«Облачные» вычислительные технологии достаточно широко распространены в современной Сети. С их помощью пользователи по всему миру расшифровывают геномы, вычисляют простые числа, ищут планеты и братьев по разуму и выполняют другие «высокие» задачи.
Проект Immunet (www.immunet.com) пытается приспособить виртуальные «облака» к решению простых, понятных и, если хотите, бытовых проблем антивирусной защиты. Современные вирусы и другие вредоносные программы отличаются исключительной «заразностью». Эффективность ответной реакции антивирусов, использующих базы сигнатур угроз, во многом зависит от быстроты доставки обновлений.
В то же время простое наращивание скорости выпуска обновлений разработчиком какого-либо антивируса – не самое простое дело: объективно необходимо определенное время на получение образца зловредного кода, его анализ, тестирование апдейта антивира и его распространение. Поэтому уже несколько лет как акцент в обеспечении безопасности сместился на проактивные технологии. Такие защитные меры действуют на основе анализа подозрительного поведения приложений. Базы готовых сигнатур становятся хорошим подспорьем для проактивных сканеров, однако требования к ним становятся не такими жесткими. В некоторых антивирусах из баз сигнатур даже исключают описания старых вирусов – для ускорения работы и обновления.
Антивирус Immunet заточен именно под использование «облачных» технологий поиска угроз
Следующий виток этой борьбы – применение облачных технологий. В этом случае основным хранилищем сведений о вредных программах становится удаленное «облако», к которому постоянно подключены компьютеры клиентов. Подозрительные файлы присылаются программами-клиентами и после проверки, если подозрения подтверждаются, всем участникам «облака» рассылаются сведения о новой угрозе. Подобная схема лучше поддается автоматизации и позволяет радикально сократить временной разрыв между появлением вредоносной программы и реакцией системы защиты. Immunet является примером как раз такого решения.
Нельзя не заметить, что это не единственная попытка создать самостоятельный антивирус на данном принципе. Достаточно вспомнить Panda Cloud, который, впрочем, трудно назвать удачным продуктом – качеством защиты он не отличался. Необычных свойств у Immunet более чем достаточно, сравнивать его с другими антивирусами «в лоб» сложно, поэтому давайте разбираться с ним по порядку и выяснять, чем он может быть нам полезен.
Общие характеристики
Immunet 3.0 задействует сразу несколько антивирусных «движков». Когда компьютер находится в офлайне, для защиты применяются алгоритмы и базы сигнатур достаточно известного антивируса ClamAV. В коммерческой версии Immunet Plus компанию ему составляют дополнительные антивирусные базы TETRA. Эти локальные продукты кроме обеспечения офлайновой защиты также помогают в работе «облачным» решениям.
«Главный калибр» Immunet – это облачные машины ETHOS и SPERO. Для них необходимо постоянное подключение к интернету. Первая – это эвристический анализатор, который сканирует все запускаемые на компьютере пользователя файлы. Те из них, которые программа сочтет потенциально опасными, будут отправлены в «облако» проекта для анализа. Если проверка подтвердит опасность файла, сведения о нем немедленно передаются в «облако» юзеров.
В результате время реакции на новую угрозу составит считанные минуты. Исполняемые файлы ETHOS сканирует при первом запуске. Если программа определена как благонадежная, при последующих запусках она не проходит фильтр, что призвано ускорить работу. SPERO – это «облачная» машина со способностью к самообучению, получающая данные о потенциальных угрозах от сообщества Immunet.
Не раз и не два Immunet спросит вас, не хотите ли вы выбрать для использования платную версию продукта
В настоящее время предлагается несколько версий пакета Immunet. Прежде всего это бесплатный Immunet Free. Но есть и коммерческие версии, объединенные под маркой Immunet Plus. Они отличаются способностью сканировать сообщения электронной почты, CHM-файлы, а также инсталляторы. Различия между коммерческими версиями Basic и Extended минимальны. Функциональные возможности у них одинаковые, отличия – только в количестве лицензируемых компьютеров и сроках этого лицензирования: один или два года. Доступна триальная версия Immunet Plus. Признаюсь, я был немного удивлен тем фактом, что при переустановке обновленного приложения пробный период начинается заново.
Установка и настройка
Установка и настройка Immunet не является сложной задачей, даже если учесть отсутствие русского языка в интерфейсе приложения. Стартовый файл сам определит тип платформы и загрузит нужную версию инсталлятора. Доступны как 32-, так и 64-битные варианты. В ходе установки предлагается включить опцию автоматической отправки подозрительных файлов для анализа. После инсталляции Immunet следует немедленно провести проверку Flash Scan на предмет наличия угроз в запущенных процессах, а также автоматически загружаемых при старте операционной системы программах.
Одна из особенностей Immunet – ориентация на совместную работу с другими антивирусными продуктами. Его создатели прямо рекомендуют использовать свой пакет в связке с «традиционными» антивирусами. Поддерживаются практически все популярные решения, а в разделе помощи Immunet есть подробные инструкции по настройке сторонних приложений (Comodo, Kaspersky Internet Security, AVG) для работы с Immunet. В основном она сводится к добавлению данного продукта в список доверенных приложений.
Интерфейс сервиса очень прост. В главном окне выделены три раздела. Community предназначен для отправки вашим знакомым приглашений присоединиться к Immunet. Причем количество приглашенных никоим образом не влияет на качество антивирусной защиты: в любом случае вы будете подключены к ресурсам почти двухмиллионного сообщества. Раздел Product также носит справочный характер и отображает сообщения об обновлениях Immunet.
Все основные настройки собраны на панели Computer. Вкладка Scan Now позволяет настроить параметры периодического сканирования системы по расписанию. Доступны режимы быстрого (Flash Scan), полного (Full Scan) и выборочного (Custom Scan) сканирования компьютера, а также проверки поступающей почты и поиска руткитов, которые открыты в версии Immunet Plus. Кроме того, кнопка сканирования с помощью Immunet добавляется в контекстное меню «Проводника» Windows.
Тестируем
При первом знакомстве с характеристиками Immunet на официальном сайте вызывает вопросы рекомендация использования данного пакета в связке с другими антивирусными решениями. Поневоле ловишь себя на мысли: «А зачем мне нужен такой продукт? Не пытаются ли разработчики банально замаскировать отсутствие реальных результатов?» Однако, разобравшись в ситуации и немного пообщавшись с Immunet в реальной обстановке, понимаешь, что это не так. Дело в том, что у «облачной» технологии защиты кроме плюсов есть и принципиальные ограничения, о которых нужно знать и которые как раз и требуют организации работы в связке с привычными решениями защиты компьютера.
Во-первых, «облачные» технологии эффективны только при постоянном подключении к интернету. Если связи нет, остается полагаться только на модуль ClamAV, который пусть и неплох, однако служит здесь только вспомогательным инструментом. Во-вторых, если все-таки вредоносный код был пропущен и заражение состоялось, локальный антивирус является куда более мощным и надежным средством именно лечения.
Что ж, настало время проверить Immunet в деле. В качестве тестового задания я взял архив свежих вирусов от ресурса «Клуб сисадминов». Архив размером 161 Мбайт содержал несколько сотен файлов, зараженных самыми разными видами вредоносного кода образца 2010-2011 годов. Срабатывать Immunet начал уже при распаковке архива. В соответствии с настройками по умолчанию зараженные файлы отправлялись в карантин. Гонка между счетчиком извлеченных из архива файлов и счетчиком найденных Immunet угроз представляла собой довольно любопытное зрелище: они шли, как говорится, ноздря в ноздрю.
Результаты получились очень даже неплохие: через фильтр из 580 тестовых файлов проскочило 11 штук. Заметим, что 98,1% обнаруженных угроз – это действительно хороший показатель, если сравнить с достижениями других антивирусов, как бесплатных, так и коммерческих, протестированных с привлечением аналогичного архива. Интересно, что цифра пропусков вполне коррелируется с примечанием к тестовому архиву о том, что в его состав был заложен десяток безопасных файлов, содержащих несамостоятельные компоненты вредоносных программ. Они безвредны, однако ожидалось, что они, тем не менее, должны фильтроваться современными антивирусами.
Надо констатировать прогресс по сравнению с предыдущими версиями Immunet, которые звезд с неба не хватали. В своей же третьей версии этот пакет может успешно послужить повышению безопасности компьютера с помощью «облачных» технологий. Учитывая, что и другие известные антивирусные продукты движутся в том же направлении, судя по всему, перед нами будущее. UP
