Проактивная защита вашего компьютера

Внимание! В данной версии приложения отсутствует компонент Контроль целостности приложений для компьютеров под управлением Microsoft Windows XP Professional x64 Edition, Microsoft Windows Vista или Microsoft Windows Vista x64.

Kaspersky Internet Security защищает не только от известных угроз, но и от новых, информация о которых отсутствует в базах приложения. Это обеспечивает специально разработанный компонент - Проактивная защита.

Необходимость в проактивной защите назрела с тех пор, как скорость распространения вредоносных программ стала превышать скорость обновления антивирусной защиты, способной обезвредить эти угрозы. Реактивные технологии, на которых построена антивирусная защита, требуют как минимум одного фактического заражения новой угрозой, времени на анализ вредоносного кода, на добавление его в базы приложения и на обновление этих баз на компьютерах пользователей. За это время новая угроза может нанести огромный ущерб.

Превентивные технологии, на которых построена Проактивная защита Kaspersky Internet Security, позволяют избежать потери времени и обезвредить новую угрозу еще до того, как она нанесет вред вашему компьютеру. За счет чего это достигается? В отличие от реактивных технологий, где анализ выполняется на основании записей баз приложения, превентивные технологии распознают новую угрозу на вашем компьютере по последовательности действий, выполняемой некоторой программой. В поставку приложения включен набор критериев, позволяющих определять, насколько активность той или иной программы опасна. Если в результате анализа активности последовательность действий какой-либо программы вызывает подозрение, Kaspersky Internet Security применяет действие, заданное правилом для активности подобного рода.

Опасная активность определяется по совокупности действий программы. Например, при обнаружении таких действий как самокопирование некоторой программы на сетевые ресурсы, в каталог автозапуска, системный реестр, а также последующая рассылка копий, можно с большой долей вероятности предположить, что это программа – червь. К опасным действиям также относятся:

изменения файловой системы;

встраивание модулей в другие процессы;

скрытие процессов в системе;

изменение определенных ключей системного реестра Microsoft Windows.

Все опасные операции отслеживаются и блокируются Проактивной защитой.

В процессе работы Проактивная защита использует набор правил, включенных в поставку программы, а также сформированных пользователем при работе с приложением. Правило – это набор критериев, определяющих совокупность подозрительных действий и реакцию Kaspersky Internet Security на них.

Отдельные правила предусмотрены для активности приложений, контроля изменений системного реестра и запускаемых на компьютере программ. Вы можете изменять правила по своему усмотрению, добавляя, удаляя или изменяя их. Правила могут быть запрещающими или разрешающими.

Рассмотрим алгоритм работы Проактивной защиты:

Сразу после запуска компьютера Проактивная защита анализирует следующие аспекты:

Действия каждого запускаемого на компьютере приложения. История выполняемых действий и их последовательность фиксируется и сравнивается с последовательностью, характерной для опасной активности (база видов опасной активности включена в поставку Kaspersky Internet Security и обновляется вместе с базами приложения).

Целостность программных модулей установленных на вашем компьютере приложений, что позволяет избежать подмены модулей приложения, встраивания в них вредоносного кода.

Каждую попытку изменения системного реестра (удаление, добавление ключей системного реестра, ввод значений в недопустимом формате, препятствующем их просмотру и редактированию, и т.д.).

Анализ производится на основании разрешающих и запрещающих правил Проактивной защиты.

В результате анализа возможны следующие варианты поведения:

Если активность удовлетворяет условиям разрешающего правила Проактивной защиты либо не подпадает ни под одно запрещающее правило, она не блокируется.

Если активность описана в запрещающем правиле, дальнейшая последовательность действий компонента соответствует инструкциям, указанным в правиле. Обычно такая активность блокируется. На экран выводится уведомление, где указывается приложение, тип его активности, история выполненных действий. Вам нужно самостоятельно принять решение, запретить или разрешить такую активность. Вы можете создать правило для такой активности и отменить выполненные действия в системе.

В случае если при появлении уведомления Проактивной защиты пользователь не производит никаких действий, через некоторое время приложение применяет действие по умолчанию, рекомендуемое для данной угрозы. Рекомендуемое действие может быть различным для разных типов угроз.