Web CureNet! запускается с внешнего носителя, например, с «флешки». Распространение сканеров производится с любого компьютера, при этом сканеры Dr.Web для Windows не устанавливаются, а запускаются на исполнение и после проведения сканирования самоудаляются из компьютера. Интерфейс Dr.Web CureNet! реализован в виде последовательных шагов, что делает процедуру проверки интуитивно понятной. При этом нагрузка, создаваемая работающей утилитой на сеть и отдельные компьютеры минимальна.

Таким образом, если установленный антивирус другого производителя вызывает нарекания или подозрения, с помощью Dr.Web CureNet! сомнения можно подтвердить или опровергнуть, не затрачивая лишнего времени.

Редакция журнала «Connect! Мир связи» предложила экспертам нескольких компаний проверить утилиту Dr.Web CureNet! «в полевых условиях». Мнения экспертов, познакомившихся с Dr.Web CureNet! на практике, а также пояснения специалистов компании «Доктор Веб», легли в основу данной публикации.

Об актуальности утилиты

Итак, утилита Dr.Web CureNet! предназначена для проверки качества антивирусной защиты корпоративной сети. Нужна ли такая проверка в принципе?

Большинство экспертов отметили актуальность дополнительной проверки ввиду высокой цены риска нарушения работоспособности локальной сети и повреждения данных. «Возможности Dr.Web CureNet! актуальны, а зачастую даже необходимы, тем более что целесообразность и стоимость оптимально сочетаются в этом продукте», — считает Евгений Абрамовских, начальник отдела службы экономической безопасности и защиты информации ОАО «Башкирэнерго».

«Дополнительная проверка компьютеров в локальной сети является важным аспектом безопасности информационной системы. Не стоит полностью полагаться на один антивирусный продукт. Проведение такой процедуры целесообразно при минимальной стоимости дополнительного продукта, или если он полностью бесплатный», — полагают специалисты компании IT Energy — Максим Вышегородцев, старший специалист отдела администрирования системного ПО, и Роман Исаков, главный специалист отдела администрирования системного ПО.

В то же время, по мнению ряда специалистов, при изначально продуманно подходе к выбору антивирусного решения необходимость в дополнительных проверках становится излишней. «Считаю, что дополнительная проверка в принципе нецелесообразна. Если есть, что защищать, то и тратить на это нужно соответствующие ресурсы, — говорит Михаил Рожнов, технический специалист ООО «Сертифицированные Информационные Системы».

«Возможно, такой тип антивируса, как Dr.Web CureNet!, будет полезен для экспресс-анализа сети, в которой не на всех рабочих станциях и серверах функционировали локальные антивирусные средства защиты», — полагает Никита Мамедов, ведущий специалист технического отдела ЗАО «Документальные системы».

Степень удобства

Установка и настройка утилиты в большинстве случаев не вызвала каких бы то ни было затруднений. «Процедуры установки, настройки, проведения антивирусной проверки АРМ пользователей корпоративной сети, формирования отчета о ее результатах производятся довольно просто, а пользовательский интерфейс интуитивно понятен, что позволяет работать с утилитой пользователю с минимальным уровнем квалификации», — отмечает Дмитрий Миняев, научный сотрудник ООО «Научно-испытательный институт систем обеспечения комплексной безопасности».

Тем не менее, как говорится, «возможны нюансы», поэтому разработчиками Dr.Web CureNet! предусмотрено руководство администратора, с которым специалисты «Доктор Веб» настоятельно рекомендуют ознакомиться. Так, например, неправильные настройки сети могут привести к ошибкам при попытке развернуть агент на удаленном хосте, и в руководстве администратора необходимая процедура настройки сети приведена.

В ходе тестирования Dr.Web CureNet! возникли некоторые вопросы, связанные с настройками и возможностями управления утилитой. Учитывая заданные вопросы, приведем несколько замечаний от «Доктор Веб».

Чтобы указать, как программе следует поступать с каждым обнаруженным типом вредоносных объектов (исцелять, удалять, перемещать), следует воспользоваться вкладкой «Действия» настроек Dr.Web CureNet!. Если не выполнить этих настроек, не исключена ситуация, когда, например, файлы, для которых в отчете значится «Исцелен», по факту удаляются или перемещаются из начальной директории.

Отчет о сканировании формируется программой автоматически по окончании проверки. Получить этот отчет со статистикой по каждой проверенной станции можно, нажав кнопку «Сформировать отчет».

Пользователи хотели бы иметь возможность после окончании работы Мастера вернуться на предыдущий шаг. В настоящий момент такая возможность в программе отсутствует, однако уже в следующей версии Dr.Web CureNet! разработчики обещают ее реализовать.

Функционал

Отсутствие в Dr.Web CureNet! некоторых возможностей вызвало нарекания экспертов, проводивших тестирование. Однако не следует забывать, что утилита не является заменой комплексному антивирусному решению. Цель утилиты — единоразовые централизованные проверка и лечение компьютеров от вирусов. Задачу Dr.Web CureNet! не входит, например, постоянный контроль системы, поэтому данное ПО не может быть запущено в фоновом режиме.

Особенностями целевого назначения утилиты обусловлено и то, что в программе не предусмотрен выбор каталогов, подлежащих сканированию. Пользователю доступны два режима проверки — «полная» и «быстрая» с возможностью исключить сканирование архивов и/или почтовых файлов. Дело в том, что для осуществления возможности выбора каталогов Мастеру сканирования необходимо построить дерево каталогов, что по времени сопоставимо со сканированием системы на вирусы.

Не реализована в программе также возможность остановки сканирования. Впрочем, как считают разработчики, вирусы, хотя и «предпочитают» системные файлы и папки, могут располагаться в любых каталогах, поэтому остановка сканирования после завершения проверки системных папок не может дать гарантий полного очищения системы от вирусов.

Одно из замечаний, высказанных по итогам тестирования, состояло в том, что результат сканирования в xml-формате можно анализировать только на том компьютере, на котором установлен антивирус. Однако поскольку Dr.Web CureNet! является утилитой централизованного лечения (т.е. управление лечением сети происходит с одного компьютера), необходимость в анализе отчетов на компьютере, отличном от того, на котором был запущен Мастер сканирования, отпадает.

Потребовало разъяснения назначение модуля dwprot, ответственного за защиту компонентов антивируса от модификации. «Модификация была произведена в файле CureNet.exe, что не было обнаружено данным модулем и позволило запустить антивирус в обычном режиме», — сообщил Никита Мамедов. Объяснение этому состоит в том, что утилита Dr.Web CureNet! предназначена для лечения удаленных компьютеров, и предполагается, что компьютер, управляющий лечением, сам не заражен. Поэтому разработчики сочли нецелесообразным реализовывать защиту исполняемого файла Мастера до его запуска.

Эффективность проверки

Теперь о самом главном — эффективности распознавания угроз утилитой Dr.Web CureNet!. «Процедура обнаружения и лечения вредоносных объектов показала свою эффективность с момента запуска сканера Dr.Web CureNet!. Особенно полезным свойством является своевременное обнаружение и обезвреживание вредоносных программ, находящихся не только в активной фазе. Радует превосходная скорость сканирования и отсутствие эффекта «притормаживания» рабочей станции», — отметил Евгений Абрамовских.

Михаил Рожнов сравнил работу Dr.Web CureNet! с работой антивирусных продуктов, представленных в проекте VirusTotal. В качестве эксперимента был выбран обфусцированный троян-лоадер script.js.html, файл был проверен на сайте. Около половины антивирусных программ, участвующих в проекте, среагировали на угрозу. «Антивирусная проверка с помощью утилиты Dr.Web CureNet! результатов не дала. Следовательно, система остается уязвимой», — резюмирует Михаил Рожнов.

Здесь стоит вспомнить о фирменной технологии «Доктор Веб», не имеющей аналогов у других разработчиков — FLY-CODE, универсальном распаковщике. Технология предоставляет универсальный алгоритм распаковки, который позволяет строить эвристические предположения о наличии вредоносных объектов в файлах, сжатых не только известными антивирусу Dr.Web упаковщиками, но и новыми, ранее неисследованными программами. Специалисты «Доктор Веб» считают, что как в случае с проведенном с помощью VirusTotal эксперименте часть детектировавших угрозу антивирусов сработала исключительно из-за того, что они встретили неизвестный им упаковщик, в то время как для Dr.Web неизвестных упаковщиков не существует благодаря технологии FLY-CODE. Хотя, конечно, для более детального объяснения отрицательного результата необходимо иметь код запущенного скрипта.

Использовать — не использовать

По итогам тестирования утилита была не рекомендована к использованию лишь одним экспертом. «На вопрос об эффективности лечения невозможно дать однозначного ответа, так как 100% гарантии обнаружения и, соответственно, лечения, дать никто не может. Поскольку программное средство не обеспечивает проверку систем в фоновом режиме, то использовать Dr.Web CureNet! придется ежедневно», — таков был вердикт Михаила Рожнова.

Те же эксперты, которые сочли целесообразным использование утилиты, высказали различные мнения относительно частоты проверок с ее помощью. «Некоторые из обнаруженных зараженных файлов CureNet! лечит достаточно эффективно. Однако статистика вирусной активности за последнее время показывает, что системные файлы и другие важные, например, пользовательские данные заражаются крайне редко. Исходя из результатов теста считаем целесообразным проводить дополнительную проверку продуктом Dr.Web CureNet! не чаще одного раза в месяц», — констатировали Максим Вышегородцев и Роман Исаков.

«Использование Dr.Web CureNet возможно в качестве дополнительного средства обнаружения вредоносных программ раз в неделю. Хотя не исключается и более частое применение», — считает Евгений Абрамовских.

«Использования антивируса Dr.Web CureNet! представляется наиболее целесообразным в целях аудита, — полагает Никита Мамедов. — Он позволит в кратчайшие сроки определить уровень и качество антивирусной защиты в организации».

То, с какой целью и какой периодичностью проводить дополнительные проверки с помощью утилиты Dr.Web CureNet!, в конечном счете, наверное, будет определяться политикой компании в области информационной безопасности. С уверенностью можно констатировать одно: наличие второй линии антивирусной обороны не будет лишним, когда использование соответствующего инструмента не является обременительным ни для пользователей, ни для бюджета.

Говорит Евгений Абрамовских, начальник отдела службы экономической безопасности и защиты информации ОАО «Башкирэнерго»:

В ОАО «Башкирэнерго», как и во многих развивающихся компаниях, предъявляются достаточно высокие требования к уровню информационной безопасности корпоративных сетей. Это связано с участившимися хакерскими атаками, попытками проникновения различных вредоносных программ, способных привести к сбоям корпоративной сети. Применительно к ОАО «Башкирэнерго» такие сбои могут привести к необратимым последствиям, создать угрозу наступления чрезвычайной ситуации в регионе. Следует отметить, что проблемы нередко возникают из-за некорректной работы самого антивирусного продукта. В целях минимизации подобных рисков одновременное применение антивирусных продуктов от ведущих разработчиков просто необходимо.

Установка утилиты Dr.Web CureNet! не вызывает трудностей даже у неопытного пользователя. Минимальные системные требования позволяют произвести корректную установку антивирусного продукта даже на устаревшие рабочие станции. Наряду с удобным пользовательским интерфейсом приятно удивили достаточно высокие результаты сканирования. Все это производит впечатление хорошо отлаженной, высокопроизводительной и практичной программы, имеющей хорошее будущее.

Говорит Дмитрий Миняев, научный сотрудник ООО «Научно-испытательный институт систем обеспечения комплексной безопасности»:

Ввиду необходимости защиты информационных активов как основного бизнес-ресурса любой компании возможность дополнительной проверки надежности установленной антивирусной защиты является крайне актуальной, а если к тому же данный процесс достаточно прост и не требует больших затрат, то и весьма привлекательной. Но затраты на дополнительные гарантии безопасности в любом случае должны обосновываться.

Работа с утилитой Dr.Web CureNet! не вызвала затруднений.

При тестировании утилиты на один из компьютеров, подлежащих проверке, был загружен вирус Virus.Win32.Alman.a, заражающий исполняемые файлы Windows. В результате сканирования вирус был обнаружен, а зараженные файлы вылечены, при этом работоспособность операционной системы не пострадала, что наглядно показало эффективность работы Dr.Web CureNet! Между тем, после проведения проверок у пользователей начиналась неустойчивая работа ОС. Вывод: продукт «сыроват».

Периодичность проведения дополнительной проверки определяется политикой информационной безопасности компании в области антивирусной защиты и может зависеть от многих факторов. В целом, целесообразно проведение проверок не реже одного раза в неделю, а в период «эпидемий» ежедневно.

Характеристики Dr.Web CureNet!

Возможности проверки
— Наличие собственных профилей проверки.
— Выбор действий для каждого типа вредоносных объектов.
— Выбор действий для зараженных, подозрительных объектов и объектов другого типа, включая лечение, переименование, перемещение и удаление.
— Возможность задавать варианты действий над обнаруженным вредоносным объектом, если первоначальное или последующее действие невозможно.
— Выбор действий для инфицированных пакетов (архивов, контейнеров, почтовых файлов).
— Наличие эвристического анализатора.
— Origins Tracing — дополнительные технологии обнаружения вредоносных объектов помимо сигнатурного метода и эвристического анализа.
— Модуль dwprot для защиты компонентов антивируса от модификации, удаления и блокировки.
— Быстрая проверка. Проверяются оперативная память, загрузочные секторы всех дисков, объекты автозапуска, корневой каталог загрузочного диска, корневой каталог диска установки Windows, системный каталог Windows, папка «Мои документы», временный каталог системы, временный каталог пользователя.
— Полная проверка (все объекты «Быстрой проверки», а также все локальные диски ПК).
— Исключение из проверки архивов или почтовых файлов.

Возможности лечения

— Технология FLY-CODE позволяет обнаружить и удалить вирусы, скрытые под неизвестными упаковщиками.
— Утилита способна обнаружить и удалить активные (запущенные и выполняющиеся в момент проверки) и пассивные вредоносные программы следующих типов: почтовые и сетевые черви; руткиты; файловые вирусы; троянские программы; бестелесные и стелс-вирусы; полиморфные вирусы; макровирусы и вирусы, поражающие документы Microsoft Office; скрипт-вирусы; шпионское и рекламное ПО; хакерские утилиты; программы платного дозвона; программы-шутки.

Системные требования

Мастер
— ОС Microsoft Windows 2000/XP Professional/Server 2003 / Server 2008 / Vista/ Windows 7
— Свободное место на жестком диске (минимум 36 МБ)
— Доступ в интернет для обновления вирусных баз и компонентов Dr.Web CureNet!
— Локальная сеть TCP/IP

Сканер
— ОС Microsoft Windows 2000/ XP Professional/Server 2003/ Server 2008/ Vista/ Windows 7 (32-и 64-битные системы)
— Свободное место на жестком диске (минимум 17 МБ)