Антивирусная программа ThreatFire.

3DNews опубликовал статью «В дополнение к антивирусу — утилиты для защиты от шпионов», в которой рассказали о трех антивирусных утилитах — Hitman Pro, PC Tools ThreatFire и AVZ.

Полезнейшую программу AVZ Олега Зайцева я давно знаю и постоянно использую. Описание возможностей Hitman Pro в статье на 3DNews меня не впечатлило, а вот программа PC Tools ThreatFire заинтересовала. В первую очередь двумя моментами: бесплатным статусом и реакцией на вредоносный код класса 0-day. Я установил эту программу, на следующий же день ее снес и далее хочу рассказать, почему так поступил.

Два слова о термине 0-day или zero-day. Программа, которая была недостаточно качественно написана, может стать дырой в безопасности, через которую злоумышленник сможет успешно атаковать компьютерную систему. Известные ошибки в программах устраняются с помощью обновлений, поэтому квалифицированные хакеры стараются найти новые. Кстати, информацию о новой, еще никому не известной уязвимости, можно неплохо продать. Вот такие проблемы компьютерных систем, которые пока не закрыты и малоизвестны, и называют 0-day уязвимостями.

Антивирусная программа, которая может выявить неизвестную вредоносную программу по поведению, будет намного эффективней, чем обычный антивирус, который умеет сканировать компьютер по базе известных вирусов. Поэтому заявленная в ThreatFire функция защиты от неизвестных уязвимостей привлекла мое внимание.

После установки ThreatFire запустила тест оценки безопасности моего компьютера: включены ли файрвол и антивирус, а также сканирование на вредоносный код:

В моем случае ThreatFire обнаружил (ошибочно) 6 объектов и пожаловался на отсутствие файрвола. Файрвол у нас, как и полагается, стоит между локальной сетью и Интернет, поэтому в ответ на рекомендацию установить именно PC Tools Internet Security я только иронично хмыкнул.

После установки появился значок в системном трее и я тут же на нем щелкнул, чтобы познакомиться с функциями программы. Первым делом ThreatFire показал мне карту мира с красными точками:

Как страшно жить — любит говорит Рината Литвинова. Переживать за весь мир и оно в принципе похвально, но голова может начать болеть. Мне интереснее, что же творится на моем компьютере. Поэтому ищем функции программы, которые ближе к телу.

Обнаружился сканер, он пошуршал по моим жестким дискам и ничего вредного не обнаружил. Отметил отсутствие каких-либо настроек сканера. К примеру, Avast предлагает три уровня сканирования плюс опцию проверки архивов. У DrWeb еще больше опций: эвристический анализ, сканирование архивов, выборочный анализ типов файлов, настройка реакции на найденные вирусы. У ThreatFire все предельно просто, спартанцам бы понравилось.

В окне расширенных инструментов обнаружился список запущенных процессов, однако я был разочарован. Process Explorer от Sysinternals Марка Руссиновича дает на порядок больше информации и что важно, показывает ее в удобном для пользователя виде, а не в попсовом неудобном окошке:

Скажу честно, что в пмоем понимании защита от 0-day атак — это активный сканер системы, который держит руку на мониторинге в реальном времени файловой системы и интернет-активности. Чтобы, если я к примеру сдуру залезу на сайт с эксплойтами, сразу же отреагировал, обрубил соединение с вредоносным сайтом и надавал мне по рукам. А сканер, который я должен сам запускать (для Pro-версии будет сам запускаться по расписанию, большое достижение) — это несерьезно. Грамотная зараза, попав на компьютер, первым делом установит руткит и все, приехали. Запускаться будет только то, что хочет автор вируса.