Натуралистами открыты
У паразитов паразиты.
И произвел переполох
Тот факт, что блохи есть у блох,
Что на клопе бывает клоп,
Питающийся паразитом,
На нем другой,
ad infinitum...

Современные антивирусные программы без проблем побеждают знакомые напасти, но насколько они эффективны в борьбе против неизвестных? Мы протестировали десять претендентов на звание «Лучшая покупка», и теперь у нас есть две новости — хорошая и плохая. Первая: все антивирусные продукты, исследованные в рамках этой статьи, опознали и уничтожили 100% известных угроз безопасности системы. Вторая: эти утилиты не способны полностью оградить вас от новых бед (а их, между прочим, хоть пруд пруди).

Специализирующаяся на системах безопасности немецкая фирма AV-Test (http://www.av-test.org), которая помогала нам в исследованиях, утверждает, что ежедневно обнаруживается от 70 до 100 новых злоумышленников. Поскольку большинство из них представляют собой варианты известных пакостей, то в течение нескольких часов каждый поставщик антивирусного ПО выпускает дополнения, позволяющие оградить компьютеры от этой модифицированной инфекции. Кроме того, вирусописатели обожают разводить и выпускать в сеть червей, которым для самораспространения файл как таковой вообще не нужен. Пишут они и другие разрушительные программы, проникающие в компьютер через вложения электронной почты.

В ответ поставщики защитного ПО модернизируют и обновляют свои продукты множеством способов. Зачастую они объединяют в одном пакете традиционный антивирус с антишпионскими программами и брандмауэром, дабы обеспечить круговую оборону, и стремятся сократить время выпуска новой порции определений кибервредителей. Разработчики также оттачивают эвристические способности своих продуктов (математические алгоритмы, позволяющие выявлять новые угрозы безопасности путем анализа их сходства с известными участками вредоносного кода) и стараются снизить риск ложных тревог, поскольку во время таких срабатываний приложение может ошибочно пометить файл как вредоносный. В лучшем случае это просто отвлекает пользователя, в худшем приводит к удалению файла.

Компании реализуют в своих продуктах методы обнаружения, основанные на анализе поведения программ, не идентифицирующихся по обновляемому списку определений. Такая технология ставит под неусыпное наблюдение те части системы, которые с наибольшей вероятностью могут стать мишенью для атаки, идентифицирует подозрительное поведение и блокирует виновника. Недостаток данного подхода заключается в том, что во время выявления вредоносной программы по поведенческому признаку она уже должна быть активна на вашем компьютере. Поэтому «детекторы движения» лучше всего использовать как дополнительный слой защиты, расположенный за щитом активного антивирусного сканера, в идеале обнаруживающего угрозу еще до ее проявления.

Наше оружие

Руководствуясь изложенными положениями, PC World постарался выяснить, какой из современных антивирусов способен защитить от знакомых и незнакомых напастей. Мы протестировали десять продуктов ценой от 0 до 50 долл. Чтобы четко разметить игровое поле, мы исследовали лишь отдельные антивирусы, где это возможно, и взяли только антивирусные компоненты пакетов, предлагающих дополнительно антишпионскую защиту и сетевые экраны. Тестирование пакетов с активированными компонентами дополнительной защиты несправедливо давало бы им преимущество перед отдельными антивирусными продуктами, к которым, кстати, также можно (и мы это настоятельно рекомендуем) добавить брандмауэр и антишпионскую программу.

Пользовательский интерфейс программы BitDefender вполне обычен, а производительность — непревзойденная

Когда развеялся дым над полем сражений, то остался победитель — BitDefender 9 Standard, неизменно оказывавшийся в пятерке лучших по каждому тесту. И стоит он всего 30 долл. McAfee VirusScan 2006 за 40 долл. с его выдающимися эвристическими способностями и интуитивно понятным интерфейсом занял почетное второе место.

PC-cillin Internet Security Suite 2006 от фирмы Trend Micro, претендовавший на звание лучшей покупки в июле 2004 г., оказался девятым из десяти. Он плохо проявил себя в борьбе с нашим «зоопарком», провалил эвристические тесты, к тому же неоправданно дорог, поскольку поставляется в составе полного набора средств безопасности. К его явным плюсам относятся мгновенное время отклика и блестящий пользовательский интерфейс.

PC-cillin от фирмы Trend Micro вмещает много полезной информации в окне с хорошим дизайном

Троице бесплатных программ также не удалось высоко подняться в нашей турнирной таблице: AntiVir занял седьмое место, Avast — восьмое, а AVG — и вовсе десятое место. Впрочем, тем, кто не собирается тратиться на антивирусное ПО, любая из этих утилит, безусловно, будет лучше, чем ничего.

Стрельба по знакомым мишеням

При стандартных конфигурациях и на базе последних определений вирусов все протестированные AV-Test продукты показали стопроцентный результат при ловле «диких зверей» согласно спискам WildList как в реальном времени, так и при сканировании по заказу, когда пользователь самостоятельно инициирует проверку или вносит ее в расписание занятий для своего компьютера.

Не сумели своевременно обнаружить макровирусы и расправиться с ними следующие программы. Так, Avast не зачистил десяток вирусов, включая парочку нацеленных на файлы PowerPoint версий от 97 до 2003, и шесть вирусов, поражающих документы Word 6. Panda также не смогла полностью избавиться от двух поражающих PowerPoint вредителей, хотя файлы все еще оставались рабочими. AntiVir не справился с десятком «грызунов» для Word 6, а BitDefender пропустил два, нацеленных на файлы, созданные в Word версий 97—2003. Результаты печальные, поскольку это не самые новые вирусы, а значит, современные продукты обязаны с ними справляться.

Способность ловить перечисленные WildList напасти, которые широко распространены, безусловно, должна быть основным свойством антивирусных программ. Распознавание злодеев, помещенных в «зоопарк» AV-Test, — задача несколько иного плана.

Norton AntiVirus подробно разъясняет выбранный пользователем элемент интерфейса

Kaspersky AntiVirus Personal 5.0 оказалась единственной из рассмотренных программ, на 100% определившей все три типа вредителей из предложенных. F-Secure и Symantec также успешно справились, ведь и 97% — превосходный результат.

Аутсайдером осталась программа PC-cillin. У нее один из наихудших показателей, она определила только 76% злоумышленников в «зверинце», включая 85% роботов, 82% создателей «черных ходов» (back doors) и 69% «троянских коней». Trend Micro утверждает, что они не хотят расходовать ресурсы, разрабатывая файлы для определения вредителей за счет безнаказанно гуляющих по «зоопарку» экземпляров, поскольку те не досаждают их пользователям. Мы не можем утверждать, насколько опасны злодеи, помещенные в коллекцию AV-Test, но все же предпочитаем продукты, способные опознать всех «животных» оттуда.

Сражение с неизвестной угрозой

В эвристических тестах ни один из продуктов не продемонстрировал исключительно хороших результатов. Это подтвердило мнение о том, что необходимо совершенствовать функцию обнаружения новых вредителей. В данном направлении предстоит еще много работы. При тестировании приложений с устаревшими на один месяц определениями наилучший результат показал BitDefender. Вторым идет McAfee, который буквально дышит лидеру в затылок, определяя 41% червей и 55% вредителей типа «черный ход». Не слишком отстают и F-Secure с Касперским, каждый из них выявляет 32% червей и 53% создателей секретных лазеек. (Между прочим, AV-Test утверждает, что 50% попаданий — очень хороший результат для эвристического анализа.) С тестированием приложений с базой сигнатур, устаревшей на два месяца, все программы справились гораздо хуже.

McAfee VirusScan в обоих тестах эвристики финишировал вторым

PC-cillin снова с треском провалился. Этот сканер, снабженный определениями месячной давности, поймал только 5% червей и обнаружил 7% «черных ходов». Он оказался самым слабым, и Trend Micro ощущает, что основная проблема, связанная с эвристикой, — ложные срабатывания — перевешивает все преимущества, поэтому ее совершенствованию компания решила уделять меньше внимания.

Жажда скорости

Мы тестировали продукты по двум параметрам — по скорости полного сканирования системы на наличие вирусов и, что более важно, по оперативности, с которой компании выпускают обновления определений при вспышке новой инфекции. Быстрее всех справилась с полной проверкой системы Panda, обернувшаяся за 1 мин 46 с (усредненное время). Самая медленная программа, Avast, работала в среднем 13 мин 11 с.

Когда AV-Test исследовала скорость отклика компаний на эпидемии, то все отреагировали на инциденты за время, не превышающее 12 ч. Касперский показал наилучшее время (от 1 до 2 ч), и лишь незначительно от него отстали BitDefender и F-Secure, затратив на время отклика от 2 до 4 ч. AntiVir и PC-cillin потребовалось от 4 до 6 ч. AVG, Avast и McAfee охотились в течение 8—10 ч, а Symantec возился дольше всех — от 10 до 12 ч.

Комфорт

Некоторые программы предоставляют приятные возможности. Все они автоматически переписывают из Сети последние определения вирусов и пакеты обновлений. Большинство из них позволяют запрограммировать полную проверку или частичное сканирование по определенному расписанию. Отдельные продукты, такие как бесплатный сканер AVG, не столь гибки в настройке, и с их помощью можно составлять расписание сканирования только для определенных дисков и типов файлов. В отличие от всех остальных антивирусов Titanium 2006 Antivirus не разрешает назначать задания. Чтобы делать это, нужно приобрести полную версию пакета Panda Platinum 2006 Internet Security Suite.

Эвристические способности антивируса Panda оказались посредственными

Многие программы активно применяют консольные окна, подобные Security Center из Windows XP SP2, предоставляющему обзор состояния вашего ПК. Symantec Norton Protection Center, например, сообщает вам, насколько защищен компьютер в то время, когда вы занимаетесь повседневными делами, например работаете с электронной почтой или просматриваете веб-страницы. В отдельных случаях компании явно используют эту консоль для продвижения других своих продуктов (в частности, McAfee Security Center), которые, однако, все же могут быть полезны для обнаружения дыр в системе безопасности.

F-Secure постоянно сообщает о последних антивирусных новостях

F-Secure и Panda показывают последние новости, касающиеся безопасности, в своих пиктограммах в системной области строки задач. BitDefender размещает на экране маленькое окно, где графически отображается число файлов, обработанных в процессе сканирования (эту функцию можно выключить).

Сканер Trend Micro PC-cillin мы сочли самым легким в работе. Он совмещает массу информации о безопасности с простым и интуитивно понятным интерфейсом. Оставаясь доступным для начинающих, он предоставляет опытным пользователям широкие возможности настройки и конфигурирования.

Внешне Avast похож на медиаплеер, поэтому некоторые функции оказались спрятаны

Avast от Alwil Software отличился уникальной, превосходной основной консолью, полностью видоизменяемой, ее можно «переодевать» в другую «одежду», как ряд медиаплееров. Но в принципе этот антивирусный продукт предоставляет ту же информацию, что и другие, причем отдельные функции скрываются за окружающими программу кнопками.

Интерфейс остальных продуктов довольно зауряден. Окно, всплывающее при открытии BitDefender, информирует пользователя лишь о том, включена ли защита от вирусов и работает ли автоматическое обновление. Для доступа к более полезным функциям нужно перебрать закладки в левой части окна. Они открывают интуитивно понятные панели инструментов, позволяющие быстро добраться до самых тонких настроек. Здесь вы можете определить, что вы хотите — получать уведомления о состоянии дел в системе безопасности или, например, сменить боевую раскраску.

Основное окно Grisoft AVG практически бесполезно. Скудный набор функций: «Сканировать компьютер», «Сканировать определенные области» и «Проверить обновления» (Scan Computer, Scan Selected Areas и Check For Updates) — свидетельствует об ограниченности этой программы, а некоторые опции конфигурирования (в частности, Scheduler) выдают лишь уведомление о том, что они доступны в платной версии продукта AVG Professional (ее мы не протестировали из-за ограниченности системных ресурсов и временных рамок).

В любом случае благодаря таким продуктам, как Grisoft’s AVG Home Edition, не нужно тратить деньги на то, чтобы выиграть схватку с известными вирусами. И хотя ни один антивирусный пакет полностью не оградит вас от незнакомой заразы, любой из лидирующих в нашем списке продуктов даст вам б?ольшую защиту, чем та, которую вы получите от других.


Tony Bradley. The New Virus Fighters. PC World, март 2006 г., с. 82


Что мы тестировали

В тестовую группу были включены:

  • Автономные бесплатные антивирусы Alwil Software Avast Home Edition 4.6, AntiVir Personal Edition Classic 6.32 и Grisoft AVG Free Edition 7.1.
  • Платные антивирусные приложения F-Secure AntiVirus 2006, Kaspersky Lab Kaspersky AntiVirus Personal 5.0, McAfee VirusScan 2006 и BitDefender 9 Standard.
  • Антивирусные компоненты пакетов Panda Software Panda Titanium 2006 Antivirus + Antispyware и Symantec Norton AntiVirus 2006, включающих также антишпионское ПО и неотъемлемый антивирусный компонент интегрированного пакета PC-cillin Internet Security Suite 2006 компании Trend Micro.

Мы не включили в этот рейтинг нашего предыдущего победителя — программу ZoneAlarm Antivirus фирмы Zone Labs. Это набор, в состав которого входят антивирус Vet Antivirus компании Computer Associates, сетевой экран фирмы Zone Labs и ее же «детектор движения» под названием OSFirewall, обеспечивающий превентивные меры по выявлению и блокированию угроз при подозрительном поведении системы.

В любом случае AV-Test не смогла бы оценить эффективность системного монитора фирмы Zone Labs для обнаружения подозрительной деятельности. Это заняло бы несколько месяцев, так как в тестируемой системе каждая программа должна быть активна. А поскольку OSFirewall является неотъемлемой частью пакета Zone Labs, мы исключили весь продукт. (Продукт компании Panda Software, включенный в данный обзор, также использует детектор подозрительного поведения.) AV-Test дисквалифицировала антивирусный сканер фирмы Computer Associates, поскольку он оказался неэффективным и с запозданием обновлял списки определений последних вирусов.


Как мы тестировали

Всего AV-Test провела пять тестов.

Сперва было проверено, способны ли эти продукты идентифицировать 1518 «диких» участков вредоносного кода, перечисленных в списке вирусов и других угроз, которые идентифицированы организацией WildList как активно циркулирующие в широких слоях населения.

Затем программы были протестированы на способность выявить угрозы, не включенные в список «диких». Для этого использовалась специальная коллекция (или «зоопарк»), состоящая из 136 250 программ класса «черный ход», троянов и роботов (также называемых «зомби»). «Зоопарк» представляет собой активные вредоносные программы, собранные клиентами AV-Test и компьютерными изданиями, и злачные места (особые, подключенные к Интернету серверы, запущенные исследователями специально для привлечения вредителей). Из опубликованного списка «диких зверей», зачастую устаревшего, исключаются программы, не способные самостоятельно размножаться, в частности трояны и вредители типа «черный ход». «Зоопарк» же, собранный компанией AV-Test, замечательно дополняет перечень, предоставленный WildList. Сетевой экран может поймать за руку приложения, открывающие «черный ход», роботов и «троянских коней», но, как и в случае обнаружения подозрительной активности, сообщит вам о неприятностях только тогда, когда вредитель уже орудует в вашей системе. Таким образом, он сумеет, например, остановить трояна, названивающего себе домой, но не способен предотвратить его запуск на вашем ПК.

Третий тест анализирует эвристические способности антивирусов. Для этого AV-Test проверяла, насколько хорошо работают версии с устаревшими базами сигнатур, не имеющими определений вирусов и вредоносных программ, появившихся относительно недавно. Здесь рассматриваемым продуктам с устаревшими на один месяц базами сигнатур была предоставлена возможность выявить 244 «черных хода» и 37 червей, а с устаревшими на два месяца базами — 555 «черных ходов» и 101 червя. Таким образом, AV-Test выяснила способность программ бороться с «черными ходами» и червями в честном бою, не пользуясь преимуществом информированности. Испытание данными типами вредоносных программ было вполне оправданно, поскольку эти вредители очень широко распространены и опасны для данного тестового периода, а принципиально новые вирусы, как показывает опыт AV-Test, поймать очень трудно.

На четвертом этапе соревнований AV-Test устроила бой на арене Microsoft Office. Программы должны были провести зачистку 110 макровирусов, атакующих популярный офисный пакет.

И наконец, пятый этап состоял в сборе данных о скорости выпуска обновлений со свежими определениями вирусов после каждой из 16 вспышек новой инфекции на протяжении восьми месяцев минувшего года. Мы определяли, насколько быстро компании создают обновление после обнаружения очередной заразы.

В завершение тестирования PC World вооружился секундомером и измерил, с какой скоростью каждый продукт проводит антивирусное сканирование системы по требованию пользователя. Мы также оценивали программы с точки зрения простоты работы, функциональности и уровня технической поддержки.


Антивирусная альтернатива

Microsoft скоро вольется в ряды компаний, предлагающих всестороннюю защиту своим потребителям. Мы взглянули на бета-версию Windows OneCare Live, нового, основанного на подписке программного пакета для защиты ПК. Это один из нескольких сервисов, доступных для загрузки с Windows Live Ideas page (http://ideas.live.com).

Набор OneCare Live содержит инструменты безопасности и системные утилиты, которыми можно управлять с помощью общего интерфейса. Компоненты безопасности пока состоят из антивируса и брандмауэра. В последующую версию Microsoft собирается добавить антишпионское приложение. Другие утилиты данного пакета включают программы для резервного копирования данных и для настройки дефрагментации и очистки диска.

Как и большинство антивирусных приложений, OneCare Live позволяет проводить сканирование по заказу либо назначать задания, выбирать для проверки конкретные файлы и папки либо, наоборот, назначать файлы, исключаемые из процесса сканирования. Текущая версия еще не способна проверять входящие и исходящие сообщения электронной почты, она может лишь следить за трафиком одной службы обмена мгновенными сообщениями — MSN Messenger. Однако компания сообщает, что позже планирует добавить сканирование электронной почты и ввести дополнительный интернет-пейджер. Реализован также механизм отслеживания подозрительной активности, например при модификации записей в Системном реестре.

Продолжительность нашей первой проверки была вполне приемлема — 15 мин с хвостиком.

Брандмауэр из пакета Windows OneCare Live внятно и разборчиво предупреждает о неопознанной сетевой активности

Брандмауэр OneCare, контролирующий как входящий, так и исходящий сетевой трафик, — усиленная версия Windows Firewall. После первого запуска OneCare спросил нас о неопознанной им сетевой активности, которую проявляли программы iTunes и Lotus Notes. В основном он не вставал у нас на пути до тех пор, пока не возникала необходимость обновления систем безопасности.

Их установка очень проста, но требует применения Internet Explorer 6. (При проверке обновлений систем безопасности может использоваться Internet Explorer 5 или более поздняя версия.) Веб-ориентированный мастер установки проверил нашу систему на соответствие системным требованиям и на возможность конфликта с другими программами, прежде чем позволил нам инсталлировать OneCare. Корпорация Microsoft утверждает, что такую проверку нужно провести для того, чтобы выяснить, нет ли у вас конфликтующего с ним антивирусного ПО, запущенного во время инсталляции. Однако брандмауэр не смог опознать клиентскую версию Symantec Norton AntiVirus Corporate Edition, установленную на нашем ПК. Впрочем, один из читателей сообщил на блоге PC World (http://blogs.pcworld.com/staffblog/archives/ 001113.html), что OneCare обнаружил и попросил разрешения удалить домашнюю версию программы Norton AntiVirus.

Microsoft пока не назначила конечную цену продукта, но кнопка «Купить сейчас» ясно дает понять, что OneCare не всегда будет оставаться бесплатным.

Нарасу Реббапрагада


Суд да дело (примечания переводчика)

Считаю, что методика тестирования для одной из отечественных программ оказалась не очень выгодной. Во время проведения эвристических тестов использовались «настройки по умолчанию». В целом эвристические алгоритмы разных антивирусов различаются не так уж и сильно, но вот настройки... Достаточно было другим разработчикам поднять принятый по умолчанию уровень эвристики до такого, который в продукте Касперского считается «параноидальным», как эта программа сразу же отошла на третье место, поскольку в ней по умолчанию установлен средний уровень. А то, что она «интерфейсом не вышла», было и так ясно — зарубежные пользователи более привередливы в этом отношении, чем отечественные. Но, на мой взгляд, и здесь не обошлось без некоторой доли шовинизма. В общем, можно сказать, что антивирус Каперского в лучшем случае недооценили, а в худшем — намеренно засудили.

Николай Колдыркаев


Как считался рейтинг PC World

Для тестирования мы взяли отдельные антивирусы лишь в тех случаях, когда это было возможно, и использовали только антивирусные компоненты комплексных пакетов защиты ПК. В качестве идеальной мы приняли оценку 100% защиты, состоящую из двух равных частей.

Первую половину выставлял PC World. Учитывались:

  • спецификации программы (10%, т.е. оценка может быть от 1 до 10 баллов);
  • цена (1-10 баллов);
  • дизайн (1-30 баллов).

Вместе они образуют 50% оценки.

Вторая половина формировалась фирмой AV-Test на основе тестирования производительности. PC World участвовал в измерении скорости работы программ при сканировании тестового набора файлов и папок.

Общий результат тестирования производительности был составлен из следующих средневзвешенных оценок:

  • WildList-тестирование (30%);
  • работа с "зоопарком" (15%);
  • эвристический - один месяц (20%);
  • эвристический - два месяца (10%);
  • макровирусы (10%);
  • скорость реакции на эпидемию (10%);
  • скорость сканирования (5%).

В идеале производительность равна 100%.

Теперь просто разделите результат на 2 и сложите с отметкой редакции. Так мы получили итоговую оценку, приведенную в столбце таблицы «Рейтинг PC World».


"Таблица рекордов"