Nie słabnie aktywność autorów wirusów komputerowych. Coraz więcej powstaje też robaków rozsyłających swój kod w postaci załączników do poczty elektronicznej.
W ciągłej walce z nowo powstającymi wirusami producenci programów antywirusowych stale udoskonalają technologie, pozwalające jeszcze skuteczniej walczyć z nowymi szkodnikami.
Nie słabnie jednak wykorzystanie tzw. inżynierii społecznej w celu propagacji robaków internetowych. Polega to na tym, że wirus podszywa się pod tzw zaufanego nadawcę, a w treści listu jest instrukcja uruchomienia np. aktualizacji programu, czy systemu. Użytkownicy otrzymując takiego maila zamiast go sprawdzić uruchamiają załącznik, aktywując tym samym kod robaka. Uruchomiony robak może rozesłać się przykładowo do wszystkich osób, których adresy znajdują się w książce adresowej. Nigdy nie należy ufać nikomu i powinno się sprawdzać wszystkie otrzymane załączniki. Należy także uważać na podwójne rozszerzenia plików. System może ukrywać ostatnie rozszerzenie. np. Otrzymując załącznik Setup.txt.exe odbiorca może zobaczyć wyłącznie Setup.txt i przekonany że jest to opis kliknie na nim by go otworzyć. Zamiast tego system uruchomi program.
W ostatnich czasach niektórzy producenci programów antywirusowych zajęli się także problemem innych niepożądanych programów - dialerów. Niektóre programy antywirusowe posiadają zdolność ich wykrywania.
Jak co roku do walki o miano najskuteczniejszego programu stanęła większość programów antywirusowych dostępnych na polskim rynku. Jedyne kryterium oceny programów zastosowano sumę ilość wykrytych próbek wirusów podczas skanowania poszczególnych kategorii wirusów. W testach zwrócono uwagę na współpracę programów z programami pocztowymi. Ważne jest by program antywirusowy mógł być używany z dowolnym używanym programem pocztowym.
Zamieszczone testy programów antywirusowych przeprowadzone były w następujących warunkach: Pentium III 600 MHz, 256 MB RAM, Windows XP Home Edition Kompilacja 2600 (Dodatek Service Pack. 1)
Każda próbka zainfekowana była jednym wirusem.
Dla każdego wirusa wygenerowanych było:
kilka próbek dla wirusów prostych
kilkadziesiąt dla wirusów polimorficznych.
Dla wirusów infekujących kilka rodzajów plików wygenerowane były próbki z każdego typu pliku.
Wykrywanie wirusów sektorów systemowych oceniano na podstawie wykrywania wirusów w plikach będących kopiami zainfekowanych obszarów systemowych dysków. Dla niektórych programów antywirusowych (NAV) ta metoda testowania wykrywalności wirusów sektorów systemowych okazała się nie skuteczna ponieważ program nie potrafił wykryć wirusów w ich obrazach w plikach. Dlatego do końcowej oceny nie brano pod uwagę liczby wykrytych wirusów sektorów systemowych.
Backdoory oraz konie trojańskie znajdowały się w postaci wersji instalacyjnych (najczęściej w archiwach formatu ZIP). Ponieważ kilka programów (AVK, McAfee) jako liczbę wykrytych infekcji podawały liczbę zainfekowanych archiwów bez względu na rzeczywistą liczbę zainfekowanych plików w archiwach) do końcowej oceny nie brano pod uwagę liczby wykrytych koni trojańskich i backdoorów.
Do testów użyto różnych wirusów, które zostały złapane na wolności:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Wirusem komputerowym nazywany jest program posiadający zdolność samodzielnego powielania swojego kodu. Wirus komputerowy może także zawierać tzw. ładunek. Ładunkiem jest każde dodatkowe (poza rozmnażaniem) działanie np. wyświetlanie efektów graficznych, wyświetlanie komunikatów, granie muzyczki, niszczenie danych, kasowanie plików itd. |
|
Koniem trojańskim nazywamy program udający program użytkowy, który podczas działania wykonuje dodatkowe działania niszczące (może to być np: zamazywanie sektorów, kasowanie programów itd.) |
|
Backdoor jest hackerskim programem do zdalnej administracji. Cechą różniącą backdoory od komercyjnych programów do zdalnej administracji jest to instalują się "cicho" (bez wiedzy użytkownika) w systemie. |
|
Robakiem nazywamy program posiadającym zdolność samodzielnego rozsyłania swojego kodu poprzez sieć komputerową (najczęściej pocztę elektroniczną). Kod robaka dołączany jest do listu jako załącznik. Użytkownik otrzymujący pocztę jest bezpieczny (nie zainfekowany) dopóki nie otworzy załącznika. Podczas otwarcia załącznika następuje uruchomienie kodu robaka który najczęściej natychmiast po uruchomieniu rozsyła swój kod do innych adresatów znajdujących się w książce adresowej. |
|
Klez Robak rozprzestrzenia się wysyłając swoje kopie poprzez pocztę elektroniczną. Po zainstalowaniu się w systemie rozpoczyna dalsze rozprzestrzenianie się w wiadomościach e-mail. Ponadto wirus atakuje pliki zapisane na lokalnych oraz sieciowych twardych dyskach. Robak kopiuje się do katalogu systemowego Windows z losową nazwą i tworzy klucz rejestru w celu zapewnienia sobie automatycznego uruchamiania wraz z każdym startem systemu operacyjnego. Wirus Klez instalowany przez robaka kopiuje się do katalogu systemowego Windows jako ukryty plik Wqk.dll lub Wqk.exe i również tworzy odpowiedni klucz rejestru. Wysyłane przez robaka wiadomości wykorzystują dziurę w zabezpieczeniach programu Microsoft Internet Explorer zwaną IFRAME. Umożliwia ona wirusowi aktywowanie się podczas przeglądania wiadomości - bez konieczności uruchamiania zainfekowanego załącznika. |
AntiVirenKit
Firma G-Data udostępniła do testów program AntiVirenKit professional 12.
Podczas instalacji możliwe jest wybór instalacji standardowej, kompaktowej – instalującej minimalną liczbę składników, oraz instalacja niestandardowa – umożliwiająca wybranie instalowanych komponentów programu. Podczas instalacji możliwy jest wybór działań automatycznych: cotygodniowa aktualizacja baz sygnatur, oraz cotygodniowy test komputera. Instalator automatycznie wykrywa konta pocztowe programu Outlook Expres i proponuje ich ochronę antywirusową. W przypadku posiadania większej ilości kont program wyświetla ich listę. Istnieje możliwość wyłączenia wybranych kont. Domyślnie chronione są wszystkie wykryte konta pocztowe. Instalacja nie wymagała po zakończeniu restartu komputera. Do programu dołączony jest przejrzyście napisany podręcznik użytkownika.
Podczas pierwszego uruchomienie programu wyświetlona została propozycja aktualizacji baz sygnatur wirusów, oraz plików programu. Aktualizacja wymaga otrzymania nazwy konta użytkownika oraz hasła. Proces aktualizacji przebiegał szybko i bez problemów.
AVK12 posiada proste przejrzyste menu użytkownika. Z lewej strony znajdują się intuicyjne ikony: Status, Funkcje, Planowanie, Kwarantanna, Protokół. Konfiguracja programu jest prosta. Program automatycznie integruje się z programem pocztowym Outlook Expres pomimo że na testowym komputerze domyślnym programem pocztowym był zainstalowany program TheBat!. W ustawieniach programu możliwe jest ręczne dodanie ochrony dla innych niż Outlook Expres programów. Jest tu wyświetlane okno z przykładem definicji. Może być to jednak skomplikowane dla początkujących użytkowników komputerów zwłaszcza że wymaga to zmiany ustawień w programie pocztowym. Podczas testu programu użyto domyślnie ustawionego (zalecanego) skanowania jednocześnie dwoma silnikami. Program charakteryzuje duża szybkość skanowania.
Podczas testów program miał kłopoty z rozpoznawaniem Backdoorów. Program posiada możliwość przeglądania raportów z testów. Raporty można także wydrukować, lub zapisać domyślnie w formacie rtf lub txt. Z analizy raportów widać, że podczas testów dwoma silnikami używany jest silnik programu RAV, a silnik KAV używany jest tylko sporadycznie. Przełączenie programu na użycie wyłącznie silnika KAV (testowano na Backdoorach) znacznie wydłużyło czas skanowania nie wpływając na wynik końcowy testu.
Podczas testu wykrywania dialerów program wykrył trzy.
Dr.Web
Program charakteryzuje się bardzo małymi wymaganiami systemowymi, oraz małym zużyciem zasobów systemowych przez rezydentny monitor plików, oraz poczty. Dostarczone oprogramowanie było w pełni spolszczone. Także aktualizacja sygnatur odbywa się szybko z polskiego serwera.
Do testów została dostarczona “jeszcze ciepła” wersja 4.30. W porównaniu z wersja 4.29 dodano możliwość ustawiania priorytetu testu w opcjach programu SpIDer (rezydentny monitor).
W programie SpIDer Mail dodano współpracę z protokółem SMTP. Pozwala to na testowanie nie tylko poczty przychodzącej POP3, ale także poczty wychodzącej SMTP. Dostępna jest wtyczka integrująca program z programem pocztowym TheBat!
Program wykrywa najniebezpieczniejsze dialery.
Kaspersky AntiVirus
Nowa wersja 4.5 nie wnosi nic nowego do wyglądu interfejsu użytkownika. Niewątpliwie poprawiono natomiast stabilność programu. Dla programu dostępna jest wtyczka integrująca z programem pocztowym TheBat! Nie jest ona dostępna osobno, a jedynie w wybranych wersjach programu. Wtyczka dostępna jest w wersji 3.5.9.0. Nie udostępnia ona żadnych możliwości konfiguracji.
Aktualizacja programu przebiega bardzo sprawnie i jest w pełni automatyczna. Problemem może być aktualizacja kumulacyjna która odbywa się raz na kilka miesięcy. Trawa ona długo.
Do programu można pobrać dodatkowe bazy wykrywające dialery, oraz inne szkodliwe oprogramowanie. Bazy te trzeba zainstalować ręcznie. Szkoda że nie można instalowania tych baz wybrać z poziomu menu programu. Spośród testowanych program wykrywał dialery najbardziej znane dialery.
Z nieoficjalnych zapowiedzi dowiedzieliśmy się o nowych możliwości oprogramowania Kaspersky AV, które zostaną dodane do wersji 5.0:
skanowanie protokołów POP3/SMTP
leczenie w archiwach ZIP, LHA, RAR itd.
zoptymalizowany interfejs użytkownika
zwiększona wydajność
możliwość wysyłania podejrzanych obiektów bezpośrednio z poziomu interfejsu programu
zaawansowany moduł kwarantanny
integracja wszystkich składników w jeden program
dodatkowa baza na: dialery, systemy reklamy oraz prawdopodobnie programy szpiegowskie...
McAfee
Instalacja jak i deinstalacja nie wymagała restartu systemu. Istnieje opcjonalna możliwość testowania twardego dysku po zakończeniu instalacji, oraz tworzenia dysku ratunkowego. Na zakończenie instalacji proponowana jest aktualizacja. Trwa ona dosyć długo, ze względu na dużą liczbę pobieranych plików.
Podczas testów skaner szybko sprawdzał pliki.
Program w wersji Home posiada wbudowany firewall - McAfee Guardian.
W chwili pisania tego artykułu (koniec lipca 2003) firma opublikowała McAfee VirusScan for Windows 8.0 Build 8008 Beta. Do testów użyto 30 dniowej wersji 7.02.
MkS_vir
Firma odmówiła udostępnienia wersji ze względu jak twierdziła śmieszności testów przeprowadzonych w roku 2002.
Testowaną wersję programu otrzymano z redakcji magazynu komputerowego Enter. Instalacja programu przebiegała szybko i bez problemów. Nie wymagała restartu komputera. Program posiada proste intuicyjne menu. MkS oferuje rezydentną ochronę – monitor, skaner, a także ochronę poczty POP3 oraz moduł aktualizacji baz antywirusowych.
W ustawieniach skanera program posiada specjalną opcję pozwalającą wykrywać dialery jako niebezpieczne programy. W konfiguracji można ustawić ilość poziomów skanowania w archiwach. Program szybko sprawdzał wyznaczone grupy plików. Podczas testów w grupie wirusów Macro program nie rozpoznał wirusów Visio. Rozpoznał natomiast bez problemów zainfekowane pliki AutoCAD. Podczas testów wykrywania dialerów program wykrył najwięcej (11 sztuk) spośród testowanych programów.
NOD32
Do testów firma dostarczyła nową “jeszcze gorącą” w pełni spolszczoną wersję 2 programu. Podczas instalacji ustawiane są podstawowe parametry konfiguracji programu.
Po uruchomieniu z lewej strony znajduje się konsola systemu, a z prawej wybrany, administrowany element konsoli.
Program zawiera rezydentny monitor AMON, Monitor Internetowy IMON oraz skaner poczty POP3. Skaner internetowy może na życzenie wysyłać powiadomienia o zainfekowanej poczcie.
Program testuje pliki według rozszerzeń, a nie według struktury pliku. Może to powodować pominięcie zainfekowanego pliku w przypadku, gdy plik będzie miał zmienione rozszerzenie. Skaner plików standardowo nie testuje plików bez rozszerzeń. Aby przetestować wszystkie pliki lub pliki bez rozszerzeń trzeba użyć specjalnych opcji. Po skanowaniu istnieje możliwość leczenia zainfekowanych plików.
Podczas testów program jako wykryte wirusy podawał całkowitą liczbę wykrytych wirusów łącznie z podejrzanymi. Program nie wykrył plików AutoCADa zainfekowanych wirusem.
Dla programu dostępna jest wtyczka integrująca program z programem pocztowym TheBat!
NORMAN
Instalacja programu przebiegła szybko i bez problemów. Podczas instalacji legalni użytkownicy programu muszą podać kod. Wpisanie zamiast kodu tekst “DEMO” instaluje 30 dniową wersję ewaluacyjną Nie posiada ona m.in. Możliwości aktualizacji sygnatur. Program dostępny jest w wersji polskojęzycznej.
NVC oferuje bardzo rozbudowaną ochronę m.in. internetu: SMTP, POP3, NNTP, IMAP, Blokowanie załączników.
Program NVC jest trudny w konfiguracji dla użytkowników posiadających nawyki z innych programów antywirusowych. Idea konfiguracji polega na definiowaniu zadań uruchamianych przez skaner.
Podczas testów program testował pliki szybko. Znacznie spadała prędkość testu w przypadku testowania plików znajdujących się w archiwach.
Norton AntiVirus
Do testów otrzymano Norton AntiVirus 2003 Professional Edition.
Podczas instalacji program wykrył zainstalowane inne oprogramowanie antywirusowe zainstalowane na komputerze. Standardowo zaproponował przerwanie instalacji i deinstalowanie innego oprogramowania przed instalacją programu NAV. Można także wybrać mimo ostrzeżenia kontynuację instalacji. Po instalacji program dokonuje rejestracji użytkownika. Podczas instalacji nie wymagany był żaden restart systemu. Aktualizacja programu, a także baz antywirusowych definicji przebiegała sprawnie pomimo dużych rozmiarów kilka MB. Po aktualizacji wymagany był restart komputera.
Standardowo program oferuje ochronę poczty przychodzącej i wychodzącej.
Program oferuje także ochronę Messenger AOL, MSN, Yahoo. Program zawiera także wtyczkę dla ochrony w programie Office 2000.
Program NAV2003 nie należał do najszybszych. Ciekawym pomysłem jest po przeprowadzeniu testu wyświetlenie listy zainfekowanych plików. Domyślnie zaznaczone są wszystkie pliki do leczenia. Można wówczas odznaczyć wybrane lub wszystkie pliki (nie zostaną one wyleczone).
Panda
Testom poddano wersję Panda Antivirus platinum 7.0. Program dostarczony był w pudełku o ciekawym kształcie (ze ściętym narożnikiem. Program instalacyjny pozwala na wybranie języka. Dostępny jest także język polski. Podczas instalacji program wykrył zainstalowany (mimo że nieaktywny program Norton Antivirus. Wyświetlana jest sugestia deinstalacji programu przed rozpoczęciem instalacji. Można to jednak pominąć. Podczas instalacji może być przeprowadzany test pamięci oraz skanowanie dysku. Instalator umożliwia aktywację wbudowanego w program firewalla. Instalacja programu przebiegła sprawnie i zakończyła się komunikatem o wymaganym restarcie komputera.
Podczas pierwszego uruchamiania programu należy skonfigurować “stałą ochronę: plików poczty, firewalla”. Każdy typ ochrony można uaktywnić i skonfigurować.
Ochrona poczty pozwala na sprawdzanie zarówno poczty przychodzącej jak i wychodzącej.
Podczas uruchamiania programu w głośnikach można usłyszeć powitanie “Panda antivirus. Witam”. Program wyświetla ile dni temu był ostatnio aktualizowany co ma ogromne znaczenie dla programów antywirusowych. Aktualizacja mimo ściągania prawie 2 MB danych przebiegała sprawnie i szybko.
Wersja zawiera zintegrowanego firewalla, antydialer. Przetestowano dodatkowo wykrywalność dialerów. Program wykrył jednego spośród pięciu. Dla użytkowników programu pocztowego TheBat! Dostępna jest wtyczka antywirusowa.
Pewnym problemem podczas testów była heurystyka programu wykrywająca nieznane wirusy. Program po wykryciu podejrzenia wirusa automatycznie przenosił go kwarantanny. Nie można było tego zmienić.
PC-Cillin
Oprogramowanie dostarczane jest w wersji anglojęzycznej, z instrukcją także w języku angielskim.
Podczas instalacji program wykrył zainstalowany firewall (ZoneAlarm) i zasugerował przerwanie instalacji w celu ręcznego usunięcia firewalla, albo wyłączenie instalacji PC-cillin Personal Firewall. Program zawiera poza standardowym skanerem i monitorem, skaner poczty POP3. Aby aktualizować program należy zarejestrować produkt. Program należał do szybszych.
RAV
W ostatnich miesiącach firma Microsoft wykupiła technologię firmy GeCAD producenta programu RAV. Niestety nie udało się otrzymać tego programu do testów.
Najlepszą wykrywalność w testach osiągnął program Norton AntiVirus. Poraz pierwszy w prowadzonych co roku testach programów antywirusowych Doskonały program KAV został wyprzedzony przez inny znany program NAV. Zresztą jak wynika z tabeli przynajmniej kilka programów z czołówki można uznać za bardzo dobre. W testach nie oceniany był interfejs programu. Tą cechę pozostawiam użytkownikom.
|
Nazwa |
Skaner poczty POP3 |
Wykrywanie dialerów |
Wbudowane funkcje dodatkowe |
Polska wersja |
|---|---|---|---|---|
|
AVK12 |
Tak |
Tak |
Brak |
Tak |
|
Dr.Web |
Tak |
Tak |
Brak |
Tak |
|
KAV |
Nie* |
Tak |
Brak |
Tak |
|
NOD32 |
Tak |
|
|
Tak |
|
NORMAN |
Tak |
|
Brak |
Tak |
|
Norton |
Tak |
|
Brak |
Tak |
|
Panda |
Tak |
Tak |
firewall |
Tak |
|
PC-cillin |
Tak |
|
firewall |
Nie |
|
McAfee |
Nie |
|
firewall |
Tak |
*program potrafi skanować wewnątrz baz pocztowych programu Outlook Express.
Kontakty, ceny, wymagania sprzętowe wg producenta:
|
Nazwa produktu |
Adres przedstawiciela |
Cena z rocznym abonamentem |
Wymagania sprzętowe |
|---|---|---|---|
|
AntiVirenKit |
Gdata Software ul. 28-go Lutego 2 78-400 Szczecinek +48 94 372-96-50 |
159,00 zł |
Komputer z procesorem Pentium 200 64 MB RAM (zalecane 256 MB) System 98SE, ME, NT 4.0, 2000 lub XP |
|
Dr.Web |
DrWeb Polska ul. Owocowa 4 61-306 Poznań tel: +48 61 8727008 |
219,60 zł |
|
|
Kaspersky |
KASPERSKY LAB POLSKA Sp. Z o.o. Al. Jana Pawła II 56/58 Tel. (34) 368 18 14 |
237,90 zł |
|
|
MkS_vir |
MKS Sp. z o.o. ul. Fortuny 6 01-339 Warszawa tel.: (22) 331 33 85 |
307,44 zł |
|
|
NOD32 |
DAGMA Sp. Z o.o. ul. Pszczyńska 15 40-478 Katowice +48 (32) 202 11 22 |
190,00 zł |
|
|
NORMAN |
Connect Distribution Al. Komisji Edukacji Narodowej 95 02-777 Warszawa +48 22 644 1214 |
71,98 zł |
|
|
Norton |
Symantec (Deutschland) GmBH Oddział w Warszawie Al. Jana Pawła II 29 00-867 Warszawa |
|
Zależą od wersji systemu. Dla wszystkich systemów wymagany jest Internet Explorer 5.0 (zalecany 5.5) Systemy Windows XP, Windows 2000 Professional, Windows Me, Windows 98. |
|
Panda |
+48 22 540 18 06 |
245,00 zł |
Procesor Pentium 300 Mhz 128 MB pamięci RAM system operacyjny Windows XP, Windows 2000 Pro, Windows NT WS 4.0, Windows Me, Windows 98 lub Windows 95 |
|
TREND PC-Cillin 2002 |
DAGMA Sp. Z o.o. ul. Pszczyńska 15 40-478 Katowice +48 (32) 202 11 22 |
268,00 zł |
Windows XP, Windows 95 OSR2, Windows 98, Windows 98 SE, Windows Me, Windows NT Workstation 4.0 SP6, Windows 2000 Professional SP1 Internet Explorer 4.01 SP2, Netscape Communicator 4.5x Windows 95 OSR2: 133 Mhz, 32 MB RAM (zalecane 64 MB RAM) Windows 98/98SE/Me/NT 4.0 Workstation: Pentium 166 Mhz, 32 MB RAM (zalecane 64 MB RAM) Windows 2000 Professinal, Windows Xp: 300 Mhz, 128 MB RAM |
Zasady profilaktyki antywirusowej:
Włączyć pokazywanie rozszrzeń (domyślnie wyłączone)
Wyłączyć automatyczne uruchamianie załączników
Należy używać posiadających wiarygodne certyfikaty skryptów Java
Należy sprawdzać certyfikaty odwiedzanych stron
Czytać uważnie komunikaty Internet Explorera o instalowanych dodatkowych elementach
Wyłączyć w Internet Explorer możliwości automatycznego pobierania i uruchamiania polików
Pobierać zawsze aktalne bazy sygnatur antywirusowych posiadanych programów; należy wyrobić sobie odruch po uruchomieniu komputera najpierw uaktualnić bazy sygnatur antywirusowych, a dopiero podejmować pracę; jeżeli program antywirusowy posiada terminarz należy ustawić codzienną aktualizację sygnatur
Korzystać wyłącznie z oficjalnych mirrorów producentów oprogramowania
W przypadku posiadania sum kontrolnych dla mirrorów bezwzględnie sprawdzać je
W przypadku otrzymania informacji o zagrożeniu wirusowym w żadnym wypadku nie stosować się do opisanych zaleceń (najczęściej kasowania plików) i nie przesyłać informacji dalej bez sprawdzenia na stronach producentów programów antywirusowych;
Korzystając z komunikatorów internetowych (IRC, GaduGadu) nie przyjmować plików oferowanych przez automaty lub nieznanych użytkowników