В данном сравнительном тестировании мы изучали эффективность антивирусов и программ HIPS по противодействию новейшим образцам вредоносных программ, передаваемых пользователям наиболее распространенным сейчас способом – через зараженные веб-сайты.
Введение
Практически все проводимые другими лабораториями (AV-Test.org, AV-Comparatives.org) тестовые испытания антивирусов на качество защиты подвергались критическим замечаниям профессиональной общественности о некой их синтетичности или отрыву от реальный жизни.
Первая и основная претензия сводилась к тому, что при запуске проверки файловых коллекций тестируются только некоторые составляющие антивирусной защиты, такие как классический сигнатурный детект или эвристика, в то время как возможный вклад сравнительно новых технологий, таких как поведенческий анализ или HIPS, никак не учитывается. Кроме этого, не учитывается работа и других компонент защиты входящих в современные «комбайны» (продукты класса Internet Security) помимо антивируса, например, Firewall/IDS (может обнаружить подозрительный трафик и просигнализировать о заражении), проверка HTTP трафика на лету и т.д.
Вторая веская причина состоит в том, что реальный пользователь не хранит и не запускает старинные вредоносные программы на своем жестком диске. К нему попадают, как правило, новые самплы, от которых его антивирус может и не защитить. Важны также и методы попадания вредоносных программ на компьютер. Заражение может наступить при открытии полученной каким-то образом ссылки (по e-mail, ICQ и т.д.) или просто найденной в поисковике, открытии файла прикрепленного к письму, скаченного из сети файла или переписанного с внешнего носителя.
От метода проникновения может в значительной степени зависеть их эффективность, так как у некоторых антивирусов угроза заражения может быть ликвидирована еще на стадии попытки активации вредоносного скрипта на веб-странице, а у других - только при активации загруженного эксплойтом программы-загрузчика, у третьего еще дальше - при запуске загруженной вредоносной программы.
В нашем сравнительном тестировании мы изучали эффективность антивирусов по противодействию новейшим образцам вредоносных программ, передаваемых пользователям наиболее распространенным сейчас способом - через зараженные веб-сайты. Для этого мы собирали ссылки на зараженные сайты из различных источников (ежедневные подборки ссылок от MessageLabs + помощь нашего комьюнити). Как правило, на такие ссылки каждый из нас натыкается в поисковиках, получает по e-mail, ICQ или другие средства интернет коммуникации, включая социальные сети.
Суть сравнительного тестирования состоит в проверке комплексных возможностей антивирусов в противодействии новейшим угрозам в виде вредоносных программ, распространяемым через зараженные веб-сайты.
Методология сравнительного тестирования
Тест проходил в период с 5 августа по 15 сентября 2008 года. Перед началом теста производилась подготовка среды тестирования. Для этого под управлением VMware Workstation 6.0.3 был создан набор чистых виртуальных машин, на которые была установлена операционная система Microsoft Windows XP Pro SP2 (последние обновления намеренно не ставились). На каждую машину по отдельности была установлена своя программа защиты из числа приведенных ниже.
По возможности мы брали в тест продукты для интегрированной защиты класса Internet Security, но если таковых в линейке вендора не было, то использовали младшие в линейке продукты. В итоге в сравнении участвовали:
- Avast Antivirus Professional 4.8-1229
- AVG Internet Security 8.0.156
- Avira Premium Security Suite 8.1.0.367
- BitDefender Internet Security 2008 (11.0.17)
- Dr.Web 4.44
- Eset Smart Security 3.0.667
- F-Secure Internet Security 2008 (8.00.103, он же СТРИМ.Антивирус)
- G DATA Internet Security 2008
- Kaspersky Internet Security 2009 (8.0.0.454)
- McAfee Internet Security Suite 8.1
- Microsoft Windows Live OneCare 2.5
- Norton Internet Security 2008 (15.5.0.23)
- Outpost Security Suite 2009 (6.5.2358)
- Panda Internet Security 2008 (12.01.00)
- Sophos Anti-Virus 7.3.5
- Trend Micro Internet Security 2008 (16.10.1182)
- VBA32 Workstation 3.12.8
Также в сравнении участвовали две специальные программы для проактивной защиты от новейших видов угроз класса HIPS (Hosted Intrusion Prevention System):
- DefenseWall HIPS 2.45
- Safe"n"Sec Pro 3.12
К сожалению, в ходе проведения теста и обработке полученных результатов, некоторые вендоры выпустили обновления своих продуктов, что не могло быть отражено в итоговых результатах.
Важно отметить, что все антивирусы тестировались со стандартными настройками по умолчанию и со всеми актуальными обновления, полученными в автоматическом режиме. По своей сути моделировалась ситуация, как если бы простой пользователь с установленной у себя одной из тестируемых программ защиты пользовался Интернет и переходил по интересующим его ссылкам (полученным тем или иным образом, см. выше).
Отбор вредоносных программ
Для теста выбирались ссылки на сайты, зараженные только новейшими образцами вредоносных программ. Что означает «новейшие»? Это означает то, что эти загружаемые по ссылкам образцы вредоносных программ не должны были детектироваться файловыми антивирусами более чем 20% из списка тестируемых продуктов, что проверялось через сервис VirusTotal (всего на этом сервисе подключено 38 различных антивирусных движков). Если отобранные самплы и детектировались кем-то, то вердикты как правило были неточными (подозрение на заражение или упакованный объект).
Количество образов, удовлетворяющих таким требованиям, было немного, что существенно отразилось на размере итоговой выборки и сроках тестирования. Всего более чем за месяц тестирования было отобрано 34 рабочие ссылки на новейшие вредоносные программы.
Оценка результатов
- Обнаружение эксплойта на открытой веб-странице (вредоносного скрипта) или блокировка открытия страницы анти-фишинговым модулем.
- Обнаружение программы загрузчика, переданной при помощи эксплойта (специальной программы, которая используется для загрузки на компьютер жертвы других вредоносных программ, например, трояна) веб-антивирусом или файловым антивирусом .
- Обнаружение загруженной вредоносной программы в процессе ее установки (как правило, при помощи поведенческого анализа).
При любом из приведенных выше вариантов предотвращения заражения антивирусу ставился 1 балл . Различий не делалось, так как с точки зрения пользователя не имеет значения, на каком этапе, и какой именно компонент защиты устранил угрозу заражения. Главное - она ликвидирована. Если заражение не было предотвращено, в том числе и частично, то антивирусу ставилось 0 баллов .
На деле такая система оценки означает следующее. 1 балл ставился, если попытка заражения была обнаружена в явной форме или было обнаружено подозрительное действие, и при этом заражение полностью приостановлено при условии правильного выбора пользователя в диалоговом окне (об обнаружении опасного действия, предотвращении попытки заражения, обнаружении попытки запуска подозрительной программы, обнаружении попытка изменения файлов и т.д.). Во всех остальных случаях ставилось 0 баллов.
Стоит отметить, что в некоторых случаях присутствие вредоносной программы на компьютере обнаруживалось после заражения при помощи файлового монитора или firewall/IDS, но справиться с заражением антивирус не мог. В этом случае антивирусу все равно ставилось 0 баллов, так как он не защитил от заражения.
Программы класса HIPS оценивались по такому же принципу, как и антивирусы. Им ставилось 1 балл во всех случаях, когда было обнаружена вредоносная или подозрительная активность и было предотвращено заражение.
Результаты сравнительного тестирования
Итоговые результаты сравнительного тестирования антивирусных программ и HIPS представлены ниже на рисунке 1 и таблицах 1-2.
Рисунок 1: Эффективность различных программ защиты против новейших угроз
Таблица 1: Эффективность антивирусных программ против новейших угроз
|
Антивирус |
% от макс (34) |
|
|
Kaspersky |
||
|
Avira |
||
|
Sophos |
||
|
BitDefender |
||
|
F-Secure |
||
|
Dr.Web |
||
|
G Data |
||
|
Avast! |
||
|
Outpost |
||
|
Trend Micro |
||
|
Microsoft |
||
|
Eset |
||
|
McAfee |
||
|
Panda |
||
|
Norton |
||
|
VBA32 |
Среди антивирусов лучшими оказались Kaspersky Internet Security, Avira Premium Security Suite и AVG Internet Security, которые смогли предотвратить заражение 70% случаев и выше. Чуть хуже оказались Sophos Anti-Virus, BitDefender Internet Security и F-Secure Internet Security (он же СТРИМ.Антивирус), преодолевшие барьер в 50%.
Высокие показатели защиты Kaspersky Internet Security связаны в первую очередь со встроенным компонентом HIPS , позволяющим оценивать вредоносные рейтинги любых приложений при помощи репутационных механизмов (whitelisting).
Avira Premium Security оказался эффективен в силу высокого уровня обнаружения эксплойтов (см. таблицу 3 в полном отчете о тестировании) и упакованных объектов (имеется в виду детектирование вредоносной по используемому в ней упаковщику). Достаточно эффективны оказались проактивные технологии обнаружения в продуктах AVG Internet Security, Sophos Anti-Virus, BitDefender Internet Security и F-Secure Internet Security (СТРИМ.Антивирус), которые заняли с 3 по 6 место соответственно. В работе F-Secure Internet Security был заметен модуль контроля приложений (технология DeepGuard).
Важно отметить, что при обнаружении вредоносной программы (выводе алертов) многие сравниваемые продукты часто не могли предотвратить заражения.
Таблица 2: Эффективность HIPS против новейших угроз
|
HIPS |
Кол-во предотвращенных заражений |
% от макс (34) |
|
DefenseWall HIPS |
||
|
Safe"n"Sec |
Как видно из таблицы 2, из программ класса HIPS очень высокий результат показал DefenseWall HIPS, сумевший детектировать попытки заражения системы почти в 100%. Менее эффективен оказался Safe"n"Sec, но его результат все равно гораздо лучше многих сравниваемых в этой статье антивирусов.
Продукты Safe"n"Sec и DefenceWall HIPS сильно отличаются в подходах взаимодействия с пользователями. Если Safe"n"Sec по принципу работы похож на антивирусные продукты и не требует специального обучения, то в отношении DefenceWall все не так просто. Чтобы научиться эффективно использовать последний нужно, по крайней мере, иметь определенные знания и опыт, а также внимательно ознакомиться с руководство пользователя.
Необходимо отметить, что приведенные выше результаты не являются истиной в последней инстанции, свидетельствующей о супернадежности одних и слабости других продуктов. Тест не претендует на абсолютную объективность - это небольшое исследование, которое должно стать первым шагом на пути сравнительного тестирования комплексных продуктов для антивирусной защиты.
Данную статью стоит рассматривать как пробный шаг в направлении комплексного тестирования реальной эффективности защиты антивирусных программ. В дальнейшем мы планируем совершенствовать методику такого сравнительного тестировая: использовать большую выборку вредоносных программ, фиксировать и проводить точный анализ эффективности различных компонент продуктов и т.д.
Некоторые пользователи, заботясь о своих компьютеров и личных данных, приходят к решению, что следует установить два антивируса на одном компьютере или, точнее сказать, установить более одного антивируса.
Они полагают, что если один антивирус пропустит какую-то угрозу, то второй-то уж точно от нее защитит. Так ли это на самом деле?
Конечно, ни одна антивирусная программа не даст стопроцентной гарантии защиты от вирусов, утечки личной информации и других угроз. Но установка двух антивирусов на одном компьютере – это очень плохая идея.
Как показывает практика, такой подход к защите компьютера не работает. И дело не в конкуренции, как многим может показаться, а в несовместимости антивирусных программ.
На одном компьютере «не уживаются» несколько антивирусов, даже если они разработаны одной фирмой. Они будут мешать работе друг друга, конфликтовать, а компьютер будет виснуть, либо и вовсе перестанет работать.
Причина кроется в том, что любой антивирус старается контролировать все процессы на компьютере. Антивирусы анализируют и контролируют многие операции: чтение и запись файлов, анализ системных процессов, работу с оперативной памятью, сетевой трафик и прочее.
Поэтому если на компьютере установлены два или более антивируса, они будут пытаться получить полный контроль над системой, мешая друг другу. В результате компьютер начинает подвисать, а системных ресурсов будет катастрофически не хватать для нормальной работы любого приложения.
Кроме того, каждый из антивирусов вполне может пытаться заблокировать некоторые файлы другого, определив их как потенциально опасные. И это вовсе не конкурентная борьба разработчиков программ. С точки зрения защиты системы любой антивирус выполняет много подозрительных операций.
Как видите, на одном компьютере можно установить два антивируса, но, увы, это не повысит уровень защиты и даже может навредить компьютеру. Если же есть подозрение, что ваш антивирус проглядел опасный файл и система уже заражена, то лучше пойти другим путем.
Как дополнительно проверить ПК с помощью второго антивируса
Для разовой проверки системы разработаны специальные решения, например, Dr.Web CureIt! .
Dr web CureIt официальный сайт находится по адресу http://www.freedrweb.com/cureit/?lng=ru
Программа, которая называется лечащей утилитой, бесплатно скачивается с указанного выше официального сайта Dr.Web.
Рис. 1 Описание применения антивирусной утилиты Dr.Web CureIt!
После скачивания программу с именем Dr.Web CureIt! не надо устанавливать, ее достаточно лишь запустить двойным кликом левой кнопки мыши (см. рис. 1), подробнее .
Также подобная утилита есть и у Касперского .
Она называется Kaspersky Security Scan и находится по адресу http://www.kaspersky.ru/security-scan. Ее можно бесплатно скачать с официального сайта Kaspersky, двойным кликом левой кнопки мыши запустить, и провести проверку компьютера (см. рис. 2)
Рис. 2. Окно запуска антивирусной утилиты Касперского
Это бесплатные антивирусные утилиты проверяют и лечат компьютер, не мешая работе основного установленного на ПК антивируса, и не конфликтуют с ним. После окончания проверки лечения эти программы можно смело удалить из ПК, просто переместив их в Корзину. Весьма полезно время от времени проверять ими свой компьютер, даже если есть полная уверенность в том, что установленный основной антивирус выполняет свои функции безупречно. Береженого – бог бережет.
Об антивирусных программах в новых компьютерах
При покупке нового компьютера (ноутбука, планшета и т.п.) в нем может быть заранее установлена антивирусная программа. Пользователь нового компьютера может не захотеть в дальнейшем пользоваться этим «навязанным» антивирусом.
Например, в новых компьютерах часто устанавливают антивирус McAfee. Если нет желания им пользоваться, а вместо этого установить, например, антивирус ,то надо позаботиться о том, чтобы ранее установленный антивирус был удален из компьютера.
В помощь компьютерным "чайникам": конфликт двух антивирусов и полное зависание ОС после загрузки (как решить проблему, если после загрузки ОС не реагирует ни на что).
Конфликт двух антивирусов на одном компьютере
Почти все "чайники" уверены в том, что ежели установить много-много антивирусных программ, то никакие вирусы им не страшны! Ну, господа-товарищи, если бы всё было так просто, тема борьбы с виртуальными вредителями была бы закрыта еще лет 20 назад. Но это не так.В смысле, вы ошибаетесь: нельзя устанавливать даже два антивируса на один компьютер. Почему? Да потому, что абсолютно все антивирусы конфликтуют друг с другом! И, поверьте на слово: проблема от такого конфликта ни чуть не лучше, нежели проблема от вируса.
И, кстати, о том, что нельзя устанавливать я уже писала. Ну а теперь непосредственно к теме.
Итак, вы "блеснули" умом и предосторожностью и установили два антивируса на один компьютер. Либо же, вы удалили один антивирус и установили другой, но за первым антивирусом вы забыли удалить какие-то остатки: папку или файлики.
В итоге, сразу после перезагрузки ОС, вы, с удивлением заметили, что курсор хоть и бегает по экрану, но ни одна иконка на "Рабочем столе" не отзывается на команды. Кроме того, рядом с курсором постоянно происходит странный процесс подгрузки: система что-то грузит, но что именно - не понятно.
А бывает и так, что даже курсор не двигается: это называется "мертвый висяк". Самое удивительное в том, что многократная перезагрузка системы, посредством нажатия на кнопку "Reset" не решает проблему.
Система перезагружается, но проблема остается. Что делать? Переустановить систему? Вопрос: а вы сможете? Вы же - "чайник"! Да и систему переустанавливать не надо, ибо всё решается очень просто. Итак!
Что делать если вы установили два антивируса на одном компьютере и операционнвя система зависла
Берем любой диск и вставляем его в дисковод. О-па: система сдвинулась с мертвой точки! Теперь не теряя времени идем в "Панель управления" - "Установка и удаление программ" и удаляем любой из двух антивирусов.Обратите внимание: после удаления некоторых антивирусов система может сообщить о том, что удалено не всё и кое-что вам придется удалять вручную. Удаляйте! Как найти? Очень просто: "Мой компьютер" - вкладка "Поиск" - вписываем название только что удаленного антивируса и ждем окончания поиска.
Всё найденное удаляем. Диск извлекаем, компьютер перезагружаем. Да, и еще одно. В момент перезагрузки (в самом начале, когда экран только погас и остается темным) начинаем остервенело жать кнопку "F8": так вы откроете "тайное" меню вариантов загрузки ОС.
И в этом "тайном" меню надо выбрать вариант загрузки с последними работоспособными параметрами. Выбор производится с помощью клавиш со стрелочками. Подсвечиваем нужную строчку и жмем клавишу "Ввод" (Enter). всё: теперь ваш компьютер работает нормально, без тормозов.
И помните: ни один, ни даже три антивируса не защитят ваш компьютер на 100%! Просто поменьше качайте всякую муть с мутных сайтов, да и по взрослым сайтам "шариться" не надо. И дело тут не в порнографии как таковой, а в том, что именно на этих сайтах вы можете подцепить целый "букет виртуальных "венерических" болячек", вроде "бэкдоров", "руткитов" и "MBR-локеров".
(С) Фролов А.В., Фролов Г.В., 1997Известно, что ни одна антивирусная программа не может обнаружить абсолютно все вирусы. Общее число известных вирусов превышает десять тысяч и каждый день появляются все новые и новые вирусы. Стремясь обезопасить себя от вирусного вторжения, многие пользователи устанавливают на свои компьютеры сразу несколько антивирусных программ, созданных различными разработчиками, и запускают их по очереди.
Оправдано ли это?
Если стоит цель достижения максимально возможного уровня антивирусной защиты, то, вообще говоря, оправдано. Дело в том, что каждый разработчик антивирусных средств имеет свою коллекцию вирусов. И хотя наиболее совершенные антивирусные программы, снабженные эвристическими анализаторами, способны находить неизвестные вирусы, факт остается фактом: существуют вирусы, которые одними антивирусными программами обнаруживаются и уничтожаются, а другими - нет.
Учтите однако, что использование несовместимых антивирусных программ может привести к возникновению различного рода проблем и "побочных эффектов", разобраться с которыми порой бывает очень непросто.
В частности, одни антивирусные средства (особенно резидентные) могут заблокировать работу других, так как антивирусы применяют различные хитрости и уловки, предназначенные для достижения успеха при поиске вирусов. Одновременное использование несовместимых антивирусов может привести к непредсказуемым результатам.
Другая очень неприятная проблема связана с тем, что антивирусы "находят" вирусы, которых на самом деле нет в компьютере.
Как и почему это происходит?
Первые версии антивирусных программ содержали в своем теле сигнатуры вирусов, то есть небольшие фрагменты кода вирусов, по которым можно было различать различные вирусы. В процессе сканирования содержимое оперативной памяти и дисков сравнивалось с сигнатурами вирусов. При совпадении антивирусная программа считала, что обнаружен вирус.
Если сигнатуры хранятся в теле антивирусной программы в незашифрованном виде, то другая антивирусная программа может принять сигнатуры вирусов за настоящие вирусы, разразившись лавиной сообщений о заражении.
Современные антивирусы, конечно, шифруют сигнатуры вирусов, однако в процессе работы эти сигнатуры расшифровываются. При этом после завершения проверки антивирусная программа может оставить расшифрованные сигнатуры в оперативной памяти. Само по себе это не опасно, однако если вы запускаете друг за другом несколько сканирующих антивирусных программ, возможны ложные срабатывания.
Внешне это выглядит следующим образом.
Запустив первый антивирус, вы ничего не находите. Затем вы запускаете второй антивирус, и он находит вирус в оперативной памяти, а затем удаляет его оттуда. Все вроде бы хорошо. После перезагрузки компьютера вы повторяете описанную процедуру, запуская те же самые антивирусы и в той же последовательности. И опять вторая программа обнаруживает тот же самый вирус, который она удалила совсем недавно! Разумеется, никакого вируса нет и не было, просто второй антивирус принимает следы работы первого антивируса за настоящий вирус.
Что же делать, чтобы одни антивирусы не мешали работе других?
Ответ простой - их надо применять строго по очереди, выполняя каждый раз перезагрузку операционной системы с предварительным выключением электропитания компьютера для очистки оперативной памяти. А лучше всего сразу после включения компьютера загружать операционную систему с дискеты, в "здоровье" которой вы уверены, а затем с этой же дискеты запускать антивирусную программу.
Если вы работаете в среде Microsoft Windows, которую невозможно загрузить с дискеты, следите за тем, чтобы ни одна из применяемых вами антивирусных программ не запускалась автоматически после загрузки компьютера. В противном случае в оперативной памяти могут остаться расшифрованные сигнатуры вирусов, которые будут приняты за вирусы другими антивирусными программами.
Существуют антивирусы, которые дополняют друг друга и имеют специальные средства взаимодействия. В качестве примера расскажем об очень полезной возможности взаимодействия ревизора диска ADinf и сканера Doctor Web, о которой не все знают. Ревизор ADinf позволяет контролировать неизменность файлов и служебных областей диска, а сканер Doctor Web может находить известные и неизвестные вирусы в файлах и оперативной памяти.
Если эти программы используются вместе, то вы можете сделать так, что сканер Doctor Web будет искать вирусы только в тех файлах, в которых ревизор ADinf обнаружил какие-либо изменения. Это взаимодействие поможет вам значительно сократить время проверки дисков, так как при больших объемах дисков время полной проверки сканером может составлять десятки минут. Отдельные же файлы проверяются моментально.
