Broń się

Wirusy atakują rzadko. Prawdopodobnie tylko jeden z ponad 50 tysięcy znanych wirusów dotrze do twojego komputera w ciągu roku. Jednak nawet jeden udany atak wystarczy do zniszczenia wszystkich cennych danych.

Wirusy atakują rzadko. Prawdopodobnie tylko jeden z ponad 50 tysięcy znanych wirusów dotrze do twojego komputera w ciągu roku. Jednak nawet jeden udany atak wystarczy do zniszczenia wszystkich cennych danych.

Najczęściej spotykane wirusy w listopadzie 2002 - wg Kaspersky Lab

Najczęściej spotykane wirusy w listopadzie 2002 - wg Kaspersky Lab

Wirusy komputerowe istnieją tak długo, jak komputery i systemy operacyjne. W latach 80. ubiegłego wieku dominowały wirusy plikowe i dyskowe, a od lat 90. mamy do czynienia z makrowirusami, atakującymi np. dokumenty Worda i arkusze Excela. Obecnie najgroźniejsze są jednak robaki sieciowe - takie jak LoveLetter, Klez czy Nimda. Potrafią się replikować i rozsyłać w Sieci, korzystając z książek adresowych ofiar. Ich masowa reprodukcja jest o tyle niebezpieczna, że nawet gdy nie mają procedur destrukcyjnych (np. usuwania plików), generują ogromny, a niepotrzebny ruch w Sieci i doprowadzają do blokowania serwerów.

Wbrew pozorom tylko niewiele wirusów i robaków sieciowych rzeczywiście może zaatakować komputer. Te najgroźniejsze tworzą tzw. Wild List (www.wildlist.org), publikowaną co miesiąc listę wirusów spotykanych w danym okresie w komputerach na całym świecie. Ogromna liczba tych, które potrafią wykrywać programy antywirusowe - około 50 tysięcy gatunków - istnieje tylko w laboratoriach firm antywirusowych i w kolekcjach ich zbieraczy. Równie groźne są wszelkiego typu konie trojańskie (tzw. trojany) oraz narzędzia typu backdoor, umożliwiające zdalne przejęcie kontroli nad komputerem ofiary. Jak się okazuje, wiele programów antywirusowych nie radzi sobie z dwoma ostatnimi zagrożeniami.

Tradycyjnie już na naszych krążkach CD/DVD dołączamy bogaty zestaw oprogramowania antywirusowego w wersjach testowych, kilka bezpłatnych programów AV oraz całą kolekcję narzędzi do usuwania poszczególnych, najbardziej znanych zagrożeń.

Mroczne widmo

Pod koniec października 2002 roku trzech naukowców: Stuart Staniford (Silicon Defense), Vern Paxson (ICSI Center for Internet Research, Lawrence Berkeley National Lab) i Nicholas Weaver (University of California) opublikowało interesującą pracę dotyczącą teoretycznej możliwości skonstruowania superrobaka sieciowego, mogącego totalnie zablokować Internet w ciągu kilku, kilkunastu minut.

Brzmi niewiarygodnie? Zbadano dokładnie kod najgroźniejszych najnowszych robaków - Nimda i Code Red. Okazało się, że były naprawdę niebezpieczne, chociaż zawierały stosunkowo proste mechanizmy - ślepo wybierały obiekt ataku i nie miały naprawdę destrukcyjnych procedur. Teoretycznie możliwe jest więc opracowanie robaka sieciowego, który będzie precyzyjnie wybierać kluczowe obiekty ataku, opierając się na ich znanych (np. z wcześniejszego skanowania), słabych punktach.

Szybkość i skuteczność takiego ataku może być zabójcza. Pamiętajmy, że uaktualnienia bazy wirusów, łatki do oprogramowania i awaryjne narzędzia ratunkowe pojawiają się - jak dotąd - najwcześniej po 24 godzinach od ataku. Tradycyjne oprogramowanie antywirusowe może się okazać nieskuteczne - Sieć będzie martwa, zanim ktokolwiek otrzyma uaktualnienie.

W symulacji ataku okazało się, że w ciągu niecałego kwadransa robak o takiej konstrukcji może zainfekować ponad 9 milionów serwerów... Przy szybkich łączach sieciowych cały atak może trwać jeszcze krócej. Tego typu robak sieciowy może mieć znaczenie wręcz militarne. Ten teoretyczny superrobak ma już nawet imię: Warhol Worm - od nazwiska malarza, który twierdził, że każdy ma swoje 15 minut.

Wielu specjalistów do spraw bezpieczeństwa sieci korporacyjnych i rządowych w Stanach Zjednoczonych uważa, że atak tego typu jest możliwy. Przedstawiciel firmy Kaspersky Lab, znanego producenta oprogramowania antywirusowego twierdzi nawet, że tego typu atak został przewidziany już kilka lat temu, nie publikowano jednak żadnych materiałów, aby nie dawać wskazówek twórcom wirusów.

Więcej informacji: www.cs.berkeley.edu/~nweaver/warhol.htm

Samo zakupienie programu antywirusowego nie wystarcza, aby czuć się w pełni bezpiecznym. Należy pamiętać o jego regularnej aktualizacji - baza danych o zagrożeniach to podstawa pracy antywirusa - a także o zachowywaniu podstawowych środków ostrożności (piszemy o tym w dalszej części artykułu). Jeśli stale korzystasz z Internetu, warto pomyśleć o podwójnym zabezpieczeniu i zainstalować w systemie prywatną zaporę, która stanowić będzie doskonałe uzupełnienie programu antywirusowego (wybór zapory doradzamy w artykule "Igraszki z ogniem"). Na koniec pozostaje jeszcze odpowiednie skonfigurowanie obu programów, co w przypadku najlepszych (i najdroższych) produktów jest z reguły banalne, a podczas pracy z produktami tańszymi czy darmowymi - wymaga czujności przy włączaniu kolejnych opcji.

Jak testowaliśmy

Wyniki testów programów antywirusowych przeprowadzonych przez AV-Test.org dla laboratorium PC World

Wyniki testów programów antywirusowych przeprowadzonych przez AV-Test.org dla laboratorium PC World

Podczas testów przeprowadzonych w redakcji PC Worlda korzystaliśmy z bazy ponad 3800 wirusów, makrowirusów i robaków sieciowych znajdujących się w ponad 9600 plikach, częściowo spakowanych do archiwów ZIP. Skanowanie plików skompresowanych, jak się okazało, to pięta achillesowa wielu antywirusów.

Każdy z programów antywirusowych instalowaliśmy na czystej partycji, w systemie Windows XP, na komputerze z dyskiem 20 GB, procesorem Intel Pentium III 900 MHz i 64 MB RAM. Badaliśmy czas skanowania partycji, czas skanowania krążka CD-R z wirusam i oraz skuteczność wykrywania wirusów.

Czas skanowania i skuteczność wykrywania badane były dla dwóch przypadków - domyślnych ustawień programu i ustawień "maksymalnych" (skanowanie wszystkich plików, pełne skanowanie archiwów, heurystyka itd.)

Badaliśmy zarówno liczbę znalezionych przypadków infekcji, jak i liczbę typów wirusów rozpoznanych przez dany program. Te dwie wartości niełatwo sprawdzić - każdy z antywirusów generuje własny rodzaj raportu, nie wszystkie podają liczbę znalezionych typów wirusów. Nawet podawana liczba infekcji może się różnić, chociaż programy wykryły wszystkie zagrożenia. Program A poda liczbę przypadków wystąpienia wirusa, program B - liczbę zainfekowanych plików. Liczba wykrytych typów wirusów również nie zawsze jest miarodajna. Otóż niektóre programy traktują podobne warianty wirusa jako jeden gatunek, podczas gdy inne wyróżniają poszczególne (nawet bardzo podobne) odmiany.

Aby uniknąć nieporozumień, przygotowaliśmy specjalny program, umożliwiający precyzyjne zliczanie znalezionych przez antywirusa infekcji. Jednocześnie redakcja PC Worlda zastrzega, że nie rości sobie prawa do miana laboratorium antywirusowego, a podane wyniki mają jedynie charakter poglądowy.

Sprawdziliśmy, jak działa ochrona poczty elektronicznej (podczas wysyłania i odbierania e-maili z zawirusowanymi załącznikami), a także jak monitory antywirusowe reagują na pobieranie zawirusowanych plików przez przeglądarkę internetową. Szczególną uwagę zwróciliśmy na skanowanie i wykrywanie wirusów w plikach skompresowanych. Ta próba odsłania słabe strony wielu programów. Ocenialiśmy także interfejs użytkownika, łatwość obsługi programu, dostępność i cenę aktualizacji bazy wirusów.

Dodatkowo podajemy wyniki szczegółowego testu programów antywirusowych, przeprowadzonego przez naszych amerykańskich kolegów z PC Worlda i organizację AV-Test.org. Do tych testów użyte zostały wirusy z Wild List (z lutego 2002) oraz 13 007 wirusów "laboratoryjnych" (tzw. Zoo) w 42 522 plikach.

Niejednoznaczność ocen

Podczas testowania napotkaliśmy wiele przypadków "niestandardowego" zachowania się programów, które jako sporadyczne nie były ujęte w procedurze testowej, ale które wpływały na opinię testującego jakość i efektywność pracy z programem. Są to, np. konflikty z produktami konkurencyjnymi, łatwość deinstalacji oraz odmienne zachowanie się różnych wersji programu wykorzystującego ten sam algorytm wyszukiwania wirusów. Testując na czystym systemie, nie sprawdzaliśmy, który program "gryzie" się z jakim konkurentem i jakie aplikacje...przestają działać po zainstalowaniu danego antywirusa. Jak pokazuje praktyka zdarza się to wcale nierzadko...

Nie należy zakładać poprawnej pracy kilku programów antywirusowych zainstalowanych w tym samym systemie. Należy się liczyć z istotnym spowolnieniem pracy systemu oraz możliwymi konfliktami ze sterownikami aplikacji użytkownika.


Zobacz również