Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
31.05.2004 - Martin LEPIŠ - AV testy
Retrospektívny test vybraných AV-systémov pre OS MS Windows NT/2000/XP  (5/2004)

V oblasti AV-bezpečnosti sa neustále hovorí o tom, aká dôležitá je pravidelná aktualizácia AV-systémov v dobe vírusových epidémií i v čase keď škodlivé kódy nevykazujú príliš veľkú aktivitu. Cieľom každej aktualizácie je doplniť existujúcu databázu vírusových reťazcov o nové vzorky, na základe ktorých dokáže AV-systém identifikovať nové škodlivé a nežiadúce kódy. V prípade pravidelnej aktualizácie by mala byť účinnosť väčšiny dostupných AV-systémov viac než uspokojivá. Čo však v prípade pokiaľ používateľ zanedbá aktualizáciu a zabudne na ňu týždeň, mesiac alebo dokonca štvrťroka?! Odpoveď na túto otázku sa snaží poskytnúť formou tzv. retrospektívneho testu server AV-Comparatives.org, ktorý zopakoval test 13-tich AV-systémov určených pre OS MS Windows. Avšak nejde o klasický test!
Úlohou tohto testu je zistiť, do akej miery dokážu vybrané AV-systémy identifikovať nové škodlivé kódy, ktoré sa objavili na vírusovej scéne v období medzi 5.2. až 5.5.2004 bez toho, aby bola vykonaná aktualizácia ich databázy vírusových reťazcov. Jedná sa teda o test, v ktorom sa kladie dôraz najmä na rozširujúce metódy identifikácie škodlivých kódov ako sú generická (... na základe podobnosti kódu) a heuristická (... na základe príznakov/prejavov) analýza. Práve tieto metódy môžu byť účinné aj pri identifikácii nových škodlivých kódov, ktoré sa už neraz objavili takpovediac z hodiny na hodinu a vo veľmi krátkom čase spôsobili vznik celosvetovej epidémie. Dôvod bol pritom prostý! AV-systémy v čase objavenia sa nového škodlivého kódu nedisponovali vo svojej databáze vzorkou, ktorú by mohli použiť pri jeho identifikácii a ich rozširujúce metódy neboli schopné nový škodlivý kód identifikovať. Kým AV-spoločnosti získali vzorku vhodnú pre analýzu, vykonali jej samotnú analýzu, zostavili identifikačný reťazec, otestovali ho a doplnili do svojich AV-systémov získal nový – aktívne sa šíriaci škodlivý kód dostatočný náskok, čoho výsledkom boli neraz stovky až tisíce infikovaných počítačov. O tom, ako v tomto teste dopadlo trinásť testovaných AV-systémov sa môžete dozvedieť nižšie – najskôr však ešte pár formálnych informácií týkajúcich sa samotného testu.

Tvorcom testu, ktorý si navyše kladie za cieľ prezentovať nezávislé výsledky hodnotiace kvalitatívne vlastnosti vybranej skupiny popredných svetových AV-systémov, na úrovni ich klasického (tzv. on-demand) skenera je Andreas Clementi. Ten sa rozhodol do svojho testu zaradiť len AV-systémy spĺňajúce nasledujúce podmienky:

  • AV-systém musí používať iba jeden (... a navyše vlastný) skenovací motor,


  • AV-systém musí identifikovať 100 % škodlivých kódov obsiahnutých v zozname In the Wild,


  • AV-systém musí identifikovať stanovené minimum škodlivých kódov z množiny ZOO.

Týmto krokom sa snažil z testu vyradiť AV-systémy, ktoré pri AV-kontrole používajú súčasne viac skenovacích motorov alebo disponujú len jedným skenovacím motorom, ktorý majú navyše len "prepožičaný" (... na základe licenčnej dohody) od inej AV-spoločnosti. Cez počiatočné sito sa preto dostali len tieto AV-systémy:

- AntiVir Professional Edition v.6.22.00.09
- Avast! Professional Edition v.4.1.342
- BitDefender Professional v.7.2
- Dr.Web Anti-Virus v.4.30a
- NOD32 v.2.000.9
- F-Prot Anti-Virus v.3.14b
- Reliable Anti-Virus v.8.6.105
- Kaspersky Anti-Virus Personal v.4.5.0.95
- McAfee VirusScan v.8.0.26
- Panda Platinum Internet Security v.8.02.00
- Sophos Anti-Virus v.3.78
- Symantec Norton Anti-Virus 2004
- Trend Micro Internet Security 2004

Celý AV-test prebiehal na počítačovom systéme s nainštalovaným OS MS Windows XP SP1, pričom hodnotené boli len výsledky získané na úrovni klasického skenera AV-systémov. Keďže išlo o retrospektívny test nebola pred jeho zahájením vykonaná aktualizácia databázy vírusových reťazcov pri žiadnom zo zúčastnených AV-systémov. Ponechaná im bola stará databáza (... zo dňa 6.2.2004), ktorú Andreas Clementi použil pri februárovom teste rovnakej skupiny AV-systémov (... viac informácií nájdete v tomto článku).

Hlavnú časť testu tvorila relatívne malá množina škodlivých kódov evidovaných v zozname PC Viruses In the Wild, ktorý sumarizuje celosvetovo a dlhodobo najintenzívnejšie sa šíriace škodlivé kódy. Tento zoznam vzniká na základe aktívnej spolupráce AV-odborníkov z rôznych AV-spoločností a členov WildList Organization International. Vybraných však zo zoznamu bolo len 73 exemplárov škodlivých kódov, ktoré pribudli za obdobie február až máj 2004. Všeobecne pritom platí, že tieto škodlivé kódy by mal vedieť identifikovať každý AV-systém – avšak často to dokáže len za predpokladu, že je jeho databáza aktuálna.

To v konečnom dôsledku potvrdil aj test, nakoľko väčšina AV-systémov prostredníctvom svojich rozšírených metód buď to nedokázala identifikovať žiadne z predložených škodlivých kódov alebo dokázala identifikovať len malú časť z nich. Najlepšie výsledky v tomto smere dosiahli AV-systémy: NOD32 (Eset), Panda Anti-Virus (Panda Software) a McAfee VirusScan (Network Associates).

Druhú oveľa rozsiahlejšiu kategóriu, ktorá obsahovala viac ako 3 300 infikovaných objektov tvorili nové škodlivé kódy označované ako ZOO exempláre. Tie v praxi pre používateľov nepredstavujú priame riziko, nakoľko sa jedná o škodlivé kódy, ktoré vznikli za študijnými účelmi, ako ukážky existujúcich možností v oblasti programovania i nedostatočného zabezpečenia OS, alebo len preto, aby niektorý tvorca škodlivých kódov získal prvenstvo vo vytvorení počítačového vírusu schopného infikovať nejaký nový objekt, OS, ... . Klasické AV-systémy by však mali vedieť identifikovať aj tieto škodlivé kódy, bez ohľadu na to, či sa jedná o počítačové vírusy pre OS MS DOS / MS Windows / iné OS, makro a skript vírusy, počítačové červy, trójske kone a backdoory.

Tu bolo možné opäť pozorovať slabé výkony najmä na strane tých AV-systémov, ktoré nedisponujú ešte ani dnes dostatočne výkonnou generickou a heuristickou analýzou. Pri AV-riešeniach s prepracovanou heuristickou analýzou boli lepšie výsledky okamžite badateľné, hoci stále nie dostatočne uspokojivé. Medzi tie najlepšie AV-systémy sa v tejto kategórii zaradili AV-systémy: McAfee VirusScan (Network Associates), NOD32 (Eset), Kaspersky Anti-Virus (Kaspersky Labs.) a Dr.Web32 Anti-Virus (Dialogue Science).

Zatiaľ čo v predchádzajúcej kategórii boli zaradené také škodlivé kódy, ktoré boli nové pre všetky zúčastnené AV-systémy, tak do tretej kategórie sa dostali škodlivé kódy označované ako ZOO exempláre, ktoré boli pre niektoré zo zúčastnených AV-systémov známe na základe vzoriek používaných pri generickej analýze. Na testovacej množine viac ako 2 300 infikovaných objektov sa opäť "dostali ku slovu" najmä rozšírené metódy identifikácie škodlivých kódov.

Výsledky v rámci tretej kategórie boli z globálneho pohľadu výrazne lepšie ako pri predchádzajúcej kategórii, no žiaľ žiadnemu zo zúčastnených AV-systémov sa pri tomto teste nepodarilo dosiahnuť ani len 40 % úspešnosť. Medzi tie najlepšie sa zaradili AV-systémy: McAfee VirusScan (Network Associates), NOD32 (Eset), Kaspersky Anti-Virus (Kaspersky Labs.) a Norton Anti-Virus (Symantec).

Poslednú štvrtú – doplnkovú kategóriu tvorili aplikácie typu: adware, spyware, škodlivé kódy obsiahnuté v poškodených súboroch a súboroch s chybnou príponou, aplikácie s integrovanými backdoor komponentmi, žartovné programy simulujúce činnosť vírusov, programy určené pre generovanie škodlivých kódov i nástroje používané pre neoprávnený prienik do systému, či získavanie informácií o stlačených klávesoch na počítači.

Väčšina AV-systémov pri svojej základnej konfigurácii dnes dokáže identifikovať len malú časť z týchto aplikácií, škodlivých i nežiadúcich kódov. Preto treba zdôrazniť, že pri tomto teste boli vo veľkej výhode AV-systémy, ktoré majú nastavenú "silnejšiu" konfiguráciu hneď po svojej inštalácii. Jednalo sa napríklad o AV-systémy: McAfee VirusScan (Network Associates), Reliable Anti-Virus (GeCAD Software/Microsoft), Kaspersky Anti-Virus (Kaspersky Labs.) a Norton Anti-Virus (Symantec). Až prekvapivo nízke detekčné schopnosti v tejto kategórii prezentovali inak špičkové AV-systémy ako sú: NOD32 (Eset), Trend Micro Internet Security (Trend Micro) a tiež Sophos Anti-Virus (Sophos).

Zo všetkých zúčastnených AV-systémov získali vo vykonaných testoch celkovo najlepšie výsledky AV-systémy Kaspersky Anti-Virus, McAfee VirusScan, Dr.Web32 Anti-Virus, NOD32 a Panda Anti-Virus, ktoré okrem škodlivých kódov dokážu identifikovať veľké množstvo nežiaducich kódov/programov (... česť výnimkám). Prehľad kompletných výsledkov tohto testu (... vrátane doplnkového komentára) môžu nájsť prípadní záujemcovia na web stránkach AV-Comparatives.org, prípadne ho získať vo forme ZIP archívu (... ktorý v sebe skrýva malý PDF dokument). Na tomto mieste by sme používateľov radi upozornili na to, že hoci sú detekčné možnosti AV-systémov dôležité nemožno ich považovať za jediné kritérium kvality. Na každý AV-systém sa totiž treba pozerať ako na komplexné softvérové riešenie pozostávajúce nielen z výkonného skenera, ale aj viacerých bezpečnostných modulov, ktoré môžu nepriamo vplývať na výslednú kvalitu poskytovanej AV-ochrany. Pri jeho výbere by sa navyše malo prihliadať aj na celkovú rýchlosť akou dokáže kontrolovať objekty a tiež na to, aké má nároky na systémové prostriedky počítača.
Tento test však jasne ukázal, že dnešné AV-systémy sú stále softvérovými riešeniami, ktoré môžu používateľom poskytovať dostatočnú formu ochrany pred novými škodlivými kódy len vtedy, pokiaľ je zabezpečená ich pravidelná aktualizácia. V opačnom prípade ich schopnosť odhaliť nových škodlivý kód výrazne klesá. Stále teda platí, že kvalitný a pravidelne aktualizovaný AV-systém, v kombinácii s aktualizovaným OS MS Windows a dobre nakonfigurovaným osobným firewallom by mal každému používateľovi poskytovať účinnú ochranu proti existujúcim i novým škodlivým kódom... .



Súvisiace články:
04.03.2004  Test vybraných AV-systémov pre OS MS Windows NT/2000/XP - AV testy
10.04.2003  Megatest AV-systémov pre OS MS Windows 98/ME/NT4/2000/XP - AV testy
19.02.2003  Test AV-systémov pre OS MS DOS, Windows 98/2000 a Linux - AV testy
20.09.2002  Test AV-systémov pre OS Unix – FreeBSD, OpenBSD, Solaris - AV testy
16.09.2002  Test AV-systémov pre OS Unix – Linux - AV testy
18.07.2002  Test AV-systémov pre MS Windows ME a XP Home Edition - AV testy
19.04.2002  Heureka II - zaujímavý test AV-systémov z Nemecka... - AV testy
14.01.2002  Test AV-systémov pre MS Windows NT/2000/XP - AV testy
04.12.2001  Test AV-systémov pre MS Windows 9x/Me/XP - AV testy
22.06.2001  Test AV-systémov pre MS Windows 2000 Server a Novell Netware - AV testy


Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.