home *** CD-ROM | disk | FTP | other *** search

---

/ Cream of the Crop 11 / Cream of the Crop 11-2.iso / os2 / virtst95.zip / TEST1995.TXT

< prev

next >

Wrap

Text File  |  1995-12-20  |  34KB  |  677 lines

---

1.                                  
2.                                  
3.                                  
4.                                  
5.                                  
6.                                  
7.                                  
8.                                  
9.                                  
10.                                  
11.                                  
12.                                  
13.                        ANTIVIRUS SCANNER ANALYSIS 1995
14.                                  
15.                                 Marko Helenius
16.                                  
17. Virus Research Unit, University of Tampere, Department of Computer Science
18.         P.O.BOX 607, 33100 TAMPERE, FINLAND, Tel: +358 31 215 7139,
19.                Fax: +358 31 215 6070, E-mail: cshema@uta.fi
20.    WWW: http://www.uta.fi/laitokset/virus, ftp: ftp.cs.uta.fi /pub/vru
21.                                  
22.                                  
23.                                  
24.                                  
25.  
26.  
27.  
28.  
29. This paper briefly introduces our methods of testing antivirus
30. products and results of an antivirus scanner analysis carried out
31. in the Virus Research Unit at Summer 1995. The analysis was
32. performed with DOS-, Windows-, Netware-, OS/2 and memory resident
33. versions of the scanners. I have also tried to think what a reader
34. should be aware of when reading the results.
35.  
36.  
37.  
38. ACKNOWLEDGEMENTS
39.  
40. Permission is granted to distribute copies of this information,
41. provided that the contents of the files and information is not
42. changed in any way and the source of the information is clearly
43. mentioned. For republication, permission must be obtained from the
44. Virus Research Unit. To avoid publishing misleading information
45. those who wish to quote the results should discuss the matter with
46. the Virus Research Unit.
47.  
48. This analysis has required a lot of work efforts and carrying out
49. the analysis took much more time than I ever expected. Therefore
50. publication of the results has also been later than originally
51. planned.
52.  
53. Also a lot of co-operation with antivirus researchers was
54. required. I would like to thank the following people who have been
55. of great help when carrying out the analysis.
56.  
57. Karsten Ahlbeck, Karahldata
58. Pavel Baudis, ALWIL Software
59. David Chess, IBM T.J.Watson Research Center
60. Shimon Gruper, Eliashim Microcomputers Ltd.
61. Dmitry Gryaznov, S&S International PLC.
62. Jan Hruska, Sophos Plc.
63. Peter Hubinsky, Slovak Antivirus Center
64. Mikko Hypponen, Data Fellows Ltd.
65. Trevor Iverach, Cybec Pty Ltd.
66. Eugene Kaspersky, KAMI Group
67. Jimmy Kuo, McAfee Association
68. Jeffrey Leeds, Symantec Peter Norton's Group
69. Cliff Livingstone, Virus Alert
70. Jim Lynch, McAfee Association
71. Roger Riordan, Cybec Pty Ltd.
72. Luca Sambucci, I.C.A.R.O.
73. Jonathan Stotter, Eliashim Microcomputers Ltd.
74. Frans Veldman, ESaSS Ltd.
75.  
76. 1. INTRODUCTION
77.  
78. It is too often unclear how antivirus testers are working and what
79. viruses they are using in their tests. This is not, however, how
80. it should be. I believe it should be known to the public how
81. antivirus testers are working and what viruses they are using in
82. their tests. Also I believe, that a tester should admit the lacks
83. of his/her tests to avoid misleading information. At least it
84. should be known to the public what was actually tested. To give
85. more exact view of our work I have briefly presented our methods
86. of testing and some facts that readers should be aware of. This
87. paper presents problems with collecting the "In the Wild" test
88. set, how we are carrying out the tests, test results of the
89. analysis and what a reader of the analysis should be aware of when
90. reading the results.
91.  
92. This report presents results of an antivirus scanner analysis
93. carried out by the Virus Research Unit in summer 1995. As a base
94. for the analysis there were two test sets. One consisted of
95. viruses found in the field according to antivirus researchers and
96. the other consisted of viruses we had received before starting the
97. analysis. The analysis includes tests of DOS and memory resident
98. scanners against both the whole test set and the 'In the Wild'
99. test set. Windows, NLM and OS/2 scanners were analyzed only
100. against file viruses found in the field.
101.  
102. 2. ANALYSING THE PRODUCTS
103.  
104. The following sections describe briefly how the analysis was
105. carried out.
106.  
107. 2.1 EXCLUDING NON-VIRUSES
108.  
109. Trojan horses, joke programs, intended viruses, first generation
110. viruses, innocent files and other non-viruses should be excluded
111. from the test set. Otherwise products, which are good at detecting
112. true viruses, but "bad" at detecting non-viruses would have lower
113. score than they are worthy of and products, which are giving false
114. alarms could perform well. After all we should be analysing how
115. well products can detect viruses. In this analysis a lot of work
116. efforts were used to exclude Trojan horses, joke programs,
117. droppers, first generation viruses, innocent files, intended
118. viruses and other non-viruses from the test set. The non-virus
119. removal process was carried out with a help of an invention
120. implemented at the Virus Research Unit. The invention is called as
121. "Automatic and Controlled Virus Code Execution System" [Helenius
122. 1995] and it executes automatically virus code in controlled area
123. and saves infected areas into specific network directory. The
124. system's power is that it is implemented so that it can be left to
125. work on its own. It recovers automatically from hanging, damage
126. and CMOS memory failures that execution of malicious software may
127. cause.
128.  
129. 2.2 ANALYZING ON-LINE DOS-SCANNERS
130.  
131. Both the 'In the Wild' test set and whole test set were used for
132. analysing on-line DOS-scanners. The analysis was carried out
133. against both file and boot sector viruses. Detection of boot
134. sector viruses was analyzed by writing one by one diskette boot
135. images on diskettes and then skanning the diskettes. File virus
136. detection capabilities were analysed by executing DOS-scanners
137. from batch files by using the switches presented in table 1.
138.  
139. Product               Command line
140. Avast 7.07            LGUARD %1%2 /P /S /RAV%2.REP
141. AVP 2.1 (3.6.1995)    AVP /W=AP%2.REP /S /Y /Q %1%2
142. Central Point         CPAV %1%2 /P /R
143. (1.6.1995)
144. Dr. Solomon 7.13      FINDVIRU %1%2 /REPORT=FV%2.REP /LOUD /VID
145. F-PROT 2.18           F-PROT %1%2 /NOWRAP /LIST /NOMEM /REPORT=FP%2.REP
146. IBM Antivirus 2.2     BMAVSP -LOGIBMAVSP.LOG -PROGRAMS -VLOG -NB -NREP -
147.                       NWIPE -NFSCAN %1%2
148. Inoculan 3.0          NOCULAN %1%2 /LIS IN%2.REP
149. Integrity Master 2.51 IM /NOB /NE /VL /REPA /1 /RF=E:\IM_NEW\IM%3.REP
150. Microsoft Antivirus   MSAV %1%2 /P /R
151. (6.2.1995)
152. Norman Virus Control  NVC %1%2 /LFNO%2.REP /LA /S /U /Y
153. 3.57
154. Norton Antivirus      Scan executed from graphic interface
155. (1.6.1995)
156. McAfee Scan 2.2.2     SCAN /REPORT S2%2.REP /RPTALL /NOMEM /SUB %1%2
157. Sweep 2.74            SWEEP %1%2\*.EXE %1%2\*.COM %1%2\*.SYS %1%2\*.BAT
158.                       -REC -NK -NAS -NB -P=SW%2.REP
159. Thunderbyte 6.35      TBSCAN %1%2 LARGEDIR EXPERTLOG NOAUTOHR BATCH LOG
160.                       LOGNAME=TB%2.REP
161. VET 8.212             VET %1%2 /E /F /N /X /R
162. Virusafe 6.5          VREMOVE %1%2 /R /C /D
163.                   Table 1: Command line switches
164.  
165. 2.3 ANALYSING MEMORY RESIDENT SCANNERS
166.  
167. Memory resident scanners were analysed against file viruses by
168. copying files when the memory resident part of a product was
169. activated. A drawback of this method is that some products may
170. detect more viruses when actual virus code is executed and some
171. products may not even detect viruses at all when files are copied.
172. The reason for using the file copy method is that when preparing
173. the analysis we did not have automatic system for the file
174. execution method. However when the automatic and controlled virus
175. code execution system is now implemented, even the file execution
176. method is possible. Boot sector virus tests of memory resident
177. scanners were carried out by attaching infected diskettes with the
178. "DIR"-command.
179.  
180. 2.4 ANALYZING WINDOWS, NLM AND OS/2 SCANNERS
181.  
182. Windows, NLM and OS/2 scanners were analyzed only against file
183. viruses found on the field. The whole test set was not included
184. because of restricted disk space, or because in case of Windows
185. scanners some products could not create large enough log files.
186. Boot sector viruses were not included, because so far we do not
187. have methods for the automatic analysis in these environments.
188.  
189. 2.5 REPORT FILE CREATION
190.  
191. I believe, that it should be known to the public, what was
192. actually tested and how did we conclude the results in a test. So
193. this is why we have always prepared cross-references, which
194. clearly show which sample files were found by which product. To
195. implement the report file generation we are first using awk-
196. scripts to organize the report files into analogous format. After
197. this we are using a specific tool, which unites the report files.
198.  
199. 2.6 ANALYSING SCANNING SPEED
200.  
201. Speed performance tests were carried out in two clean computers
202. and scanning time includes memory tests, checking scanner's own
203. integrity and all what is needed to do after the scanning is
204. started from the command line. Reason for the method is that this
205. is the real time needed for scanning a hard disk. Memory resident
206. scanners were analysed by executing 40 files when a memory
207. resident scanner was loaded.
208.  
209. 3. PROBLEMS WITH THE 'IN THE WILD' TEST SET
210.  
211. For a virus to be included "In the Wild" test set, it must
212. have been found in the "field" at least once. This is not,
213. however, as obvious as it sounds. How do we know, that a
214. virus has been found in the field at least once. Someone
215. must have reported to some antivirus researcher, that the
216. virus has been found in the field but how do we know that
217. someone has reported the virus to some anti-virus
218. researcher. One solution is to use Joe Well's list [Joe
219. Wells], which includes viruses, which have been reported
220. as found in the field according to main anti-virus
221. researchers. It does not, however, contain all the viruses
222. found from the field, because all the cases are not
223. reported to Joe Wells. For example, we in Finland have
224. viruses found in the field, which have been reported to
225. antivirus researchers and/or to Central Criminal Police,
226. but some of them still are not in the Joe Well's list. I
227. have also reports from other anti-virus researchers of
228. viruses found in the field, which are not in the Joe
229. Well's list. However, those viruses mentioned in the Joe
230. Well's list should at least be included in the test set.
231. My solution was to use the viruses mentioned in our old
232. test report [Helenius 1994] as a base for the test bed and
233. to ask comments and additions from antivirus researchers
234. and to combine the results with the Joe Well's list.
235.  
236. Most of the "In the Wild" listings do not have exact information,
237. which variants of viruses are found in the field. Sometimes the
238. exact variant can be identified directly, but in most cases
239. further examination is needed. This causes problems when
240. constructing the test set. Sometimes I could receive the original
241. virus from antivirus researchers but this is not always possible.
242. I had to compare several sources of information between each other
243. to determine, which variant of the virus was "In the Wild". In
244. most cases this comparing process was producing results and I
245. could almost certainly identify the correct variant, but still I
246. cannot be absolutely certain, that all variants were chosen
247. correctly.
248.  
249. A yet new problem appeared when the analysis was already ready. I
250. noticed that it is possible to affect the test results by single
251. incidents or simply by lying. Thus unclear cases were first sent
252. for commenting and then removed unless there was no other
253. evidence. Exact description of the 'In the Wild' test set
254. construction is described in the separate file WILD_VIR.TXT.
255.  
256. 4. THE RESULTS OF THE ANALYSIS
257.  
258. The following sections present results of the analysis. The
259. detection percentages were calculated so that for each virus an
260. average of detection was counted. So if a scanner could detect
261. only part of the sample files of a virus, an average detection was
262. calculated. A drawback of this method is that it does not
263. perfectly take into account that a partly detected virus may cause
264. trouble for a user, because undetected files may cause reinfection
265. of the virus. On the other hand, even unreliably detected virus
266. does get caught. This slows down the spread of the virus and thus
267. unreliable detection should be taken into account. Anyway, because
268. estimating reliable detection would be too unsure, I decided to
269. count the averages.
270.  
271. 4.1 DOS SCANNER ANALYSIS WITH THE WHOLE TEST SET
272.  
273. The whole test set included 250 boot sector viruses and 3586 file
274. viruses. Some memory resident scanners may detect more viruses
275. than presented in the tables, because some scanners may detect
276. virus on execution of a virus. McAfee Association's Vshield should
277. detect polymorphic viruses when the scanner is activated with the
278. /POLY switch. Also Dr. Solomon's Virus Guard should detect
279. polymorphic viruses by detecting the viruses from the memory.
280. There is a plus mark after these scanners. There are also Windows
281. versions of F-PROT's, Dr. Solomon's and Norton's memory resident
282. scanners. Because there are more resources available in Windows,
283. it is possible that these scanners may detect even more viruses
284. than DOS-versions of the memory resident scanners. However because
285. of the lack of time Windows versions could not be analysed. Memory
286. resident parts of Avast and VET could not be analyzed, because
287. these scanners do not check files when they are copied. The first
288. parts of table 2 present results of on-line DOS-scanners and the
289. latter part presents results of memory resident scanners.
290.  
291. Scanner               Boot     File    Combinat Boot     File     Combinati
292.                       sector           ion      sector            on
293. Avast 7.07            97.8     98.59   98.5     RGuard   RGuard   RGuard
294. AVP 2.1 (3.6.1995)    97.37    99.72   99.6     -------- -------- --------
295. Central Point         90.07    72.11   73.3     49.8     41.59    42.12
296. (1.6.1995)
297. Dr. Solomon 7.13      100      99.42   99.5     100      94.22+   94.6+
298. F-PROT 2.18           98.00    98.76   98.7     85.2     78.79    79.2
299. IBM Antivirus 2.2     98.8     96.22   96.4     44.8     9.8      12.1
300. Inoculan 3.0          85.00    77.84   78.3     85.0     77.18    77.7
301. Integrity Master 2.51 85.87    88.47   88.3     -------- -------- --------
302. Microsoft Antivirus   52.16    52.17   52.2     53.81    38.9     39.8
303. (6.2.1995)
304. Norman Virus Control  98.4     97.77   97.8     NVC.SYS  NVC.SYS  NVC.SYS
305. 3.57
306. Norton Antivirus      85.2     83.17   83.3     84.8     83.44    83.5
307. (1.6.1995)
308. McAfee Scan 2.2.2     89.2     89.05   89.1     82.4     79.43+   79.6+
309. Sweep 2.74            100      98.23   98.3     InterChe InterChe InterChec
310.                                                 ck       ck       k
311. Thunderbyte 6.35      98.4     98.14   98.2     63.6     79.38    78.4
312. VET 8.212             91.6     83.43   84.0     VET_RES  VET_RES  VET_RES
313. Virusafe 6.5          90.7     71.12   72.4     90.9     68.76    70.2
314. Table 2: Results of DOS scanners, when the whole test set was used
315.  
316. Most scanners seem to perform well. A clear exception is Microsoft
317. Antivirus, which could detect only about half of the viruses in
318. the test bed. Also memory resident scanners of IBM Antivirus,
319. Central Point Antivirus and Microsoft Antivirus could detect less
320. than half of the viruses in the test bed. In most cases memory
321. resident scanners cannot detect as many viruses as on-line
322. scanners.
323.  
324. Norman Virus Control has instead of a memory resident scanner an
325. active monitoring program. Sweep does not have a memory resident
326. scanner, but Sweep's Intercheck can be used like a memory resident
327. scanner in a computer that is connected to a network server. All
328. unauthorized files and boot sectors are copied to the network
329. server and then netware version of Sweep scans the files.
330. Therefore detection capabilities are same as for the network
331. version. A drawback of the method is the extra traffic that
332. Intercheck causes for the network server when copying files and
333. boot sectors.
334.  
335. 4.2 DOS SCANNER ANALYSIS WITH THE 'IN THE WILD' TEST SET
336.  
337. The 'In the Wild' test included viruses found in the field
338. according to antivirus researchers. A previous analysis carried
339. out by the Virus Research Unit was used as a base for the 'In the
340. Wild' test set. The base was sent to antivirus researchers for
341. commenting and a new list was prepared by using received comments
342. and Joe Well's 'In the Wild' list [Wells]. Joe Well's list
343. includes viruses, which have been reported as found in the field
344. according to main antivirus researchers. The test set included 86
345. boot sector viruses and 239 file viruses found in the field
346. according to antivirus researchers.
347.  
348. Scanner                   Boot     File    Combin Boot     File     Combination
349. Dr. Solomon 7.13          100.00   99.23   99.5   100.00   92.78+   94.7+
350. AVP 2.1 (3.6.1995)        97.47    100     99.3   -------- -------- --------
351. Sweep 2.74                100.00   98.97   99.2   InterChk InterChk InterChk                                                  ck       k          k
352. Avast 7.07                96.84    100     99.1   RGuard   RGuard   RGuard
353. F-PROT 2.18               95.57    98.97   98.0   89.24    84.54    85.9
354. Thunderbyte 6.35          96.2     98.3    97.7   76.33    83.0     81.06
355. IBM Antivirus 2.2         96.2     97.63   97.2   66.46    28.97    39.8
356. Norman Virus Control 3.57 97.47    93.75   94.8   NVC.SYS  NVC.SYS  NVC.SYS
357. McAfee Scan 2.2.2         94.3     92.87   93.3   88.99    79.36+   82.1+
358. Integrity Master 2.51     89.24    92.01   91.2   -------- -------- --------
359. VET 8.212                 94.94    88.5    90.4   VET_RES  VET_RES  VET_RES
360. Norton Antivirus          91.77    86.49   88.0   90.25    86.51    87.6
361. Virusafe 6.5              87.66    81.78   83.5   87.66    77.76    80.6
362. Inoculan 3.0              81.01    82.06   81.8   81.01    81.46    81.3
363. Central Point             82.91    78.52   79.8   42.15    50.53    48.1
364. Microsoft Antivirus       44.57    61.4    56.5   46.29    44.83    45.25
365.  Table 3: Results of DOS scanners, when 'In the Wild' test set was used
366.  
367. When viruses found in the field were used as a test bed most
368. scanners could improve their score and most scanners seem to
369. perform well. Again a clear exception is on-line version of
370. Microsoft Antivirus and memory resident portions of IBM Antivirus,
371. Central Point Antivirus and Microsoft Antivirus. Detecting viruses
372. found in the field ismore critical than detecting all viruses and
373. therefore those producers who cannot detect near 100% should pay
374. attention on detecting viruses found in the field.
375.  
376. 4.3 WINDOWS SCANNER ANALYSIS
377.  
378. Windows scanners were analysed only with file viruses found in the
379. field. The whole test set was not included, because some scanners
380. had problems with creating a large report file. Report file
381. creation caused problems for some scanners even with the "In the
382. Wild" test set and therefore these scanners could not be analysed.
383. Boot sector viruses were not included in the test set, because so
384. far we do not have methods for automating the analysis task in
385. Windows.
386.  
387.        Windows scanner                  'In the Wild'
388.                                         file virus
389.        Avast 7.07                       98.97
390.        AVP 2.1 (3.6.1995)               --------
391.        Central Point (1.6.1995)         Not tested
392.        Dr. Solomon 7.13                 99.23
393.        F-PROT 2.18                      97.94
394.        IBM Antivirus 2.2                98.43
395.        Inoculan 3.0                     Not tested
396.        Integrity Master 2.51            --------
397.        Microsoft Antivirus (6.2.1995)   Not tested
398.        Norman Virus Control 3.57        93.75
399.        Norton Antivirus (1.6.1995)      68.72
400.        McAfee Scan 2.2.2                93.90
401.        Sweep 2.74                       --------
402.        Thunderbyte 6.35                 93.91
403.        VET 8.212                        --------
404.        Virusafe 6.5                     Not tested
405.                Table 4: Results of Windows scanners
406.  
407. Almost every analysed Windows version can detect almost as many
408. viruses as the DOS version of the product. An exception is the
409. Windows version of Norton antivirus, which can detect fewer
410. viruses than DOS-version of the product. Inoculan, Microsoft
411. antivirus and Virusafe were not included because these products
412. could not create a large enough log file of infected files.
413.  
414. 4.4 NLM SCANNER ANALYSIS
415.  
416. Also NLM scanners were executed only with the file viruses found
417. in the field. Reason for this was limited disk space on the
418. network server. Table 5 presents results of the netware scanner
419. analysis.
420.  
421.        Netware scanner                  'In the Wild'
422.                                         file virus
423.        Avast 7.07                       --------
424.        AVP 2.1 (3.6.1995)               Forthcoming
425.        Central Point (1.6.1995)         Not tested
426.        Dr. Solomon 7.13                 99.23
427.        F-PROT 2.18                      89.64
428.        IBM Antivirus 2.2                97.38
429.        Inoculan 3.0                     82.06
430.        Integrity Master 2.51            --------
431.        Microsoft Antivirus (6.2.1995)   --------
432.        Norman Virus Control 3.57        93.75
433.        Norton Antivirus (1.6.1995)      Not tested
434.        McAfee Scan 2.2.2                Not tested
435.        Sweep 2.74                       98.97
436.        Thunderbyte 6.35                 ---------
437.        VET 8.212                        Forthcoming
438.        Virusafe 6.5                     --------
439.                Table 5: Results of Netware scanners
440.  
441. The NLM version of most scanners' could detect the same number of
442. viruses as the DOS version. F-PROT's netware version uses quick
443. scanning engine and cannot therefore detect as many viruses than
444. the DOS-version of the scanner.
445.  
446. 4.5 OS/2 SCANNER ANALYSIS
447.  
448. OS/2 scanners were executed only with the file viruses found in
449. the field. Reason for excluding the whole test set was limited
450. disk space. Boot sector viruses were not included in the test set,
451. because so far we do not have methods for automating the analysis
452. task. OS/2 scannners were analyzed with one month newer versions
453. of the scanners. Reason for this was that F-PROT's OS/2 scanner
454. was received a month later than other products and therefore a
455. newer versions of the other analysed products were included.
456.  
457.              OS/2 scanner           'In the Wild' file virus
458.              Dr. Solomon 7.50       99.48
459.              F-PROT 2.18c           98.97
460.              IBM Antivirus 2.2      98.4
461.              McAfee Scan 2.2.2      -----
462.              Sweep 2.75             98.97
463.                  Table 6: Results of OS/2scanners
464.  
465. All analyzed OS/2 scanners seemed to work as well as DOS-versions.
466. McAfee Association has also OS/2 scanner, but it could not be
467. analyzed since it works only with OS/2 versions 2.0 or later.
468.  
469. 4.6 SPEED PERFORMANCE ANALYSIS
470.  
471. Speed performance tests were carried out in two clean computers
472. and scanning time includes memory tests, checking scanner's own
473. integrity and all what a product need to do after scanning is
474. started from the command line. Only the DOS versions were
475. analysed. Test computer 1 was a 486 DX computer with 40 MHz CPU
476. clock with 220 Megabytes of used diskspace and test computer II
477. was 386 SL computer with 25 MHz CPU clock and 55 megs of disk
478. space was used. Exact configuration of the test conputers is
479. included in the appendix 1.
480.  
481. Memory resident scanners were analysed by executing 40 files in
482. the same computers when a memory resident scanner was loaded. The
483. files returned control back to DOS after execution of the file.
484. List of these files is included in the file RESFILES.DIR. Table 7
485. presents scanning speed of on-line DOS-scanners in the 80486
486. computer and table 8 presents scanning speed and memory usage of
487. memory resident scanners in the 80486 computer. Tables 9 and 10
488. present corresponding scanning speed performance tests when 80386
489. computer is used. For speed performance tests it should be noted
490. that although fast scanning speed is does spur users to perform
491. the scanning more often, more important is that scanning is
492. reliable e.g. the product is able to find viruses also.
493.  
494. 4.6.1 TEST COMPUTER I, DOS-SCANNERS
495.  
496. Product                Command line                  Scanning time
497. Thunderbyte            TBSCAN C:\                    0:21
498. Thunderbyte            TBSCAN co C:\                 0:21
499. Sweep                  SWEEP C:                      0:44
500. Virusafe               VREMOVE /SL /C /G             0:55
501. Dr. Solomon            FINDVIRU C:                   0:58
502. Norton Antivirus       NAV C:                        1:01
503. F-PROT                 F-PROT C:                     1:03
504. Avast                  LGUARD C:\ /P                 1:05
505. Norman                 NVC C:                        1:08
506. McAfee Scan            SCAN C:                       1:51
507. VET                    VET C:\ /X /R /F              1:51
508. Central Point          CPAV /P C:                    1:56
509. Inoculan               INOCULAN C:\                  2:05
510. Integrity Master       IM /VO /ND                    2:23
511. Microsoft Antivirus    MSAV /P C:                    2:24
512. IBM Antivirus          IBMAVSP -NLOG -PROGRAMS C:    2:49
513. AVP                    AVP /Y /Q                     5:04
514.         Table 7: Scanning speed of the on-line DOS-scanners
515.  
516. 4.6.2 TEST COMPUTER I, MEMORY RESIDENT SCANNERS:
517.  
518. Product              Command line         Time   Conventional  Upper
519.                                                                memory
520. No scanner loaded                         0:06                 
521. F-PROT               VIRSTOP /COPY        0:06   37,728        0
522. IBM Antivirus        IBMAVDR C:\IBMAV\    0:06   5,984+4,642   0
523. Thunderbyte          TBSCANX              0:06   42,464+3,360  0
524. Norton Antivirus     NAVTSR               0:08   56,480        0
525. Dr. Solomon          GUARD                0:14   9,248         0
526. Inoculan             IMMUNE               0:16   7,552         0
527. McAfee Scan          VSHIELD /ANYACCESS   0:16   0             31,216
528. F-PROT               VIRSTOP /COPY /DISK  0:18   3,984         0
529. Central Point        VSAFE                0:40   24,352        0
530. Microsoft Antivirus  VSAFE                0:43   22,912        0
531. Virusafe             VS /CH               0:44   0             10,480
532.   Table 8: Scanning speed and memory usage of the memory resident scanners
533.  
534. 4.6.3 TEST COMPUTER II, DOS-SCANNERS
535.  
536. Product               Command line                 Scanning time
537. Thunderbyte           TBSCAN C:\                   0:18
538. Thunderbyte           TBSCAN co C:\                0:23
539. Norton Antivirus      NAV C:                       1:00
540. Virusafe              VREMOVE /SL /C /G            1:00
541. Avast                 LGUARD C:\ /P                1:27
542. Sweep                 SWEEP C:                     1:31
543. Dr. Solomon           FINDVIRU C:                  1:43
544. Norman                NVC C:                       1:53
545. VET                   VET C:\ /X /R /F             1:53
546. McAfee Scan           Scan c:                      2:05
547. Inoculan              INOCULAN C:\                 2:26
548. F-PROT                F-PROT C:                    2:40
549. Integrity Master      IM /VO /ND                   2:45
550. Microsoft Antivirus   MSAV /P C:                   3:38
551. IBM Antivirus         IBMAVSP -NLOG -PROGRAMS C:   4:35
552. Central Point         CPAV /P C:                   6: 22
553. AVP                   AVP /Y /Q                    9:37
554.         Table 9: Scanning speed of the on-line DOS-scanners
555.  
556. 4.6.4 TEST COMPUTER II, MEMORY RESIDENT SCANNERS
557.  
558. Product              Command line         Time   Conventional
559. No scanner loaded                         0:10   
560. F-PROT               VIRSTOP /COPY        0:11   37,728
561. IBM Antivirus        IBMAVDR C:\IBMAV\    0:11   5,984+4642
562. Thunderbyte          TBSCANX              0:11   42,464+3,360
563. Norton Antivirus     NAVTSR               0:13   3,248
564. F-PROT               VIRSTOP /COPY /DISK  0:27   3,984
565. McAfee Scan          VSHIELD /ANYACCESS   0:29   9,104
566. Dr. Solomon          GUARD                0:32   9,280
567. Inoculan             IMMUNE               0:37   7,552
568. Central Point        VSAFE                1:20   7,280
569. Microsoft Antivirus  VSAFE                1:21   6,848
570. Virusafe             VS /CH               1:41   10,480
571.    Table 10: Scanning speed and memory usage of memory resident scanners
572.                                  
573. The fastest on-line scanner seems to be Thunderbyte antivirus and
574. slowest seems to be AVP. IBMAVDR, TBSCANX and Virstop without
575. /DISK option seems to be the fastest memory resident scanners, but
576. these scanners are also consuming much conventional memory
577. (Virstop, TBSCANX) or detection capabilities (IBMAVDR). In most
578. cases memory resident scannners are keeping parts of them on the
579. fixed disk and thus slowing down scanning speed but saving
580. valuable conventional memory.
581.  
582. 5. DISCUSSION AND CONCLUSIONS
583.  
584. A lot of work was assigned to carry out everything as well as
585. possible. Carrying out an anti-virus scanner analysis requires a
586. lot of work and still there is always something to improve. Also
587. this analysis has drawbacks, which a reader of the results should
588. be aware of while examining them. Firsts of all performance of
589. checksum calculation and active monitoring programs were not
590. analyzed. Also products' disinfection capabilities were not
591. examined. A thorough analysis should also include a false alarm
592. rate test. Because of restricted time there was no false alarm
593. rate test in this analysis. In addition the tests were not carried
594. out while viruses were memory resident although this is often the
595. case, when a computer is infected with a virus. In addition all
596. possible viruses were not included. Only viruses that Virus
597. Research Unit had received before starting the analysis were
598. included. Also it should be noted, that all viruses found in the
599. field were not included, because only viruses we assume as being
600. found on the field were included. In addition we might have done a
601. mistake while checking correct variants of the viruses in the "In
602. the Wild" test set. It is also always possible, that someone has
603. given us misleading information although we have tried to do our
604. best to verify the information given us whenever possible. Also it
605. should be noted, that we did not try to measure how common each
606. virus is and so the percentages do not directly measure the actual
607. risk level of infection. Instead the percentage just presents, how
608. many per cents of viruses used in this analysis the products could
609. detect. A lot of work was used to exclude non-viruses, droppers
610. and first generation viruses from the test set. However, we might
611. have done mistakes and therefore it is possible to have non-
612. viruses included although I believe that there are only few such
613. mistakes. Also it should be noted that we did not try to check
614. whether a product can reliably detect a virus e.g. we did not
615. count cases, where a product did not detect all replicates of a
616. same virus. Because of the mentioned drawbacks the results give
617. only an overall impression of the performance of the tested
618. products.
619.  
620. Regardless of the drawbacks I believe, that there are some
621. advantages in this analysis. We succeeded to include most memory
622. resident, Windows, Netware and OS/2 scanners in the analysis. In
623. addition the test set includes large set of files and two test
624. sets were included. In addition, this analysis has advanced cross-
625. references, which clearly show, which viruses were detected by
626. which product and by which name.
627.  
628. REFERENCES
629.  
630. [Helenius]      Marko Helenius, 'Automatic and Controlled Virus Code Execution
631.                 System', An article from the proceedings of the eicar 1995
632.                 conference held in Zurich, Switzerland 27.-29.11 1995.
633.                 Available electronically via anonymous ftp as
634.                 ftp.cs.uta.fi: /pub/vru/documents/automat.zip
635.  
636. [Helenius]      Marko Helenius, "Antivirus scanner analysis by
637.                 using the "In the Wild" test set", 18.11.1994, Available
638.                 electronically via anonymous ftp as ftp.cs.uta.fi:
639.                 /pub/vru/documents/wildtest.zip
640.  
641. [Wells]         Joe Wells, "PC Viruses in the Wild", Available
642.                 electronically via anonymous ftp as ftp.informatik.uni-
643.                 hamburg.de: /pub/virus/texts/viruses/wild????.zip
644.  
645. APPENDIX 1, TEST COMPUTERS FOR THE SPEED PERFORMANCE ANALYSIS
646.  
647. TEST COMPUTER I:
648.  
649. 486 DX Samsung, 128k cache memory, 40 MHz CPU clock, 340M Scsi
650. fixed disk, 16M operating memory, 621k free conventional memory,
651. 155k free upper memory, 120M free disk space
652.  
653. Software installed on hard disk: MS-DOS 6.2, Windows 3.1, Excel
654. 5.0, Windows Word 2.0, Power Point 4.0, Canon BJC-4000 electronic
655. printer manual, Microsoft entertainment pack 2.0, shareware games,
656. test files for analyzing memory resident scanners.
657.  
658. Installed TSR programs and device drivers: HIMEM.SYS, EMM386.EXE,
659. SMARTDRV.EXE, SETVER.EXE, DISPLAY.SYS, KEYB.EXE, DOSKEY.COM
660.  
661. TEST COMPUTER II:
662.  
663. 386 SL Olivetti portable, 64k cache memory, 25 MHz CPU clock, 60M
664. fixed drive, 4M operating memory, 592k free conventional memory,
665. 2k free upper memory, 5M free disk space.
666.  
667. Installed TSR programs and device drivers: HIMEM.SYS, EMM386.EXE,
668. SMARTDRV.EXE, SETVER.EXE, DISPLAY.SYS, KEYB.EXE, DOSKEY.COM,
669. POWER.EXE, ANSI.SYS
670.  
671. Software installed on hard disk: MS-DOS 6.2, Microsoft Windows
672. 3.1, Microsoft Works 3.0, Lotus Organizer, Microsoft entertainment
673. pack 2.0, shareware games, test files for analyzing memory
674. resident scanners.
675.  
676.  
677.