Большой тест антивирусов. Все точки над "і"

Совершенный антивирус: утопия или продукт ближайшего будущего?

"Совершенного продукта быть не может в принципе. О каком бы антивирусном продукте ни шла речь, как бы его ни расхваливали создатели — все, что мы имеем на сегодняшний день, — это всего лишь попытка ответить на вызов вирусописателей, не упав лицом в грязь…"

Ну что ж, для того, чтобы разогреть нашего читателя, в качестве живого примера приведу, пожалуй, следующий (вся информация приведена исключительно в образовательных целях; автор статьи не несет никакой ответственности за использование материалов в злонамеренных целях). Данный пример особенно интересен тем, что его реализация не требует знания языков программирования. Итак, сейчас мы напишем простейший учебный вирус, который будет ни много ни мало форматировать диск d:.


Рис. 1. Исходный код нашего учебного вируса

Одна строчка — и вирус готов… Что, удивлены? Ничего удивительного! Все гениальное просто. Пропускаем нашего "зверя" через сканер Антивируса Касперского:


Рис. 2. Реакция Антивирус Касперского 6.0

Как видите, результат не заставляет себя ждать. Но подождите: это не самое интересное… Сейчас мы подправим один символ (из быстрого форматирование превратится в медленное),


Рис. 3. Модифицируем нашего "зверя"

и наш код преспокойно попадет под категорию "Опасных объектов не обнаружено:


Рис. 4. Опасных объектов не обнаружено

Итак, если после вышеописанных экспериментов у читателя не отпало желание устанавливать какой-либо антивирус вообще — значит, вы на правильном пути;). Ведь главное — понять: совершенного продукта нет, к абсолютной безопасности можно только стремиться…

Выбираем лучшего

Так что же нам выбрать, и какой антивирус все-таки лучший? Именно такие вопросы звучат в многочисленных письмах, приходящих автору на электронный ящик. Не в силах больше сопротивляться такому бруту, я попытаюсь-таки поставить все точки над "і", определив круг наиболее достойных и выбрав из них одного лучшего. Основанием нашей оценки послужат результаты:

1) ведущих антивирусных лабораторий мира;
2) независимых экспертных групп включая результаты наблюдений и активных тестов самого автора.
Начнем, пожалуй, с результатов тестов независимого российского информационно-аналитического портала по информационной безопасности: www.anti-malware.ru

Тест на обнаружение

Суть теста: в каждом тестируемом антивирусе запускалась задача сканирования по требованию каталога с огромным количеством вирусных экземпляров (detection rate test). Тест проводится на машине Intel Pentium 4 2600 MHz, 512 Mb DDRAM с установленной Microsoft Windows XP Professional SP1. Тестовая база вирусов насчитывала 91202 вируса (коллекция VS2000, сформированная совместно антивирусными компаниями Kaspersky, F-Prot, RAV, Nod32, Dr.Web, Sweep, BitDefender и McAfee). Вирусы в коллекции не повторяются и не имеют уникальных имен согласно антивирусной программе AT LEAST 1. Все вирусные экземпляры были распакованы (не было файлов zip, rar, ace и т.д.), имеют корректные расширения файлов согласно специальной программе Renexts и были уникальны контрольной сумме (checksum32). Файлы вирусных экземпляров для тестирования были следующих типов:

BAT, BIN, CLA, CLASS, CLS, COM, CSC, DAT, DOC, ELF, EML, EXE, HLP, HQX, HTA, HTM, IMG, INF, INI, JS, MAC, MDB, MSG, OLE, PHP, PIF, PL, PPT, PRC, REG, SCR, SH, SHS, SMM, STI, TD0, TPU, VBA, VBS, WBT, XLS, XMI, XML.

Все тестируемые программы на момент тестирования имели актуальные версии с обновленными базами данных и максимальными настройками сканирования (включенная эвристику, полное сканирование и т.д.). Настройки по умолчанию не использовались по причине того, что они не обеспечивают максимально возможное качество обнаружения вирусов. Итак: отобранные 26 антивирусов показали следующие результаты по обнаружению вредоносных программ:

1. Kaspersky Anti-Virus Personal Pro version 5.0.20 99,28%
2. F-Secure Anti-Virus 2005 version 5.10.450 97,55%
3. eScan Virus Control version 2.6.518.8 96,75%
4. Symantec Anti-Virus Corporate version 9.0.3.1000 91,64%
5. Norton Anti-Virus version 2005 91,57%
6. McAfee VirusScan version 9.0.10 89,75%
7. BitDefender Anti-Virus version 8.0.137 88,13%
8. Panda Platinum 2005 Internet Security version 9.01.02 87,75%
9. RAV Anti-Virus (куплен Microsoft) version 8.6.105 87,26%
10. FRISK F-Prot Anti-Virus version 3.16b 87,07%
11. Panda Titanium Anti-Virus version 4.01.02 86,27%
12. Trend Micro PC-Cillin 2005 version 12.1.1034 85,98%
13. Eset Nod32 version 2.12.4 85,66%
14. Authentium Command version 4.92.7 84,92%
15. H+BEDV AntiVir version 6.30.00.17 84,50%
16. Alwil avast! version 4.6.623 79,65%
17. Dr. Web version 4.32b 78,71%
18. Sophos Sweep version 3.91 73,79%
19. UNA Anti-Virus version 1.83 73,49%
20. Norman Anti-Virus version 5.80.05 65,32%
21. Grisoft AVG version 7.0.308 54,07%
22. Computer Associates E-Trust Antivirus version 7.0.5.3 52,35%
23. ZoneAlarm (VET Antivirus) version 5.5.062.011 52,32%
24. VirusBuster 2005 version 5.0.147 51,51%
25. ClamWin version 0.83 48,44%
26. AhnLab V3 Pro 2004 38,87%

Выводы: как видим, первое место в данном сравнительном тестировании занял Антивирус Касперского. Второе и третье достались F-Secure Anti- Virus и eScan Virus Control соответственно. NB: F-Secure Anti-Virus и eScan Virus Control используют антивирусный движок от Лаборатории Касперского по OEM-соглашению(!). Некоторая закономерность уже прослеживается…

Ну что ж, поехали дальше.

Тест на поддержку упаковщиков

Как известно, одним из приемов сокрытия вирусного кода является использование упаковщиков или пакеров, которые так модифицируют вирусный код, что делают его практически неузнаваемым со стороны антивирусов. Соответственно, чем большее количество пакеров знает антивирус, тем больше шансов к тому, что он успешно обнаружит заразу. В данном тесте принимали участие антивирусные продукты 17 производителей, среди которых — Avast!, Avira, Computer Associates, Eset, F-Secure, Grisoft, McAfee, Panda Software, Sophos, Symantec, Trend Micro, ВирусБлокАда, Доктор Веб, Лаборатория Касперского и Украинский Антивирусный Центр. Тест проводился на следующих вредоносных программах, которые были выбраны в соответствии со специально разработанной методологией:

Backdoor.Win32.BO_Installer
Email-Worm.Win32.Bagle
Email-Worm.Win32.Menger
Email-Worm.Win32.Naked
Email-Worm.Win32.Swen
Worm.Win32.AimVen
Trojan-PSW.Win32.Avisa
Trojan-Clicker.Win32.Getfound.

Данные вредоносные программы модифицировались с использованием 21 типа упаковщиков (последних на момент проведения теста версий), также выбранных в соответствии со специальной методологией. Среди них:

1. ACProtect 1.32
2. ASPack 2.12
3. ASProtect 2.1 buid 2.19
4. Dropper 2.0
5. EXECryptor 2.3.9.0
6. ExeStealth 2.76
9. Morphine 2.7
10. NsPack 3.7
11. Obsidium 1.2.5.0
12. ORiEN 2.12
13. Packman 1.0
14. PECompact2 2.78a
15. PESpin 1.304
16. Petite 2.3
17. Private exe Protector 1.9
18. UPX 2.01w
19. WinUpack 0.39 final
20. yoda's Cryptor 1.3
21. yoda's Protector 1.0b

А вот, собственно, и результаты тестов:

Суммарный процент поддержки упаковщиков по результатам теста:
Награда Процент поддерживаемых пакетов Название антивируса
Gold Packers Support 81% Kaspersky Anti-Virus 6.0

* F-Secure Anti-Virus 2006
Silver Packers Support 76% Dr.Web Anti-Virus 4.33
BitDefender Professional Plus
Bronze Packers Support 57% Eset NOD32 Antivirus 2.5

* F-Secure Anti-Virus 2006 использует лицензированный движок от Лаборатории Касперского.

Выводы: Итак, мы видим, что достойные результаты по поддержке упаковщиков показали всего 5 из 17 протестированных антивирусов, среди которых оказались:

1. F-Secure
2. Kaspersky
3. BitDefender
4. Dr.Web
5. Eset

Ну что ж, вполне очевидно, что, помимо лидеров предыдущего теста (Kaspersky Anti-Virus Personal Pro version 5.0.20, F-Secure Anti-Virus 2005 version 5.10.450 и eScan Virus Control version 2.6.518.8), в гонку за звание лучшего антивируса вступили еще три продукта:

1. BitDefender
2. Dr.Web
3. Eset

Лидером же нашей виртуальной гонки пока что остается продукт Лаборатории Касперского, занимающий первое абсолютное место по результатам вышеописанных тестов.

Тест на лечение активного заражения

В тесте принимали участие антивирусные продукты 15 производителей, среди которых — Avast!, AVG, AVZ, Avira, BitDefender, Eset, F-Secure, McAfee, Panda Software, Sophos, Symantec, Trend Micro, ВирусБлокАда, Доктор Веб, Лаборатория Касперского. Тест проводился на следующих вредоносных программах (названия указаны по классификации Лаборатории Касперского), которые были выбраны в соответствии с определенными требованиями:

Adware.Win32.Look2me
Adware.Win32.NewDotNet
Backdoor.Win32.Haxdoor
Trojan-Proxy.Win32.Xorpix
Email-Worm.Win32.Scano
Email-Worm.Win32.Bagle
Trojan-PSW.Win32.LdPinch
Worm.Win32.Feebs
Trojan-Clicker.Win32.Costrat
Trojan-Spy.Win32.Goldun

Итак, вот, собственно, и результаты теста антивирусов на лечение активного заражения:

І место Norton AntiVirus 2007 80%
ІІ место Kaspersky Anti-Virus 6.0 70%
ІІІ место BitDefender Antivirus 10 50%
Eset NOD32 Antivirus 2.7 50%
Sophos Anti-Virus 6.0 50%

Выводы: Очевидно, что в данном тесте Norton AntiVirus 2007 показал себя с лучшей стороны, заняв первое место. Второе и третье занимают уже знакомые нам продукты Kaspersky Anti-Virus 6.0 и BitDefender Antivirus 10 (50%), Eset NOD32 Antivirus 2.7 (50%) и Sophos Anti-Virus 6.0 (50%) соответственно. Ну что ж, учитывая результаты предыдущих тестов, а также настоящий тест, общий результат выглядит так:

І место Kaspersky Anti-Virus 6.0
ІІ место BitDefender Antivirus 10
ІІІ место Eset NOD32 Antivirus 2.7

Ну что ж, это еще не конец…

Virus Bulletin

А теперь обратимся к результатам тестов авторитетного международного британского издания по тестированию антивирусных программ Virus Bulletin.
сайт

Ниже приведен обновленный рейтинг антивирусов, основанных на результатах тестирования, которые опубликованы английским журналом Virus Bulletin ( сайт ) в феврале 2007 г. Согласно методике оценки антивирусов, высшую оценку, т.е. VB100%, получают антивирусы, которые смогли обнаружить все вирусы, входящие в так называемый список "диких вирусов" (WildList): сайт У многих из наших читателей может возникнуть резонный вопрос: что такое это список "диких вирусов", и почему так важно именно его использовать для получения объективных результатов тестов? Так вот, список этот представляет собой модель стандартизации вирусов, собранных независимыми экспертами. Перед тем, как попасть в данный список, каждый новый вирус подвергается проверке. Использование данного списка исключает какую-либо субъективность результатов тестирования, которая может возникнуть при использовании произвольной коллекции вирусов. Дабы исключить всякую возможную путаницу и неопределенность по этому вопросу, считаю нужным привести оригинальное описание этого самого "Дикого списка":

This is a cooperative listing of viruses reported as being in the wild by 80 virus information professionals. The basis for these reports are virus incidents where a sample was received, and positively identified by the participant. Rumors and unverified reports have been excluded. Some programs included in this list may fall outside the traditional definition of a computer virus. However, such programs are spreading throughout diverse user populations, are a threat to users and are therefore included in this list. This report is cumulative. That is, this is not just a report of which viruses were seen last month. Monthly data is received from most participants, but the new data is added to the old. Participants are expected to let us know when to remove their name from a virus. The list should not be considered a list of "the most common viruses", however, since no specific provision is made for a commonness factor. This data indicates only "which" viruses are In-the-Wild, but viruses reported by many (or most) participants are obviously widespread. The WildList is currently being used as the basis for in-the-wild virus testing and certification of anti-virus products by the ICSA, Virus Bulletin and Secure Computing. Additionally, a virus collection based upon The WildList is being used in an effort to standardize the naming of common viruses.

Резюмируя вышеприведенный англоязычный оригинал, можно сказать, что использование списка "диких вирусов" позволяет получить максимально объективную оценку надежности того или иного антивирусного средства. Итак, результаты Virus Bulletin представлены в таблице.



Выводы: Невооруженным глазом видно, что первое и второе места в данном авторитетном рейтинге делят между собой Eset (NOD32) и Kaspersky Anti- Virus 6.0.2.546.

Эпикриз

Ну что ж, момент истины. Подводя итог, необходимо сказать следующее: по совокупным результатам приведенных тестов несомненным лидером среди антивирусных продуктов, конечно же, следует признать продукт Лаборатории Касперского — Kaspersky Anti-Virus 6.0. На втором месте уверенно располагается NOD32.

При написании статьи были использованы материалы:

сайт
сайт 
сайт

PS: В следующих статьях мой коллега IT-эксперт Евгений Кучук приведет свои собственные исследования. По результатам наших статей будет проведен заключительный анализ экспертного совета, результаты которого наши читатели увидят в КГ.

сайт — ваши вопросы по безопасности.

Олег Бойцев, security-expert, boytsev_om@mail.ru


Компьютерная газета. Статья была опубликована в номере 11 за 2007 год в рубрике безопасность

©1997-2022 Компьютерная газета
oJnWE3?=нD}{DfHM=|]| ,Rh٣ <Ļi՛)^l`6=Rep9oyB~{<@- $ 3?:͜i*Ifgf$;9'yUw9Z.N#ҧcxS`np^i㺔o; :_].mC[tTbH)n̳\jzskV[CMͿ v}\I?lI_ }:7„CzhrE