Zabijáci virů

1. 3. 2006

Sdílet

Test deseti antivirových programů (CD) Dnešní antivirové programy nemají problém se zastavováním starých zn...


Test deseti antivirových programů (CD)



Dnešní antivirové programy nemají problém se zastavováním starých známých protivníků, jak se ale dokáží vypořádat s těmi neznámými? Připravili jsme pro vás test deseti nových verzí antivirových programů.
e zuřivé vřavy války proti počítačovým virům přinášíme dobrou i špatnou zprávu. Ta dobrá zní: všechny antivirové produkty, které jsme zařadili do tohoto testu, stoprocentně rozpoznaly a zabránily průniku známých bezpečnostních útoků. Ta špatná zpráva ale říká, že tyto utility vás stále nedokáží dokonale ochránit před novými hrozbami, a těch je všude kolem dostatek.
Při přípravě tohoto článku se PC WORLD spojil s německou firmou AV-Test, zabývající se počítačovou bezpečností. Ta tvrdí, že každý den se na světě objeví 70 až 100 nových rizik. I když řada z nich představuje pouze varianty známých útočníků, i těch několik hodin, po něž výrobcům antivirového softwaru trvá sestavení oprav a aktualizací pro tyto hrozby, stačí na to, aby byl váš počítač nakažen. Viry navíc nejsou jediným problémem. Autoři virů rovněž rozesílají červy, jež k šíření nepotřebují hostitelský soubor, a jiné destruktivní programy, jako jsou trojští koně ukrytí v přílohách e-mailů. Kvůli tomuto nebezpečí je důležité, aby byla antivirová aplikace schopná rozpoznat a zneškodnit nejen známé viry, ale i další druhy zhoubného kódu.

Antivirové nástroje vrací úder

Výrobci antivirových programů adaptují a vylepšují své produkty v mnoha ohledech. V módě je dnes "bundlování" tradičních antivirových programů s jinými bezpečnostními komponentami, jako jsou firewally či nástroje pro boj se spywarem. V některých případech jsou tyto doplňkové aplikace zakomponovány přímo do antivirů. Společnosti se rovněž snaží zkrátit čas potřebný pro zveřejnění modernizované databáze popisující chování jednotlivých virů. Tyto definice pak jednotlivé antivirové aplikace stahují do uživatelských počítačů a používají je k rozpoznávání a ničení nově identifikovaných nebezpečí.
Producenti antivirů rovněž vybrušují heuristiku svých programů, tedy matematické algoritmy, které dokáží rozpoznat bezpečnostní hrozbu podle podobnosti s dříve identifikovanými částmi škodlivého kódu. Heuristické skenování souborů, které provádí enginy antivirových programů, se v mnohém vylepšilo a vykazuje nyní úspěšnější detekci a méně falešných poplachů. V případě těchto falešných poplachů aplikace mylně označí soubor za škodlivý. Tato chyba v lepším případě znamená ztrátu času uživatele, v tom horším smazání nevinného souboru.
Jednotlivé programy využívají rovněž rozpoznávání kódu podle typu chování. Stejně jako heuristika umožňuje i "behaviární" chování rozpoznat škodlivé kusy neznámého kódu, který není zatím popsán v databázích signatur. Tato technologie sleduje části vašeho systému, na které se útočníci nejčastěji soustřeďují, a jakékoliv podezřelé chování hned hlásí či zastavuje. Nevýhodou tohoto přístupu je předpoklad, že škodlivý kód, aby byl detekován podle chování, musí překonat vnější antivirovou ochranu a nějak se do počítače dostat. Proto bude detekce podle typu chování hrát vždy pouze doplňkovou úlohu pro případ, že selhaly ostatní bezpečnostní mechanizmy.

Samostatné aplikace, balíky a nástroje zdarma

Ozbrojeni těmito vědomostmi jsme se rozhodli porovnat, který z desítky testovaných antivirů nejlépe ochrání uživatele proti známému i neznámému malwaru. Do testu jsme zařadili deset produktů některé jsou zdarma, jiné placené a maximální cena činí 2 200 Kč. Abychom dali všem stejnou šanci, rozhodli jsme se testovat samostatné antivirové aplikace a z balíčků obsahujících antispyware a firewall jsme použili pouze antivirové komponenty. Testování balíčků s aktivovanými komponentami, nezaměřenými na virovou ochranu, by jim přineslo neoprávněné výhody oproti samostatným aplikacím, k nimž můžete doinstalovat utility s funkcemi firewallu a antispywaru (a my je opravdu doporučujeme doplnit).
Mezi námi testovanými produkty představují samostatné programy, jež jsou dostupné zdarma, Avast Home Edition 4.6, AntiVir PersonalEdition Classic 6.32 a Grisoft AVG Free Edition 7.1. Placenými samostatnými antiviry jsou pak F-Secure Anti-Virus 2006, Kaspersky Anti-Virus Personal 5.0, McAfee VirusScan 2006 a BitDefender 9 Standard. Nástroje pro odstranění spywaru pak obsahují aplikace Panda Titanium 2006 Antivirus + Antispyware a Symantec Norton AntiVirus 2006. TrendMicro prodává svůj antivirový nástroj pouze jako součást balíku PC-cillin Internet Security Suite 2006.
Produktem, který jsme nehodnotili, je ZoneAlarm Antivirus společnosto ZoneAlarm, který získal naše ocenění ve verzi 2005. Kombinuje engine Vet Antivirus společnosti Computer Associates s firewallem Zone Labs a behaviární technologií sledování podezřelého chování systému OSFirewall. Změřili jsme skenovací engine Computer Associates, který se ukázal jako slabý, navíc tato společnost nejpomaleji zveřejňuje updaty sigantur nových virových hrozeb. V testu jsem však nemohli hodnotit efektivitu behaviární prevence škodlivého kódu Zone Labs. Srovnání s databází malwaru by trvalo měsíce, aby tento program určitý škodlivý kód rozpoznal, musí být na počítači aktivní. Jelikož je OSFirewall integrovanou součástí produktu, nezařadili jsme jej do testu.

Jak jsme testovali

Celkově jsme provedli pět testů. Prvním jsme zkoušeli schopnost rozpoznat kolekci 1 518 příkladů aktivního malwaru. Každý z testovaných kódů se nacházel na seznamu WildList Organization a byl rovněž aktivní na internetu.
Za druhé jsme zkoušeli schopnost rozpoznat nebezpečné kódy, které nejsou publikovány v seznamu WildList Organization, přičemž jsme použili vlastní sbírku (neboli zoo) 136 250 programů (trojští koně, backdoor aplikace a boty či zombie). Do naší zoo jsme toto úctyhodné množství škodlivých kódů přilákali pomocí "honey potů" neboli vějiček, které jsme vystavili na internetu a které mají za úkol přilákat všudypřítomné škodlivé šmejdily. Za pomoc při odchytu děkujeme i spřáteleným firmám a správě naší sítě. Vlastní sbírku jsme použili hlavně proto, že WildList není aktualizován tak často a úmyslně nezahrnuje nereplikující se kódy, jako jsou trojští koně.
Síťový firewall rozpozná "backdoor" aplikace, boty a trojské koně, ale stejně jako v případě detekce podezřelého chování vás firewall upozorní na problém pouze v případě, kdy se hrozba dostala do vašeho počítače. Firewally kontrolují síťový provoz, mohou například zastavit trojského koně v případě, že se snaží "volat" ven z vašeho počítače, ale nezabrání mu v tom, aby se na inkriminovaný počítač dostal.
Třetí test hodnotí heuristické schopnosti jednotlivých aplikací. Ty jsme zkoušeli tak, že jsme nainstalovali dva měsíce staré verze antivirových programů bez aktualizovaných virových databází a předložili jim viry, které se objevily až po poslední instalované databázi. Jinými slovy, zkoušeli jsme dva měsíce neaktualizovaný antivirový systém. Zaměřili jsme se hlavně na "backdoor" aplikace (ty, jež se pokoušejí dostat do počítače zadními vrátky) a na červy, jelikož úplně nových virů se objevuje velmi málo a v praxi se s nimi tak často nesetkáváme.
Čtvrtý test byl zaměřen na boj proti 110 makrovirům, snažícím se nakazit programy Microsoft Office. Pátý test zkoumal rychlost, s jakou jednotliví výrobci antivirových programů aktualizují databáze v případě objevení nových virů. Navíc jsme testovali i čas, který jednotlivým programům zabere vyžádané skenování systému. V úvahu jsme vzali i další vlastnosti, složitost ovládání a podporu jednotlivých produktů.

Naše antivirová volba

Po skončení testů a po zanesení všech výsledků a hodnocení nám jako nejlepší vyšel BitDefender 9 Standard. Ve všech testech se umístil mezi prvními čtyřmi produkty a stojí pouze 870 Kč. Druhý skončil McAfee VirusScan 2006 za 1 250 Kč, a to hlavně díky dobré heuristice a intuitivnímu ovládání.
TrendMicro PC-cillin Internet Security Suite 2006 je následovníkem někdejšího vítěze (test z roku 2004), ale tentokrát skončil z desítky testovaných aplikací na předposledním místě. Jen špatně si poradil s naší zoologickou zahrádkou a za moc nestál ani v oblasti heuristky. Navíc je poměrně drahý, protože jej lze koupit pouze s celým bezpečnostním balíkem. Na druhou stranu nás potěšil špičkovým ovládáním a velmi rychlou odezvou firmy na vznik nového malwaru.
Trojice antivirů rozdávaných zdarma skončila rovněž na chvostě zkoumaného pelotonu. AntiVir skončil sedmý, Avast osmý a AVG až poslední z desítky antivirů. Na druhou stranu je pro osoby s omezenými (v tomto případě nulovými) prostředky na anitvirovou ochranu rozhodně mnohem lepší pořídit si i o něco horší aplikaci, než se na ochranu vykašlat úplně.

Boj se známým malwarem

V základním nastavení a s aktualizovanými virovými definicemi byly všechny programy stoprocentně úspěšné v boji s viry, zaznamenanými na seznamu WildList, a to v reálném čase a při plánovaném automatickém skenování i při skenování počítače na vyžádání. Programy rozpoznaly a odstranily makroviry, až na několik málo výjimek. Avast nedokázal rozpoznat a vyčistit deset virů, včetně dvou, jež se zaměřily na powerpointové soubory verzí 97 až 2003, a čtyř určených pro Word 6. Panda nevyčistila dokonale zmíněné dva powerpointové viry, i když se soubory se dalo ještě pracovat. AntiVir nezvládl vyčistit deset virů určených pro Word 6 a BitDefenderu utekly dva viry určené pro Word ve verzích 97 až 2003. Tyto viry byly velmi dobře známé a moderní antiviry by je měly umět snadno rozpoznat a odstranit. Schopnost rozpoznat viry zaznamenané v seznamu WildList je naprosto zásadní, jelikož jsou dobře známé, na druhou stranu rozpoznat všechny exponáty naší škodlivé zoo, to je o něčem naprosto jiném.
Kaspersky Anti-Virus Personál 5.0 byl jediným programem v našem přehledu, který úspěšně rozpoznal všechny tři typy útoků z naší zoo, a to při všech pokusech. F-Secure a Symantec byli úspěšní v 97 procentech případů, což je rovněž excelentní výsledek.
Na opačném konci výsledkové listiny předvedl jeden z nejhorších výsledků PC-cillin, jenž rozpoznal pouze 76 procent útoků, z toho 85 procent botů, 82 procent "backdoor" kódů a 69 procent trojských koní. Trend Micro tvrdí, že nebude utrácet prostředky na sepisování definic kódů z naší zoo, jelikož s těmito útoky se jejich zákazníci nikdy nesetkali. Nechceme tvrdit, že všechny exponáty z naší zoo jsou opravdu nebezpečné, ale dali bychom přednost produktu, který rozpozná a zneškodní 100 procent i potenciálně nebezpečných útoků.

Boj s neznámým malwarem

V našich heuristických testech nedopadl žádný z testovaných antivirů příliš dobře, což dokazuje, že v boji s neznámými hrozbami je stále co vylepšovat. Během testu, při němž byly aplikace vybaveny měsíc starou virovou databází, dopadl nejlépe BitDefender, který rozpoznal 43 procent červů a 57 procent backdoor programů. V těsném závěsu skončil na druhém místě McAfee, který pochytal 41 procent červů
a 55 procent backdoor programů. Za nimi následují F-Secure a Kaspersky s 32 procenty zadržených červů a 53 procenty backdoor programů (shodný výsledek u obou antivirů). Podle našeho názoru je 50procentní úspěšnost v tomto testu dostatečným výsledkem. V testu antivirových aplikací s dva měsíce starou databází skončily programy o poznání hůře.
Nejhůře opět dopadl PC-cillin. Jeho skener zachytil s měsíc starou databází pouze 5 procent červů a 7 procent backdoor kódu. Názor společnosti Trend Micro je takový, že problémy spojené s heuristickým zkoumáním systému jsou mnohem otravnější než je opravdové nebezpečí, a proto nekladou na heuristiku takový důraz.

Rychlost je dobrá

Provedli jsme dvě rychlostní zkoušky. První z nich byla zaměřena na čas, za jaký provede antivirový program vyžádaný sken systému. Druhá, podle nás důležitější, se zaměřila na dobu, po níž výrobci softwaru zveřejní nové virové definice, lépe řečeno prodleva mezi objevením určitého škodlivého kódu a zveřejněním definice.
Jako nejrychlejší se ukázal program společnosti Panda, který prolétl systémem za 1 minutu 46 sekund. To je více než sedmkrát rychleji než nejpomalejší Avast, který dorazil do cíle až za 13 minut a 11 sekund.
Doba odpovědi na nově objevený bezpečnostní problém byla u všech společností kratší než 12 hodin. Nejrychleji dokázal reagovat Kaspersky, a to v rozmezí 1 až 2 hodin! BitDefender a F-Secure zareagovaly v rozmezí 2 až 4 hodin. AntiVir a PC-cillin prokázaly odpovědní dobu mezi 4 a 6 hodinami. Pandě trvala odpověď 6 až 8 hodin, AVG, Avastu a McAfee 8-10 hodin a nejpomalejší byl Symantec s 10-12 hodinami.

Funkce se trochu liší

Některé aplikace nabízejí šikovné dodatečné funkce. Všechny umožňují automatický a pravidelný download virových databází a update samotných aplikací. Většina z nich vám umožní naplánovat čas skenování podle předem definovaného rozvrhu. Některé aplikace, například zdarma distribuovaný AVG, nejsou zrovna pružné a umožní vám pouze předefinovat pravidelný sken daných disků nebo typů souborů. Jako jediná v testu neumožní Panda naplánovat skenování předem, k tomu potřebujete plnou verzi Panda Platinum 2006 Internet Security Suite.
Řada programů začala používat konzolová okna, podobná těm z Windows XP SP2 Security Center, která nabízejí jednoduchý přehled stavu PC. Například Norton Protection Center vám prozradí, jak bezpečný je váš systém pro určité činnosti, například prohlížení webových stránek či pro práci s elektronickou poštou. V některých případech se skoro zdá, že jsou tyto konzoly využívány výrobci hlavně pro marketing starších produktů (McAfee), ale mohou být užitečné i pro hledání bezpečnostních děr.
F-Secure a Panda nabízejí okamžité zpravodajství týkající se aktuálních bezpečnostních updatů. BitDefender umístí na pracovní plochu malé okno nazvané File Zone, s grafickým znázorněním množství souborů, které byly skenovány (tuto funkci ale lze vypnout).
Všechny testované produkty nabízejí e-mailovou technickou podporu po dobu trvání předplatného (jeden rok u placených produktů a neomezenou u programů zdarma).
BitDefender, F-Secure, Kaspersky, Panda a Trend Micro nabízejí telefonickou podporu v pracovních dnech zdarma. Telefonická podpora společnosti Symantec stojí 30 dolarů za jeden incident, McAfee si účtuje 3 dolary za minutu. Pokud si myslíte, že byste telefonní podporu mohli potřebovat, rozhodně o těchto cenách přemýšlejte. Jeden či dva telefonáty by vás mohly stát více než celý program.

Pohodlí je důležité

Nejjednodušší ovládání nabízí Trend Micro PC-cillin. Do snadno pochopitelného a přehledného rozhraní dokázal začlenit dostatek informací o bezpečnosti systému. I když je dostatečně intuitivní i pro začínající a neznalé uživatele, stejně nabízí možnosti nastavení, které uspokojí i profesionální uživatele.
Avast se odlišuje unikátní skinovatelnou hlavní konzolou, která připomíná multimediální přehrávač. Konzola zobrazuje stejné informace jako ostatní, ale některé další schovává pod okolními ikonami. Rozhraní ostatních programů jsou spíše základní. Úvodní obrazovka BitDefenderu informuje uživatele pouze o tom, zda je zapnuta automatická ochrana a stahování aktualizací. Užitečnější informace jsou přístupné z levé strany. Zde se otevírá intuitivní nástrojová lišta, umožňující rychlý přístup k podrobnému nastavení.
Hlavní okno programu AVG je téměř nepoužitelné. Minimum možností (sken počítače, sken určitých částí, kontrola aktualizace) charakteristicky podtrhuje omezenost bezplatné verze. Některé možnosti nastavení nejsou aktivní a pouze vám připomenou, že si máte koupit plnou verzi AVG Professional.
V každém případě však díky produktům jako Grisoft AVG Home Edition nemusíte utrácet peníze na boj se známými viry. I když žádný z testovaných antivirů nedokáže plně ochránit váš počítač před neznámými kódy, vyberete-li si nějaký z produktů na předních místech našeho přehledu, získáte nejlepší ochranu, která je v současné době k dispozici.

BitDefender 9 Standard92Vynikající100955638Velmi dobrá870Levný produkt, který dosáhl výborných výsledků, i když za cenu nižší rychlosti skenování.
McAfee VirusScan 200687Vynikající100895334Velmi dobrá1 250Relativně dobrá heuristika pomáhá VirusScanu zajistitsolidní ochranu. Telefonní hotlinka stojí 3 USD za minutu.
Kaspersky Lab Kaspersky 85Vynikající1001005126Dobrá1 350Tento program se může pochlubit nejrychlejší odezvou na
AntiVirus Personal 5.0 vznik nákazy. Rozhraní je přehledné, ale nejlepší není.
F-Secure Anti-Virus 200683Vynikající100975227Dobrá1 440Solidní výkon v testech spolu s nerychlejšími informacemi o vzniku nových bezpečnostních hrozeb.
Symantec Norton AntiVirus 200680Dobrý10097228Velmi dobrá1 250Stará známá antivirová aplikace nabízí solidní detekci útoků a dobré rozhraní. Podpora stojí 30 USD za jeden incident.
Panda Software Panda Titanium 2006 79Velmi dobrý100862116Dobrá2 200Tento program pracoval dobře, i když v minulosti jsme s nímAntivirus + Antispywarebyli spokojenější.
AntiVir PersonalEdition 78Dobrý10095116DobráZdarmaZe zdarma distribuovaných programů si vedl nejlépe, i když Classic 6.32nezvládl odstranit několik starých makrovirů.
Alwil Software Avast Home 77Dostatečný1008695Velmi dobráZdarmaJe zadarmo a má hezké rozhraní, které však skrývá některé Edition 4.6funkce. Rychlost skenování byla podprůměrná.
Trend Micro PC-cillin Internet 77Dostatečný1007663Vynikající1 750Někdejší vítěz testu si vedl špatně v heuristice i v testech
Security Suite 2006 naší zoo, má však nejlepší interface ze všech antivirů v testu.
Grisoft AVG Free Edition 7.173Dostatečný1008084DostatečnáZdarmaProgram je zdarma, dobře ochrání proti známým virům i zoo. Heuristika a rozhraní jsou však slabší.

Antivirová alternativa: Microsoft OneCare Live

Microsoft brzy vstoupí mezi společnosti, nabízející kompletní bezpečnostní řešení. Vyzkoušeli jsme veřejnou betaverzi balíku určeného k ochraně PC, nazvaného Microsoft OneCare Live. Funguje na základě předplatného a lze jej stáhnout například ze stránky find.pcworld.com/51178.
OneCare Live představuje skupinu bezpečnostních nástrojů a utilit spravovaných z jednotného rozhraní. V současnosti se z hlediska bezpečnosti skládá z antivirové utility a firewallu, v další betaverzi pak Microsoft předpokládá začlenění nástroje pro boj se spywarem. Mezi další utility patří aplikace na zálohování a utilita pro plánování a automatizaci činností jako defragmentace a čištění disku. Jako většina antivirů umožňuje i MS OneCare Live skenovat na vyžádání i automaticky. Cíle skenování lze dobře konfigurovat a vybrané soubory lze z průběhu skenování vyjímat. Zatím nekontroluje příchozí a odchozí elektronickou poštu, z instatnt messengerů pracuje pouze s MSN, Microsoft však tvrdí, že v budoucnu plánuje implementovat jak ochranu e-mailu, tak dalších IM nástrojů. Vrstva behaviární ochrany sleduje podezřelé chování souborů, jako je třeba změna záznamů v registrech. První sken celého systému trval 15 minut.
OneCare firewall monitoruje příchozí i odchozí provoz a představuje v podstatě vylepšenou verzi Windows Firewallu, která sleduje pouze příchozí datový provoz. Při prvním použití se nás OneCare dotázal na aktivity, které nedokázal rozpoznat, například na iTunes či na síťovou aktivitu Lotus Notes. Poté nás ale příliš neobtěžoval, tedy pokud jsme správně stahovali bezpečnostní updaty.
Instalace je snadná, ale vyžaduje přítomnost Internet Exploreru 6 (kontrola updatů vyžaduje Internet Explorer 5 a vyšší). Průvodce umístěný na webu zkontroloval náš systém, zda splňuje minimální konfigurační nároky a zda nedojde k softwarovým kolizím. OneCare se má instalovat pouze v případě, že je průvodce dokonale spokojen, ale v našem případě nepoznal klientskou aplikaci programu Symantec Norton Antivius Corporate Edition, instalovanou na našem počítači.
Microsoft neurčil cenu tohoto balíčku, ale podle tlačítka "Purchase Now", odhadujeme, že nebude trvale zadarmo.