Strażnicy systemu

Programy antywirusowe nadążają za zmieniającymi się zagrożeniami, jednak głęboko ingerują w system operacyjny. Techniki heurystyczne nie są tak skuteczne, jak chcieliby spece do marketingu, podstawą bezpieczeństwa jest połączenie antywirusa z zaporą sieciową.

Programy antywirusowe nadążają za zmieniającymi się zagrożeniami, jednak głęboko ingerują w system operacyjny. Techniki heurystyczne nie są tak skuteczne, jak chcieliby spece do marketingu, podstawą bezpieczeństwa jest połączenie antywirusa z zaporą sieciową.

Testowanie programów antywirusowych przypomina chodzenie z zamkniętymi oczami po polu minowym. Są to jedne z najbardziej skomplikowanych aplikacji, jakie instalujemy na domowym komputerze.

Antywirusy wyświetlają informacje o infekcjach i generują raporty, które trudno wzajemnie porównywać.

Antywirusy wyświetlają informacje o infekcjach i generują raporty, które trudno wzajemnie porównywać.

Antywirus musi chronić przed różnymi typami zagrożeń, co wymaga przejmowania wielu zadań systemu, np. sprawdzanie każdego pliku przed jego odczytem przez inną aplikację. Kłopot sprawia nawet badanie wykrywalności wirusów. Jeden program może przecież uznać dany plik za niegroźny, podczas gdy inny zaliczy go do zainfekowanych (choćby zagrożenie było nikłe). Konkurencja między antywirusami trwa, a program wykrywający więcej zagrożeń często jest automatycznie uznawany za lepszy. Zamieszanie potęguje fakt, że produkty różnych firm stosują odmienne sposoby raportowania o zagrożeniach, np. wymieniając kilka sygnatur wykrytych w jednym pliku lub przeciwnie, podając tylko nazwę zainfekowanego. Brak ujednoliconej formy raportowania dodatkowo utrudnia porównanie konkurencyjnych programów. Bywa, że liczba przeskanowanych plików różni się o ponad 5 procent. W zawyżaniu liczby skanowanych plików przoduje Norton AntiVirus. Na krążku zawierającym 8837 plików antywirus Symanteca przeskanował... 9398.

Skanowanie to za mało

Zestawienie programów antywirusowych

Zestawienie programów antywirusowych

Tymczasem skuteczny antywirus to taki, który uchroni przed stratami związanymi z działalnością wirusów, robaków, szpiegów i sieciowych przestępców. Jak widać, taki program w wersji klasycznej to dzisiaj zdecydowanie za mało. Jeśli nie masz pakietu typu "Internet security", koniecznie zainstaluj zaporę sieciową (zobacz nasz test zapór, także bezpłatnych), przyda się również program antyszpiegowski oraz filtr antyspamowy. Dwa ostatnie narzędzia często są wbudowane w antywirusa, nawet jeśli nie są wymienione na pudełku z programem.

Jak testować antywirusy?

W wypadku infekcji antywirus powinien podać nie tylko nazwę pliku, ale i rodzaj zagrożenia.

W wypadku infekcji antywirus powinien podać nie tylko nazwę pliku, ale i rodzaj zagrożenia.

W naszym teście sprawdziliśmy funkcje dostępnych na rynku programów antywirusowych, a także modułów będących częścią większych pakietów typu "Internet security". Pod uwagę wzięliśmy kilka aspektów pracy. Zmierzyliśmy szybkość skanowania twardego dysku, sprawdziliśmy dokładność wykrywania wirusów na przykładowej próbce blisko 9 tysięcy zainfekowanych plików. Zmierzyliśmy również obciążenie pamięci i spowolnienie pracy systemu przy włączonym monitorze antywirusowym. Dodatkowo zbadaliśmy również, jak działają mechanizmy heurystyczne wbudowane w poszczególne produkty. Analiza heurystyczna teoretycznie powinna antywirusowi pozwolić wykrywać nieznane jeszcze zagrożenia. Test heurystyki był skomplikowany - nie uruchamialiśmy groźnych programów, lecz sprawdziliśmy, czy antywirus rozpozna nowe zagrożenia podczas rutynowego skanowania folderu. Wirusy i robaki użyte do testu analizy heurystycznej przygotowane zostały dostępnymi w Internecie narzędziami do generowania robaków wykorzystujących pocztę elektroniczną, sieci P2P oraz kanały IRC, w próbce znalazły się także nowe typy makrowirusów i niebezpiecznych skryptów VBS.

Dlaczego tyle uwagi poświęciliśmy analizie heurystycznej? W wypadku ataku nowego wirusa lub robaka o globalnym zasięgu czas rozprzestrzeniania się infekcji na cały świat to najczęściej kwestia kilkunastu minut!

Żaden producent nie zdoła przygotować szczepionki w tak krótkim czasie. Program ochronny musi zareagować poprawnie - zablokować lub usunąć podejrzany proces, gdy tylko pojawi się w komputerze.

mks_vir 2005

Pakiet mks_vir w wersji 2005 testowaliśmy już podczas poprzedniego przeglądu antywirusów. Na razie nie pojawiła się wersja 2006, ale nie oznacza to, że program nie jest rozwijany. Przeciwnie, regularne aktualizacje obejmują nie tylko bazę wirusów, ale też silnik programu. Charakterystyczną cechą mks_vir 2005 jest moduł nadzorowania zmian w rejestrze. Funkcja działa bardzo czujnie - gdy dowolny program zmieni wartość rejestru lub doda nową pozycję, użytkownik jest informowany. Może się to wydawać nadmierną ostrożnością, czasem bywa irytujące, np. gdy instalujesz wiele aplikacji. Funkcję można wyłączyć, ale w czasie normalnej pracy powinna pozostać aktywna, bo pozwala wykryć wiele podejrzanych operacji, np. instalację w systemie oprogramowania szpiegowskiego. Dla zaawansowanego użytkownika to nieoceniona pomoc - niewidoczne zwykle operacje w rejestrze są dokładnie monitorowane.

Informacje

mks, http://www.mks.com.pl

Cena 175 zł

Panda Platinum 2006 Internet Security

Panda Platinum nie bez powodu uznawana jest za jeden z najprzyjaźniejszych użytkownikowi antywirusów. Nie wymaga żadnej konfiguracji, od razu po zainstalowaniu pobiera potrzebne aktualizacje.

Program wykazał się dużą dokładnością w wykrywaniu znanych zagrożeń, niestety, poległ na analizie heurystycznej nowych wirusów i robaków. W tym miejscu trzeba zaznaczyć, że testowaliśmy wirusy nieaktywne, tzn. folder z zainfekowanymi plikami. Prawdopodobnie w wypadku uruchomienia poszczególnych wirusów system ochronny zareagowałby poprawnie np. na próbę modyfikacji folderu systemowego. Jednak niepokoi, że Panda Platinum pozwala (nawet przy maksymalnej czułości heurystyki) na obecność na dysku potencjalnie niebezpiecznych plików. Uwaga! Program generuje zauważalną liczbę fałszywych alarmów. Jeśli programujesz w asemblerze, twoje narzędzia mogą być uznane za niebezpieczne!

Informacje

Panda Software, http://www.pspolska.pl

Cena 260 zł

McAfee Internet Security Suite 8.0

Pakiet McAfee Internet Security Suite 8.0 składa się z kilku elementów: jest tu i antywirus, i zapora sieciowa, filtr antyspamowy oraz moduł ochrony poufnych danych użytkownika. W tym teście przyjrzeliśmy się antywirusowi, czyli McAfee VirusScan. Po zainstalowaniu i uaktualnieniu aplikacji czeka użytkownika pierwsza niespodzianka: program wyświetla okna komunikatów niemal identyczne jak Panda Platinum 2006. Oczywiście to nie zarzut, bo specjalne okna zwracają uwagę użytkownika, który nie przegapi informacji istotnych dla bezpieczeństwa systemu. Podczas testowania krążka ze zbiorem wirusów program wyświetlił zaskakującą informację o usuwaniu zagrożeń, co oczywiście w wypadku wirusów wypalonych na CD nie jest możliwe. Aplikacja firmy McAfee wykazała się dużą skutecznością w wykrywaniu nieznanych zagrożeń - uzyskała jeden z najlepszych wyników testu analizy heurystycznej.

Informacje

McAfee, http://www.mcafee.com.pl

Cena 220 zł

ArcaVir 2006

Program powstał na bazie technologii firmy mks, ale obecnie to już zupełnie odrębny produkt. Kompleksowy pakiet ochronny zawiera program antywirusowy, zaporę sieciową, filtr antyspamowy, moduł antyszpiegowski, a także wykrywający zagrożenia typu rootkit. Twórcom ArcaVir udało się umiejętnie połączyć funkcje dla początkującego i zaawansowanego użytkownika. Interfejs aplikacji jest prosty, uruchamianie najważniejszych funkcji nie sprawi nikomu kłopotu, natomiast użytkownik ma dostęp do tak szczegółowych informacji, jak lista wszystkich procesów sprawdzanych przez monitor antywirusowy. ArcaVir 2006 wykazał się niezłą sprawnością technik heurystycznych, chociaż gorszą niż np. mks_vir 2005. Na uwagę zasługuje tempo prac nad programem, który znacznie rozwinął się od czasu pierwszej wersji, co tu kryć, mocno przypominającej mks_vir 2005.

Informacje

ArcaBit, http://www.arcabit.pl

Cena 183 zł

eScan 8.0.636.1

To produkt nierówny. Niewiele można mu zarzucić pod względem dokładności skanowania, ale współpraca z użytkownikiem budzi zastrzeżenia. Program dostępny jest w polskiej wersji językowej, ale w nazwach opcji trafiają się różnego rodzaju kwiatki, np. opcja aktualizacji nazwana jest Pobrano uaktualnienie eScan. Niektóre opcje działają w sposób mało przewidywalny, np. skanowanie pojedynczego folderu poprzedzane jest zawsze długotrwałym sprawdzaniem pamięci operacyjnej. W czasie testu heurystyki program nie wyświetlił żadnego komunikatu o wykryciu niebezpiecznych czy choćby potencjalnie groźnych obiektów, a jednak z folderu z próbkami nowych wirusów znikło siedem plików! Rzeczywiście zawierały niebezpieczny kod, ale użytkownik powinien być informowany o tego typu działaniach. Przecież usunięte pliki mogły zawierać np. wersje rozwojowe tworzonych aplikacji!

Informacje

Quantus, http://www.quantus.pl

Cena 135 zł


Zobacz również