того чтобы вносить изменения в системный реестр или переписывать существующие на компьютере файлы, подозрительная программа будет выполнять эти действия в отношении виртуальных копий реестра и файлов, предложенных ей в пределах «песочницы». Если в итоге окажется, что намерения программы были недружественными к пользователю, например, появится экран блокировки системы с сообщением о том, что все файлы зашифрованы и для их разблокировки следует отправить куда-то недешевую SMS, то простая перезагрузка приведет к естественному удалению «ящика с песком» из оперативной памяти компьютера. Вместе с ним исчезнут и испорченные им виртуальные копии файлов; система даже не вернется к исходному состоянию – она просто и не будет подозревать, что подвергалась какой-то опасности. Наконец-то живое реальное воплощение идеологии save and try, так распространенной в компьютерных играх!
Кроме того, препятствовать проникновению вредоносного кода в систему будет «белый список» приложений, который разрешает вносить изменения в заранее указанные каталоги системы. Для параноика (в хорошем смысле слова) отрадной окажется возможность составить список установленных им самим программ и только им позволить создавать, стирать и изменять файлы, допустим, в C: \Windows\System32 и C: \Program Files.
Полностью в русле идеологии заблаговременного предотвращения угроз находится механизм фильтрации сетевых адресов – URL Filtering. Все направленные во внешнюю сеть пользовательские и программные запросы (открываемые в браузере ссылки, обратные адреса почтовых отправлений, UIN собеседников в системах мгновенного обмена текстовыми сообщениями) неприметно для пользователя проверяются на добропорядочность сопоставлением с уже известными URL такого рода, внесенными в списки неблагонадежных. Такие списки составляются на основе нескольких независимых и доверенных источников; используются данные и из собственной системы распределенного мониторинга угроз в режиме реального времени Kaspersky Security Network.
«Песочница» – виртуальная защищенная выделенная среда, где исполняются подозрительные приложения.
Программисты компании серьезно потрудились, чтобы скорость работы KIS 2010 стала приемлемой даже на не самых мощных компьютерах. Оптимизирована работа множества модулей системы безопасности, таких как локальная подсистема предотвращения вторжений (HIPS, Host-Based Intrusion Prevention System), служба быстрого распознавания угроз (UDS, Urgent Detection System), эмулятор исполняемого кода, механизм проактивной защиты и даже служба iChecker, которая учитывает уже просканированные на подозрительное содержимое файлы и, если те со времени последней проверки не менялись, позволяет сканеру пропускать их. Особое внимание было уделено эвристическому модулю. Набор эвристик (поведенческих сигнатур), т. е. формализованных моделей поведения программ, которые могут быть расценены как потенциально вредоносные действия, был существенно обновлен и оптимизирован для наиболее быстрого, но в то же время эффективного исполнения.
По результатам очередной
