Какой антивирус выбрать? Этот вопрос мучает практически каждого пользователя, который заботится о безопасности своего компьютера и сохранности данных. Изучая рейтинги на различных сайтах, можно обратить внимание на значительную разницу в результатах. Это происходит из-за различных методик тестирования, применяемых авторами тестов. Сегодня я хочу рассказать о результатах тестов по своей собственной методике, основанной на личном опыте.
Что да как...
Сразу хочу предупредить: моя методика не претендует на универсальность и стопроцентную достоверность. Но вместе с тем я пытался рассмотреть возможности антивирусов в реальных ситуациях, а не на всяких тестовых вирусах и им подобных. Практически все вирусы, примененные мною, собраны по компьютерам разных знакомых, обращавшихся ко мне со своими проблемами. Хочется отметить, что под вирусом я подразумеваю любую вредоносную компьютерную программу, способную к само распространению. На тестирование попали следующие антивирусные программы: Kaspersky AntiVirus 5.0, Norton AntiVirus 2005, Panda Titanium 2005, NOD32 2.50, Avast! AntiVirus 4.6, ZoneAlarm Security Suite 5.5, McAfee 8.0 и Dr.Web 4.32. Все антивирусные программы были скачаны за неделю до тестирования, после чего на них сразу были обновлены антивирусные базы. Это обеспечило тестовый стенд самыми свежими версиями, а также позволит провести тестирование эвристических модулей. Все антивирусы были установлены на Windows XP как на самую современную пользовательскую версию Windows. Хочется отметить отсутствие русского интерфейса у Panda. Для всех остальных продуктов были найдены либо русские версии, либо вполне приличные русификаторы. Это также значимый момент, т.к. далеко не все отечественные пользователи настолько хорошо владеют английским языком, чтобы досконально разобраться во всех настройках антивирусной программы.
Вирус запакованный
Начнем с самого простого теста — обнаружения одной из старых разновидностей вируса Sasser. С этим заданием справились все конкурсанты, что и неудивительно, ведь Sasser являлся одним из самых популярных вирусов прошлого года — только совсем дырявый антивирус не распознает эту заразу. Теперь усложним задание — запакуем исполняемый файл вируса популярным PE-упаковщиком UPX. Подобные действия часто выполняются авторами вирусов для создания "новой" модификации своего творения. Все антивирусы, кроме NOD, распознали вирус в упакованном файле. Видимо, пользователям этого антивируса стоит надеяться только на свежие антивирусные базы, а не на продуманный алгоритм анализа упакованных файлов, который присутствует у его конкурентов. Еще больше усложним задание — упакуем наш вирус системой защиты от дизассемблирования ASProtect 1.2. Тут уже и Vet (встроенный антивирус ZoneAlarm) не смог опознать знаменитого червя. И последний тест в этой серии — система лицензионной защиты Armadillo. Ее упаковщик оказался не по зубам Avast, McAfee и Dr.Web. Впрочем, Armadillo крайне редко используется для упаковки вредоносного кода, так что этот тест — скорее перестраховка. Все представленные антивирусы обнаружили зараженный файл в архивах RAR, ZIP и ACE. Вот только у многих из них поиск вирусов в архивах отключен по умолчанию — это делается для ускорения работы программы. Если аппаратные средства вашего компьютера позволяют, включайте проверку архивов обязательно!
Загрузочный и файловый вирусы
Скачав старенькую игрушку из Интернета, обнаружил, что в состав дистрибутива входит еще и древний вирус ХРЕН. Как выяснилось, вирус еще вполне боеспособен и Master Boot Record портит очень даже запросто. Результаты теста с этим "корнеплодом" оказались плачевными для Avast, NOD, McAfee и Vet. Panda и Norton просигналили о изменении MBR, причем поинтересовались, не вернуть ли все как было. В принципе, такой результат можно считать удовлетворительным. Dr. Web и Касперский без труда распознали вирус, за что честь им и хвала.
Используя распространенный в Интернете эксплоит для уязвимости Windows Media Video (более подробную информацию можно найти на security.nnov.ru), я превратил безобидный видеоролик в средство эксплуатации данной уязвимости. Опознали эту пакость все антивирусы, а вот вылечить файл смогли только Касперский, Dr. Web, Panda, McAfee и Norton. Остальные антивирусы лишь предложили удалить зараженный файл целиком, что не всегда приемлемо, особенно если в этом файле какая-нибудь нужная презентация. Конечно, в данном случае речь идет скорее о хакерской утилите, чем о вирусе, но ведь случаи превращения публичных эксплоитов в вирусы не так уж редки — вспомним хотя бы упоминавшийся выше Sasser. С исцелением документа Microsoft Word от макровируса Thus справились все антивирусные программы. Хотя уничтожить макровирус практически всегда можно и с помощью ручной правки зараженного документа, предварительно отключив макросы.
Месть вируса
Многие современные вирусы пытаются завершить процессы антивирусных программ. Таким образом они пытаются скрыть свое присутствие на компьютере пользователя. Я решил проверить устойчивость тестируемых антивирусов к подобным попыткам убийства со стороны вирусов. Для этого я применил полностью настраиваемый троян Optix Killer, обладающий способностью завершать процессы указанных в соответствующем списке антивирусных программ. Запустив Optix Killer, я начал включать антивирусы. Из всех тестируемых сумели запуститься и устоять только Panda и Касперский. Как выяснилось, даже пользователь с правами администратора не может завершить их процессы, и, соответственно, Optix Killer тоже не смог. Таким образом, два вышеназванных антивируса получают почетную награду за исключительную непотопляемость!
Я тебя еще не знаю…
Для окончательного определения имен победителей необходимо провести тест эвристических алгоритмов антивирусов (алгоритмов, позволяющих выявлять еще неизвестные вирусы), без которого тестирование антивирусов нельзя считать полным. А тут как раз компьютер одного моего знакомого, который и купил его совсем недавно, заразил свеженький Gaobot. Как выяснилось, эта разновидность вируса еще не могла быть занесена в антивирусные базы более чем недельной давности, ведь вирус начал распространяться только пару дней назад. Именно он и был предложен в качестве «закуски» для наших подопытных. Panda, Касперский и Avast! распознали «живность» как одного из представителей семейства Gaobot, хотя конкретно версию вируса определить не смогли, что, впрочем, не слишком важно для обычного пользователя.
Итоги
По итогам тестирования определился безусловный лидер — Антивирус Касперского (kaspersky.ru). Он не проиграл ни в одном из испытаний, вылечил всех больных и, ко всему прочему, имеет русский интерфейс и файл помощи. А его расширенная версия Kaspersky Security Suite обладает еще и функциями файрволла, так что неплохо помогает и от хакеров. К тому же, антивирусные базы Касперского обновляются крайне оперативно, что также является немаловажным фактором. На втором месте, безусловно, Panda Titanium 2005 (pandasoftware.com). На втором месте она оказалась из-за незнания ХРЕНа (хотя уничтожить MBR все-таки не дала), излишнюю самостоятельность (в конфигурации по умолчанию все вирусы удаляются без предупреждений, причем в их число загремел ни в чем не повинный Netcat) и отсутствия русскоязычного интерфейса. Но встроенный файрволл и оперативное обновление антивирусных баз позволили этому антивирусу занять достойное место в нашем тесте. Третье место получил Avast! AntiVirus (avast.com) за хороший эвристический модуль, неплохую работу с упакованными файлами и, что самое весомое, бесплатность домашней версии. Несмотря на некоторые недочеты, в качестве домашнего антивируса Avast! тоже вполне подойдет, хотя его надежность оказалась несколько ниже, чем у Касперского и Panda.
Еще раз хочу подчеркнуть, что вышеописанная методика не претендует на универсальность, поэтому направлять мне гневные письма типа «NOD самый лучший» и т.п. не надо. Я провел свои тесты, вы можете провести свои, в которых ваш любимый антивирус может занять (а может и не занять:)) более высокую позицию. Если же у вас возникли какие-либо конкретные вопросы, напишите мне на e-mail. На этом позвольте раскланяться, и пусть всевозможные вирусы обходят ваш компьютер стороной!
P.S: Лично я пользуюсь NOD32 и он меня вполне удовлетворяет =)