Первое, что сделала служба McAfee LiveSafe на моем ноутбуке при первой быстрой проверке - это убила почти всю мою вирусную базу, которую нашла в директории с логами, что присылают мне на осмотр по почте пользователи. Пусть и не убила полностью, а только поместила в карантин, но добавить отдельные файлы и директории в список исключения можно только в режиме пользовательской проверки. Что ж, домохозяйка вряд ли будет у себя держать коллекцию вирусов, а остальным не составит большого труда настроить такую проверку, которую они посчитают нужной.

Что ж, если активных вирусов у меня не обнаружено, значит, мы пойдем их искать. Где же в сети можно успешно заразиться? Чаще всего вирусы сидят там, где есть какая-нибудь халява, поджидая зазевавшихся посетителей сайтов с чем-нибудь “бесплатным”. Поэтому сначала посмотрим, где, например, можно нахаляву посмотреть фильмы, идущие сейчас в кинотеатрах. Выбираем фильм, и идем на первый же сайт в поисковой выдаче. Так. Всё бесплатно, сиди и смотри. Хорошо. Сейчас посмотрим. Опа! Просмотр доступен только зарегистрированным пользователям, а для регистрации надо всего лишь указать свой номер телефона. Ха! Ерунда! Не копию же паспорта у нас спрашивают и ключи от квартиры.

А что это за “Информация для абонентов” такая? Ага! Оказывается, если я укажу свой номер телефона и отправлю ответ на полученную СМС, то моментально стану умнее на сумму до 200 рублей. Да уж, море положительных эмоций, как и обещали. Может, еще и попкорн пришлют с курьером? Здесь антивирус не поможет, своей головой надо думать. Мошенничество, конечно, но мы не то ищем. Я помню, встречал сайты, где для просмотра надо было скачать специальный проигрыватель, и в десятке комментариев внизу страницы были сплошь восторженные отзывы, мол, как всё круто и без регистрации! А особо обнаглевшие даже еще рисовали значки антивирусов рядом со ссылкой на программу. Но в этот раз я таких не нашел. Попробуем тогда напрямую скачать что-нибудь подозрительное, а заодно и проверим работу антивирусного сканера.

Сканирование в реальном времени

Проверяет “на лету” документы у всех видимых в данный момент файлов, вложений электронной почты, съемных носителей. То есть делает то, что и должен делать антивирус - обеспечивает непрерывную защиту компьютера.

Куда еще может полезть любитель халявы? Ну, конечно, же за кряками и генераторами серийных номеров. А у меня как раз лицензия на Microsoft Office закончилась. Самое время поискать ключе-генератор. Опять выбираем первую ссылку и идем качаться. Скачали активатор, находим его на диске… Ой, как нехорошо! То есть, наоборот, ой как хорошо, что McAfee LiveSafe не допустил, чтобы нам стало нехорошо. А я ведь всего лишь только открыл папочку, сам файл я даже не собирался запускать без проверки. Хоть это и не совсем вирус, а только PUP (Potentially Unwanted Program - Потенциально Нежелательная Программа), но мне такие ПУПы тоже не нужны.

Заблокирована потенциально нежелательная программа

Идем дальше. Поищем другой активатор, Office же у меня всё еще неполноценно работает. Однако, и второй, и третий, и --надцатый скачанный мной файл также не прошел таможенный досмотр. Но всё-таки мне повезло, и я нашел активатор, который гордо прошагал мимо моего защитника, не вызвав у него подозрений. Проверим на virustotal.com... Серийный номер мне на спину! А если бы моя домохозяйка его запустила, понадеявшись на нашего нового друга? Вот тебе и первый промах! Скачанный файлик, оказывается, тоже ПУП.

Проверка файла на virustotal.com

Значит, надо быть поаккуратнее. Доверяй, но переспрашивай! Этот файлик, пропущенный McAfee LiveSafe я всё же оставил у себя, чтобы посмотреть на его внутренности в будущем. Но мое будущее стало светлым буквально через несколько часов, когда наш друг-антивирус всё же проснулся и, распознав в нем темную силу, убрал в карантин. Но за это время на компьютере домохозяйки вместо зарегистрированного Office уже могли появиться всякие всплывающие окна с рекламой и подобная ересь.

Как видно, сканер работает неплохо, пусть и не идеально, но такие вообще вряд ли существуют. И по умолчанию он проверяет все файлы, причем рекомендует это делать. Однако, когда мне на почту пришло очередное сообщение, и я попытался его открыть, то почтовый клиент завис примерно на минуту. Может, думал, что перед тем, как отдать мне письмо, я должен сплясать? Но хореография - не самый мой продвинутый навык, а вот треснуть монитору в табло мне захотелось сразу, как только я попытался открыть следующее сообщение - та же минута. Это что ж теперь каждый раз такое будет?

Дело в том, что в моей папке входящих сообщений очень много, и хранятся они в одном бинарном файле вместе с прикрепленными к письмам документами и архивами. Из-за этого размер почтовой базы чуть-чуть не дотягивает до 500 М. Это получается, что антивирус каждый раз сканирует весь этот файл, когда почтовый клиент пытается найти в нем и прочитать запрошенное сообщение? Но зачем это делать несколько раз подряд, если сам проверяемый файл почтовой базы за это время никак не изменяется??? (Хорошо еще он файл подкачки не проверяет постоянно, а то он у меня аж 12G). Пришлось мне в настройках сканера указать проверку только программ и документов. Думаю, этого пока достаточно.

 

McAfee SiteAdvisor

Да-да, SiteAdvisor тоже идет в комплекте с McAfee LiveSafe. Где же еще жить в безопасности, кроме как в интернете? Для тех, кто не знает, что это такое, коротко проиллюстрирую. McAfee SiteAdvisor - это дополнение к вашему браузеру, которое выставляет оценку посещаемым веб-страницам и предупреждает, в случае если данный сайт является подозрительным. По описанию на www.siteadvisor.com работает в браузерах Internet Explorer и Firefox, однако, у меня самостоятельно установился в Chrome  в качестве расширения. Теперь в адресной строке показывается значок SiteAdvisor, соответствующий уровню доверия сайту.

Как видно, Google считается доверенным сайтом, рейтинг на top.mail.ru почему-то опасен для здоровья, а насчет меня он еще не определился (иконка серая). Видимо, я еще не вошел в те 95% сайтов в интернете, которые им отслеживаются. По такому же принципу расставляются иконки рядом со ссылками в поисковой выдаче.

Где-то можно смотреть кино бесплатно, на каких-то сайтах это надо делать с осторожностью, а где-то вообще не рекомендуется. “Снег башка попадет”, - помнишь, бабуля? Для домохозяек удобно - не надо постоянно думать, нажать или не нажать. Всё, как на светофоре.

Но я не очень понимаю, по какому принципу выставляется оценка. Вот, например, цитата из раздела “Как определяется рейтинг” (http://www.siteadvisor.com/howitworks/index.html): “Мы загружаем и устанавливаем каждый обнаруженный файл, и даже распаковываем архивы. Затем мы проверяем тестовый компьютер на предмет изменений в его работе. Если оказывается, что программа содержит вирус, "троянского коня" или другой вредоносный код, ей присваивается красный рейтинг.

Попробуем проверить. Мне всё еще нужно активировать Microsoft Office, поэтому попробую поискать активатор на каком-нибудь “зеленом” доверенном сайте. Вот, например:

 

Смело заходим (нам же сказали, что мы в безопасности), скачиваем архив, открываем… А вот McAfee LiveSafe не согласен, что этот сайт такой уж безопасный, потому что напрямую распространяет вирусы. И таких зеленых ссылок только на первой странице в поиске больше половины! Ну, хотя бы наш друг-антивирус начеку.

SiteAdvisor позиционируется как дополнение для IE и FireFox. Я пользуюсь Chrome, и может быть, поэтому это расширение у меня работает с некоторыми сбоями. Так с самого начала его использования после перехода на какую-нибудь страницу и определения ее рейтинга, в браузере на открытой вкладке напрочь пропадала панель закладок. Постоянно! Зашел в настройки и еще раз поставил галочку “Показывать панель закладок (Ctrl+Shift+B)”. Вроде помогло. Больше не пропадает.

Вдобавок, я заметил, что кто-то влияет на поведение браузера, блокируя то, что считает нужным, или не нужным. Пока я бродил в поисках вирусов и нажимал всё подряд, на всех этих сайтах у меня сами собой открывались по одной-две фоновые страницы с рекламой, и никто не собирался их блокировать. Бесит жутко, но, тем не менее, половина этих сайтов проходит через зеленый коридор. Зато с момента установки SiteAdvisor у меня перестали появляться оповещения о новых сообщениях ВКонтакте, которые выскакивают обычно в правом нижнем углу Chrome и дублируются звуковым сигналом. Даже заголовок на вкладке теперь не меняется (нет надписи “1 новое сообщение”). А потом и звук пропал. Теперь ни оповещений, ни звуков, ни подмигиваний. Также в Chrome у меня перестали появляться новые сообщения ВКонтакте в окне диалога. Сообщение приходит, “+1” сбоку рисуется, а чтобы прочитать то, что пришло, приходится обновлять страницу.

На YouTube перестали отображаться комментарии к видео (колесо загрузки крутится и чего-то ждет), а кнопка “Большой проигрыватель” не делает вообще ничего, сколько на нее ни нажимай. Причем это происходит не на всех страницах, но примерно в 90% случаев. Через некоторое время там всё нормализовалось, большой проигрыватель открылся, и комментарии загружаются. С чем это связано, я не понимаю. Может, с тем, что я то включал SiteAdvisor, то отключал? В общем, расширение живет своей жизнью, но налицо явные проблемы, как мне видится, с понимаем асинхронного JavaScript кода.

В Internet Explorer и звук есть при получении нового сообщения VK, и заголовок мигает. Но только ради SiteAdvisor переходить на вечно дырявый IE, в котором постоянно ищут (и находят) разного рода уявзимости, мне лично не хочется. Я привык к Chrome, да и очень удобного механизма оповещений в IE нет. Думаю, большинство домохозяек использует именно Internet Explorer, потому что про другие могут и не знать. А кто-то думает, что IE - это и есть сам интернет, я встречал даже таких. Вот они должны оценить такую псевдо-защищенность. По крайней мере будут думать, что они в безопасности.

И, наконец, когда после открытия очередной страницы, в браузере появилось окошко с предложением автоматически перевести текст, а мой ноутбук при этом замер примерно на минуту, не позволяя даже двинуть мышью, пока это сообщение не исчезло, я решил, что больше мучить себя не буду и отключил SiteAdvisor в Chrome. Конечно, не после первого такого случая, а после третьего, но посчитал, что этого достаточно.  Может, это и не он в этом виноват, но “при Медведеве такого не было”. После этого появился знаменитый ВКонтактовский “цок”, а оповещения пришлось повторно принудительно активировать в настройках Chrome. Похоже на тот же самый глюк, что и с панелью закладок. Ну, хотя бы теперь заголовок на вкладке мигает и не надо постоянно обновлять страницу при диалоге. Зато после удаления расширения у меня снова пропала панель закладок. Да что ж такое-то? Пришлось опять включать в настройках..

В-общем, это расширение для Chrome явно сырое и использовать его лично мне тяжело. Не знаю, кто его разработчик, но если оно идет в комплекте с McAfee LiveSafe, то компания также должна нести ответственность за его корректную работу.

Межсетевой экран

Обеспечивает защиту компьютера от сетевых угроз, блокирует подозрительные входящие соединения и попытки связи работающих программ с внешним миром. Дело полезное, а то мало ли кто к нам с мячом придет и по шайбе не получит. Да и всегда полезно знать, кто из твоих домашних пытается вырваться на волю. Так же ведь не заметно, какая программа и с кем хочет соединиться, да еще и передать что-нибудь, а вдруг важное.

Посмотрим теперь туда. Домохозяйке всё равно, а я хочу точно знать, кто, куда, зачем и по чьим поддельным документам сколько килограмм перевозит. Поэтому первым делом надо проверить журнал, который в McAfee LiveSafe называется “События безопасности”. Во-первых, меня удивило то, что за первые 4 часа работы межсетевой экран заблокировал порядка 800 подозрительных входящих соединений.

Что это за IP-адреса такие даже я затрудняюсь объяснить. Почему они заблокированы, я тоже не понимаю. А кто и с какой целью бомбит мой компьютер с такой периодичностью я вообще представить не могу. Может, Сноуден? А вот адрес 192.168.0.33 я знаю, это мой сетевой накопитель. Стоп! А он-то почему не прошел фейс-контроль? Открываю на компьютере Сетевое Окружение. Хммм…. А диска-то и нет! Домохозяйка в панике, в ее голове уже целиком сформировалась красочная картина начала локального апокалипсиса, потому что вмиг пропали все ее сохраненные фильмы, музыка и фотографии с документами. Но остальным-то понятно, что если McAfee LIveSafe наложил санкции на входящие соединения с нашего NAS’а, то его и не должно быть видно. А следовательно, надо нашу домашнюю сеть еще раз одомашнить, чтобы межсетевой экран считал эту территорию своей. Потыкав на кнопки в Центре навигации, я обнаружил, что это можно сделать через опцию “Моя домашняя сеть” - решает проблему кнопка “Доверять”. Но это я сообразил, да и то не сразу, а вот домохозяйка скорее посчитает, что ее сетевой накопитель поломался и понесет его в сервисный центр, где специалисты тоже не догадаются, почему его не видно в компьютере.

Я всё-таки считаю, что если блокировать такие важные компоненты из домашней сети (IP-адрес самого компьютера и адрес шлюза-то легко определить и сделать выводы, а?), то хотя бы стоит явно уведомить об этом пользователя, а не молча прибивать гвоздями к полу деревянные тапочки Буратино, не давая ему попасть тупым концом в точилку. Ну и окно “События безопасности” смотреть очень тяжело. Мало того, что в такой маленькой форточке показывается всего по 25 элементов, так еще и загружается всё очень долго (это я про свои 2500 записей, полученных за несколько дней, а что будет через месяц?) и практически полностью отсутствует фильтрация (где именно межсетевой экран заблокировал мой сетевой накопитель, я так и не смог найти, чтобы поставить выше правильную картинку). Понятно, что домохозяйка туда и не полезет, а лично мне хочется, чтобы в этом журнале было больше возможностей, иначе он практически бесполезен.

Будучи раздосадованным, что кто-то решает за меня, кому можно выходить из дома, а кому - нет, я решил ввести тотальную диктатуру, чтобы самолично повелевать всеми исходящими соединениями. Домохозяйка в шоке, требует демократию! Ну, а что делать-то? Поэтому в настройках включил Управляемый доступ, чтобы тоже принимать участие в процессе фильтрации.

И, как оказалось, не зря я это сделал, потому что через некоторое время на нашу электроудочку попался какой-то filescout.exe, пытавшийся очень смело и самоуверенно проскочить мимо пулеметных вышек. Партизанен?

Гражданин явно не местный, притаился в %APPDATA%, чем уже вызвал серьезные подозрения. Реальные пацаны у нас на районе так не делают. Да и на virustotal.com явно состоит в розыске. Жаль, что сканер McAfee LiveSafe снова прощелкал шпиона, которого я подцепил, видимо, когда пытался найти вирусы, нажимая всё подряд на сомнительных сайтах. Удалось, значит, даже сам не заметил. И дальше бы ничего не знал про его существование, если бы не включил сначала управляемый доступ для межсетевого экрана, а потом и мозги.

Поэтому filescout.exe подвергся принудительной трепанации и, оказалось, уже успел серьезно напакостить у меня в системном реестре. Но я временно отсрочил его безвременную кончину. Подожду, пока антивирус наконец-то осознает его вредоносную деятельность и запихнет в карантин на пожизненное заключение. Ремонтировать реестр пришлось самому, своими руками, потому что домохозяйка тихо плакала и спрашивала: “А что такое реестр?

В итоге

Мы проверили основные компоненты антивирусной защиты компьютера, а именно: сканер в реальном времени, межсетевой экран и параллельно - некоего интернет-поводыря, который призван направлять наш слепой разум, не давая наступить на что-нибудь нехорошее. Эти три товарища в целом проявили себя неплохо, но без откровенных косяков всё же не обошлось. Сканер не всегда может опознать вредоносную программу, с межсетевым экраном, чтобы он начал работать нормально, надо договариваться по-хорошему, и домохозяйке это не под силу. А SiteAdvisor может нормально работать только на своих условиях, но его логику и метрики я не понимаю. Наверное, домохозяйки об этом и не задумываются, поэтому им будет не страшно пойти с ним в разведку. В утешение антивирусного сканера можно сказать, что последнего негодяя пока не обнаруживает даже Касперский, что еще раз подтверждает тот факт, что самый лучший антивирус - это только ваша собственная голова. И если ей не пользоваться, “снег башка попадет!

PS

McAfee LiveSafe включает в себя еще ряд полезных возможностей.

Сканер уязвимостей - проверяет установленные программы на наличие обновлений и предупреждает пользователя о необходимости своевременно устанавливать последние версии критически важного программного обеспечения, поскольку многие вирусы пользуются найденными уязвимостями в популярных программах, таких как Internet Explorer, Adobe Reader, Java, чтобы проникнуть на ваш компьютер. Опция полезная, особенно для ленивых домохозяек, да еще и включается по расписанию, так что все потенциально возможные дырки в системе будут аккуратно заштопаны.

Anti-Spam. Название говорит само за себя. Этот компонент призван не допустить лишние рекламные сообщения в ваш почтовый ящик. К сожалению, работает только в программах Microsoft Outlook, Windows Mail и Thunderbird, которыми здравомыслящий человек в наше время вряд ли будет пользоваться по своей воле. Я честно попытался настроить Outlook 2013, чтобы проверить работу антиспаммерского фильтра и каждый раз при получении сообщения с рекламой какого-нибудь средства против храпа помечал его как нежелательное, но так ни разу и не увидел, чтобы McAfee Anti-Spam хоть что-нибудь заблокировал. Анти-спам фильтр на моем почтовом сервере справляется с этой задачей намного лучше и без привязки к конкретной почтовой программе.

Safe-Key. Еще одно расширение для браузера, сохраняющее ваши пароли для сайтов в интернете. В отличие от SiteAdvisor в браузере Chrome работает нормально. Но Chrome и сам хорошо справляется с хранением паролей и других учетных данных. Однако, в Safe-Key мне понравилась функция AutoLogin, с которой еще и на кнопку входа нажимать не надо. Пароли подставляются автоматически и сразу происходит переход на сайт.

QuickClean, Shredder, Дефрагментация и Родительский контроль меня не заинтересовали, уж простите. К антивирусной защите компьютера это не имеет никакого отношения.

Начало
Часть 2. McAfee Mobile Security. Защита мобильных устройств