ENTER © Wydawnictwo LUPUS

Test porównawczy

Programy antywirusowe

Michał Egler

W numerze 9'95 oraz 4'96 zostały opublikowane wyniki testów wykrywalności programów antywirusowych dla DOS. Obecny test stanowi kontynuację tych badań, rozszerzoną o programy dla środowiska systemu Windows 95, którego popularność stale wzrasta.

Poprzednie testy przeprowadzano na komputerze 386SX z zegarem 25 MHz wyposażonym w 5 MB pamięci RAM. Testy dziś porezentowane przeprowadzono na komputerze Pentium 100 MHz z 8 MB pamięci RAM.

Makrowirusy

Od czasu opublikowania kodu pierwszego wirusa infekującego dokumenty WinWord, napisanego w języku WordBasic ich liczba osiągnęła wartość ok. 60. Znane są także programy do generowania gotowych wirusów z menu.

Wiele firm udostępnia specjalne dokumenty zawierające makra leczące. Nowością są programy, które uruchomione z systemu DOS potrafią nie tylko wykryć wirusa w dokumentach, ale także usunąć go bez konieczności uruchamiania Windows i edytora.

Poza infekowaniem dokumentów, makrowirusy niosą często niebezpieczeństwo destrukcji. Często jednak zdarza się że makrowirusy są "dropperami" wirusów działających pod kontrolą DOS.

Makrowirusy już nie ograniczają się do dokumentów Worda. W końcu lipca br. został wyizolowany wirus infekujący makra plików Excela o nazwie Laroux. Znany jest także wirus infekujący makra edytora AmiPro.

Flash BIOS

Prawdopodobnie niewielu użytkowników nowych komputerów zdaje sobie sprawę z zagrożenia jakie niesie ze sobą fakt zaopatrzenia płyt głównych w tzw. Flash BIOS (pamięć reprogramowalna elektrycznie). Dla producentów jest to ogromne ułatwienie. Używając niewielkiego programu można zmienić zawartość pamięci BIOS. Pozwala to m.in. zmniejszyć czas oraz koszty zmiany pamięci stałej komputera.

Udogodnienie to ma także ujemną stronę -- znając specjalne, używane tylko do tych celów, funkcje systemowe można zmienić zawartość BIOS-u. Znany jest wirus, który po stwierdzeniu znanego mu mechanizmu reprogramowania pamięci AMI BIOS usiłuje zapisać swój kod w wyszukany, pusty obszar tej pamięci. Taki wirus na stałe pozostanie w pamięci aktywując się przy każdym restarcie komputera, a także infekując wszystkie dostępne dyski, czy dyskietki.

Istnieje także inne niebezpieczeństwo. O ile w przypadku pliku błąd infekcji zakończyć się może jedynie zniszczeniem tego pliku, to nieudana infekcja wirusem "bootowym" może zakończyć się utratą danych dyskowych. Jest to kolejny powód, dla którego zawsze warto posiadać kopie ważnych danych.

Jeśli jednak proces reprogramowania pamięci BIOS przebiegnie błędnie, komputer może stać się bezużyteczną kupa złomu. Jeśli będziemy mieli możliwość odtworzenia zawartości pamięci (np. z dyskietki), trzeba będzie tylko wymienić pamięć BIOS. Jeśli jednak kopii zawartości BIOS nie posiadamy, jedynym wyjściem z sytuacji może okazać się wymiana całej płyty głównej. Problem ten dotyczy nie tylko wirusów -- zakończona niepowodzeniem operacja upgrade'owania BIOS-u może mieć identyczne skutki.

Pierwsza kolekcja złożona była ze standardowych wirusów.

Drugą kolekcję przygotowano specjalnie dla Windows 95. Wszystkim próbkom-plikom z tego zestawu przydzielono długie nazwy. Zadaniem testu było m.in. stwierdzenie, jak programy antywirusowe radzą sobie z nowymi nazwami plików i czy ma to wpływ na wykrywalność programu.

Programy dla DOS

Antiviral Toolkit Pro

Nowością odróżniającą ten rewelacyjny program od innych programów antywirusowych jest to, że mając wbudowany skaning heurystyczny plików DOC jako jedyny potrafi wykrywać nieznane makrowirusy. AVP jako pierwszy potrafił unicestwić wirusa infekującego makra plików Excela. Możliwość wykrycia i wyleczenia wirusa udostępnia rozpowszechniany program MKILLER. Dokumenty zainfekowane znanymi wirusami napisanymi w WordBasicu mogą być leczone przez program z poziomu DOS.

Znajdująca się obecnie w sprzedaży wersja 2.2 ma polskie menu. W pomocy programu znajduje się także szczegółowy opis techniczny praktycznie wszystkich znanych wirusów wraz z demonstracjami efektów graficznych lub dźwiękowych -- o ile wirus je generuje. Powstaje już wersja 3.0 tego znakomitego programu.

Za pomocą AVP można przygotować tzw. rescue disk. Polega to na utworzeniu w pliku dyskowym kopii master boot recordu, boot sectora aktywnej partycji i zawartości pamięci CMOS. Po ataku wirusa odtworzenie tych obszarów może przywrócić komputer do poprawnej pracy.

W programie istnieje także możliwość założenia sum kontrolnych. Obok bardzo dobrego mechanizmu heurystycznego wykrywania wirusów, sumy kontrolne mogą dodatkowo zabezpieczyć dane.

Dla użytkowników Windows 95, a także osób, które często używają programów pakujących, np. Pkzip, miłą niespodzianką będzie możliwość skanowania archiwów plików z długimi nazwami. W trakcie testów program bez problemów wykrywał w archiwum wirusy z kolekcji około 2500 okazów zapakowanych programem Pkzip z długimi nazwami (nazwa pliku składała się często z kilkunastu znaków z kilkoma kropkami).

Wadą programu jest nieznajomość metod pakowania RAR 2.0. Program radzi sobie natomiast doskonale z metodami używanymi przez RAR do wersji 1.55 włącznie.

FindVirus

Program FindVirus firmy S&S dla systemu DOS zawieszał działanie podczas testowania kolekcji wirusów na komputerze 386SX25. Przeciętny użytkownik mógłby tego nie doświadczyć do czasu napotkania wirusa. Zawieszenia występowały w momencie testowania niektórych próbek. Ciekawostką pozostaje fakt, że były to próbki prostych wirusów znanych od dawna w świecie, a obecnie już nie spotykanych "na wolności". Na użytym obecnie do testów komputerze program działał bez żadnych problemów.

Podobnie jak w AVP, program bez problemów sprawdza archiwa spakowane z użyciem długich nazw systemu Windows 95.

W standardowym pakiecie dostępny jest program dla systemu DOS oraz dla DOS-a z wykorzystaniem popularnej nakładki pozwalającej pracować programom w trybie chronionym -- DOS4GW. Po uruchomieniu program sprawdza dostępność nakładki DOS4GW -- jeśli ją znajdzie, skaner uruchomia się w trybie protected.

F-Prot

Poczawszy od wersji 2.23 firma Datafellows Ltd. dołącza do podstawowego zestawu niewielki program służący do wykrywania i leczenia makrowirusów z poziomu DOS. Program nadal nie rozpoznaje wirusów Argyle.2770 i Argyle.2761 (znanych także jako Evolution.2770 i Evolution.2761).

Dzięki uprzejmości firmy MASTERS będącej dystrybutorem programu w Polsce, miałem możliwość testować F-Prota z polskim interfejsem użytkownika. Proste polskie menu programu połączone z jego jakością może stanowić poważną konkurencję dla polskiego programu MkS_vir. Niestety, zostało przetłumaczone tylko menu. Zawarte w programie opisy wirusów pozostały w języku angielskim. Zakupując pełną wersję programu otrzymujemy dodatkowe moduły, niedostępne w wersji shareware:

F-ARC -- program pozwalający testować programy w archiwach. Wymagane jest jednak udostępnienie odpowiednich programów pakujących. Podczas testów program sprawdzał tylko archiwa ZIP i ARJ. Dopiero po wyspecyfikowaniu nazwy archiwum sprawdzone zostały pliki zapakowane programem RAR. Jest to dziwne, ponieważ opis do programu mówi o możliwości zdefiniowania do 5 programów pakujących.

F-AUTO -- program pozwalający uruchamiać skaner w określonych odstępach czasu, mierzonych w dniach.

F-MACRO -- program służący do wykrywania i leczenia makrowirusów.

F-CHECK -- program zakładający i sprawdzający sumy kontrolne.

VIRSTOP -- moduł rezydentny, zabezpieczający m.in. przed uruchomieniem zainfekowanego programu.

Już po przygotowaniu tego materiału otrzymałem program w nowej wersji o nieco zmienionej nazwie F-MACROW 2.24. Program pracuje w środowisku Windows. Do poprawnej pracy wymaga zainstalowanego OLE 2.0.

MkS_vir

Według informacji zamieszczonych na stronie http firmy Apexim, powstaje wersja dla systemu Windows 95, choć nic nie wiadomo o terminie jej dostępności. Trwają także prace nad mechanizmem heurystyki. wersje dla Windows 95. W wersjach programu od 5.25 wbudowano specjalny moduł pozwalający na wykrywanie i leczenie wirusów makr Worda.

Scan

Z każdą wersją program dokładniej identyfikuje wirusy, choć nadal ma problemy z wykrywaniem polimorficznych wirusów Argyle.2770 oraz Argyle.2761, za to bezbłędnie radzi sobie z wykrywaniem wirusa Hare. Nazewnictwo wirusów stosowane przez program jest coraz bardziej zbliżone do nazewnictwa CARO. W wersji 2.52 program wykrywa też wszystkie znane makrowirusy Worda.

V_Find

Firma Cordat udostępniła do testów kompletny pakiet programu Cordat Data Safe. Do dwu dyskietek instalacyjnych dołączono 9 książeczek, zawierających instrukcje programów pakietu.

Program instalowany jest za pomocą typowego programu pozwalającego na wybór rodzaju instalacji. Przy wyborze instalowanych elementów program wylicza i podaje na bieżąco potrzebną do instalacji przestrzeń dyskową. Poszczególne elementy systemu instalowane są w podkatalogach programu głównego.

W skład pakietu wchodzą następujące elementy mające zabezpieczyć komputer przed infekcją:

DMF -- Disk, Memory & File Walker -- program umożliwia podgląd i edycje obszarów pamięci, plików czy tez obszarów dysku.

ProFile -- program spełniający funkcje podobne do Norton Commandera.

ProBackup -- służy do robienia kopii zapasowych wybranych plików i katalogów. Program oferuje kompresję archiwizowanych danych za pomocą najbardziej popularnych programów jak PKZIP lub ARJ.

ProCopy -- program kopiujący o bardzo szerokich możliwościach konfiguracyjnych.

CSafe -- służy do kopiowania i odtwarzania ważnych elementów systemu (CMOS, tablic partycji, boot sektorów) i porównywania danych zapisanych z aktualnymi. W przypadku zmian można skorzystać z opcji odtwarzania obszarów systemowych z danych zapisanych na dyskietce.

ECE -- edytor kodów wirusów -- program przeznaczony do definiowania przez użytkownika własnych sygnatur nowo znalezionych wirusów.

Profilaktyka Antywirusowa -- program ochrony danych za pośrednictwem sum kontrolnych. Pozwala na zapamiętanie wielu informacji o pliku, mogących w przypadku infekcji służyć do odtworzenia oryginalnego programu bez znajomości wirusa.

V_Find -- główny program antywirusowy. Duże możliwości konfiguracyjne wpływają na stopień wykrywalności programu, co widać wyraźnie w wynikach, jakie osiągnął podczas testów.

Pakiet Cordat Data Safe jest zestawem różnych narzędzi mających wielotorowo zabezpieczyć użytkownika przed stratami danych. Testowaniu poddany został zgodnie -- z tematem testu -- program V_Find. Należy zwrócić uwagę na fakt olbrzymiego wpływu na wykrywalność dwóch parametrów konfiguracji: trybu i bufora. Szkoda natomiast, że Autor programu nie umożliwił zapisu w raporcie wszystkich testowanych programów, a nie tylko zainfekowanych (prawie każdy program ma taka opcję). Taki parametr z pewnością ułatwiłby testowanie wykrywania nowych wirusów nawet samemu Autorowi. Dziwi także fakt, że pomimo dużej popularności wirusów pisanych w WordBasic (makrowirusów) Autor nie zapewnił ich wykrywania.

Warto zaznaczyć, że program oferuje szeroką ochronę danych niekoniecznie związaną z niszczącym działaniem wirusów.

Dr-WEB

Program podobnie jak dobrze znany Antiviral Toolkit Pro, DR-Web został napisany w Rosji. Wśród shareware'owych programów antywirusowych program ten jest wysoko oceniany za bardzo skuteczny mechanizm wykrywania nieznanych wirusów.

W testach wykrywalności znanych wirusów program osiągnął mierne wyniki. Jednak osiągnięty przez DR-Weba poziom wykrywalności z uwzględnieniem mechanizmów heurystyki jest bardzo wysoki. Po wykryciu nieznanego wirusa podobnie jak AVP program określa jego typ: EXE, COM lub TSR (rezydentny).

Jest to drugi obok AVP program mający mechanizm heurystyczny dla wirusów pisanych w Word Basicu.

Podsumowanie

Ostatnio wielką popularnością cieszył się silnie polimorficzny, niebezpieczny wirus Hare. Testując programy sprawdzałem jak radzą sobie one z tym nowym wirusem. Polski program MkS_vir bez problemu wykrywał jedną z jego trzech odmian, natomiast program V_Find, mimo że dość długo się "zastanawiał" nad plikami zainfekowanymi wirusem Hare, w końcu go nie wykrywał.

Na podkreślenie zasługuje wysoka lokata polskiego programu MkS_vir w wykrywaniu makrowirusów Worda.

Zaskoczeniem był fakt, że pomimo figurowania Hare na liście znanych wirusów to dość popularny program TBAV nie wykrył ani jednej próbki zainfekowanej tym wirusem. Wirus jest na tyle silnie polimorficzny, że program nie był w stanie nawet wykryć przypuszczenia nieznanego wirusa. Inne spośród testowanych programów jak VET, F-Prot, czy AVP znajdowały próbki zainfekowane wirusem bez problemów.

Zaskakuje swoimi wynikami drugi po AVP program z Rosji -- Dr-WEB. Testowana wersja osiągnęła bardzo słabe wyniki w zakresie wykrywania znanych wirusów, natomiast program osiągnął zaskakująco wysokie noty w wykrywaniu heurystycznym.

Programy dla Windows 95

Spośród programów dla systemu Windows 95 przetestowano: AVP32/beta, F-Prot, Scan, Sweep95, TBAVW95, VET95. Niestety, nie ma jeszcze żadnego polskiego programu dla tego systemu.

AVP32

TU ILUSTRACJA 5357r1

Antiviral Toolkit Pro dla Windows 95/NT jest dopiero w fazie powstawania. Nie będę omawiał wyników testów tego programu. W wersji beta biblioteki wirusów nie są jeszcze kompletne, dlatego zamieszczanie wyników tego programu byłoby nieobiektywne. Program jest rozszerzany stopniowo o kolejne opcje i swoimi możliwościami w szybkim tempie zbliża się do jakości oferowanej przez wersję dla DOS.

W fazie testowej jest także program służący do automatycznego upgrade'owania AVP32 przez Internet. Korzystając z możliwości łączenia z Internetem w systemie Windows 95 program pozwala na automatyczne połączenie z odpowiednim serwerem internetowym i ściągnięcie upgrade'ów. Istnieje możliwość ustawienia odstępu czasowego, po którym program ma szukać kolejnych uaktualnień baz wirusów.

F-Prot

TU ILUSTRACJA 5377r2

Polski dystrybutor programu F-Prot udostępnił do przetestowania wersje programu dla Windows 95 z całkowicie spolszczonym menu.

Menu programu jest całkowicie odmienne od znanego, prostego w obsłudze menu shareware wersji DOS. Program pozwala na definiowanie zadań, które na życzenie można uruchomić. Zadanie może być automatycznie uruchamiane czasowo. Każde zadanie może charakteryzować się odmienną konfiguracją. Jest to bardzo interesująca możliwość, nie spotykana w innych programach.

Raporty z przeprowadzanych testów program przechowuje w formie skompresowanej we własnym formacie. Praktycznie, poza wydrukiem, nie można zapisać raportu do pliku tekstowego. Nieco uciążliwym rozwiązaniem jest opcja , wykonująca kopie zaznaczonego fragmentu lub całości raportu do schowka, z którego można go odtworzyć w dowolnym edytorze.

Także nie znalazłem nigdzie opcji, która podobnie jak opcja /LIST w wersji dla DOS pozwoliłaby na zapis w raporcie wszystkich sprawdzanych plików, a nie tylko tych zainfekowanych.

Scan

TU ILUSTRACJA 5377r6

Program SETUP instaluje poza głównym programem antywirusowym także rezydentny skaner, który sprawdza m.in. czy np. aktualna dyskietka lub program kopiowany nie są zainfekowane.

Interesującą ciekawostką raportu otrzymanego ze sprawdzania plików jest fakt, iż przy każdym wykrytym wirusie znajduje się adnotacja czy aktualna wersja programu potrafi go leczyć. Pozwala to oszacować ewentualne możliwości leczące programu. Niestety, według danych z raportu, dla tylko około 1/4 wykrytych wirusów możliwe jest leczenie.

SWEEP

TU ILUSTRACJA 5377r4

Program pod względem jakości nie odbiega od wersji dla DOS.

TBW95

TU ILUSTRACJA 5377r5

Program w wersji dla Windows 95 charakteryzuje się menu prawie identycznym jak dla wersji Windows 3.1 Podczas testów zainfekowanych próbek z długimi nazwami program standardowo

sprawdzał tylko te pliki, które w nazwie miały tylko jedną kropkę, choć dopuszczał więcej niż 8 znaków. Po włączeniu opcji testowania wszystkich programów, a nie tylko wykonywalnych, program bez problemów wykrył pozostałe zainfekowane próbki włącznie z tymi, które w nazwie miały kilka kropek.

Już po przeprowadzeniu testów wersji 7.03 ukazała się wersja 7.04, której podczas testowania "udało się" załamać system Windows 95. Dziwnym był także fakt niemożliwości przerwania zakładania plików sum kontrolnych podczas instalacji programu -- w poprzedniej wersji było to możliwe.

Ciekawe, że nawet podczas instalacji z ustawieniami użytkownika program nie posiada możliwości rezygnacji z instalacji plików sum kontrolnych.

Na plus trzeba odnotować fakt istnienia programu deinstalacyjnego. Program ten po ponownym restarcie Windows 95 zdeinstalowal poprawnie wszystkie elementy TBAV, a także usunął wszystkie pliki, założone podczas instalacji sum kontrolnych.

VET

TU ILUSTRACJA 5377r3

Australijska firma Cybec po raz kolejny udostępniła nam swój program do testów. Instalacyjna wersja programu VET dla Windows 95 mieści się na jednej dyskietce. Podczas instalacji program pozwolił dowolnie ustawić konfigurację. Możliwa była także rezygnacja rezydentnych zabezpieczeń systemu.

Program VET pozwolił na ustawienie wielu opcji testowania. Ma on m.in. brakującą niektórym programom opcję zapisu do raportu nie tylko plików zainfekowanych, lecz wszystkich sprawdzanych plików.

Wykrywalność wirusów makr Word for Windows

Program wersja data wynik

1. AVP 2.22 96.10.27 97.06%

2. F-Macro 1.71 96.09.25 89.55%

3. WEB 3.16 96.10.14 83.82% (97.06%)

4. Scan 2.5.2 96.10.21 82.81%

5. MkS_vir 5.25b 96.09.03 79.37%

6. Sweep 2.90 96.10.01 58.82%

7. TBAV 7.05 96.09.10 55.88%

8. FindVirus 7.63 96.08.15 38.37%

9. AVScan 2.98 96.09.04 36.76%

10. F-Prot 2.24c 96.09.07 24.62%

11. VDS 3.1d 96.09.16 11.94%

12. VET 9.111 96.08.23 5.88%

13. V_Find 4.52B 96.08.30

Wykrywalność wirusów w środowisku Windows 95

Program wersja boot pliki długie nazwy

1. Sweep 2.88 83.7% 95.2% 96.1%

2. TBAV* 7.03 74.4% 95.4% 96.0% (93.3%)

3. F-Prot 2.23a 82.2% (83.3%) 92.3% (92.8%) 95.9% (96.7%)

4. Scan 2.04 82.2% 91.0% 93.0%

5. VET ** 18.7% 89.0% 75.8%

6. AVP *** 1.01 beta 76.9% (79.1%) 58.9% (64.1%) 77.6% (81.9%)

W nawiasach podano wyniki po uwzględnieniu rezultatów heurystycznych programu.

*) Program TBAV dla Windows 95 standardowo uznaje za wykonywalne tylko pliki z jedną kropka w nazwie. Nazwy z kilkoma kropkami nie są testowane przy sprawdzaniu plików wykonywalnych, a jedynie podczas testu wszystkich plików. Dla nazw długich

przyjęto jako wynik podstawowy rezultat uzyskany z testu podstawowego, czyli na nazwach akceptowanych przez program z jedna kropką. Rezultat w nawiasie jest wynikiem uzyskanym przez program przy teście wszytkich plików -- także tych zdaniem programu niewykonywalnych.

**) Nie można traktować miarodajnie wyników testów w przypadku wykrywania wirusow boot-sectorów w kopiach plikowych oraz w przypadku testowania plików o długich nazwach. Program w Windows 95 wykrywa poprawnie wirusy w fizycznych obszarach dysków. Problemem jest natomiast wykrycie tych samych wirusów w ich kopiach plikowych. Wynika to z faktu, że do testowania obszarów dyskowych niektóre programy stosują specjalne techniki.

***) Testowana wersja beta nie miała wszystkich znanych z wersji DOS definicji wirusów. Program jest w fazie testów beta.

Wykrywalność wirusów w środowisku DOS

Program wersja data boot pliki (heurystyka)

1. AVP 2.22 96.10.13 83.91% (89.66%) 97.79% (98.26%)

2. TBAV 7.05 96.09.10 89.16% 95.08%

3. FindVirus 7.63 96.08.15 94.87% 94.94% (95.14%)

4. Sweep 2.90 96.10.01 84.78% 93.74%

5. Scan 2.5.2 96.10.21 82.11% 92.19%

6. F-Prot 2.24c 96.09.07 82.42% (83.52%) 90.57% (91.05%)

7. VET 9.111 96.08.23 74.73% 88.82%

8. AVScan 2.98 96.09.04 79.59% 88.06%

9. MkS_vir 5.25b 96.09.03 86.80% 82.30%

10. V_Find 4.52B 96.08.30 -- 75.02%

11. VDS 3.1d 96.09.16 68.48% 68.10% (76.85%)

12. NAVScan 3.0 96.10.02 -- 46.13%

13. WEB 3.16 96.10.14 69.23% (79.49%) 44.60% (93.16%)

Dystrybutorzy programów

AntiVirenKit

LTP MediaSoftware-G DATA Software, Spółka z o.o., ul. 28-go Lutego 34, 78-400 Szczecinek

AVP

VACIMEX, Al. St. Zjednoczonych 46/24, 04-036 Warszawa, Poland

Contact: Wlodzimierz Lapot

Phone/Fax: +48-(0)22 106246, FIDO: 2:480/58.44, e-mail: vacimex@polbox.com.pl, BBS: +48-(0)22 6656363 (25+ lines VFC/V.34) or (telnet): telnet polbox.com.pl, WWW: http://www.polbox.com.pl/vacimex/, FTP: ftp.polbox.com.pl/library/!avp/

AVTK

Dagma sp. z o.o, Gen Jankego 15, 40-615 Katowice, Poland, tel./faks +48 32 1 523 789 or 1 524 439

F-Prot

MASTER'S Systemy Komputerowe, ul. Mennicza 10, 43-400 Cieszyn, tel./faks (033) 525 492, tel. (033) 520 755

MkS_Vir

APEXIM S.A., ul.Kłobucka 23, 02-699 Warszawa, tel. (0-22) 472242

McAFEE

POLAND, Sol-serwis Sp. z.o.o, Komputerowe Systemy

Address:90-051 Łódź, Al. Piłsudskiego 8

Contact:Pawel Hajdan Telephone +48-42-366310, fax +48-42-370656

SWEEP

Safe Computing Ltd.,

ul. Nocznickiego 33,

01-918 Warszawa,

Poland,

e-mail safecomp@ikp.atm.com.pl

tel.(0-22)350058, fax 022 350059, code +48

V_Find

CORDAT-Kraków, Zakopianska 9, 30-418 Kraków, tel. (012) 671880, 670040

Ceny programów

Podane ceny, o ile nie podano inaczej, oznaczają cenę uwzględnieniającą uaktualnienia w ciągu roku.

AVP -- 100 zł

F-Prot -- 377 zł

MkS_vir -- 257 zł

Sweep -- 990 zł / upgrade przesyłane sa bezposrednio od producent z Angłii

V_Find, V_Find Pro -- 230 zł

Cordat Antivirus -- 304.50 zł

Cordat Data Safe -- 385 zł

Metodyka testów

Testy wykrywania prowadzono na kolekcji ponad 500 różnych wirusów usystematyzowanych w katalogach. Każda próbka zainfekowana była dokładnie jednym wirusem. Dla większości wirusów zainfekowanych było od kilku do kilkunastu próbek, a dla wirusów polimorficznych po kilkadziesiąt próbek.

Testy polegały na uruchomieniu programu w trybie wyszukiwania wirusów. Raporty zawierały także (o ile było to możliwe) wykaz nie tylko plików zainfekowanych, ale wszystkich plików sprawdzanych. Pozwoliło to w łatwy sposób na ocenę dokładności wykrywania wirusów zwłaszcza plimorficznych.

Osobno sprawdzono wykrywalność wirusów makro. Testy przeprowadzono na kilkudziesięciu makrowirusach Worda. Dla każdego wirusa zainfekowanych było kilka plików DOC lub DOT. Wszystkie próbki znajdowały się na jednej partycji drugiego fizycznego dysku twardego.

Wykrywalność wirusów boot sectorów i tablicy partycji testowano na kopiach zainfekowanych obszarów w plikach. Większość programów wykrywa w takich plikach wirusy sektorowe bez większych problemów.

Bardzo ważnym testem dla programów pod Windows 95 było sprawdzenie, jak radzą sobie z plikami charakterystycznych dla Windows 95 o długich nazwach. Większość programów wybrnęła z tego testu bez większych problemów.