Мир высоких технологий вместе с многочисленными благами и удобствами принес нам такую неприятную вещь, как компьютерные вирусы. Именно они могут в считанные секунды уничтожить многолетние труды или рассекретить любую важную коммерческую или личную информацию. Но не все так плохо. Есть антивирусные программы, которые сводят риск потерь к минимуму. Сегодня мы расскажем о наиболее эффективных антивирусах, сравнив их в профессиональном тесте.

Кто тестер?

Стараясь учитывать фактор незаинтересованности, мы попросили независимого вирусолога Андрея Василькова провести тесты. Возглавляемый им антивирусный отдел компании «Angstroem Society» (http://angstroem.tele-kom.ru) является одним из немногих российских аналитических агентств, которое регулярно проводит тестирования антивирусов и имеет собственную уникальную методику проверки.

Для тестирования были отобраны четыре самые свежие и популярные на российском рынке антивирусные программы, нацеленные для домашних систем.

Dr.Web v.4.28b

Dr.Web, разработанный ЗАО «Диалог Наука» во главе с Игорем Даниловым, один из самых старейших российских антивирусов, имеющих признание во всем мире. Множество наград могут гарантировать, что это качественный продукт. К примеру, последнее исследование журнала Virus Bulletin показало, что Dr.Web справился со всеми предложенными вирусами. Их тестовая база содержала только экземпляры, встречавшиеся «в диком виде». Он также не пропустил ни одного полиморфного вируса, получив первое место, обойдя в этом тесте таких конкурентов как AVP, Norton AntiVirus. Что же такого в этой программе? Что заставляет многих пользователей называть ее лучшей?

В Dr.Web 4.28b впервые в мире реализована полная проверка всей оперативной памяти ОС Windows 9х, что позволяет непосредственно в ОЗУ находить и обезвреживать сложные троянские программы и вирусы типа Back Orifice, Win95.CIH, Win32.Kriz и др. Включенный в программу резидентный сторож SpIDer Guard также был первым антивирусным монитором, в котором реализована интеллектуальная технология контроля вирусной активности.

Также в антивирусе много дополнительных возможностей, как-то: перемещение и переименование архивов, почтовых сообщений и файловых контейнеров, внутри которых обнаруживаются инфицированные объекты. Еще надо отметить то, что была улучшена обработка нестандартных и поврежденных почтовых файлов и архивов. Прибавьте к этому множество плагинов для работы с различными программами (например к «TheBat!»), и вы получите практически совершенный антивирус. Однако не все так идеально. Все больше и больше нареканий пользователей вызывает DrWeb и упомянутый SpIDer Guard, который в последнее время начал считать инфицированными незараженные файлы, тем самым делая частые ложные срабатывания. Яркий пример такой оплошности в том, что антивирус не позволяет запускать программу «1С: Бухгалтерия».

Достоинства:

— регулярно обновляемая вирусная база и оболочка самой программы;

— поддержка самых разнообразных ОС (Windows, Linux, OS/2, Novell NetWare и т. д.);

— имеются плагины к популярным почтовым программам.

Недостатки:

— относительно невысокая скорость проверки;

— возможные ложные срабатывания программы;

— отсутствие контроля за измененными файлами;

— относительно высокая (50 долларов) стоимость программы.

Kaspersky AntiVirus Personal Pro (KAV) v.4.0.5.15

Довольно известный у нас и за рубежом антивирус, созданный ЗАО «Лаборатория Касперского». Основной новинкой последней версии KAV 4.0 Personal Pro стало переработанное на 30% ядро программы. Это не только позволило улучшить время поиска, но и увеличить вероятность «попадания» по инфицированным файлам. При обнаружении вирусной активности (несанкционированных изменений в файлах или системном реестре) программа позволяет восстановить оригинальное содержимое диска и удалить вредоносные коды. Зараженные файлы могут быть также изолированы и восстановлены. В KAV присутствует эвристический анализ второго поколения, который способен останавливать даже неизвестные основной базе вирусные программы.

Еще одной особенностью антивируса Касперского Personal Pro является наличие совершенно нового интегрированного модуля Office Guard, который стабильно держит под полным контролем выполнение макросов, пресекая все подозрительные действия, не давая при этом активизироваться макровирусам.

Существенно доработана проверка электронной почты. Программа не только ищет вирусный код в теле письма, но и полностью восстанавливает оригинальное содержимое электронных писем. Модуль Kaspersky AntiVirus Mail Checker предотвращает возможность проникновения на компьютер вирусов посредством проверки на присутствие вирусов всех входящих и исходящих сообщений. Благодаря поддержке широкого спектра форматов почтовых баз (MS Outlook, MS Outlook Express, Eudora, MS Mail, Pegasus Mail, Netscape Mail, MIME), программа надежно защищает от проникновения вирусов через почтовые сообщения.

Новой разработкой является также и защита от действия скрипт-вирусов в оперативной памяти компьютера. Универсальный перехватчик скрипт-вирусов Script Checker полностью решает эту проблему, интегрируясь в систему в качестве фильтра между скрипт-программой и ее обработчиком. Это обеспечивает проверку всех скриптов еще до того, как они начнут свою работу. Существует также возможность аварийного восстановления загрузочных файлов в Windows и ряде других популярных ОС.

Достоинства:

— одна из самых высоких степеней надежности благодаря функции избыточного сканирования;

— высокая степень оперативности «Лаборатории Касперского»;

— большой спектр сервисов;

— возможность восстановления системы после поражения вирусами;

— отличная техническая поддержка пользователя.

Недостатки:

— некоторая «сыроватость» в работе с Windows XP (зависания, вывод сообщения об ошибках).

— некорректный мониторинг с программами семейства 1С;

— большой размер инсталлятора (около 12 Мб), который делает загрузку из WWW проблематичной;

— относительно высокая (69 долларов) для рядового пользователя цена за полноценную программу.

Norton Antivirus 2002

Norton AntiVirus (NAV) — это одна из наиболее популярных в мире программ для борьбы с вирусами всех мастей и расцветок. NAV был разработан компанией Symantec (www.symantec.com) в 1995 году и сразу же отметился качеством поиска и лечения зараженных файлов.

Немалую славу Дядюшке Нортону, как его любовно называют почитатели, снискала оригинальная технология обнаружения вирусов, позволяющая с легкостью находить и выкорчевывать далеко не безобидные макровирусы (последние обычно пишутся в VBScript-редакторе, входящем в пакет MS Office). Большинство других антивирусных программ не в состоянии отловить эти хитрые «макрики».

Полная интеграция с проводником Windows, обновленный интерфейс, расширенные возможности информирования о состоянии защиты отличают Norton AntiVirus 2002 от предшественников. Вам доступны такие элементы управления, как: полное сканирование на поиск вирусов жестких и гибких дисков, отдельных файлов и папок; постоянный контроль состояния и проверка всех входящих/исходящих файлов и команд; проверка приходящих электронных писем и многое другое. «Интеллектуальная» функция обратной связи информирует пользователя о текущем состоянии антивирусной защиты, подтверждая безопасность и защищенность системы.

Достоинства:

— полная сертифицированная совместимость с платформами Windows XP/2000/NT/Me/9X;

— интеграция с Windows Explorer и Microsoft Office;

— прекрасная поддержка почтовых программ Microsoft Outlook, Eudora и Netscape Mail;

— максимально полный спектр сервисов для пользователя.

Недостатки:

— неразвитость дилерской сети в России, что означает отсутствие русифицированных и гарантированно работающих программ;

— программа при работе в фоновом режиме требует более 15 Мбайт оперативной памяти;

— некорректная работа с архивами RAR v.3.0.

Panda Antivirus Titanium

Panda Antivirus Titanium — продукт испанской компании Panda Software, которая имеет большую дилерскую сеть у нас в России. Программа является, пожалуй, самым удобным антивирусным пакетом для домашнего использования. В Panda Antivirus Titanium нет никаких лишних настроек сканирования — только самые элементарные. Радует то, что программа очень качественно переведена на русский язык, причем локализован не только интерфейс, но и справочная система.

Интерфейс антивируса очень дружелюбный к пользователю. Окно открытой программы можно сравнить с удобным веб-порталом, на котором передвижение происходит путем выбора раздела неисчезающего меню. Обладая минимумом настроек и мощной системой анализа и сканирования, программа подойдет для самых неискушенных пользователей, которым необходимо лишь выбирать, что нужно тестировать: жесткие диски, исключительно почтовые файлы, системные данные, память, сменные диски или же произвести полную проверку системы.

Также к несомненным достоинствам Panda Antivirus Titanium было отнесено то, что она способна к тесной интеграции с компьютерами пользователей: она не тормозит систему, выполняя безошибочную проверку в фоновом режиме, обновляясь сразу, как только доступна новая версия. Panda Antivirus Titanium и Panda Antivirus Platinum являются единственными антивирусными программами для Windows XP, которым удалось получить сертификацию от West Coast Labs (www.check-mark.com/). В ходе тестирования, проведенного этой влиятельной организацией, Platinum и Titanium нашли и обезвредили 100% вирусов из числа опубликованных в Wildlist (http://www.wildlist.org/), благодаря чему оба продукта удостоены сертификатов Checkmark 1 и 2 уровня. Обе программы также имеют сертификат Trojan Checkmark, поскольку смогли обнаружить 100% троянцев.

В целом, Panda Antivirus Titanium предоставляет высокий уровень защиты компьютера от вирусов в сочетании с простотой интерфейса и надежностью. Ее также можно порекомендовать как оптимальное соответствие цены и качества.

Достоинства:

— постоянная, практически ежедневная обновляемость антивирусных баз;

— высокая скорость проверки (применяется механизм поиска вирусов UltraFast);

— возможность восстановления системы (внедрена технология SmartClean);

— дружественный интерфейс и 100% поддержка русского языка;

— бесконфликтная работа со всеми ОС Windows;

— относительно невысокая цена (порядка 30 долларов) для рядового пользователя за полновесный вариант программы;

— хорошая техническая поддержка.

Недостатки:

— некорректная работа с файлами, упакованными несколькими архиваторами;

— некорректная работа с архивами RAR 3.0.

Тестовая система:

— материнская плата: ChainTech 7AJA VIA KT133 (686B);

— процессор: AMD Duron 750 MГц;

— винчестер: Fujitsu MPD3043AT (firmware DD-03–47 with UDMA 66 support);

— ОЗУ: DIMM SDRAM 128 Mбайт PC 133;

— ОС: Microsoft Windows NT 5.0 Professional RUS (build 2195, SP2, SRP1).

Методика тестирования

Перед началом тестирования все антивирусное ПО было настроено так, чтобы обеспечить максимальные возможности сканеров для нахождения вирусов. Ради точности измерения времени проверки в ходе тестирования не выполнялись никакие параллельные задачи.

Для выполнения тестирования был создан носитель, содержащий 2527+360= 2887 файлов, среди которых 2527 файлов были инфицированы 2392 разными вирусами2  всех существующих типов (каждый содержал тело только одного вируса). Упакованных исполняемых файлов — 154, последняя запись на носитель произведена 25 июля 2002 г.

Дополнительные испытания

Одной из главных проблем на сегодня являются троянские кони, скрипт-вирусы и сетевые черви. Возможность противостояния им была исследована на примере теста 100 инфицированных файлов.

Также была проверена возможность и корректность работы с RAR (v.3.0), ZIP-архивами — 100 инфицированных файлов были упакованы в два архива: *.zip и *.rar соответственно. Итого в 2-х архивах 200 файлов содержали вирусный код;

— эвристические анализаторы могут выдавать некоторое количество ложноположительных и ложноотрицательных срабатываний. Для получения более достоверных результатов, помимо их исследования в первой серии тестов, было решено проверить 30 000 заведомо незараженных файлов;

— поскольку KAV имеет режим избыточного сканирования, мы сочли целесообразным выяснить его эффективность.

Подведение итогов

— Ни один из антивирусов не дал 100% защиту от вирусов, однако все они были близки к этому результату.

— Места распределились следующим образом (см. табл. 2);

— KAV 4.0.5.15 оказался самым надежным, особенно при включении функции избыточного сканирования. Лишь высокая цена (69 долл.) данного ПО, необходимость настройки через громоздкий интерфейс могут отпугнуть пользователя от этого продукта.

— Norton Antivirus 2002 занял второе место по эффективности обнаружения вирусов, отставая от лидера (KAV с избыточным сканированием) лишь на ~0,98%. Дополнительно выяснилось, что антивирус вообще не воспринимает файлы, упакованные RAR (v.3.0).

— Panda Antivirus Titanium по эффективности обнаружения вирусов отстал от лидера на 1,58%, уступив своему ближайшему соседу (Norton Antivirus 2002) лишь 0,6 % (15 вирусов). Прогоняя архив RAR (v.3.0), антивирус сделал вид, что проверил его (показывал во время проверки имена файлов внутри него) и выдал заключение: «вирусов не обнаружено». Зато в тех же файлах, упакованных ZIP'ом, вирусы легко определялись. И все же при своей стоимости в 30 долл. данный продукт заметно выигрывает по соотношению «качество/цена».

— Dr.Web 4.28b занял последнее место по эффективности обнаружения вирусов и по скорости проверки (43 секунды против ~30 в случае с остальными антивирусными ПО). К тому же, кодовый анализатор программы дал два ложных срабатывания.

Мнение специалиста

И напоследок приведем комментарий Андрея Василькова.

«Количество записей в базах антивирусных программ не является определяющим фактором мощности антивирусного сканера. Несомненно, этот параметр важен, но гораздо меньше, чем частота обновления баз, возможность работать с файлами новых форматов, etc. По данным “Ангстрем” за весь период было скомпилировано около 75000 разных вирусов. Однако лишь немногим более 1000 (sic!) из них встречались “в диком виде”. Остальные, возможно, были присланы в антивирусные компании исключительно ради самоудовлетворения и до “простых пользователей” просто не дошли. Поэтому даже DrWeb со своими ~30000 записями умудряется завоевывать награды одну за другой. В нашем “соревновании” ему, к сожалению, не повезло, но это вовсе не означает его ненадежность. В антивирусе от Игоря Данилова действительно реализовано много инновационных идей, которые, несомненно, получат развитие и “в боевой обстановке” позволят выглядеть ему лучше.

Функция избыточного сканирования в KAV 4.0.5.15 действительно нужная опция, и пренебрегать ей не стоит. В нашем тесте она позволила детектировать на 4 вируса больше, чем в обычном режиме. Опять же, без нее проверка быстрее, но вероятность утешать себя ложными данными увеличивается. Мол, не обнаружил ничего в системе, все чисто. Тем временем незамеченные вирусы будут размножаться. Казалось бы, 0,16% пропущенных — малое значение. Да вот только любая величина больше нуля на самом деле должна заставлять задуматься. Ведь достаточно всего лишь одного неопределяемого зараженного файла (пусть он составляет хоть 0,00001% от всех), чтобы система считалась инфицированной. Здесь, как с огнем: не дотушили костер, оставили тлеющий уголек — к вечеру лесной пожар разгорается.

Обращаем ваше внимание на то, что к результатам теста не стоит относиться однозначно. Как говорится, “сколько тестов — столько и результатов”. Отмечу лишь то, что в корректности методики проведения тестирования можете не сомневаться. Вирусная база была накоплена за ~ 5 лет работы. В ней встречаются как старые образцы времен MS-DOS, так и последние экземпляры, вызвавшие эпидемии этого года. Вирусы были найдены при помощи доброго десятка программ. Их присылали из разных мест и в разном виде. Прежде чем быть добавленным в базу, каждый экземпляр так или иначе проверялся на право называться вирусом. В большинстве случаев проводились самостоятельные эксперименты по заражению файлов и системных областей. Такой кропотливый подход был призван огородить себя от возможности быть введенным в заблуждение ложноположительными срабатываниями. Разумеется, база из 2527 инфицированных файлов, среди которых 2392 содержат код разных вирусов, не является совершенной (учитывая их общее число). Однако прошу учесть, что даже среди известных профессиональных изданий не считается злом проводить тестирования на куда меньшем количестве.

Число ложных срабатываний сканеров получилось весьма небольшим. Однако в действительности вам придется сталкиваться с ними чаще. Дело в том, что 30 тыс. незараженных файлов явно недостаточно для выяснения реального процента ошибок. Сами разработчики обычно проверяют свои сигнатуры на десятках гигабайт распространенного ПО, прежде чем выложить новые базы для обновления; во всяком случае, так они утверждают.

Ради уменьшения размеров баз сокращают сигнатуры. В свою очередь это приводит к тому, что сканер начинает “ругаться” на безобидные файлы. Если использовать метафору, то ситуация напоминает попытку идентификации преступника по частичному отпечатку пальца: сколько невиновных граждан имеют такой же фрагмент рисунка на своих пальцах?

Тот факт, что ни один сканер не обнаружил 100% предложенных вирусов, лишний раз подтверждает необходимость создания многоуровневой распределенной защиты. Обычно используют один из трех вариантов:

1) Устанавливают еще один антивирус. Шансов на то, что и в его базах не найдется подходящей сигнатуры, гораздо меньше, чем в случае использования одного AV-сканера.

2) Дополнительно применяют альтернативные и/или специализированные методы AV-защиты. К таковым можно отнести: включение “Virus Warning” в настройках BIOS; запрещение перезаписи FlashBIOS; контроль выполнения макросов и скриптов; блокирование Java-скриптов и ActiveX компонентов при помощи firewall'ов (либо запрет их выполнения в настройках); использование дисковых ревизоров (позволяют обнаруживать неизвестные вирусы, а также использующие Stealth-технологию); мониторинг процессов в оперативной памяти; контроль за списком открытых и прослушиваемых портов.

3) Сочетание первого и второго способов. Напомню известную, но часто игнорируемую истину: степень защиты системы равна степени защищенности ее самого слабого участка. Будь у Вас установлены хоть все AV-сканеры с новейшими базами, если на автозапуск прописан Stealth-вирус — считайте, что их нет. Вы проверяете аттаче писем и никогда их не запускаете до проверки? Похвально, но опять же недостаточно. Если пользуетесь MS Outlook, такая аккуратность не спасет в случае получения вирусного кода в теле автоматически запускающегося HTML-письма.

Бытует мнение, что полноценная защита стоит очень дорого и отнимает много времени/ресурсов.

Ничего подобного! Ведь каждый ее компонент будет работать только со своим типом проверяемых объектов. А использование, к примеру, AV-сканера вместе с дисковым ревизором вообще сокращает время проверки с нескольких часов до 2–5 минут, при этом повышая безопасность. Насчет цены антивирусных ПО пусть каждый решает сам исходя из того, сколько стоит Ваша информация и репутация».