Автор: Владислав Демьянишин

 

 

 

В Российской Федерации очень любят платить за антивирусы. По данным немецкой компании G Data легальное антивирусное ПО в России установлено на компьютерах 47,83% пользователей. Россияне обогнали Великобританию (47,29%), Нидерланды (47,23%) и даже США (45,4%).

 

 

Небезынтересное исследование провела компания Incapsula, предоставляющая услуги по защите информации в сфере облачных сетевых технологий. Ее специалисты решили подсчитать, какой процент от общемирового интернет-трафика потребляют компьютерные системы, выполняющие определенные задачи без непосредственного участия человека.

Результаты, полученные ими, говорят о том, что на данный момент в среднем лишь 49% трафика, регистрируемого на том или ином ресурсе в интернете, генерируется реальными пользователями. Соответственно на долю автоматизированного ПО приходится около 51% от всех данных, передаваемых в сеть.

 

Так, 5% “посещений” относится к деятельности хакерского ПО, в автоматическом режиме выискивающего уязвимости в программном коде. Еще 5% составляют так называемые скраперы (scrapers) – сборщики открыто опубликованных адресов электронной почты и прочих контактных данных.

2% приходится на спам-комментарии. 19% - на деятельность различных “шпионских” программ по сбору информации, еще 20% генерируется поисковыми движками.

Весь этот машинный трафик не учитывается обычным аналитическим ПО, размещенным на большинстве сайтов. Это, по меньшей мере, приводит к лишним расходам на оплату услуг провайдеров и неверным оценкам эффективности работы.

 

 

А теперь по существу. После публикации первой части данной статьи нашего журнала, на редакцию буквально обрушился шквал писем читателей, где они высказывают свое нетерпение и желание поскорее узнать, чем же закончилось тестирование антивирусов.

Это еще раз доказывает, что аудитория нашего журнала состоит не из праздных потребителей, а из людей бдительных и неравнодушных к теме компьютерной безопасности. А значит, нам следует стараться публиковать как можно больше материалов по данной тематике, что мы и будем делать в дальнейшем.

 

Увы, состояние отечественной экономики оставляет желать лучшего, и это неизбежно отражается и на регулярности выхода нашего журнала. Но наша редакция делает все возможное, чтобы форсировать выход очередного номера. А сейчас хочется передать слово одному из таких нетерпеливых читателей. Пишет нам Сергей Молчанов:

 

 

Ну что же, об установке Windows 7 мы расскажем немного позднее, а результаты тестирования украинского антивируса пришлось готовить вдогонку к уже готовому материалу.

 

 

На пробу была взята бесплатная версия антивируса Zillya! Антивiрус версии 1.1.3220.0, хотя есть и платная. Ссылка для скачивания http://zillya.ua/download.html. При установке рекомендую выбрать выборочную установку, чтобы иметь возможность отказаться от установки Яндекс.Бар и прочих сервисов Яндекса.

Столкнулся с неприятной вещью – после установки антивирус не захотел автоматически обновиться, а при попытке ручного обновления предложил купить ключ активации – как вам это? Такого я еще ни у одного антивирусного продукта не встречал. Интересный способ ведения бизнеса по-украински. Уж если бесплатно, то давайте бесплатно, иначе зачем пользователю голову морочить?

В итоге пришлось самостоятельно с сайта разработчика скачать установщик свежих баз. А вот тут я не понимаю, какой смысл требовать ключ активации, если на сайте можно бесплатно скачать антивирусные базы? Ерунда какая-то получается.

 

 

Окно программы крошечное (рис. 1). Видимо, разработчики посчитали, что вопреки официальной статистике, большинство пользователей работают с экранным разрешением не больше 800x600. Хотя нетбуки и планшетники обладают разрешением экрана от 1024x768.

При этом, окно программы никак нельзя растянуть для более удобного отображения информации – очень неудобно. Стиль оформления окна подражает стандартному стилю оформления Windows 7, только вот заметят это лишь пользователи Windows XP.

 

Еще странное наблюдение – при применении мер к найденным угрозам, антивирус на перемещение каждого зараженного файла в карантин тратит около секунды. То ли быстрее на шустром процессоре у него не получается, то ли делает это демонстративно медленно. Но вот почему никто из разработчиков не подумал об экономии времени пользователя?

Еще одна ложка дегтя – после установки антивируса система Windows XP стала запускаться заметно дольше (140 секунд, что почти в 5 раз дольше обычного). Ну это, знаете ли, без комментариев.

Результатами скорости сканирования и обнаружения антивирус не впечатлил. Смотрите таблицы и делайте выводы сами.

 

 

Раз уж в редакции специальной антивирусной лаборатории нет, ее пришло время создать. В качестве полигона для тестирования антивирусов была взята виртуальная машина с установленной операционной системой Windows XP, настроенная на имитацию центрального процессора Intel Atom N270 с тактовой частотой 1,6 ГГц, оперативной памятью 1 Гб.

Такие характеристики ПК были взяты за основу, поскольку они соответствуют широко распространенным устройствам класса нетбук. Этот рынок весьма востребован и помимо тестов обнаружения хотелось сделать замеры скорости работы антивирусов именно на таких слабых устройствах.

Следовательно, обладатели более мощных ноутбуков и настольных ПК могут рассчитывать на гораздо более шуструю работу антивирусного ПО (примерно в разы).

 

 

Но тестировать антивирусы без вирусов – это, согласитесь, напрасная трата времени. Это все равно, что бегать по полю с сочком для ловли бабочек посреди января ;)

А вирусы я взял из своей коллекции, которую мне удалось собрать по ходу работы в разных структурах и обеззараживая компьютеры в офисе, у друзей и знакомых.

Вирусы в моей коллекции далеко не свежие, но тестирование даже на таких старикашках показало, что на сегодняшний день не все антивиры обнаруживают такое вредоносное старье, как штаммы из моей коллекции. Увы, WinLock и MBRLock в моей коллекции пока нет. Быть может это и к лучшему ;).

Итак, перечисляю вредоносное ПО, на котором проводилось тестирование. Прежде всего, онлайн-угрозы:

 

 

 

 

 

 

 

 

 

 

Наименования вирусов указаны в соответствии с классификацией антивирусной защиты AVIRA. Их названия вам почти не о чем не скажут, но вещи тут серьезные. Хотя до MBRLock им, конечно, далеко, но доставить неприятностей они могут много.

 

 

 

Для упрощения сбора результатов тестирования пришлось распределить зараженные программы по группам. Это было сделано по следующим причинам.

Во-первых, некоторые антивиры не позволяли сохранять отчет проверки на вирусы. Поэтому было весьма неудобно, а в некоторых случаях и невозможно детально изучить какие же все-таки зараженные файлы были обнаружены. Заметить обнаруженную группу файлов оказалось проще.

Во-вторых, по выше указанному списку видно, что разновидностей вирусов, принимавших участие в тестировании, всего 34, но исследованию подвергались различные файлы, зараженные ими, а общее количество таких файлов 109.

 

В-третьих, в двух ложных группах были подставлены совершенно безвредные файлы, сжатые необычным упаковщиком. Это было сделано для того, чтобы убедиться в том, что ложных срабатываний в отношении этих безвредных файлов у антивируса нет.

Должен отметить, что было всего одно ложное срабатывание у McAfee AntiVirus Plus. Поэтому эти ложные группы в результаты не попали. В итоге получилась 28 групп с вредоносным ПО, подвергшемся антивирусному анализу.

 

 

Делалось это просто. На тестовую виртуальную машину, работающую под управлением операционной системы Windows XP, устанавливался очередной испытуемый антивирус. Выполнялся замер времени сканирования отдельной папки, где были собраны все тестовые файлы с вирусами.

Помимо этого, папка с тестовыми файлами возобновлялась на системном диске C при загрузке под реаниматором, иначе антивирус просто не дал бы распаковать архив с вирусами. Затем выполнялся замер времени сканирования всего системного диска C.

 

Перед установкой очередного антивира тестовая виртуальная система приводилась в исходное состояние методом восстановления виртуального винчестера из архива.

Для каждого антивируса определялся размер дистрибутива и занимаемое дисковое место после установки и обновления антивирусных баз (таблица 1).

 

 

 

Тут победителей выбирать не будем, просто информация к сведению. Гораздо интереснее соревнование антивирусов в скорости сканирования, результаты которого смотрим ниже.

 

 

Время сканирования тестовой папки приведено в таблице 2 только лишь к вашему сведению. Вообще оценивать антивирусы по результатам этой колонки – дело спорное, поскольку лишь у немногих антивирусов просматривается четкое соотношение длительности сканирования папки и всего диска. Думаю, тут в основном играет лишь фактор скорости перебора базы вирусных сигнатур и размер самой базы.

 

 

 

Более полную картину о скорости работы антивирусного движка может показать именно время проверки всего диска C. Тут вступают в игру проверка запущенных процессов в системе, проверка оперативной памяти, загрузочного сектора, анализ реестра и автозапуска, фильтр потенциально опасных файлов, скорость перебора по антивирусной базе и косвенно размер этой базы, виртуальная среда и поведенческий анализ.

 

 

Для большей наглядности результаты отображены в диаграмме (рис. 2), где платные и бесплатные антивирусы сгруппированы отдельно. Из результатов теста следует, что наиболее быстрые – это бесплатные антивирусы Avira 9, Avast и AVG. Это может быть следствием упрощенного или облегченного движка, поскольку более серьезные платные антивирусные пакеты, такие, как Norton, NOD, G Data работают вдвое медленнее.

 

 

Результаты теста на обнаружение угроз сведены в таблицу 3. Сначала давайте рассмотрим, каким у нас получается общий рейтинг антивирусов, без учета того, платный он или бесплатный.

 

 

 

 

Спешу вас обрадовать, антивирус Avira оказался самым лучшим в тесте на обнаружение угроз.

Несмотря на то, что наш журнал последнее время активно рекомендует читателям устанавливать на свои компьютеры именно антивирус Avira, должен признаться, что совершенно случайно Avira в нашем тесте оказалась на первых местах.

 

Откровенно скажу, что никаких специальных действий для этого я не предпринимал, а просто во время тестирования записывал свои наблюдения. Кому будет интересно, пишите в редакцию, и я предоставлю вам отчеты, которые выдали сами антивирусы в ходе тестирования.

Читатели, конечно, могут мне не поверить, но это на самом деле так. Да и когда это я вас обманывал. При этом для меня самого выглядит странным, что обе Авиры – и старая 9-я и новая 12-я версии оказались лучшими. Ну, хоть одна из них должна была отстать.

 

Получается, или новая Авира не стала лучше, или старая была уже достаточно хорошей. Главное, что новая версия хуже старой точно не стала. И это видно по таблице результатов тестирования.

Лично я думал, наверное, как и все читатели, что Касперский и Доктор Веб окажутся лучше всех – мы ведь патриоты (относительно всего СНГ), а, быть может, всего на всего хорошо обработаны пропагандистской машиной в отечественной сети. Но увы и ах – это не есть факт.

 

 

На втором месте оказался антивирус G Data. Он обнаружил все угрозы, но споткнулся на файле “Keygenerator Nevosoft.exe” (генератор ключей для игр Nevosoft).

Ребята, которые “любезно” выложили этот файл в сети, очень постарались, чтобы внутри него оказалась троянская программа TR/Horse.CFG. Так что будьте бдительны, когда скачиваете игры и кряки к ним.

 

 

На третьем месте среди всех испытуемых антивиров оказались McAfee, NOD32 и Norton. Все они успешно прошли тест, за исключением того, что McAfee проморгал файлы: “PartitionMagic_8.05_rus Portable.exe”, где засел дроппер DR/MicroJoiner.Gen; “index-virus.php”, где содержалась сигнатура HTML-вируса HTML/IFrame.evt; “index.php”, где была сигнатура HTML-вируса HTML/Infected.WebPage.Gen2; и “trojan.txt”, где Java-скрипт вируса JS/Decdec.psc.

NOD32 счел безвредными файлы: “reflexivekg.exe” (генератор ключей к Reflexive Games) с бэкдор-программой BDS/Bot.10029; два “index.php”, где HTML-вирус HTML/Infected.WebPage.Gen2; “virus_iFrame.DH.html” с Java-скрипт вирусом JS/iFrame.DH.

 

Norton обнаружил практически все трояны, но проигнорировал несколько онлайн-угроз: “index-virus.php” с HTML-вирусом HTML/IFrame.evt; “index.php” с HTML-вирусом HTML/Infected.WebPage.Gen2; “trojan.txt” с Java-скриптом вируса JS/Decdec.psc; “virus_iFrame.DH.html” с Java-скриптом вируса JS/iFrame.DH.

Такие результаты антивируса Norton, полагаю, можно объяснить хорошим знанием всевозможных упаковщиков, коими обычно вирусописатели сжимают свои вредоносные детища, чтобы скрыть их пагубную внутреннюю сущность. Именно поэтому я склонен положительно выделить антивирусный пакет Norton среди остальных призеров третьего места.

 

 

Если взглянуть на диаграмму (рис. 3), где антивирусы сгруппированы в платные и бесплатные, то очень хорошо видно, что первое место заняла Avira, причем обеих версий.

 

 

Второе место заняли бесплатные Microsoft и Avast, но при этом они очень отстали от лидеров. Третье место среди бесплатных занял антивирус Comodo.

 

 

Итак, давайте подведем итоги. Среди бесплатных антивирусов самыми быстрыми оказались Avira 9, Avast и AVG. Самыми бдительными среди бесплатных антивиров оказались Avira, Microsoft и Avast.

Как вы можете видеть, тест антивирусов получился все же поверхностным. Но даже такой тест позволил выявить антивирусы, которые спустя рукава относятся к защите компьютера от вирусов.

При этом удалось выявить бесплатные антивирусы, способные потягаться с платными. И наоборот, обнаружить, какие платные антивирусы оказались не на должной высоте.

Конечно, следует понимать, что тестирование проводилось в очень мягких условиях, поскольку вирусы не кусались, а просто лежали на винчестере в виде файлов.

 

Совершенно по-другому проходили бы тесты, если бы тестовая система была уже заражена каким-то из перечисленных вирусов или хотя бы была атакована им. Вот тогда было бы интересно понаблюдать, как все эти антивирусы смоги бы справиться с атакой, и какие из них смогли бы успешно ее отбить и обезвредить вирус. Но, увы, мы не располагаем необходимыми средствами для осуществления таких экспериментов.

 

 

Хотел бы вас предостеречь. Дело в том, что, несмотря на более-менее приемлемые результаты бесплатных антивирусов, следует понимать, что они обеспечивают не полную защиту ПК.

Бесплатные антивирусы не имеют брандмауэра (файервола или сетевого фильтра), не имеют веб-защиты, антиспама, SandBox (“песоцница” – виртуальная среда запуска подозрительных программ), безопасного хранилища личных данных пользователя и других очень необходимых инструментов защиты компьютера.

Поэтому, установив на свой компьютер бесплатный антивирус, вы, несомненно, сэкономите. Но, учитывая интенсивность вирусных угроз в сети, вы рискуете потерять гораздо больше: свои логины и пароли, свои личные данные и даже альбомы семейных фото и видео.

 

За вами могут шпионить, подслушивая или подсматривая (при наличии микрофона и/или веб-камеры). Неужели вы хотите, чтобы ваша личная жизнь стала достоянием безнравственной сети? Поостерегитесь.

Локальный антивирус – единственное средство обороны, потенциально способное отразить атаку. Но, если он и установлен, распознать неизвестный науке вирус он не в состоянии даже при наличии антивирусных баз первой свежести (эвристика пока все-таки работает больше на рекламу, чем на конечный результат).

 

 

 

 

 

Журнал > Безопасность > Обзор бесплатных антивирусов (часть 2)