Антивирусный анализ: зачем платить больше?

 

C момента появления вредоносных кодов и первых эпидемий к вирусной тематике обращаются снова и снова. Невольно складывается впечатление, что в украинской прессе в вирусной тематике разбирают-ся все очень хорошо. И если проводить параллель с Бразилией, в которой проживает около 100 млн футбольных тренеров, в Украине мы имеем около 40 млн не только футбольных тренеров, но и специалистов в вирусной проблематике. При этом одни громогласно утверждают, что вирусы пишутся в антивирусных компаниях, поскольку это дает им кусок хлеба (можно продолжить: пожары устраивает МЧС, они же вызывают землетрясения и наводнения, врачи — виновники эпидемий и т. д.), другие заманчиво нашептывают о том, что коммерческие антивирусы и вовсе не нужны, поскольку есть очень даже хорошие бесплатные.

Последнее заявление часто приводит к катастрофическим последствиям, ведь доступность имеет и свою обратную сторону. Учитывая важность проблемы, мы начинаем цикл публикаций, где будут изложены результаты сравнительного тестирования программных средств информационной безопасности. Предлагаемое тестирование касается антивирусных продуктов, рассчитанных в основном на рабочие станции и индивидуальных пользователей.

В отличие от публикуемых в открытых источниках методик тестирования антивирусных средств в данном материале предлагается простая и достаточно прозрачная методика — измерение вносимых задержек при работе монитора и быстродействия сканера, то есть оценка интегральной нагрузочной характеристики, вносимая антивирусом для рабочих станций. Конфигурации и настройки пределены для всех тестов, приводятся и выводы после каждого этапа тестирования.

В ходе данного тестирования не планировалось получить некие критерии оценки эффективности или рекомендации, его целью было оценить возможности продуктов и попытаться определить причины некоторых полученных результатов. Для сравнения с бесплатными продуктами было выбрано одно платное решение.

Проблема вирусов

С каждым годом война, объявленная вирусописателями остальному человечеству, ничуть не утихает, а только набирает силу. Вирусы становятся все изощреннее и вредоноснее. Единственной надеждой помимо собственного благоразумия и соблюдения правил безопасности остаются антивирусные программы.

Оговоримся сразу: под вирусами в данной статье понимается все многообразие вредоносных кодов. Даже опытные системные администраторы (не говоря уж об обычных пользователях) не всегда точно представляют себе, что же такое компьютерные вирусы и как они проникают в компьютеры и сети. Однако, не понимая механизма функционирования и распространения вирусов, невозможно организовать эффективную антивирусную защиту, даже имея в своем распоряжении лучшие антивирусные программы.

Самораспространяющийся в информационной среде программный код — таково наиболее общее определение компьютерного вируса. Он может внедряться в исполняемые и командные файлы программ, распространяться через загрузочные секторы дискет и жестких дисков, документы офисных приложений, через электронную почту, веб-сайты, по другим электронным каналам. Впрочем, это определение не всеобъемлющее и достаточно спорное. Ниже мы попытаемся привести наиболее правильное с точки зрения автора обозначение компьютерного вируса.

Проникнув в компьютерную систему, вирус может ограничиться безобидными визуальными или звуковыми эффектами, но может вызвать и потерю или искажение данных, утечку личной и конфиденциальной информации. В худшем случае компьютерная система, пораженная вирусом, может оказаться под полным контролем злоумышленника.

На сегодняшний день известны сотни тысяч различных вирусов. Несмотря на такое изобилие, число типов вирусов, отличающихся друг от друга механизмом распространения и принципом действия, весьма ограниченно. Есть и комбинированные вирусы, которые можно отнести одновременно к нескольким типам.

В последнее время снова возник интерес к схемам сокрытия факта заражения, которое в прошлом получило название stealth-технологий, а также способы усложнения применения схем сигнатурного анализа, называемого полиморфизмом. И хотя сейчас это обозначается несколько иными терминами, в данном случае сути это не меняет.

Теперь собственно о вредоносных кодах. Вирусы, черви, трояны — у пользователя голова идет кругом от многообразия терминов. При этом вышеуказанное определение для некоторых из данных семейств вредоносных кодов абсолютно не подходит. Что делать? По мнению автора, следует разработать определения по методике Д. Н. Лозинского — понятное любой домохозяйке. Например, вирус есть самовоспроизводящийся и самораспространяющийся программный код, то есть он характеризуется функционалом самовоспроизведения и самораспространения. Червь — функционалом самокопирования и самораспространения. Троян не обладает ни одним из этих функционалов. Тогда вирус в широком понимании есть программное средство несанкционированного неавторизованного доступа к вычислительным ресурсам системы пользователя.

Искусство держать оборону

Все вышесказанное ясно дает понять, что необходимо не только применять новые комплексные подходы в защите, но и постоянно совершенствовать средства антивирусной защиты.

Тема тестирования антивирусных пакетов не нова. Только за последнее время появился целый ряд публикаций, освещающих данный вопрос, однако, на наш взгляд, в них либо нет прозрачности методик тестирования, либо отсутствуют численные данные, либо нет информации о тестовой коллекции. В предложенной же методике четко и конкретно определено какие типы файлов тестируются, а также при каких настройках антивирусных средств происходило тестирование (тесты проводятся на различных конфигурациях рабочих станций —от минимально допустимой до достаточно высокой производительности). В качестве тестовой использовалась коллекция автора, собранная им с 1994 года.

Итак, в ходе тестирования рассматривались следующие программные продукты: AVG Anti—Virus Free Edition 8.0, PC Tools Antivirus, Avira Antivir Personal — Free Antivirus, Avast! Home Edition 4.8 и Rising Antivirus.

Для сравнения с ними, как уже было сказано выше, выбран достаточно малоизвестный в Украине коммерческий антивирус Outpost Antivir Pro. Следует также заметить, что на момент подготовки публикации, появились сообщения о подписании Symantec окончательного соглашения по приобретению австралийской компании PC Tools, разработчика программных продуктов для защиты приватных данных и обеспечения безопасности Windows-систем. При этом дистрибутив, участвовавший в тестировании, был бесплатным.

Наши выводы

Сравнение антивирусов происходило в несколько этапов (подробное их описание можно посмотреть во вставке «Так мы тестировали бесплатные антивирусы», результаты тестов приведены в таблицах).

В результате тестирования можно сделать следующие выводы. Основной из них — бесплатный сыр бывает в мышеловке и то только для второй мышки. Для основ понимания работы антивирусных средств и возможности ведения полемики и собственной раскрутки такие решения, безусловно, нужны, но надо констатировать, что ни по качеству детекта, ни по нагрузочным характеристикам они пока не в состоянии составить серьезную конкуренцию платным продуктам.

Безусловным лидером среди бесплатных продуктов является Avira Antivir Personal — Free Antivirus, который при этом характеризуется высоким уровнем ложных срабатываний. Неплохое впечатление в целом оставили Avast! и PCTools — из-за простоты управления и возможности проверки системы после инсталляции. Однако ни один из бесплатных продуктов не справился с представленной библиотекой вредоносных программ и пропустил четыре вируса из карантина Dr.Web, который по техническим причинам оставался на тестовой машине. Самое высокое качество детекта показал платный продукт — Outpost Antivir Pro, как по библиотеке, так и по детекту карантина.

Все тестируемые продукты характеризуются близким функционалом, довольно высоким быстродействием, что объясняется достаточно долгим присутствием разработчиков на указанном рынке. Исключением является продукт из КНР — Rising Antivirus, который в русском интерфейсе сообщает, что он является «Жуйсин антивирусом». При этом перевод меню оставляет желать лучшего как по качеству, так и по размещению на кнопках меню.

«Скорострельность» продуктов весьма различна. Самым «скоростным» оказался Avira Antivir Personal — Free Antivirus и PCTools, при этом и тот, и другой срабатывали на «чистой» коллекции. Аутсайдером теста оказался RAV («Жуйсин антивирус»). l

Так мы тестировали бесплатные антивирусы

Тестирование бесплатных антивирусов происходило в несколько этапов

Этап 1. Сравнение возможностей и параметров

1.1. Общие характеристики

1.2. Сравнение модуля резидентного фильтра для рабочих станций.

1.3. Сравнение модуля сканера дисков для рабочих станций

Этап 2. Проверка работы

2.1. Проверка резидентного модуля.

Цель: определение задержки, вносимой работой антивирусных средств при переносе файлов (директорий с файлами) или открытии файлов.

Средство: FAR Manager.

Методика тестирования: замер времени при переносе файлов (директорий с файлами) или открытии файлов. Чем меньше задержка, тем лучше. Базовый набор файлов и директорий состоит из файлов конкретного типа и конкретного размера. Имеются следующие типы файлов:

— документ MS Word (далее файл DOC);

— каталог, содержащий файл DOC (далее каталог DOC);

— каталог, содержащий исполняемые EXE-файлы (далее каталог EXE);

— архивные файлы формата ARJ, содержащие файл(ы) DOC (далее ARJ (DOC));

— архивные файлы формата ARJ, содержащие файл(ы) DOC, а также файлы ARJ (DOC) — далее ARJ (DOC + ARJ));

— файлы в формате Rich Text Format (далее RTF).

Система после проверки каждого антивируса восстанавливалась в исходное состояние с помощью специального программного обеспечения от компании Acronis.

Замер времени производится отдельно для конкретных типов файлов (директорий) с помощью стандартных средств ОС Windows на компьютерах с двумя различными аппаратными конфигурациями, которые условно можно назвать минимальной и средней. Выбор данных конфигураций обусловлен тем фактом, что большинство компьютеров домашних пользователей и офисных работников имеют приблизительно такие же параметры.

Тестирование производилось в два этапа, в каждом из которых настройки всех антивирусных средств были приблизительно идентичны (то есть равные начальные условия), иначе данные сравнительные тесты не имели бы смысла. Первый этап — «легкий» вариант настроек (или установки «по умолчанию»), второй — «тяжелый» (настройки ставились на максимальные показатели).

2.1.1. Компьютер: AMD Athlon XP 1800+, RAM 512 Мб, HDD 480 Гб, ОС Windows XP Home Edition.

2.1.1.1. Настройки антивирусных средств — «легкий» вариант.

2.1.1.2. Настройки антивирусных средств — «тяжелый» вариант.

2.2. Проверка сканера дисков.

Цель: определение скорости сканирования файлов, папок, локальных гибких и жестких дисков.

Метод: замер времени сканирования.

Методика тестирования: замер времени сканирования файлов (директорий с файлами), дискеты с файлами, локального диска компьютера. Чем меньше время сканирования, тем лучше.

Базовый набор файлов и директорий состоит из файлов конкретного типа и конкретного размера. Типы файлов в базовом наборе те же, что и в пункте 2.1. за исключением RTF-файлов.

Время сканирования берется из отчета тестирования антивирусного сканера.

Данное тестирование производилось на компьютере с аппаратной конфигурацией, которую условно можно назвать домашней. Ее выбор обусловлен тем фактом, что большинство домашних пользователей и офисных работников малых предприятий не имеют «супермощных компьютеров последней модели». Как и до этого, тестирование производилось в два этапа — с «легким» вариантом настроек и «тяжелым».

2.2.1. Компьютер: AMD Athlon XP 1800+, RAM 512Мб, HDD 80 Гб, ОС Windows XP Home Edition.

2.2.1.1. Настройки антивирусных средств — «легкий» вариант.

2.2.1.2. Настройки антивирусных средств — «тяжелый» вариант:

2.3. Анализ эффективности обнаружения вирусов

Цель: определение эффективности работы антивирусного сканера.

Средство: набор файлов, состоящий из 4232 файлов разного формата (в том числе архивных), зараженных разными типами реальных вирусов. На этом же диске находятся 265 абсолютно чистых файлов, на которых проверяется срабатывание эвристического анализатора.

Метод: применение антивирусного сканера для обнаружения файлов зараженных известными вирусами.

Чем большее количество тел вирусов выявил антивирусный сканер в заданном наборе файлов, тем лучше.

Как и в предыдущих случаях, тестирование производилось в два этапа (для «легких» и «тяжелых» вариантов настроек).

Для сравнения приведены результаты платного решения от компании Agnitum — Outpost Antivir Pro.

2.3.1. Компьютер : AMD Athlon XP 1800+, RAM 512Мб, HDD 80 Гб, ОС Windows XP Home Edition

2.3.1.1. Настройки антивирусных средств — «легкий» вариант.

2.3.1.2. Настройки антивирусных средств — «тяжелый» вариант.

Долгожданное обновление от Касперского

«Лаборатория Касперского» объявила о выходе нового поколения решений пользовательской защиты — «Антивирус Касперского 2009» и Kaspersky Internet Security 2009. Основной изюминкой новинок является новый антивирусный движок, имеющий оптимизированные алгоритмы поиска вирусов и обеспечивающий более высокое быстродействие ПК — по утверждению сотрудников компании, в 3–7 раз выше, чем на старом движке. Кроме того, новое антивирусное ядро полностью обновляемо, что повышает гибкость реагирования на сложные угрозы.

Еще одна особенность Kaspersky Internet Security 2009 — использование технологии контроля за активностью приложений HIPS (Host-based Intrusion Prevention System). Она обеспечивает защиту системы не только от известных, но и от не определенных зловредных программ. А использование писка так называемых гарантированно безвредных приложений позволит сэкономить системные ресурсы ПК и уменьшить количество обращений программы к пользователю.

Лицензия Kaspersky Internet Security 2009 распространяется одновременно на два компьютера.