Jeszcze kilka lat temu głównym medium dla wirusów komputerowych były dyskietki. Obecnie coraz mniej osób używa dyskietek. Dlatego autorzy wirusów znaleźli nowy skuteczny sposób szerzenia swoich ‘dzieł‘. Do rozmnażania wirusów została użyta coraz popularniejsza poczta elektroniczna i internet.

Obecnie najpopularniejszymi i najniebezpieczniejszymi, a jednocześnie najszybciej rozmnażającymi się wirusami są robaki rozmnażające się jako załączniki pocztowe i rozsyłające się poprzez pocztę do innych użytkowników.

Najbardziej rozpowszechnionym wśród użytkowników klient poczty elektronicznej Outlook Express stał się ulubioną ‘ofiarą’ autorów wirusów. Zaznaczyć należy, że program ten zainstalowany w domyślnej konfiguracji jest niezwykle podatny na ataki. Użytkownicy otrzymując pocztę z załącznikiem (często od znajomego) szybko otwieramy załącznik by zobaczyć co otrzymali. Oczywiście autorzy robaków poszli dalej. Niektóre z nich korzystając z możliwości automatycznego uruchamiania pliku załącznika. Wystarczy by użytkownik tylko wskazał wiadomość. Złośliwy kod załącznika zostanie uruchomiony automatycznie.

Uruchamiając załącznik aktywujemy wirusa, który w tym samym momencie (najczęściej) rozsyła swoją kopię do wszystkich którzy wpisani są do książki adresowej. Jak widać scenariusz jest prosty. Również bardzo prosto można uchronić się przed większością robaków internetowych zapisując załącznik na dysk zamiast go natychmiast otwierać. Przed uruchomieniem trzeba przetestować zapisany załącznik programem antywirusowym. Prostszą jednak i nie absorbującą naszej uwagi metodą jest zainstalowanie skanera antywirusowego poczty. Taki program sprawdza każdy odbierany list wraz z jego załącznikami. W przypadku wykrycia wirusa podejmowane jest działanie.

Do walki o najlepszą wykrywalność stanęło 12 programów. Testy przeprowadzono w dziesięciu kategoriach wirusów: sektorów systemowych, plików, makr, plików mIRC, skryptów, plików systemu Unix (głównie format ELF - Linux i skryptów shell), backdoorów, koni trojańskich, kilka znanych wirusów i koni trojańskich Palmtop. Dla każdego wirusa wygenerowanych było kilka do kilkudziesięciu próbek. Każda próbka zainfekowana była tylko jednym wirusem. Testy prowadzono na komputerach: Pentium 120, Pentium 233, oraz Pentium II 350. Podczas testów heurystyka wykrywania wirusów ustawiona była (o ile to było możliwe) na domyślnym dla danego programu poziomie.

Heurystyczne wykrywanie wirusów polega na badaniu przez program kodu testowanego pliku i ocenie czy kod jest podobny w działaniu do kodu wirusa. Producenci programów antywirusowych starają się dbać o to by ich programy nie sygnalizowały fałszywych alarmów, a w przypadku wykrycia fałszywego alarmu eliminują go.

Testy wirusów sektorów systemowych przeprowadzane były na obrazach zainfekowanych boot sektorów i tablic partycji w plikach. Przyjęta metoda okazała się skuteczna dla większości programów antywirusowych z wyjątkiem NAV. W wielu kategoriach żaden program nie uzyskał 100%. Przyjęta metoda testu polega na porównaniu procentowej wykrywalności pomiędzy programami. Programy nie osiągnęły 100% ponieważ dla np. wirusów towarzyszących wśród próbek znajdowały się dwa pliki COM - z wirusem, oraz EXE - z właściwym programem. Podczas sprawdzania program COM wykryty został jako zainfekowany, a EXE jako czysty. System DOS uruchamia najpierw pliki BAT, następnie COM i na końcu EXE. Odwołanie do nazwy programu bez rozszerzenia spowoduje najpierw uruchomienie pliku COM z kodem wirusa, a następnie pliku EXE ze zdrowym programem co wykorzystują do swojego działania wirusy.

Wyniki i metodyka przeprowadzonych testów są porównywalne z wynikami testów przeprowadzanych przez Virus Test Center w Hamburgu, czy Virus Bulletin w Anglii. Czyste próbki zainfekowane tylko jednym wirusem w testach nie różnią się niczym od zainfekowanych programów w rzeczywistym systemie. Czyste próbki są ważne jedynie dla ułatwienia wyodrębnienia z kodu programu kodu wirusa i przeprowadzenia dalszej analizy.

AVK10

Podczas instalacji program nie wymagał restartu komputera co jest dosyć wygodne dla użytkownika. Także deinstalacja nie wymagała restartu. Zaraz po zainstalowaniu programu instalator uruchomił Strażnika. Strażnik posiada możliwość testowania plików podczas zapisu. Można wybrać test archiwów E-Mail oraz plików spakowanych. W skład programu wchodzi poza Strażnikiem - moduł rezydentny, Analiza - skaner na żądanie, Plan - terminarz zadań, oraz Kwarantanna - specjalne miejsce do którego przenoszone są pliki podejrzane o infekcję. Plan pozwala na zdefiniowanie zadań które są uruchamiane według zdefiniowanych warunków.

Moduł aktualizacji pozwala zarejestrowanym użytkownikom aktualizować nie tylko bazy wirusów ale także plików programu.

Wszystkie moduły programu oraz ich konfiguracja dostępne są z poziomu jednego menu programu które po standardowej instalacji dostępne jest na pulpicie.

Do programu dołączony jest leksykon wirusów z szczegółowym opisem wielu wirusów komputerowych.

AVK dostarczany jest w polskiej wersji.

DrWeb

Program napisany został w Rosji. W skład programu wchodzą: Skaner, Skaner linii poleceń, monitor i scheduler. Najciekawszym elementem pakietu jest rezydentny monitor Spider. Program bazuje na technologii pseudo sztucznej inteligencji przy monitorowaniu pamięci systemowej. Potrafi wykrywać zachowania wirusopodobne. Sam program antywirusowy mimo niewielkich rozmiarów potrafi skutecznie chronić komputer. Podobnie jak Kaspersky AntiVirus DrWeb potrafi skanować pliki wewnątrz bardzo wielu formatów plików archiwów i programów pakujących.

Program nie posiada wbudowanego skanera poczty elektronicznej. Jednak mechanizmy Spidera zostały tak skonstruowane, że program nie potrzebuje dodatkowego modułu skanowania poczty. Otrzymanie wirusa jest tylko sygnalizowane. Przy próbie otwarcia, zapisania lub uruchamiania zainfekowanego załącznika, ActiveX, lub apletu Javy program rezydentny zareaguje nie dopuszczając do infekcji komputera.

Mimo małej ilości wirusów podawanej jako znane program charakteryzuje się bardzo dobrą wykrywalnością. Dzieje się tak ponieważ pod jedną nazwą program rozpoznaje niejednokrotnie całe "rodziny" wirusów. Dzieki temu program charakteryzuje się małym zużyciem zasobów systemowych.

Od niedawna program dostępny jest na polskim rynku z w wersji polskojęzycznej. Należy zaznaczyć o możliwości wyboru języka z poziomu programu. Standardowo polską wersję można przełączyć na pracę w języku angielskim. Na życzenie dostępne są inne języki: niemiecki, francuski, itd.

eScan

eScan oferowany przez firm DAGMA jest angielską wersją programu AVK bazującego na silniku AVP firmy Kaspersky Labs. Główną różnicę stanowi tu ochrona poczty POP3 i SMTP w czasie rzeczywistym oparta na technologii MicroWorld Winsock Layer. Cała poczta ściągana z internetu jest automatycznie skanowana pod kątem obecności wirusów i w razie potrzeby leczona. Wirusy są więc neutralizowane zanim dotrą do skrzynki. Możliwe jest to dzięki zastosowaniu opatentowanej technologii MWL, w której skaner antywirusowy instalowany jest pomiędzy serwerem, a programem pocztowym. Technologia MWL nie wymaga zmian w konfiguracji klienta poczty, co ułatwia instalację programu.

eScan dostępny jest w wersji angielskiej.

F-Prot

Ten znany program antywirusowy doczekał się wersji dla systemu Linux. Także wersja dla Windows została rozszerzona o aktualizator sygnatur wirusów poprzez internet, skaner sum kontrolnych, scheduler, a także znany już z poprzednich wersji monitor. Nowością tego programu jest wprowadzenie od wersji 3.09c technologii heurystycznego wykrywania wirusów opartego na sieciach neuronowych, a od wersji 3.10a wprowadzono heurystyczne wykrywanie wirusów dla systemu Linux.

IPE - InoculateIT Personal Edition

Firma Computer Associates International, Inc. poinformowała o zaprzestaniu rozwoju swojego darmowego programu będącego właściwie nieznacznie zmienioną wersją programu VET australijskiej firmy Cybec. Obecnie nadal można pobierać aktualne rozszerzenia sygnatur wirusów, ale nie można liczyć na pojawienie się nowej wersji programu.

KAV - Kaspersky AntiVirus

Znany od dawna jeden z najlepszych na świecie programów antywirusowych doczekał się kolejnej edycji. W nowym wydaniu kompletnej metamorfozie uległ skaner oraz monitor (monitor dotychczas uległ zmianie tylko w wersji dla Windows NT/2000; w systemach Windwos 9x instalowany jest monitor w starszej wersji 3.5).

Nowa wersja programu jest nieco bardziej niż poprzednia skomplikowana w obsłudze. Umożliwia jednak o wiele większe niż poprzednia możliwości konfiguracji. Ciekawostką nie spotykaną w innych programach jest np. możliwość różnego ustawienia reakcji dla różnych folderów. Testując dysk program może pytać się o reakcję użytkownika w przypadku wykrycia wirusa, ale dla wybranych folderów może np. tylko raportować zainfekowane pliki. Zmieniony został całkowicie wygląd programu. Dla domowego użytku nowa wersja programu stała się bardziej skomplikowana w obsłudze. Z nowej wersji powinni być zadowoleni administratorzy sieci, oraz informatycy którzy docenią większe niż w poprzedniej wersji możliwości konfiguracyjne programu.

Program KAV skanuje skrzynki pocztowe, a w przypadku wykrycia zainfekowanego załącznika blokowana jest cała skrzynka. Aby usunąć zainfekowany list należy wyłączyć uprzednio monitor, skasować zainfekowany mail, a następnie wykonać kompaktowanie skrzynek pocztowych. Jak zapewnia polski dystrybutor wersja 3.6 ma posiadać możliwość leczenia poczty.

Program dostępny jest w polskiej wersji językowej.

MkS_vir

Firma MKS udostępniła do testów pełną wersję programu. Ten jedyny polski program antywirusowy jest ciągle ulepszany. Obecnie w wersji dla Windows program posiada wbudowany skaner sprawdzający załączniki pocztowe.

Począwszy od wersji 1.4.0901 programu mks_vir sprawdza archiwa skompresowane przy pomocy: ZIP, GZIP i TAR. Pliki zawarte w takich archiwach są sprawdzane pod kątem wirusów, a w przypadku wykrycia infekcji proponowany jest szereg działań - od usuwania wirusa, poprzez zmianę nazwy pliku, aż po usunięcie pliku. Te same możliwości były już wcześniej zaimplementowane w module sprawdzania poczty elektronicznej MkS_MAIL. Trwają prace nad dodaniem sprawdzania archiwów: RAR, ARJ i innych.

Podczas testów pewne problemy stanowiła konfiguracja programu. Brak jest w programie wyraźnie zaznaczonej opcji testowania w archiwach plików nosicieli. Przy zaznaczonym testowaniu nosicieli program nie zagłębiał się wewnątrz archiwów. Także wśród wirusów makr program nie potrafił wykryć wirusów Access, oraz PowerPoint. Raport mógł by być bardziej czytelny gdyby nazwa wykrytego wirusa była umieszczona w jednej linii razem z nazwa zainfekowanego pliku.

Trzeba jednak odnotować fakt, że jedyny polski program antywirusowy staje się coraz lepszy i zbliża się jakością do zagranicznych konkurentów.

W skład pakietu wchodzi także MkS_Mail skaner poczty elektronicznej.

NOD32

Program zaopatrzony w dobry silnik heurystycznego wykrywania nieznanych wirusów. W skład pakietu poza skanerem oraz monitorem wbudowany jest skaner poczty POP3. Skaner poczty nie wymaga wpisywania skomplikowanych ustawień poczty (nazwa konta, nazwy serwerów mailowych, itd). Przycisk "Auto konfig" pozwala automatycznie przejąć ustawienia jeśli na komputerze była już skonfigurowana poczta.

Amon jest modułem rezydentnym w tle sprawdzającym pliki. Posiada bogate możliwości konfiguracji rodzaju sprawdzanych plików (otwierane, wykonywane, tworzone, zmieniane nazwy). Jako jedyny z testowanych program umożliwia ustawienie testowania sektorów przy zamykaniu systemu i/lub dostępie. Można także ustawić rodzaj testowanych dysków: dyskietki, lokalne, sieciowe. Amon umożliwia zablokowanie ustawień programu na hasło. Uniemożliwić można nawet odinstalowanie i deaktywację.

NOD32 dostępny jest w polskiej wersji językowej.

Norton

Norton AntiVirus 2002 oferuje szeroki wachlarz zabezpieczeń. Program m.in. oferuje blokowanie skryptów, a w przypadku wykrycia pozwala wyświetlić okno reakcji lub zablokować podejrzane aktywności bez powiadamiania.

W zakresie testowania ręcznego program umożliwia standardowo test boot sektora oraz Master Boot Rekordu, pamięci. Norton pozwala na automatyczne leczenie bez powiadamiania użytkownika w przypadku wykrycia infekcji lub na wyświetlenie dialogu leczenia.

Program posiada wbudowaną skuteczną ochronę poczty elektronicznej. Umożliwia testowanie poczty przychodzącej i/lub wychodzącej. Zakres reakcji w przypadku wykrycia infekcji jest tu identyczny jak dla skanowania ręcznego.

Program posiada moduł aktualizacji sygnatur wirusów przez internet. Istnieje możliwość powiadamiania użytkownika gdy nowe aktualizacje zostaną udostępnione. Moduł Live Update działa bardzo sprawnie nawet na wolnych łączach modemowych.

Z dodatkowych możliwości program oferuje możliwość zabezpieczenia boot rekordu.Norton wykonuje kopię boot sektora co pomaga w wykryciu zmian lub infekcji nawet nieznanymi wirusami. W skład programu wchodzi także wtyczka dla Office 2000, oraz moduł Rescue Disk pomagający odtworzyć stan systemu sprzed awarii.. Istnieje także możliwość testowania systemu podczas każdego startu komputera.

Minusem programu jest powolne otwieranie poszczególnych menu programu, oraz znaczne spowolnienie działania całego komputera. Deinstalacja programu trwa bardzo długo. Osobnej deinstalacji wymaga moduł aktualizacji.

Norton AntiVirus jest jedynym programem spośród testowanych który nie potrafił wykrywać wirusów sektorów systemowych w ich obrazach w plikach. Dlatego wyniki testu tej kategorii nie oddają rzeczywistej wykrywalności w tej klasie.

Testowana była wersja beta programu dostępna w wersji angielskiej. Jednak komercyjna wersja programu dostępna w sprzedaży dostarczana jest po polsku. Aktualnie dostępna jest w sprzedaży wersja polska o handlowym oznaczeniu NAV 2001.

PC-cillin

Podczas instalacji program testuje dostępne dyski stałe w celu wykrycia zainfekowanych plików. Przed zakończeniem instalacji program pozwala stworzyć dyskietki ratunkowe.

W skład pakietu wchodzą: skaner, moduł aktualizacji, Web Security - chroni komputer przed podejrzanymi obiektami ActiveX i Java, Web Filter - pozwala zablokować dostęp do wybranych stron w internecie; istnieje możliwość takiego skonfigurowania programu który umożliwi dostęp do wybranych stron ale po wyświetleniu ostrzeżenia. Program skanera umożliwia m.in. przetestowanie wyłącznie folderu z pocztą elektroniczną. W programie można wyświetlić listę nazw znanych wirusów, a także dokładne opisy wirusów (Virus Encyclopedia). Program posiada wbudowany skaner poczty (Mail Scan). Dostępne są dwa tryby pracy: skanowanie na życzenie poczty Outlook, oraz test w czasie rzeczywistym poczty POP3.

Program dostępny jest w języku angielskim.

Panda

Testom została poddana Panda Antivirus Platinum. Po rozpoczęciu instalacji program pozwala na wykonanie testu pamięci oraz dysków twardych. Instalację kończy propozycja wygenerowania dyskietki startowej.

Program Panda oferuje skaner poczty elektronicznej. Podobnie jak Norton program pozwala niezależnie ustawić sprawdzanie poczty przychodzącej i wychodzącej. Ciekawą możliwością jest możliwość wybrania zawartości poczty do testu. Mamy tu do wyboru sprawdzanie poczty z wybranymi rodzajami załączników, aplikacjami, obrazkami, plikami video, plikami audio, załącznikami tekstowymi, załącznikami html.

Panda zabezpiecza przed niebezpiecznymi typami plików internetowych: ActiveX i aplety Java. Program pozwala na konfigurację portów SMTP, POP3, FTP, HTTP, NNTP. Dodatkowo Panda pozwala na blokowanie wybranych stron internetowych lub wybranych usług np. ftp, telnet, gopher, itd.

Program posiada możliwość wyświetlenia listy nazw znanych wirusów wraz z ich podstawową charakterystyką.

Aktualizacja sygnatur antywirusowych możliwa jest z sieci lokalnej lub internetu. Program pozwala na ustawienie automatycznej aktualizacji o wybranej godzinie w wybranych przedziałach czasowych.

Program posiada także wbudowany scheduler pozwalający zdefiniować zadania uruchamiane w wybranych terminach.

Otrzymany do testów program komunikował się z użytkownikiem po angielsku.

RAV

Choć ten rumuński program antywirusowy nie mający jeszcze dystrybutora na polskim rynku jest wart kilku słów. Firma GeCAD w nowej wersji 8 wypuściła szereg nowych produktów. Obecnie program jest dostępny praktycznie na wszystkie platformy oparte na procesorach firmy Intel. Testom poddana była wersja dla systemu Windows 9x. Program doskonale radził sobie z wirusami. Ciekawie zaprojektowany interfejs zachęcał do pracy z programem. Program został zaprojektowany zgodnie z nowymi trendami i pozwala na zmianę tzw. skórek. Zaawansowani użytkownicy mogą uzyskać dostęp do większych możliwości konfiguracyjnych programu. Program posiada także możliwość zmiany modnych ostatnio tzw. skórek. Poza standardową dostępne są dwie inne. RAV jako trzeci (poza KAV i Dr.Web potrafił rozpoznać wirusy wewnątrz bardzo dużej ilości przeróżnych archiwów i programów pakujących).

Scan

Piąta wersja programu Scan McAfee podczas instalacji umożliwia aktualizację sygnatur wirusów a także utworzenie dyskietki ratunkowej. Rezydentny monitor Vshield chroni nie tylko pliki, ale także załączniki korporacyjnej poczty elektronicznej, pobierane z internetu pliki, a także sprawdza pliki ActiveX i aplety Java. Vshield umożliwia blokowanie wybranych adresów IP oraz URL.Ochrona poczty dostępna jest wyłącznie dla Microsoft Exchange oraz Lotus cc:Mail.

VirusScan Console pozwala na zdefiniowanie różnych zadań uruchamianych według wybranych warunków np. podczas startu, dziennie, tygodniowo, miesięcznie, itd.

Program dostępny jest w wersji angielskiej.

Podsumowanie

Bezpieczeństwo systemu zależy w dużej mierze od skuteczności programu antywirusowego. Drugim czynnikiem zależnym częściowo od użytkownika (administratora) jest częstotliwość aktualizacji sygnatur wirusów. Może się zdarzyć, że aktualizację programu antywirusowego wykonaliśmy za późno. Dlatego przy wyborze programu jednym z ważniejszych czynników powinna być częstotliwość aktualizacji sygnatur przez producenta, a także wielkość plików z aktualizacjami i łatwość ich instalacji. Także zajętość zasobów systemowych powinna wpływać na wybór programu. Kolejnym czynnikiem wpływającym na komfort pracy jest szybkość testowania.

Dla podwyższenia bezpieczeństwa systemu można stosować dwa dobre programy antywirusowe np. KAV i F-Prot czy DrWeb i F-Prot. Trzeba być jednak bardzo ostrożnym ponieważ stosowanie jednocześnie dwóch rezydentnych monitorów może doprowadzić nawet do załamania systemu. Kompletne załamanie systemu Windows NT nastąpi np. przy jednoczesnym uruchomieniu programów KAV i DrWeb. Podczas testów zauważono, że niektóre programy aby uniknąć konfliktów z innymi sprawdzają czy system posiada już zainstalowane inne oprogramowanie antywirusowe i sugerują ich deinstalację. Do takich programów należy PC-cillin, który w przypadku wykrycia innego programu antywirusowego przerywa instalację. Program DrWeb pozwala na instalację z innymi programami, lecz w przypadku ich wykrycia wyświetla komunikat ostrzegający o możliwości konfliktów.

Biorąc pod uwagę większość czynników za najskuteczniejszy program uznany został Kaspersky AntiVirus. Jednak należy także wyróżnić program DrWeb, który posiada doskonałe mechanizmy wykrywania nieznanych wirusów. Te dwa programy należy uznać za najlepsze.

Większość testowanych programów miała podobny czas testów. Trudno jest dokładnie ocenić programy pod względem szybkości ponieważ kilka programów nie podawało czasu sprawdzania dysku. Najwolniejszym okazał się program Scan, a najszybszym NOD32. Programy zwycięskie w kategorii wykrywalności charakteryzowały się także dużą szybkością, przy czym program DrWeb okazał się znacznie szybszy od programu Kaspersky AntiVirus.