Выбираем лучший антивирус

🕛 20.09.2009, 14:27

Совершенный антивирус - утопия или продукт ближайшего будущего?
Совершенного продукта быть не может в принципе. О каком бы антивирусном продукте ни шла речь, как бы его ни расхваливали создатели, все, что мы имеем на сегодняшний день, - это всего лишь попытка ответить на вызов вирусописателей, не упав лицом в грязь.
Ну что ж, чтобы разогреть читателя, в качестве живого примера уместно привести, пожалуй, следующий. Данный пример особенно интересен тем, что его реализация не требует знания языков программирования.
Итак, сейчас мы напишем простейший учебный вирус, который будет ни много ни мало - форматировать диск D:.

Исходный код нашего учебного скрипт‑вируса
Одна строка - и вирус готов. Удивлены? Ничего удивительного! Все гениальное просто.

ПРИМЕЧАНИЕ
Не пытайтесь запустить вирус под Windows XP: код актуален для систем, использующих autoexec.bat.

Пропускаем нашего «зверя» через сканер «Антивируса Касперского 7.0» (рис. 4.5).
Как видите, результат не заставил себя ждать. Но подождите, это не самое интересное. Сейчас мы подправим один символ (из быстрого форматирование превратится в медленное) (рис. 4.6).
Наш код преспокойно проходит проверку (рис. 4.7).
Итак, если после наших экспериментов у вас не отпало желание устанавливать какой‑либо антивирус вообще, значит, вы на правильном пути. Ведь главное - понять: совершенного продукта нет, однако к этому можно приблизиться.

Реакция «Антивируса Касперского7.0» на скрипт‑вирус

Слегка модифицируем нашего «зверя»

Опасных объектов не обнаружено!
Так что же нам выбрать и какой антивирус все‑таки лучший? Не в силах больше сопротивляться первому вопросу, попытаемся объективно ответить, определив круг наиболее достойных и выбрав из них одного лучшего.
Основанием нашей оценки послужат результаты:
- ведущих антивирусных лабораторий мира;
- независимых экспертных групп, включая результаты наблюдений и активных тестов самого автора.
Начнем, пожалуй, с результатов тестов независимого российского информационно‑аналитического портала по информационной безопасности (www.anti‑maLware.ru).

Тест на обнаружение

Суть теста в том, что в каждом тестируемом антивирусе запускалась задача сканирования по требованию каталога с огромным количеством вирусных экземпляров (detection rate test).
Тест проводился на машине Intel Pentium 4 2600MHz, 512MB DDRAM с установленной Microsoft Windows XP Professional SP1.
Тестовая база вирусов насчитывала 91 202 вируса (коллекция VS2000, сформированная совместно с антивирусными компаниями "Лаборатория Касперского", F‑Prot, RAV, Nod32, Dr.Web, Sweep, BitDefender и McAfee). Вирусы в коллекции не повторяются и не имеют уникальных имен согласно антивирусной программе AT LEAST 1.
Все вирусные экземпляры были распакованы (не было файлов ZIP, RAR, ACE и т. д.), имели корректные расширения файлов согласно специальной программе Renexts и были уникальны по контрольной сумме (checksum32).
Файлы вирусных экземпляров для тестирования были следующих типов: BAT, BIN, CLA, CLASS, CLS, COM, CSC, DAT, DOC, ELF, EML, EXE, HLP, HQX, HTA, HTM, IMG, INF, INI, JS, MAC, MDB, MSG, OLE, PHP, PIF, PL, PPT, PRC, REG, SCR, SH, SHS, SMM, STI, TD0, TPU, VBA, VBS, WBT, XLS, XMI, XML.
Все тестируемые программы на момент тестирования имели актуальные версии с обновленными базами данных и максимальными настройками сканирования (включенная эвристика, полное сканирование и т. д.). Настройки по умолчанию не использовались, по причине того что они не обеспечивают максимально возможное качество обнаружения вирусов.

Итак, из списка в 26 антивирусов мы видим следующие результаты по обнаружению вредоносных программ.
1. "Антивирус Касперского Personal Pro 5.0.20" - 99,28 %.
2. F‑Secure Anti‑Virus 2005 5.10.450 - 97,55 %.
3. eScan Virus Control 2.6.518.8 - 96,75 %.
4. Symantec Anti‑Virus Corporate 9.0.3.1000 - 91,64%.
5. Norton Anti‑Virus 2005 - 91,57 %.
6. McAfee VirusScan 9.0.10 - 89,75 %.
7. BitDefender Anti‑Virus 8.0.137 - 88,13 %.
8. Panda Platinum 2005 Internet Security 9.01.02 - 87,75 %.
9. RAV Anti‑Virus (куплен Microsoft) 8.6.105 - 87,26 %.
10. FRISK F‑Prot Anti‑Virus 3.16b - 87,07 %.
11. Panda Titanium Anti‑Virus 4.01.02 - 86,27 %.
12. Trend Micro PC‑Cillin 2005 12.1.1034 - 85,98 %.
13. Eset Nod32 2.12.4 - 85,66 %.
14. Authentium Command 4.92.7 - 84,92 %.
15. H+BEDV AntiVir 6.30.00.17 - 84,50 %.
16. Alwil avast! 4.6.623 - 79,65 %.
17. Dr. Web 4.32b - 78,71%.
18. Sophos Sweep 3.91 - 73,79 %.
19. UNA Anti‑Virus 1.83 - 73,49 %.
20. Norman Anti‑Virus 5.80.05 - 65,32 %.
21. Grisoft AVG7.0.308 - 54,07%.
22. Computer Associates E‑Trust Antivirus 7.0.5.3 - 52,35 %.
23. ZoneAlarm (VET Antivirus) 5.5.062.011 - 52,32 %.
24. VirusBuster 2005 5.0.147 - 51,51 %.
25. ClamWin 0.83 - 48,44 %.
26. AhnLab V3 Pro 2004 - 38,87 %.
Вывод: как видим, первое место в данном сравнительном тестировании занял "Антивирус Касперского".

ПРИМЕЧАНИЕ
На момент написания книги самой новой версией "Антивируса Касперского" была седьмая. Учитывая, что в тесте была использована пятая версия программы, в данном случае можно говорить о качественном движке линейки продуктов в целом.

Второе и третье места в данном рейтинге достались F‑Secure Anti‑Virus и eScan Virus Control соответственно.

ПРИМЕЧАНИЕ
Кстати, F‑Secure Anti‑Virus и eScan Virus Control используют антивирусный движок от "Лаборатории Касперского" по OEM‑соглашению.

Ну что ж, некоторая закономерность уже прослеживается. Идем дальше.

Тест на поддержку упаковщиков

Как известно, одним из приемов сокрытия вирусного кода является использование упаковщиков, которые так модифицируют вирусный код, что делают его практически неузнаваемым со стороны антивирусов. Грубо говоря, чем большее количество упаковщиков знает антивирус, тем больше шансов того, что он успешно обнаружит заразу.
В данном тесте принимали участие антивирусные продукты 17 производителей, среди которых:
- Avast!;
- Avira;
- Computer Associates;
- Eset, F‑Secure;
- Grisoft;
- McAfee;
- Panda Software;
- Sophos;
- Symantec;
- Trend Micro;
- "ВирусБлокАда";
- Dr.Web;
- "Лаборатория Касперского";
- "Украинский Антивирусный Центр".

Тест проводился на следующих вредоносных программах, которые были выделены в соответствии со специально выбранной методологией:
- Backdoor.Win32.BO_Installer;
- Email‑Worm.Win32.Bagle;
- Email‑Worm.Win32.Menger;
- Email‑Worm.Win32.Naked;
- Email‑Worm.Win32.Swen;
- Worm.Win32.AimVen;
- Trojan‑PSW.Win32.Avisa;
- Trojan‑Clicker.Win32.Getfound.

Данные вредоносные программы модифицировались с использованием 21 типа упаковщиков (последних на момент проведения теста версий), также выделены в соответствии с выбранной методологией, среди них:
- ACProtect 1.32;
- ASPack 2.12;
- ASProtect 2.1 buid 2.19;
- Dropper 2.0;
- EXECryptor 2.3.9.0;
- ExeStealth 2.76;
- Morphine 2.7;
- NsPack 3.7;
- Obsidium 1.2.5.0;
- ORiEN 2.12;
- Packman 1.0;
- PECompact2 2.78a;
- PESpin 1.304;
- Petite 2.3;
- Private exe Protector 1.9;
- UPX 2.01w;
- WinUpack 0.39 final;
- yoda's Cryptor 1.3;
- yoda's Protector 1.0b.

Итак, вот, собственно, и результаты тестов (табл. 4.1).
Таблица 4.1. Результаты тестов на обнаружение упакованных вирусов

ПРИМЕЧАНИЕ
F‑Secure Anti‑Virus 2006 использует лицензированный движок от "Лаборатории Касперского".

Вывод: мы видим, что достойные результаты по поддержке упаковщиков показали всего 5 из 17 протестированных антивирусов, среди которых оказались следующие.
1. Anti‑Virus F‑Secure.
2. "Антивирус Касперского".
3. BitDefender.
4. Dr.Web.
5. Eset Nod32.
Ну что ж, вполне очевидно, что, помимо лидеров предыдущего теста на количественное обнаружение ("Антивирус Касперского Personal Pro 5.0.20", F‑Secure Anti‑Virus 2005 5.10.450 и eScan Virus Control 2.6.518.8), в гонку за звание "лучший антивирус" вступили еще три продукта: BitDefender, Dr.Web, Eset.
Лидером же нашей виртуальной гонки пока остается продукт "Лаборатории Касперского", занимающий первое абсолютное место по результатам вышеописанных тестов.

Тест на лечение активного заражения

В тесте принимали участие антивирусные продукты 15 производителей, среди которых Avast!, AVG, AVZ, Avira, BitDefender, Eset, F‑Secure, McAfee, Panda Software, Sophos, Symantec, Trend Micro, «ВирусБлокАда», «Доктор Веб», «Лаборатория Касперского».
Тест проводился на следующих вредоносных программах (названия указаны по классификации "Лаборатории Касперского"), которые были выбраны в соответствии с определенными требованиями:
- Adware.Win32.Look2me;
- Adware.Win32.NewDotNet;
- Backdoor.Win32.Haxdoor;
- Trojan‑Proxy.Win32.Xorpix;
- Email‑Worm.Win32.Scano;
- Email‑Worm.Win32.Bagle;
- Trojan‑PSW.Win32.LdPinch;
- Worm.Win32.Feebs;
- Trojan‑Clicker.Win32.Costrat;
- Trojan‑Spy.Win32.Goldun.
Итак, вот, собственно, и результаты теста антивирусов на лечение активного заражения.
1. Norton AntiVirus 2007 (80 %).
2. "Антивирус Касперского 6.0" (70 %).
3. BitDefender Antivirus 10 (50 %), Eset NOD32 Antivirus 2.7 (50 %), Sophos Anti‑Virus 6.0 (50 %).
Вывод: очевидно, что в данном тесте Norton AntiVirus 2007 показал себя с лучшей стороны, заняв первое место.
Второе и третье места занимают уже знакомые нам продукты "Антивирус Касперского 6.0" и BitDefender Antivirus 10 (50 %), Eset NOD32 Antivirus 2.7 (50 %),
Sophos Anti‑Virus 6.0 (50 %) соответственно.
Ну что ж, учитывая результаты предыдущих тестов, а также настоящий тест, общий результат выглядит следующим образом.
1. "Антивирус Касперского 6.0" - первое место.
2. BitDefender Antivirus 10 - второе место.
3. Eset NOD32 Antivirus 2.7 - третье место.
4. Norton Antivirus - четвертое место.
Это еще не конец.
«Virus Bulletin».Теперь обратимся к результатам тестов авторитетного международного британского издания по тестированию антивирусных программ «Virus Bulletin».
Ниже приведен обновленный рейтинг антивирусов, основанный на результатах тестирования, которые опубликованы английским журналом "Virus Bulletin" (http://www.virusbtn.com)в феврале 2007 года.
Согласно методике оценки антивирусов, высшую оценку, то есть "VB100%", получают антивирусы, которые смогли обнаружить все вирусы, входящие в так называемый список "диких" вирусов (WildList) http://www.wiLdList.org.
У многих из наших читателей может возникнуть резонный вопрос: что такое список "диких" вирусов и почему так важно именно его использовать для получения объективных результатов тестов.
Так вот, список этот представляет собой модель стандартизации вирусов, собранных независимыми экспертами. Перед тем как попасть в данный список, каждый новый вирус подвергается проверке. Использование данного списка исключает какую‑либо субъективность результатов тестирования, которая может возникнуть при использовании произвольной коллекции вирусов.
Дабы исключить всякую возможную путаницу и неопределенность по этому вопросу, резонно привести оригинальное описание этого самого "дикого" списка:
"This is a cooperative listing of viruses reported as being in the wild by 80 virus information professionals. The basis for these reports are virus incidents where a sample was received, and positively identified by the participant. Rumors and unverified reports have been excluded. Some programs included in this list may fall outside the traditional definition of a computer virus. However, such programs are spreading throughout diverse user populations, are a threat to users and are therefore included in this list. This report is cumulative. That is, this is not just a report of which viruses were seen last month. Monthly data is received from most participants, but the new data is added to the old. Participants are expected to let us know when to remove their name from a virus. The list should not be considered a list of «the most common viruses», however, since no specific provision is made for a commonness factor. This data indicates only «which» viruses are In‑the‑Wild, but viruses reported by many (or most) participants are obviously widespread. The WildList is currently being used as the basis for in‑the‑wild virus testing and certification of anti‑virus products by the ICSA, Virus Bulletin and Secure Computing. Additionally, a virus collection based upon The WildList is being used in an effort to standardize the naming of common viruses*.
Резюмируя вышеприведенный англоязычный оригинал, можно сказать, что использование списка "диких" вирусов позволяет получить максимально объективную оценку надежности того или иного антивирусного средства.
Итак, результаты "Virus Bulletin" представлены в табл. 4.2.
Обозначения:
- "+" - антивирусы, которые смогли определить 100 % вирусов из списка "диких" вирусов (WildList);
- "‑" - антивирусы, которые не смогли идентифицировать все вирусы из испытательного набора;
- "Испытания не проведены" - испытания этого антивируса для данной платформы не проводились.
Вывод: невооруженным глазом видно, что первое и второе места в данном авторитетном рейтинге делят между собой Eset (NOD32) и "Антивирус Касперского 6.0.2.546".
Ну что ж, момент истины.
Подводя итог, необходимо сказать следующее: по совокупным результатам приведенных тестов лидером среди антивирусных продуктов следует признать продукт "Лаборатории Касперского" - "Антивирус Касперского 6.0". На втором месте уверенно располагается NOD32.
Каждый из двух антивирусов, соответственно, имеет свои плюсы и минусы. Так, "Антивирус Касперского" можно смело устанавливать в систему, "богатую ресурсами" (с более 512 Мбайт оперативной памяти и мощным процессором). Благодаря гибкой конфигурируемости и набору модулей (модуль проактивной защиты, поиск руткитов и т. д.) он окажется незаменимым помощником при работе в агрессивных вирусных средах. При должном уровне настройки данный антивирус окажется весьма неплохим помощником при поиске "хитрой" модифицированной "заразы".
Таблица 4.2. Результаты "Virus Bulletins - рейтинг антивирусов по состоянию на февраль 2007 г.

В то же самое время антивирусный продукт NOD32 можно посоветовать для установки на «слабые» машины, где «притормаживание» системы может оказаться крайне нежелательным. Как и «Антивирус Касперского», NOD32 имеет качественный движок и проработанную систему эвристики, что позволяет рекомендовать его как альтернативное решение при выборе лучшего антивируса.