 |
Автор/Источник: Антон Борисов» 23.08.2007 16:24, просмотров сегодня: 1, всего: 23727
статья размещена в группе: Программы
оценка: 4.132, 53 голоса
Производители современных смартфонов и коммуникаторов спешат воткнуть в начинку самые, что ни на есть, современные средства обмена и коммуникации. На смену последовательным и инфракрасным портам приходят более совершенные средства беспроводного обмена — Bluetooth и WiFi-адаптеры. Естественно предположить, что по умолчанию данные адаптеры будут включены в устройстве. А мы помним, что по уровню безопасности операционные системы Windows Mobile больше напоминают некогда популярную, настольную Windows 95, нежели Windows NT 4.0. Эти два фактора являются ключевыми при угрозе заражения вирусами для платформы Pocket PC.
На сегодняшний момент вирусов для мира PocketPC официально существует только 3. Впрочем, несмотря на довольно урезанную структуру API на КПК (примерно в 10 раз меньше функций, чем на настольных Windows), принцип создания вирусов и червей для мобильной платформы тот же, что и для "большого" брата. А это означает, что скоро появятся и более интеллектуальные черви, и полиморфные вирусы. И более мощные механизмы противодействия им.
Сегодня мы рассмотрим несколько антивирусных пакетов для наших наладонников:
Airscanner
Начнем с одного из самых первых антивирусов для платформы Pocket PC — Airscanner. Разработчики этой программы находятся в штате Техас (США). Надо сказать, что работники этой компании были первыми, кто проанализировал первый концепт вируса-червя «Dust» в 2004 году. По-большому счету, он был не опасен, т.к. не мог самостоятельно размножаться. Впрочем, в том же году был создан новый вирус под названием «WinCE.Brador.a». Вот последний действительно опасен, ибо представляет собой настоящего троянца и способен самостоятельно распространяться. Более того, это полноценное приложение для удаленного контроля.
Впрочем мы немного отвлеклись. После установки Airscanner на КПК вас будет приветствовать такой вот симпатичный логотип от антивируса.
Стартовое окно Airscanner
Меню у программы несложное, но в нем присутствует ряд интересных опций. Например, возможность просмотра реестра и системных процессов. Это может быть полезно, если вы хотите самостоятельно убедиться, что ничего вредоносного не внедрилось в операционную систему.
В пункте «Options» находятся следующие подпункты:
- «Scan Now» — начать процесс сканирования
Идет процесс сканирования Airscanner
На одной SD-карте найден прототип вируса 'Dust'
- «Configuration» — задаются такие опции как, возможность фоного сканирования; выбор пользователем отдельной директории для проверки; автоматический старт антивируса при загрузке ОС
- «Repository Files» — список файлов в антивирусной базе
- «Online Update» — запуск процесса обновления (требуется подключение к Интернету)
- «Update History» — просмотреть сеансы обновления антивирусных баз
- «About» — справка о программе
- «Exit» — выгрузка программы из памяти
В пункте «Tools» хранятся достаточно нужные инструменты:
- «Processes Manager» — можете самостоятельно убедиться, что ничего лишнего в памяти нет
- «System Information» — получение информации о вашем КПК, такие как количество памяти, версия операционной системы и некоторые другие; нажимайте на пункт меню «Options»
Сведения об аппаратной части КПК
- «Registry Viewer» — просмотр реестра, например ветки автозапуска
- «Airscanner Scheduler» — правка расписания; можно задать интервалы для антирусной проверки в удобное для вас время
Расписание для автоматической проверки устройства
Вполне законный вопрос — какие вирусы отлавливает Airscanner? Смотрите детальный отчет по антивирусной базе «Update History->Options->Virus Database».
Список вирусов, которые известны Airscanner
Как видите, на данный момент актуальны 3 вируса — «Dust», «Brador» и «Crossover». Последние два являются троянами и особенно опасны. Так, «Brador» открывает порт 2989 и с удаленной машины можно как загрузить на/с КПК файл, так и выполнить произвольную команду. Создатель, очевидно, находится на территории Украины (несколько подробнее [1] и [3].
Можно сказать, что практически все "большие" производители настольных антивирусных систем уже предлагают решения для мобильных устройств, вроде коммуникаторов и смартфонов. Не следует ожидать, что антивирусные пакеты будут лечить вирусы для других платформ, например x86. Соответственно и объем антивирусных средств, а также размер антивирусных баз будет на порядок меньше, в сравнении с настольными решениями. Что немаловожно при обновлении по GPRS.
F-Secure
Итак, следующим антивирусным решением у нас будет продукция компании F-Secure. Меню, как и в Airscanner, аскетичное — поэтому запутаться будет проблематично.
Краткая информация о статусе F-Secure
Следует отметить, что после установки, F-Secure потребует soft-перезагрузки устройства. Данное действие необходимо для установки компонента слежения за открывающимися файлами. После этого рекомендуется скачать обновления с сайта производителя, иначе в трее будет маячить предупреждение о необходимости это сделать.
Такой логотип в окне 'Today' предупреждает о необходимости обновить антивирусную базу
Сканирование достаточно серьезно нагружает устройство, поэтому наилучшим вариантом будет отключить проверку в реальном времени, а проверять файлы время от времени.
Процесс сканирования F-Secure
Окно отчета продемонстрирует, что на вашем наладоннике вредоносных программ нет. Как правило, антивирус не проверяет индексные файлы от PIE. Можно лишний раз в этом убедиться, нажав на ссылку «View».
Вирусы уже уничтожены предыдущей программой — Airscanner ;-)
BitDefender
В отличие о рассмотренных выше приложений, меню в BitDefender полностью графическое, доступно в основном окне и очень аскетичное. В качестве привычного текстового меню выступает справка. Достаточно удобная вещь, особенно для выяснения, что скрывается за термином «Virus Shield».
BitDefender не признает текстовых меню
Рекомендуется проверить обновления, дабы идти в ногу со временем.
Чтож, давайте запустим процесс сканирования.
База, идущая в комплекте с данной версией, не нашла 'Dust', а он был на SD-карте
Как и раньше, наше устройство не таит в себе вирусной активности. Что, конечно же, радует. Если вам необходимо проверить файлы на внешнем носителе — поменяйте путь для проверки «Path to scan». Вместо всей корневой системы "/" напишите или выберите "/Storage Card».
Отсутствие разветвленного меню не должно вас пугать, т.к. разработчики вынесли весь функционал на настольную систему. В трее настольной системы обратите внимание на красный значок — это и есть основной модуль обновления программы. При подключении ActiveSync, настройки синхронизируются с мобильной частью, расположенной на наладонном устройстве.
Настольный модуль
Symantec
Symantec работает по принципу F-Secure, т.е. выводит в трей КПК свою пиктограмму, как бы лишний раз напоминая, что он находится в памяти и беспокойство излишне.
Symantec в 'Today', а значит и в RAM вашего КПК
При желании, можно отключить модуль автопроверки новых файлов или при обращении к уже имеющимся — снимите галку с «Auto-Protect».
Попробуем проверить со старой вирусной базой, а есть ли у нас на устройстве вирусы или трояны? Нажимаем на «Scan» и ждем окончания процесса.
База все-таки сильно устарела ...
Сканирование, даже на настольных системых, достаточно требовательный к производительности CPU процесс. Поэтому в качестве рекомендации — перед сканированием выставьте скорость КПК на максимум и во время процесса проверки старайтесь не переключаться на другие задачи.
... поэтому логично, что устройство оказалось без вирусов
Давайте теперь посмотрим на меню программы. Оно представлено единственным пунктом «Tools», состоящим из следующий опций:
- «Preferences» — основные настройки программы, среди которых автоматическая проверка после синхронизации ActiveSync («Scan all after synchronization when changes have occured») и запуск автопроверки при подключении внешнего модуля памяти, например SD-карты («Scan new file system after mounting»).
- «Virus Definitions» — вирусные характеристики
Описание вируса информативно, хоть это и тестовый образец
- «Activity Log» — журнал проверок
Журнал проверок
- «LiveUpdate» — запуск процесс обновления антивирусных баз
Полное название для данного антивирусного продукта, если будете заказывать, Symantec AntiVirus for Handhelds.
Так же, как и в BitDefender, у Symantec'а есть возможность синхронизировать сначала настольную машину, а затем файлы обновлений передать через ActiveSync на наладонное устройство.
Настольная часть ...
Если у вас есть несколько наладонных устройств с установленным Symantec AntiVirus, то предпочтительнее иметь выделенное хранилище (в данном случае, настольный ПК) для обновлений. Во-первых, это снижает интернет-трафик, а во-вторых, есть возможность отследить, какие устройства уже обновляли, а какие еще нет.
... позволит получить обновления и синхронизировать с парком КПК
Впрочем, это уже другая история про корпоративные антивирусные пакеты.
Avast!
Как я уже упоминал выше, почти все "гранды" антивирусной индустрии предлагают свои продукты для мобильных платформ. В том числе и следующая компания — ALWIL Software, с продуктом Avast! 4 PDA.
Avast! прост!
По большому счету, данный антивирус может "похвастаться" тем, что является мультиязычным.
Всё для удобства лингвистов ;-)
Остальные опции, в общем-то, похожи на конкурирующие продукты — возможность сканирования «Storage Card», автоматическое обновление.
Сканирование проходит достаточно шустро. По всей видимости, разработчики пока не проверяют архивы на вложенные вирусы.
Сканирование, как сканирование. Но 'Dust был таки здесь найден!
Впрочем их можно понять — львиную долю прибыли составляют продажи для "больших" братьев.
Быстроту сканирования можете оценить и сами — отчет вы получаете сразу после процесса проверки или же в главном окне — клавиша «Report».
UMU
Еще одна компания, участвующая в нашем обзоре — UMU Unlimited, из Великобритании, занята исключительно созданием продукции для мобильных платформ.
Стартовый баннер антивируса UMU
Графическое меню, которое по всей видимости, должно привлечь неискушенного пользователя. Состоит оно из следующих пунктов:
- «Scan» — запуск процесса сканирования. Выбора проводить тестирование только Storage Card и/или основного диска нет.
Разработчики выделились — поменяли ProgressBar
- «Quarantine» — помещенные в карантин файлы. В дальнейшем их можно будет восстановить (кнопка «Restore») или удалить («Delete»)
- «Update» — произвести обновление
- «Options» — на самом деле данный пункт представляет из себя простейшее расписание
Зададим расписание
- «Help» — краткая справка по системе
Если непонятны термины — справка к вашим услугам
- «Visit Us» — запуск PIE и переход на сайт компании-производителя
- «Exit» — выход из программы
Как видим, ничего сверх-оригинального не придумано. Впрочем, стоит подождать, когда рынок войдет в фазу насыщения мобильными устройствами.
Kaspersky
Не могут не радовать успехи и отечественной компании Kaspersky Lab. В сегодняшнем обзоре мы рассматриваем версию 5.5, хотя на данный момент уже есть и более новая — шестая.
При запуске можно сразу приступать к проверке, основные пункты вынесены как и в BitDefender в основное окно программы.
Антивирус для патриотов
Рекомендации при использовании этого продукта такие же, что и для аналогов. Выставляйте производительность на максимум и старайтесь не переключаться между приложениями.
25 июля было чисто
Спустя несколько дней эксплуатации КПК поймался клиент :-)
Вывод статистики представлен информативно
Чего только нет на КПК, базы данных ...
Данная версия работоспособна и на платформе Windows Mobile 2002. Поэтому, если вы обладатель аппарата с данной операционной системой на борту, то можете смело устанавливать.
К большому сожалению, вторая отечественная компания DrWeb пока только готовит версию для мобильных устройств. Ориентировочный выход продукта — осень 2007.
TrendMicro
Сегодняшний рассказ был был неполным, не упомяни мы TrendMicro. Несмотря на то, что TrendMicro предлагает антивирус для платформы WM5 и выше (в отличие от всех рассмотренных выше продуктов, версии которых были доступны и для WM2003), функционал просто-напросто порадовал. В первую очередь своей понятностью, а во-вторых, своими возможностями.
Итак, никаких "интуитивно понятных" пиктограмм. И так ясно, что, когда и как. Защита работает в реальном времени, файрвол — включен. Можно отключить активную защиту здесь же, как и упомянутый файрвол. А можно зайти в меню и выставить параметры оттуда.
TrendMicro — может и правда наилучший вариант для КПК?
Структура меню:
- «Scan» — начать процесс сканирования
Честно говоря, результатом я остался доволен
- «Options» — предлагается настроить следующие подмодули: сам Scan-модуль, Update-, Firewall-, SMS Anti-spam и модуль WAP Push Protection
Настройка модуля Scan
Настройка Update-модуля
Настройка Firewall-блока ...
... где сам файрвол умеет работать со указанными правилами
SMS Anti-spam модуль может работать как по заранее заданному blocked-листу, так и по разрешенному (approved) листу.
У вас КПК начал сам отправлять SMS? Пора подумать, уж не своей ли подруге :-)
- «Quarantine List» — карантинный лист, в случае, если вы вирусы принципиально не удаляете
- «Event Log» — журналы доступны для всех указанных выше модулей: Scan, Update, Firewall, SMS Anti-spam и WAP Push Protection
- «Virus Definitions» — самое важное, а какие вирусы умеет определять антивирус!
Данная версия умеет работать с этими мобильными вирусами
Нажмите на кнопку «View» и посмотрим описание на вирус «Crossover»
Отправили за описанием на сайт. Впрочем, мы уже знаем, кто такой «Crossover»
- «Help» — справка
- «Register» — для желающих оформить персональное шефство над версией продукта
- «About» — подсказка о том, кто производит сей антивирус
Впечатления от TrendMicro самые наилучшие. А вам как кажется?
Ручной отлов вирусов
И напоследок, если у вас только появился наладонник и вы не успели поставить ни антивирус, ни файрволл, то как определить наличие или отсутствие описанных в самом начале вирусов?
В случае заражения «WinCE.Brador.a», в директории \Windows\StartUp должен находиться файл svchost.exe. Размер его — 5632 байта. Дополнительно убедиться в его активности вы можете следующим образом — запускаете на настольной системе сканер портов, например nmap. И смотрите на порт 2989. Если он открыт, тогда вы счастливый обладатель данного трояна. Удаление исполняемого файла из директории не будет эффективным, т.к. сначала необходимо удалить процесс из памяти, а затем и с диска.
Что касается заражения «Crossover», то в этом случае придется проверять как Windows Mobile, так и обычный ПК. На последней вам потребуется проверить ветку в реестре «HKLM\Software\Microsoft\Windows\CurrentVersion\Run». Обратите внимание на исполняемый файл из директории «C:\Windows». Особенно, если его имя набор чисел, например, 1234567890.exe. По большому счету, заражение заключается в создании новых копий вируса в системной директории настольной машины, поэтому, через некоторое время свободное место на диске может закончиться. На КПК же проверяйте уже известную нам директорию \Windows\StartUp. При наличии вируса, там должна быть ссылка на исполняемый файл в \Windows. Так же, как и в случае настольной машины, на КПК будут создаваться новые копии вируса в системной директории, поэтому следите за свободным местом. Опасность же для КПК здесь вот какая — вирус при инфицировании мобильного устройства старается удалить все файлы из директории \My Documents.
Для счастливых обладателей первого концепта вируса «Dust», нужно обратить внимание на наличие файла wince_dust.exe и предупредительную надпись, которую при старте выбрасывает вирус — «Dear User, am I allowed to spread»?. Однако, в случае, когда первоначальное инфицирование прошло незаметно для вас, тогда следует обратить внимание на то, что размер завирусованного исполняемого файла больше своего "чистого" товарища на 1536 байта.
Заключение
В качестве заключения — отключайте беспроводные интерфейсы, когда они вам не требуются. Т.к. вероятные места заражения, как и в обычной жизни, большие скопления людей :-). Например, метро, стадионы, кафе с WiFi-доступом.
Если у вас не установлен антивирусный пакет или файрволл, но вы хотите убедиться, что на вашем наладоннике всё чисто, поставьте приложение для просмотра запущенных процессов. И обратите внимание на скорость разряда аккумуляторной батареи. В случае, когда она разряжается подозрительно быстро, то вполне вероятно, что в системе присутствует вирус-троян. Который через сетевой интерфейс пытается определить в зоне действия радиосигнала наличие таких же мобильных устройств и заразить их.
Успехов!
Ресурсы:
Описание вируса «WinCE.Brador.a»
[1] http://www.samspublishing.com/articles/article.asp?p=340544&seqNum=3&rl=1
[2] http://www.wasm.ru/comment.php?artcode=securewincearm
Описание вируса «Crossover»
[3] http://www.samspublishing.com/articles/article.asp?p=458169&seqNum=4
|
