Среди антивирусных программ определяли лучших на выявление полиморфных вирусов

Каждый день миллионы пользователей во всем мире подвергаются атакам неисчислимого количества самых разных компьютерных вирусов. Компьютерные вирусы представляют собой вредоносные программы. Их функции и наносимый вред – самые разные: от создания множества копий для тысяч компьютеров, находящихся в сети, до уничтожения всех документов, файлов, рисунков, фотографий, которые хранятся в компьютере. Кроме этого, компьютерные вирусы наносят огромные финансовые убытки. Поэтому с вирусами надо бороться, и сейчас уже никто не сомневается в необходимости использования антивирусных средств.

Общий обзор вирусов

Сделаем краткий обзор существующих на сегодня вирусных программ. Во-первых, это сетевые черви. Их вред состоит в том, что они проникают в компьютер посредством локальных или глобальных сетей, тем самым «захватывая» все новые и новые машины. Черви могут проникать в компьютер с помощью электронной почты, а также всевозможных чатов. Как правило, черви распространяются или в виде файлов, или как сетевые пакеты. Они имеют способность проникать в память компьютера, где и творят свои «черные» дела.

Существуют также классические компьютерные вирусы. Эти программы рассылают свои копии по самым разным ресурсам одного компьютера. Постепенно такие вирусы оказываются всюду, где только возможно. На другие компьютеры копия классического вируса тоже может попасть, если, например, вирус находится в файлах, размещенных на сетевых ресурсах, или пользователь получил или написал письмо, имеющее инфицированное вложение.

Троянские программы опасны тем, что могут производить действия, не имея на то разрешения пользователя. Например, собрать и передать третьему лицу информацию, помещенную на компьютере, нарушить работу компьютера, использовать компьютерные ресурсы для неблаговидных дел.

Известны также хакерские утилиты для автоматизации «рождения» червей, вирусов и троянских программ. А также программы, которые сообщают пользователю неправдивую информацию о том, как они собираются действовать в системе, а также множество прочих программ, так или иначе наносящих вред локальному или удаленному компьютеру.

Полиморфные вирусы – самые опасные

Одни из наиболее опасных в среде компьютерных вирусов – полиморфные вирусы. Их коварство состоит в том, что такие вирусы достаточно трудно обнаружить, поскольку они не содержат ни единого постоянного участка кода. Если сравнить два или три образца полиморфного вируса, то, как правило, не удается обнаружить ни одного совпадения.

Код такого вируса формируется «на ходу», уже когда он запущен и исполняет свою вредоносную миссию. А формирующая код процедура видоизменяется при каждом заражении. То есть полиморфные вирусы меняют себя во время каждого нового заражения. Когда пользователь проверяет файлы и документы, размещенные в компьютере, обычным способом, то антивирусная программа ищет вирусный след – соответствие определенной сигнатуре. Но если код вируса уже изменен, найти его с помощью имеющейся сигнатуры просто немыслимо. Иными словами, программы шифруют основное тело вируса и модифицируют программу-расшифровщика. Полиморфными могут быть как загрузочные и файловые вирусы, так и Windows-вирусы и макровирусы.

Благо, что существует антивирус – программа, ищущая и удаляющая компьютерные вирусы и вредоносные программы, находящиеся в памяти компьютера и на дисках. Кроме этого, антивирусная программа может отслеживать появление совершенно новых вредоносных программ.

Но трудность состоит в том, что не каждая антивирусная программа легко справляется с поиском и уничтожением полиморфных вирусов. Как правило, для каждого полиморфного вируса разрабатывают свои алгоритмы выявления.

Тестирование антивирусов на предмет обнаружения полиморфных вирусов

Недавно компьютерные специалисты провели тест, с помощью которого хотели сравнить, как специальные алгоритмы обнаруживают полиморфные вирусы. Кроме этого, проводимый тест мог показать, насколько профессиональные специалисты работают в антивирусных лабораториях. Ведь именно они обязаны анализировать и изучать разные, порой очень сложные вирусные образцы. И не только изучать, но и найти «противоядие» – найти способы их стопроцентного выявления.

Тестирование осуществлялось с использованием операционной системой Windows XP SP2 более месяца.
Перечислим антивирусные программы, которые приняли участие в тестировании:

1. Agnitum Outpost Security Suite Pro 2008.
2. AVG Anti-Virus Professional Edition 7.5.
3. Avast Professional Edition 4.7.
4. BitDefender Anti-Virus 2008.
5. DrWeb 4.44.
6. Avira Antivir Personal Edition Classic 7.06.
7. F-Secure Anti-Virus 2008.
8. Eset Nod32 Antivirus 3.0.
9. McAfee VirusScan 2008.
10. Kaspersky Anti-Virus 7.0.
11. Panda Antivirus 2008.
12. Microsoft Windows Live OneCare 2.0 Pre-Release.
13. Symantec Anti-Virus 2008.
14. Sophos Anti-Virus 7.0.
15. VBA32 Workstation 3.12.6.
16. Trend Micro Antivirus plus Antispyware 2008.

Для проведения теста выбрали 11 семейств полиморфных вирусов. В выборе руководствовались функциональными особенностями каждого из семейств. В тестировании приняли участие следующие полиморфные вирусы:

1. Allaple.1, Allaple.2, Allaple.3, Allaple.4.
2. Twido.1, Twido.2.
3. Alman.1, Alman.2.
4. Virut.2, Virut.3, Virut.4.

Методология теста

В чем состояла методология теста? Прежде всего, нужно отметить, что управлял проведением тестирования VMware GSX Server. Каждый антивирусный продукт получал клонированную "чистую" виртуальную машину, снабженную операционной системой Microsoft Windows XP SP2, а также индивидуальную, «свою» копию вредоносных вирусов. Ради чистоты эксперимента во время установки антивирусов производилась перезагрузка системы, обновление, то есть все действия, которые рекомендовала программа. После того как сканер проверил копии вредоносных программ, подсчитали оставшиеся образцы.

Результаты тестирования

Что показало тестирование? К сожалению, многие антивирусы плохо справились с обнаружением полиморфных вирусов таких семейств, как Twido.2, Twido.1 и Virut.4. 11 из 15 тестируемых антивирусов не смогли справиться с вирусами Twido.2, Twido.1.

В то время как вирусы семейства Alman.2, Allaple.1 и Allaple.2 обнаружить и уничтожить удалось почти всем антивирусным программам. Некоторые антивирусные программы легче справлялись с отдельными семействами вирусов; обнаружить другие семейства этим же программам было не под силу. Особенно хочется отметить программы Kaspersky и F-Secure, которые на 100 % смогли обеспечить защиту от вирусов семейства Virut. С вирусами семейства Twido легко расправились Avira, Avast и Microsoft. Полная защита от вирусов семейства Alman оказалась по зубам Avira, Kaspersky, Avast, Eset, F-Secure, DrWeb Microsoft. А все вирусы семейства Allaple смогли найти Avira и Trend Micro.

Лучшие антивирусные программы

После окончательного подведения итогов были названы лучшие антивирусные программы, которые прекрасно справились с поставленной задачей – обнаружить полиморфные вирусы. Это, прежде всего, Avira Antivir Personal Edition, Kaspersky Anti-Virus и F-Secure Anti-Virus. Эти программы обнаружили почти все 30 тысяч образцов, пропустив при этом только несколько штук. Антивирусы-победители награждены высшей наградой – Gold Anti-Polymorphic Protection Award.

Неплохие результаты показали такие антивирусы, как Avast Professional Edition, DrWeb, AVG Anti-Virus Professional Edition и Eset Nod32 Antivirus. Правда, все они не справились с одним семейством полиморфных вирусов. Эти продукты отмечены наградой Silver Anti-Polymorphic Protection Award.

На «троечку» зарекомендовали себя антивирусы Microsoft Windows Live OneCare, Symantec Anti-Virus, Trend Micro Antivirus, BitDefender Anti-Virus, Sophos Anti-Virus, Agnitum Outpost Seciruty Suite, VBA32 Workstation и Panda Antivirus. Эти антивирусы награждены Bronze Anti-Polymorphic Protection Award.

Некоторые антивирусы, например, Microsoft, смогли очень качественно поработать на некоторых семействах, но вяло обнаруживали вирусы семейства Virut 1-3. Это не позволило им занять высокое место. Хуже всех с обнаружением вирусов справился антивирус McAfee VirusScan. В результате он не набрал даже минимальное количество баллов.