Антивирус в COMODO Internet Security 10-12
Основные параметры антивируса
В окне настройки Comodo Internet Security за работу антивируса отвечает опция Производить сканирование в реальном времени на вкладке Антивирусный мониторинг. Когда данная опция отмечена, возможны два режима работы антивируса: Кумулятивное сканирование и Сканирование по доступу.
Согласно официальному руководству, опция Уровень эвристического анализа отвечает за выявление программ, содержащих характерный для вирусов код. Повышение этого уровня увеличивает вероятность и обнаружения неизвестных вирусов, и ложных срабатываний. Рекомендую оставить Низкий.
Опция Выявлять потенциально нежелательные приложения, расположенная на вкладке Рейтинг файлов → Настройка, влияет на работу как облачной проверки, так и антивируса. Когда она включена, программы определенной категории считаются вредоносными: ПО для скрытого сбора данных, средства удаленного доступа, средства обхода лицензионной защиты и т.д. Также, что несколько странно, в эту категорию входят программы для тестирования защиты. Если отключить эту опцию, то соответствующие приложения не будут считаться вредоносными и снизится число ложных срабатываний антивируса.
Относительно опции Максимальный размер файла на вкладке Антивирусный мониторинг отмечу, что она не влияет на максимальный размер сканируемых составных объектов: он остается равным 40 МБ. Так, антивирус не блокирует самораспаковывающийся архив, запускающий вирусы, если его размер превышает 40 МБ.
Чтобы отключить антивирус через окно настройки, следует отключить опцию «Производить сканирование в реальном времени». Можно сделать отключение временным, чтобы антивирус возвращался в прежний режим по истечении 15, 30 или 60 минут: для этого следует отключить его через главное окно или через контекстное меню значка на панели задач. Даже если до истечения выбранного времени произвести перезагрузку — антивирус останется выключенным и включится именно в положенный момент. При отключенном антивирусе облачная проверка все еще будет выявлять вредоносные программы, а Auto-Containment удалять их, в зависимости от настройки.
Версия CIS 12 может автоматически сканировать съемные носители при подключении. По умолчанию установлен режим Не показывать оповещения автоматического сканирования: Игнорировать, что означает не выполнять сканирование и не предлагать его. При желании можно сменить режим на «Сканировать», чтобы автоматическое сканирование запускалось без вопросов. Но пожалуй, наиболее целесообразный вариант — отключить эту опцию, чтобы при каждом подсоединении устройства выводилось предложение просканировать его.
Исключения из антивирусного сканирования
Но если имеет место ложноположительное срабатывание, то исключать файл по расположению — плохое решение. Вместо этого лучше добавить файл в доверенные (Рейтинг файлов → Список файлов) — и антивирус не будет реагировать ни на этот файл, ни на его копии. Доверенные файлы антивирус считает чистыми. Как вариант, можно добавить в доверенные поставщика программы, на которую реагирует антивирус: тогда он сочтет чистыми и другие версии этой программы.
Отмечу, что добавление файла в доверенные или в «Исключенные пути» исключает его не только из сканирования антивирусом, но и из облачного определения вредоносных программ.
Оповещения антивируса
Если оповещения антивируса не отключены, то при обнаружении вредоносного файла будут предложены варианты:
Проблема в том, что фактически можно будет выбрать либо удаление, либо добавление в исключения, либо добавление в доверенные: при выборе варианта Игнорировать в этот раз оповещение будет возникать снова и снова. Поэтому рекомендую отметить на вкладке Антивирусный мониторинг опцию Не показывать оповещения. Очевидно, если указать при этом вариант Направлять в карантин, то из-за ложных срабатываний антивируса могут пострадать безопасные файлы. Так что рекомендуемый режим — Не показывать оповещения: Блокировать угрозы. В этом случае просто заблокируется чтение вредоносного файла. Также при этом всплывет уведомление без возможности выбора действия, но лишь при первом обнаружении угрозы. Можно отказаться и от этих уведомлений, отключив показ «информационных сообщений» на вкладке Интерфейс.
Оповещения облачного выявления вредоносных файлов похожи на оповещения антивируса, но настраиваются отдельно, на вкладке Рейтинг файлов → Настройка.
Доступ к заблокированным файлам
Если антивирус блокирует файл, то запрещаются любые операции с ним, включая чтение и копирование (разрешается удаление и перемещение в пределах диска). Однако можно разрешить чтение и копирование таких файлов определенным программам: следует занести эти программы в список Усиленная защита → Исключения сканирования → Исключенные приложения. Например, для онлайн-проверки файлов полезно установить программу VirusTotal Uploader. Чтобы она могла работать с файлами, которые блокирует антивирус Comodo, добавим ее в Исключенные приложения.
Важно знать, что программам, занесенным в Исключенные приложения, антивирус разрешает не только чтение, но и запуск вредоносных файлов. Если при попытке запуска произойдет блокировка или даже удаление такого файла — это результат работы облачного анализа или проактивной защиты, но не самого антивируса.
Профили сканирования. Облачное определение рейтинга
На вкладке Антивирус → Виды сканирования можно задавать различные задачи антивируса и заносить их в расписание. По умолчанию в расписание внесено регулярное полное сканирование компьютера, что, на мой взгляд, не оправдано. Эту задачу можно исключить из расписания, открыв раздел График в окне ее параметров.
Специальный профиль «Ручное сканирование» определяет параметры сканирования, которое запускается через контекстное меню проводника.
В настройке каждого профиля имеется опция При сканировании использовать возможности облачного сканирования. Если она включена, выполняется облачное определение рейтинга исполняемых (Portable Executable) файлов. В результате все такие просканированные файлы попадают на вкладку Рейтинг файлов → Список файлов.
В профиле «Ручное сканирование» эта опция включена по умолчанию, что дает удобный способ сделать доверенными все исполняемые файлы в определенной папке: просканировать эту папку, на вкладке Список файлов применить фильтр по времени обнаружения, выделить все записи и через контекстное меню задать рейтинг.
Обновление антивируса. Запланированные задания
Автоматическое обновление антивирусной базы настраивается на вкладке Общая настройка → Обновления.
На той же вкладке настраивается обновления самого комплекса, однако за исключением критических исправлений, его обновление не происходит автоматически: требуется подтверждение пользователя. При обновлении программы необходимо обращать внимание на все параметры аналогично первоначальной установке.
Для ручного офлайн-обновления антивируса следует в главном окне CIS нажать значок справки, выбрать пункт О программе, затем Импортировать антивирусную базу и указать путь к файлу с базой. Этот файл можно скачать непосредственно или скачать в архиве по ссылке на странице официального форума.
Можно задать обновление антивирусной базы по своему расписанию: создать профиль сканирования, в качестве объекта выбрать что-либо пустое, включить опцию Перед сканированием автоматически обновлять антивирусную базу и выбрать график. Затем можно будет открыть системный планировщик заданий, найти в разделе COMODO свое «сканирование» и задать условия запуска более тонко.
CIS 8: Антивирус Comodo
Основные параметры антивируса
В окне настройки Comodo Internet Security за работу антивируса отвечает опция «Производить сканирование в реальном времени» на вкладке «Антивирусный мониторинг». Когда данная опция отмечена, возможны два режима работы антивируса: «Кумулятивное сканирование» и «Сканирование по доступу».
Опция «Формировать кэш, если компьютер в режиме ожидания» разрешает производить во время простоя компьютера работы по оптимизации сканирования в реальном времени. Она включает задание «COMODO Cache Builder» в системном планировщике заданий.
Согласно официальному руководству, опция «Уровень эвристического анализа» отвечает за выявление программ, содержащих характерный для вирусов код. Повышение этого уровня увеличивает вероятность и обнаружения неизвестных вирусов, и ложных срабатываний. Рекомендуется оставить «Низкий».
На вкладке «Рейтинг файлов» > «Настройка рейтинга файлов» есть опция «Выявлять потенциально нежелательные приложения». Обычно в указанную категорию попадают различные средства обхода лицензионной защиты и leak-тесты. Хотя, согласно официальному руководству, подразумеваются приложения, которые работают скрыто от пользователя или имеют скрытую функцию: наподобие браузерных панелей, которые устанавливаются одновременно с другим ПО и выполняют слежение за интернет-активностью пользователя. Данная опция определяет поведение одновременно и антивируса, и облачного обнаружения вредоносных файлов. Если ее отключить, то приложения из категории «потенциально нежелательных» не будут считаться вредоносными и снизится число ложных срабатываний антивируса.
Как уже говорилось в статье о рейтинге файлов, опция «Максимальный размер файла» на вкладке «Антивирусный мониторинг» влияет не только на работу антивируса, но и на прочие компоненты защиты: это максимальный размер неподписанного файла, для которого проверяется рейтинг. Там же было объяснено, почему опасно увеличивать это значение. Добавлю, что данная опция не влияет на максимальный размер сканируемых составных объектов: он остается равным 40 МБ. Даже если создать самораспаковывающийся архив, запускающий вирусы, — он не будет просканирован при превышении именно 40 МБ.
Чтобы отключить антивирус через окно настройки, следует отключить опцию «Производить сканирование в реальном времени». Можно сделать отключение временным, чтобы антивирус возвращался в прежний режим по истечении 15, 30 или 60 минут: для этого следует отключить его через главное окно или через контекстное меню значка на панели задач. Даже если до истечения выбранного времени произвести перезагрузку — антивирус останется выключенным и включится именно в положенный момент. Напомню, что отключение антивируса еще не ведет к отключению облачного выявления вредоносных файлов и возможности их удаления.
Оповещения антивируса
Если оповещения антивируса не отключены, то при обнаружении вредоносного файла пользователю будет предложено удалить этот файл в карантин, добавить в исключенные пути или проигнорировать.
Проблема в том, что фактически можно будет выбрать либо удаление, либо помещение в исключения: при выборе варианта «игнорировать» оповещение будет возникать снова и снова. Поэтому рекомендую отметить на вкладке «Антивирусный мониторинг» опцию «Не показывать оповещения». Очевидно, если указать при этом вариант «Направлять в карантин», то из-за ложных срабатываний антивируса могут пострадать безопасные файлы. Так что рекомендуемый режим — «Не показывать оповещения: Блокировать угрозы». В этом случае пользователь увидит всплывающее уведомление без возможности выбора действия, причем лишь при первом обнаружении угрозы. Можно отказаться от получения и этих уведомлений, отключив опцию «Показывать информационные сообщения» на вкладке «Интерфейс».
Обращаю внимание: оповещения облачного выявления вредоносных файлов похожи на оповещения антивируса, но настраиваются отдельно. О них рассказано в статье о рейтинге файлов.
Исключения из антивирусного сканирования
Антивирус не проверяет доверенные файлы. В то же время на вкладке настройки антивируса есть отдельный список исключений для файлов и папок («Антивирус» > «Исключения» > «Исключенные пути»). Как следует из названия этого списка, в нем учитываются именно пути и имена, в отличие от списка доверенных, основанном на контрольных суммах содержимого файлов. В случае уверенности в безопасности блокируемого антивирусом файла предпочитительнее добавить его в список доверенных, а не в «Исключенные пути».
На вкладку «Исключенные пути» имеет смысл добавлять файлы, которые нежелательно делать доверенными. Удобно сделать исключенным какой-либо отдельный каталог, чтобы хранить в нем подозрительные файлы. Также можно добавлять в исключения шаблоны путей.
Отмечу, что добавление файла в доверенные или в «Исключенные пути» исключает его не только из сканирования антивирусом, но и из облачного определения вредоносных программ.
Доступ к заблокированным файлам
Если антивирус блокирует файл, то запрещаются любые операции с ним, включая чтение и копирование (разрешается удаление и перемещение в пределах диска). Однако можно разрешить чтение и копирование таких файлов определенным программам: следует занести такие программы в список «исключенных приложений» («Антивирус» > «Исключения» > «Исключенные приложения»). Например, для онлайн-проверки файлов полезно установить программу VirusTotal Uploader. Чтобы она могла работать с файлами, которые блокирует антивирус Comodo, занесем ее в указанный список.
Важно знать, что программам, занесенным в «исключенные приложения», антивирус разрешает не только чтение, но и запуск вредоносных файлов. Если при попытке запуска произойдет блокировка или даже удаление такого файла — это результат работы облачного анализа или проактивной защиты, но не самого антивируса.
Сканирование и обновление по расписанию
На вкладке «Виды сканирования» можно задавать различные задачи антивируса и заносить их в расписание.
По умолчанию в расписание внесено регулярное полное сканирование компьютера, что, на мой взгляд, не оправдано: при необходимости таких проверок лучше подходит Dr.Web CureIt! (только для домашнего использования) или Kaspersky Virus Removal Tool и т.п. Эту задачу можно исключить из расписания, открыв раздел «График» в окне ее параметров.
О способах обновления антивируса было рассказано в статье об установке. Добавлю здесь, что можно задать обновление антивирусной базы по своему расписанию: для этого понадобится создать профиль сканирования, в качестве объекта выбрать что-нибудь пустое, включить опцию «Перед сканированием автоматически обновлять антивирусную базу» и выбрать график. Затем можно будет открыть системный планировщик заданий, найти в разделе COMODO свое «сканирование» и задать условия запуска более тонко. Отмечу, что процедура обновления относительно ресурсоемкая.
raaddist
raaddist RAADDIST
• Установка
• Общие настройки
• Выбор текущей конфигурации
— Антивирус
— HIPS
— Защищенные Файлы
— Поведенческий анализ
— Фаервол
— Виртуальный рабочий стол
— Контент-фильтр
• Принцип работы настроек без оповещений
Установка COMODO Internet Security Premium на чистую, вновь установленную систему Windows является лучшим вариантом. Если Вас не устраивает перспектива переустановки Windows, убедитесь, что вы удалили любые другие антивирусы и брандмауэры, установленные на Вашем компьютере. По ссылке Как удалить антивирус? можно ознакомиться с методом стандартного удаления антивируса и полной очистки следов.
В процессе установки CIS лучше отключить установку следующих настроек и приложений.
Отключаем DNS, GeekBuddy и PrivDog
Отключаем Элементы Яндекса
Для поиска оптимального DNS можете воспользоваться программой DNS Jumper. Это лучше сделать после полной установки Comodo.
Если Ваш компьютер подключен к домашней или рабочей сети, то Вам будет предложено выбрать тип сети. Выберите Ваше местоположение на основе трех вариантов.
Рекомендуется провести рейтинговое сканирование. При выявлении неизвестных файлов следует проверить файл на сайте Virustotal.com. При принятии решения о степени доверия к файлу, ориентируйтесь на дату первого представления файла для проверки. Если проверка проводилась более года назад и зловредности не обнаружено, то можете доверять этому файлу. После чего в меню рейтингового сканирования выберите действие «Доверять» файлу.
Общие настройки позволяют настроить внешний вид и общее поведение Comodo Internet Security. Вы можете настроить общие параметры, такие как Язык интерфейса, Уведомлений, Сообщений, функция автоматического обновления, ведения журнала и многое другое.
Рассмотрим только параметры уведомлений. Так как наша цель не отвлекаться на уведомления, делаем следующие изменения:
— Показать извещения от Центра сообщений COMODO. При включенном состоянии, периодически будут появляться новости от Comodo. (Отключаем)
— Показать информационные сообщения. Сообщения Comodo об обнаружении зловредной программы Антивирусом, запуск неопознанной программы в Песочнице, запрос на доступ в интернет от Фаервола и т.п. (Отключаем)
— Показать экран приветствия при запуске. Если включено, при первом запуске появится экран приветствия. (Отключаем)
— Показывать виджет на рабочем столе. Отображается виджет на рабочем столе отображая краткую информацию о безопасности Comodo, скорости исходящего и входящего трафика, количество фоновых задач и ссылки на сайты социальных сетей. (На Ваше усмотрение)
— Показывать информационные сообщения, когда окна задач свернуты или задачи выполняются в фоновом режиме. Comodo отображает сообщения объясняющий эффект минимизации или переноса работающих задачи в фоновый режим. (Отключаем)
— Сопровождать оповещения звуковым сигналом. Comodo издает сигнал всякий раз, когда он обнаруживает опасность, чтоб привлечь Ваше внимание. (Отключаем)
— Защитить настройки паролем. Обеспечивает защиту паролем для всех важных разделов конфигурации. Эта настройка имеет особую ценность для родителей, сетевых администраторов, чтобы запретить другим пользователям изменять критические параметры, тем самым подвергая машину угрозам. (На Ваше усмотрение)
Выбор текущей конфигурации
— Включен Поведенческий анализатор.
— Защита от зловредного заражения, есть только у часто заражаемых файлов и папок.
— Защищены только часто эксплуатируемые COM-интерфейсы.
— Защита+ настроена для предотвращения заражения системы.
— Обнаруживает и устраняет все виды вирусов;
— Выполняет Облачное сканирование;
— Эвристические методы выявления ранее неизвестных вирусов и троянов;
— Сканирует реестр и системные файлы Windows, с возможностью их восстановления;
— Постоянно защищает в режиме реального времени;
— Comodo AV показывает процент завершения сканирования;
— Руткит сканер обнаруживает и определяет скрытые вредоносные файлы и ключи реестра;
HIPS постоянно контролирует работу системы и позволяет выполнять процессы и запуск файлов, соответствующих правилам безопасности, либо правилам созданных пользователем. HIPS автоматически защищает критические системные файлы, папки и ключи реестра для предотвращения несанкционированных модификаций вредоносными программами.
— Разработчиком CIS рекомендуется использовать HIPS в Безопасном режиме. Включим опцию «Не показывать оповещения» с Блокировкой запросов.
— Включать опцию «Создать правила для безопасных приложений» не требуется. Это позволяет экономить потребление ресурсов.
— Включение опции «Адаптировать режим работы при низких ресурсах системы» не требуется. Используется только при сильно загруженной системе в условиях нехватки памяти. Может привести к сбоям функции Comodo и снижению производительности системы.
— «Блокировать все неизвестные запросы, если приложение не запущено». Этот вариант является очень строгим, используется только на зараженных системах. Отключаем эту опцию, так как установка Comodo на зараженную систему не имеет смысла. Перед установкой Comodo система должна быть «чистой».
— «Включить режим усиленной защиты». Актуально для 64-битных систем.
Защищенные файлы вкладка отображает список файлов и групп файлов, которые защищены от доступа других программ, особенно вредоносных программ, таких как вирусы, трояны и шпионские программы.
Добавим правило защищающее систему от шифровальщиков и вредоносных bat-файлов.
— Проверяет целостность каждой программы, прежде чем разрешить его загрузку в память компьютера;
— Выполняет облачный анализ поведения для немедленной идентификации вредоносных программ;
— Предупреждает Вас каждый раз, когда неизвестные или ненадежные приложения, пытаются запуститься или установиться;
— Блокирует вирусы, трояны и шпионы прежде чем они смогут нанести вред;
— Обнаруживает подозрительные действия;
— Включает в себя функцию авто-песочницы, чтобы полностью изолировать ненадежные файлы от остальной части Вашего компьютера
Фаервол – компонент Comodo Internet Security, обеспечивающий уровень защиты от угроз входящего и исходящего трафика, невидимости портов Вашего компьютера для борьбы против хакеров и вредоносных программ, передающих Вашу конфиденциальную информацию через интернет.
Разработчик рекомендует использовать настройки Фаервола в Безопасном режиме. Включим опцию «Не показывать оповещения» с Блокировкой запросов.
Включать опцию «Создать правила для безопасных приложений» не требуется. Это позволяет экономить потребление ресурсов.
Расширенные настройки Фаервола
Comodo Firewall включает расширенные настройки обнаружения для защиты компьютера от DoS атак.
Управление видимостью компьютера в сети
Виртуальный рабочий стол
Виртуальный рабочий стол – изолированное рабочее окружение для запуска неизвестных, ненадежных и подозрительных приложений. Приложения, запускаемые внутри Виртуального стола, не влияют на другие процессы, данных или программ на Вашем компьютере.
— Предотвращает установку на Ваш компьютер вредоносными веб-сайтами, вирусов, вредоносных программ, руткитов и шпионов и обеспечивает защиту от взлома
— Есть виртуальная клавиатура, которая позволяет Вам безопасно вводить Логин, номера кредитных карт и пароли.
— Предоставляет продвинутым пользователям возможность запуска любых программ, не нарушая стабильности и файловой структуры основной системы.
Comodo Internet Security позволяет Вам настраивать правила, чтобы разрешить или запретить доступ к определенным веб-сайтам. Правила могут быть созданы для определенных пользователей Вашего компьютера, что делает эту функцию очень полезной как для дома, так и на работе. Например, родители могут заблокировать доступ от нежелательных веб-сайтов. Компании могут ограничить посещение сотрудниками сайтов социальных сетей в рабочее время.
Принцип работы настроек без оповещений
На первый взгляд может показаться, что работать с такими настройками будет невозможно. Ведь в них отключены все уведомления, в настройках HIPS и Фаервола включена опция «Не показывать оповещения» с Блокировкой запросов. К тому же Поведенческий анализ настроен обрабатывать неизвестное приложение как Заблокированные.
Все намного проще, чем кажется. Программы и процессы доверенных поставщиков работают без ограничений от Защиты+ и Фаервола. Облако функционирует.
При запуске неопознанного, недоверенного файла Вы увидите следующее сообщение:
Назревает вопрос, как быть с не доверенными поставщиками и программами? Ничего сложного. Вам даже не придется каждый раз заходить в настройки Comodo и создавать правила для программ. Вся работа производиться через Проводник или Рабочий стол.
В принципе этот метод добавления неопознанных файлов в список доверенных работает при любых настройках HIPS, Поведенческого анализа и Фаервола.
1. На рабочем столе или на жестком диске создадим папку DANGER (опасность). Символы должны быть на латинице, кириллицу Комодо не воспринимает. Так же возможно использование цифр.
ПАМЯТКА
— После создания папки DANGER помещать в нее можно только ПРОВЕРЕННЫЕ, не содержащие зловредность, программы и файлы.
— Помещать в папку DANGER вирусы категорически ЗАПРЕЩЕНО.
— После установки программы лучше удалить папку DANGER с последующей возможностью ее восстановления.
— Ни в коем случае НЕЛЬЗЯ помещать в папку DANGER архивы и тем более проводить их разархивацию.
Для проверки неопознанных файлов на зловредность Вам в помощь следующие сканеры:
Сайт Virustotal.com
Malwarebytes Anti-Malware (MBAM)
Emsisoft Emergency Kit
Так же можно временно установить/запустить программу в Виртуальном столе, после чего сделать полное сканирование сканером HitmanPro в самом же Виртуальном столе.
Далее убедившись в безопасности файлов, можете либо продолжать работать из под Виртуального стола, либо установить программу на жесткий диск.
2. В настройках HIPS создадим Группу файлов под названием «Доверенные файлы».
3. В созданную Группу «Доверенные файлы» поместим ранее созданную папку DANGER.
4. Создаем правило HIPS
5. Добавляем правило в исключение Поведенческого анализа
Вот и все. Теперь когда Вам нужно установить ПРОВЕРЕННУЮ программу, помещайте ее в папку DANGER и без запросов устанавливаете. Comodo сам сделает записи для созданных файлов в списке доверенных файлов.
Если Вы не единственный пользователь за компьютером, то после установки папку DANGER лучше удалить. Позже ее можно восстановить в том же месте. При этом не требуется заново создавать правила HIPS и Поведенческого анализа.
И не забываем пользоваться Памяткой.
