06 сентября 2008 г.
обновлено 20-01-2014
обновлено 20-01-2014
Вопрос, какую антивирусную программу использовать, волнует многих. В силу последних тенденций создания и методов распространения вирусов в Рунете, среди множества антивирусных программ, таких как Avira, Symantec, Panda (Pandasecurity), DrWeb (Доктор ВЕБ), NOD32 от Eset, антивирус Касперского (Kaspersky) и других, выбор был сужен до российских антивирусов и анти вирусов, ориентированных на российский рынок, поскольку для российского сегмента Интернет пишутся специальные вирусы и обновления антивирусных баз "западных" антивирусов будут сильно отставать от российских реалий.Среди таковых оказались Антивирус Касперского, НОД32 от фирмы Eset и ДокторВеб. Поскольку предлагается много решений антивирусного ПО для различных областей, отмечу, что сравниваются файловые сканеры антивирусных программ.
Методики сравнения и тестирования антивирусных программ
Регулярные серьезные тесты антивирусных программ проводится журналом Virus Bulletin. Для этого журналом «Бюлютень Вирусов» были разработаны собственные методики тестирования и собрана коллекция различных вирусов для проведения тестов.Частично эти методики раскритикованы Заявлением «Доктор Веб» относительно методик тестирования антивирусов журналом Virus Bulletin, но это единственная существующая на настоящий момент, полная методика тестирования антивирусных программ.
Так же, регулярное и достаточно всеобъемлющее тестирование антивирусов проводится лабораторией FormSoft.
Технической базы для проведения подобных тестов антивирусов у нас с Вами, естественно, нет, но верить "на слово", пусть и профессионалам-вирусологам, - тоже не хочется. Поэтому неплохо иметь какую-либо возможность сравнить антивирусные программы в "боевых условиях".
Не претендуя на полноту сравнения и тестирования антивирусов, приведу некоторые показательные факты использования некоторых антивирусных программ на собственном и подведомственных мне ПК. Выводы сделаете Вы сами.
Сравнение антивирусов KAV, DrWeb и Nod32
В настоящее время у меня установлен зарегистрированный Nod32. Для контроля используется Антивирус Касперского в режиме он-лайн сканера и периодически обновляемый антивирусный сканер CureIT от Dr Web.Операционная система - Windows XP, SP2.
Надо отметить, что он-лайн сканер Касперского не находит некоторые вирусы, которые ловит Касперский 7, что видно из таблицы ниже.
Методика тестирования - проста и тривиальна.
Используя знания по работе без антивирусов, и опыт по определению наличия вирусов в системе по их "косвенным" проявлениям:
- "перемигивание телевизоров" подключения по локальной сети, когда на компьютере не запущено программ и служб, работающич с Интернет;
- периодические "зависания" компьютера (при активации вирусов или проведении ими DDOS-атак);
- периодическое несрабатывание переключения RUS-ENG раскладки клавиатуры (для кейлоггеров);
- изменения в системном реестре Windows на автозапуск программ или установку драйверов;
- добавление неизвестных исполняемых программ и библиотек dll, появление скрытых файлов;
- периодический анализ интернет трафика на предмет аномальной интернет-активности;
- появление в "/Temporary Interbet Files/" или "/Documents and Settings/" для локального пользователя загруженных исполняемых программ и т.п.
периодически отлавливаются вирусы, просочившиеся мимо Nod32. Все вирусы и подозрительные объекты копируются в папку и проверяются онлайн сканером Касперского и свеже-скачанным сканером CureIT от DrWeb. Если сканер Касперского не обнаруживает вирусов, эти объекты посылаются на проверку в лабораторию Касперского по почте (надо отметить, что лаборатория Касперского отвечает на такие письма очень оперативно).
Дополнительно, найденные подозрительные объекты проверяются он-лайн сканером вирусов virustotal.com, который показывает результат проверки каждой антивирусной программой, имеющейся у него (на сегодня, у них там установлены старые версия Касперского и Nod32, которые сильно отстают от версий этих же программ в продаже).
В последнее время специфика работы такова, что свежих вирусов я цепляю достаточно часто, заражение происходит при посещении сайтов.
На июль-сентябрь 2008 ситуация такова:
1. Антивирус Nod 32 фирмы Есет часто пропускает новые и старые вирусы, таких на сегодня не менее 15. НО в таблице ниже есть один вирус, который ловится НОДом и Касперским только V7.10, и НЕ ловится Dr Web.
2. Сканер Касперского - определяет как вирусы ВСЕ отловленные таким образом файлы, особенно сканер V7.10 (V7.0 кое-что пропускает).
3. Сканер CureIT от Dr WEB-а так же определяет как вирусы практически все такие файлы. Из имеющихся на момент написания статьи 16 вирусов, DrWeb находит вирусы в 14-и файлах.
*** Напоминаю, что выборка вирусов, большинство из которых пропущены антивирусом Nod 32 на подопечных ПК, поэтому Nod 32 находился не в равных условиях с другими антивирусниками, что, однако, не уменьшает его "дырявости".
Приблизительно через 20-30 дней, Nod 32 тоже начинает определять эти вирусы, но, к сожалению, не все. С 30 июня 2008 на момент написания этой статьи (06 сентября 2008) лежит завирусованный svshost.dll, в котором Касперским и ДокторВебом найден вирус, а Нод32 упорно не хочет его находить. И это несмотря на то, что все найденные вирусы были своевременно и добросовестно отправлены в Eset на анализ через встроенные в антивирус Nod32 средства отправки подозрительных объектов!
В июле 2008, один из моих "подопечных" с установленным лицензионным антивирусом DrWEB, активно полазил по буржуйским сайтам с 'девочками', после чего наловил вирусов, которые было видно элементарно видно в "Диспетчере задач" Windows. То есть, эти вирусы были достаточно примитивны и даже не скрывали своего присутствия в системе. Стараясь быть объективным, я не хочу "гнать порожняк" на антивирус Dr Web, поскольку эти вирусы могли проникнуть в систему благодяря некорректным действиям пользователя, в том числе и по отключению самого антивируса.
Проверь свой антивирус!
Конечно, всё изложенное выше в достаточной степени субъективно и Вы не обязаны верить на слово. Обратимся к фактам.В таблице ниже выложены отловленные вирусы, на которых производилось тестирование антивирусных программ. Чтобы избежать случайного запуска, объекты переименованы, чтобы избежать запуска при случайном нажатии мышкой (в конце добавлен "_"), и дополнительно помещены в архив RAR - антивирусные программы прекрасно проверяют архивы, а заразиться вирусом из архива в результате неаккуратных действий - несколько сложнее.
Если Вы хотите проверить изложенные в статье факты или протестировать свою антивирусную программу, вы можете попробовать скачать объекты. Если Ваш антивирус позволит это сделать, проверьте скачанные объекты сканером файлов, встроенным в антивирус. В любом случае, не забудьте потом удалить эти объекты и очистить корзину!!!
По мере отлова новых вирусов, они будут добавляться, но поскольку на ПК недавно заделаны все известные уязвимости ОС (установлен Service Pack 3 с последующими апдейтами), количество проникающих вирусов должно резко снизиться.
| тип | Дата поимки | Kaspersky | DrWeb | Nod32 | Virustotal.com | Комментарии |
| Trojan.Siggen | 14.03.2008 | !!! | результат тестирования | на 06.09.2008 находит ПРЕДПОЛОЖИТЕЛЬНО и ТОЛЬКО эвристикой | ||
| Trojan.Win32 | 07.04.2008 | результат тестирования | CureIT от DrWeb не находит, из Касперских находит только 7.10 | |||
| Trojan.DownLoader | 23.07.2008 | результат тестирования | ||||
| Trojan.DownLoader.origin | 30.07.2008 | результат тестирования | ||||
| Trojan.Spambot.3471 | 25.08.2008 | результат тестирования | ||||
| Trojan.Spambot.3471 | результат тестирования | |||||
| Trojan.Spambot.3471 | результат тестирования | вирус, западными антивирусами не определяется | ||||
| Email-Worm.Win32 | результат тестирования | |||||
| Trojan.Spambot.3471 | результат тестирования | |||||
| KB908193 | 30.08.2008 | результат тестирования | похоже, не сам вирус, а код проникновения | |||
| KB908727 | результат тестирования | Он-лайн сканер сайта Касперского не ловит | ||||
| Trojan.Packed.573 | результат тестирования | |||||
| KB908821 | 31.08.2008 | результат тестирования | Он-лайн сканер сайта Касперского не ловит | |||
| KB908925 | результат тестирования | Он-лайн сканер сайта Касперского не ловит | ||||
| Trojan.PWS.Finanz.225 | 01.09.2008 | результат тестирования | ||||
| Trojan.Win32 | результат тестирования | |||||
| Hack.Tool.crack | 06.09.2008 | результат тестирования | ||||
| Trojan.Win32.Malware | результат тестирования | ловит тоолько Касперский 7.10 | ||||
| 11.08.2013 | результат тестирования | ловит все, но до сих пор не ловит McAfee, Symantec и куча других | ||||
| 02.01.2014 | результат тестирования | ловит только Касперский | ||||
| результат тестирования | ловит тоолько Nod32 |
* Зелёным цветом отмечены вирусы, определяемые конкретной антивирусной программой, Красным - не определяемые, Оранжевым - определяемые не всеми версиями антивирусной программы.
** Примечание. CureIT от Dr Web не проверяет содержимое архивов.
*** Названия вирусов приведены по различным нотациям.
**** virustotal.com показывает сравнительные результаты проверки разными антивирусами. Некоторые из "западных" антивирусов определяют код, вроде бы как содержащий вирус, но на самом деле многие антивирусные программы не делают различия понятий ВИРУС, SPYWARE и ADWARE.
Данные проверки файлов на ВирусТотал хранятся не долго и за прошлые годы могут быть уже недоступны.
По свежему вирусу ntfsys.sys хорошо видно отставание сканеров "западных" антивирусных программ. Его на сегодня определяет только DrWeb и Касперский. Этот вирус загружается как драйвер ОС и увидеть его штатными средствами практически невозможно. У меня он "выдал" себя "перемигиванием дисплеев" активности локальной сети, когда полез в интернет.
На антивирус надейся, а сам не плошай!
Итак, по оперативности определения новых вирусов, сканеры антивируса Касперского и DrWeb - лучшие антивирусы для Рунета, далее идет Nod32. Почему я не ставлю KAV? Из прошлого опыта использования антивируса Касперского (KAV), на момент версии до 4.5 включительно, но так сильно тормозил компьютер, что этот антивирус пришлось деинсталлировать и поставить Nod32. Да и деинсталлировался Касперский - плохо, так как подменял своими некоторые системные библиотеки Windows.Скорее всего, на сегодня он стал много лучше, но экспериментировать за свои деньги, покупая лицензионного Касперсокго, уже как то не хочется.
К тому же, есть более важный и эффективный первый рубеж обороны от вирусов. И эту простую истину мне помог постичь, как ни странно онлайн сканер Panda Security (для сканирования надо зарегистрироваться и активировать ссылку, полученную по EMail).
Этот сканер информирует о найденных уязвимостях и дырах в вашей операционной системе с полной расшифровкой и ссылками на бюллютень Microsoft и патчами, которые надо поставить. У меня он нашел их целых 66 штук. Через эти дыры и происходило заражение моего ПК.
Антивирусная программа - это АКТИВНАЯ ЗАЩИТА или второй рубеж антивирусной защиты, но не забывайте про первый рубеж обороны - ПРОАКТИВНУЮ ЗАЩИТУ. Во-время заделав дыры в ОС вы элементарно лишите большинство вирусов возможности проникнуть на Ваш ПК.
О чём я? Да, конечно же, об Windows Update! Какой Сервис Пак установлен у Вас? Правой кнопкой кликните по ярлыку "Мой Компьютер" и выберите свойства. Читаем: Система Microsoft Window XP версия 2002 Service Pack 2. Не, ну так нельзя! 06 мая 2008 года вышел пакет обновления Service Pack 3! Если он у Вас не установлен - срочно устанавливайте и затыкайте все дыры и уязвимости в вашей Windows XP.
А потом не лишне скачать с сайта Майкрософт и установить все критические обновления безопасности, выпущенные после Service Pack 3.
Теперь Ваш антивирус будет "верещать" намного реже, поскольку без вашего ведома посадить вирус на комьютер уже будет очень трудно.
ВАЖНО: Установка Service Pack 3 на нелицензионную пиратскую копию Windows сбросит активацию, и в течение 30 дней Вам надо будет заново активировать вашу копию Windows!
Послесловие
В заключение, хотелось бы выразить благодарность авторам программного обеспечения, с помощью которого мне удается отлавливать вирусы без антивирусных программ.1. Как ни странно, это Far менеджер от Евгения Рошала (кто не знает - это старый добрый Norton Commamder под Windows XP). С помощью него, если знать, что и где смотреть, можно увидеть как и когда вирус проник на Ваш ПК.
Поскольку многие вирусы, находясь в запущенном состоянии, скрывают свои файлы и ветки реестра, для просмотра что где и как корректнее загружаться с "чистой" операционной системы.
2. winpatrol - удобно показывает новые появившиеся библиотеки DLL, что и в какой ветке реестра запускается при старте компьютера, что добавляется в автозагрузку, Cookies, какие сервисы работают в системе, какие программы используют ActiveX и т.п.
3. Anvir task manager - так же показывает все процессы и драйвера, запущенные в системе и какие DLL они используют, сколько системных ресурсов занимает каждый процесс и т.п.
4. Processinfo - простая программа, показывающая запущенные в системе процессы, откуда они запускаются, какие DLL используют и кто их автор.
Есть 2 разных программы Processinfo Processinfo от SourceForge и Processinfo от Jobe Software, я использовал демо-версию от второй.
5. Дополнительно к упомянутой выше virustotal.com есть отличная он-лайн проверка подозрительных файлов на вирусы - threatexpert.com, оперативность реагирования на свежие штаммы вирусов 1-2 дня.
Савилов Юрий, 06 сентября 2008г, специально для сайта www.nvb.ru.
При полной или частично перепечатке материалов, активная гиперссылка на сайт обязательна.
Update: после выхода 5-й версии Nod 32, мнение автора по поводу этого антивируса несколько изменилось.
