Omówienie wybranych programów
antywirusowych
Omówienie
wybranych programów antywirusowych przeprowadzone zostało na
podstawie analizy raportów skanowania testowej kolekcji wirusów.
Lista omówionych programów:
Avast32
Program posiada dość nietypowy interfejs użytkownika. Mogą
stad wynikać problemy z konfiguracją programu. Jednak po głębszej
analizie można zauważyć duże możliwości konfiguracji.
Program zawiera listę znanych wirusów wraz z bardzo prostym
opisem. Podczas testów program nie wykrył kilkudziesięciu próbek
zainfekowanych wirusem Hare.7786. Także kilka próbek plików
SYS zainfekowanych wirusem Nutcracker.AB2.7008.B zostalo uznanych
za niezainfekowane. Program nie wykrywa żadnych robaków mIRC w
plikach INI.
AVX
Program antywirusowy charakteryzuje się podobnymi cechami
jak program RAV.
Podczas próby drukowania tekstu HTMl z zainstalowanym programem
AVX następuje zapętlenie sprawdzania pliku i anulowanie
drukowania.
-Bardzo
wolna praca programu zwłaszcza w przypadku testowania dużej ilości
archiwów
-W maju ukazała się publiczna wersja ewaluacyjna programu
AVX 6.0.
AntiVirenKit
Program charakteryzuje się podobnymi cechami jak program Antiviral
Toolkit Pro. Także wyniki osiągane przez
programy są podobne. Wynika to z faktu, że program AVK korzysta
z tych samych baz wirusów co program AVP. Użycie baz
antywirusowych, a także 'silnika' skanującego było możliwe
dzięki porozumieniu podpisanemu przez firmy Kaspersky Lab. i G-Data.
Podejrzane o infekcję pliki umieszczane są w zaszyfrowanej
formie w folderze kwarantanny. Zaszyfrowanie uniemożliwia dostęp
do plików z poziomu systemu.
AntiViral
toolkit Pro (Kaspersky AntiVirus)
+Potrafi
wykrywać makro wirusy w dokumentach zaszyfrowanych z hasłem
+Program potrafi wykrywać nieznane wirusy zarówno w
plikach (łącznie z Windows 95/NT) jak i dokumentach (makro
wirusy).
+Uaktualnienia baz programu ukazują się co tydzień
+Możliwość uaktualniania baz antywirusowych programu
przez internet lub z katalogu
+Możliwość testowania baz pocztowych i tekstowych
plików pocztowych
+Wykrywa i leczy wirusy Macro.Access
+Wykrywa i leczy pierwszego wirusa Java
+Wykrywa nieznane wirusy "pisane w językach
wysokiego poziomu" (HLL)
2 października 2000
Ukazała się od dawna zapowiadana wersja AVP Platinum 3.5. Większość
składnikow programu została przeprojektowana na podobieństwo
Outlook z wyjątkiem skanera i monitora, które poza drobnymi
technicznymi zmianami pozostały w starych wersjach znanych z
wersji 3.0 build 132.
Opublikowana wersja zawiera błąd. Jego objawem jest niemożliwość
wykonania Scandisk lub Defragmentacji dysku na którym
zainstalowany jest AVP. Jest za to odpowiedzialny Control Centre.
Po zakończeniu działania modulu Control Centre zarówno
Scandisk jak i Defrag działa poprawnie. Błędu tego nie zawierały
wcześniejsze niepubliczne wersje beta.
AVP32 skaner zawiera nowe niepublikowane opcje:
/virlist=<nazwa
pliku> - wyświetlenie znanych nazw wirusów do pliku. Opcja
działa nieco odmiennie niż lista wyświetlana na ekran. Wyświetlanie
listy wirusów na ekran (z możliwością zapisu do pliku raportu)
powoduje wyświetlenie listy wirusów wraz z nazwą bliblioteki w
której dany rekord jest zdefiniowany. Użycie opcji /virlist=
powoduje zapis do pliku wyłącznie nazw znanych wirusów.
Ciekawostką jest fakt że AVP podaje jako znaną liczbę wirusów
2000.09.29 - 39435. Lista nazw wirusów zawiera tylko 2000.09.29
- 24516 nazw.
/deletearchives -
6 października 2000
Ukazała się poprawiona wersja AVP 3.5.
Zmianie uległa nazwa programu antywirusowego. Obecnie
program nazywa sie Kaspersky AntiVirus (KAV).
Doctor
Turbo AntiVirus
Podczas targów INFOSYSTEM 2000 prezentowano nowy program
antywirusowy. Otrzymaną wersję przetestowano dzięki użyciu
komendy SUBST. Program potwafi testować wyłącznie całe dyski.
Brak jest możliwości testowania wybranych folderów lub plików.
+Aktualizacja przez internet po podaniu użytkownika oraz hasła
+Umożliwia wyświetlenie nazw znanych wirusów
-Nie można zaznaczyć do testu wszystkich plików (trzeba to
robić poprzez zdefiniowanie rozszerzenia "*"
-Małe możliwości konfiguracyjne programu
+Bardzo prosty interface użytkownika
Dr.Web
Program podobnie jak AVP napisany w Rosji. Charakteryzuje się
bardzo mocnym mechanizmem heurystycznego wykrywania wirusów.
Jako jeden z nielicznych programów potrafi wykrywać wirusy
Macro.Access.
+Potrafi wykrywać makro wirusy w dokumentach
zaszyfrowanych z hasłem
+Program potrafi wykrywać nieznane wirusy zarówno w
plikach jak i dokumentach (makro wirusy).
+Możliwość uaktualniania baz antywirusowych programu
przez internet
+Możliwość testowania tekstowych plików pocztowych
+Wykrywa wirusy Macro.Access
+Zna wiele metod pakowania i archiwizacji
+Nowe aktualizacje baz virusów programu dostępne są
co tydzień
+W wersji 4.20 dodano prosty scheduler pozwalający na
definiowanie zadań
+W wersji 4.20 program jest kompatybilny z Windows 2000
- W celu wyładowania monitora należy wykonać restart
systemu
- Nie można wyłączyć ładowania monitora podczas
instalacji
- Moduł aktualizacji definicji wirusów opisany w
pomocy posiada więcej opcji niż zawarty w programie (automatyczna
katualizacja w zadanym terminie) - opcje te zostaną
dodane w następnych wersjach programu. W wersji 4.20 opis opcji
niedostępnych został usunięty z pliku pomocy.
+ W wersji 5.5 programu NERO (program
obsługi nagrywarek CD-RW) dodano możliwość skanowania
nagrywanych danych na obecność wirusów. Jako skaner
antywirusowy użyto silnika programu Dr.Web w wersji 4.24
Polska wersja programu Dr.Web. Wersja ukazała się 11
kwietnia 2001.
F-Prot
3.xx
Nowa wersja programu charakteryzuje się lepszą wykrywalnością
wirusów. Program używa osobnej bezy wirusów makrowordowych.
Pozwala to na łatwe uaktualnianie programu. Jednocześnie
zintegrowanie w jednym programie skanera wirusów plikowych i
makrowirusów ułatwi używanie programu. W wersji 3.xx
program wykrywa wirusa Evolution którego wersja 2.xx programu
nie wykrywała. Wirus ten był rozpowszechniony w Polsce w 1994
roku.
Program w nowej wersji posiada nieco zmienione menu w porównaniu
do wersji 2.xx. Jednak prostota menu a tym samym łatwość obsługi
programu zostały zachowane.
Nowa wersja programu nie posiada dołączonej listy wykrywanych
wirusów. Można natomiast wygenerować ją uruchamiając program
z opcją /VIRLIST.
Razem z programem F-Prot firma dostarcza także program F-MacroW
służący do walki z wirusami makr. Program dziala w środowisku
Windows.
Ponadto dostarczany jest program F-StopW. Jest to rezydentny
skaner dla środowiska Windows 95. Program posiada bardzo
szerokie możliwości konfiguracji.
+ potrafi wyszukiwać pierwszego wirusa Java
+ aktualizacja z 98.10.27 potrafi wykrywać wirusy
Access (jednego z kilku znanych)
** Wersja 3.04
+ program wykrywa wirusy Html, VBS (Script).
** Wersja 3.06c
+ program wykrywa wirusy Access.
+ program wykrywa wirusy w obrazach dyskietek
wykonanych programem Teledisk.
W wersji 3.06 program posiada niepublikowaną opcję /NOLFN.
** Wersja 3.08
+ opcja /virlist wyświetla liste wirusów łącznie z
wirusami z bazy SIGN2.DEF (VBS)
- program nie wykrywa wirusów VISIO, oraz wirusa AutoCAD 2000
2001.04.05
Ukazała się wersja 3.09 programu F-Prot oraz F-Prot
for Windows (trial)
2001.04.05
Ukazała się wersja 3.09c programu F-Prot posiadająca
wbudowany mechanizm heurystyki oparty na sieciach
neuronowych. Jest to pierwsza wersja
silnika o niewielkich jeszcze możliwościach. Poraz
pierwszy z mechanizmem heurystycznym opartym o sieci neuronowe można
było się spotkać w shareware programie wykrywającym wirusy
macro HMVS
2001.08.07
- W wersji 3.10a dodane zostało heurystyczne wykrywanie wirusów
Linux.
- Od wersji 3.10a poraz pierwszy ukazała się wersja programu
dla systemu Linux.
- W wersji dla Windows program zawiera: updater, integrity
checker, scheduler, monitor
F-Prot
for Windows
28 stycznia 2000 roku ukazała sie 30 dniowa wersja TRIAL
programu F-Prot dla systemu Windows. Wersja instalacyjna zawiera
także F-StopW - rezydentny monitor.
+ F-StopW wykrywa wirusy podczas: Open, Copy, Run /
Create, Download
F-Secure
- program w wersji 4 posiada dwa silniki, a w wersji 5 trzy
silniki
- posiada możliwość wyświetlenia listy wirusów
- zawiera encyklopedię wirusów
9 sierpnia 2000 została
opublikowana wiadomość o stworzeniu pierwszego w świecie
programu antywirusowego dla bezprzewodowych urządzeń
informacyjnych (telefony komórkowe, komunikatory i PDA). Program
F-Secure for EPOC jest programem antywirusowym działającym w
systemie operacyjnym Symbian. F-Secure dla EPOC jest produktem
oferującym zabezpieczenie w czasie rzeczywistym przed wirusami,
wirusami skryptowymi, koniami trojańskimi i bombami pocztowymi.
Produkt używa technologii przenośnego skanera. Produkt jest
optymalizowany dla mniejszej pamięci urządzeń radiowych. Użytkownicy
będą otrzymywać aktualizacje drogą radiową w chwili gdy są
dostępni.
InoculateIT
Program InoculateIT PE firmowany przez Computer Associates
International, Inc. powstal na bazie programu VET australijskiej
firmy Cybec.
Pakiet instalacyjny zawiera: skaner, monitor, aktualizator
definicji wirusow przez internet. Program dziala w systemach
Windows 9x/NT.
+ Program testuje archiwa w formacie ZIP.
Istnieją dwa
programy Inoculate udostępniony pod koniec roku 2000 w wersji 6
beta 3, oraz InoculateIT Personal Edition. Program Inoculate 6.0
ma dwa wewnętrzne silniki: Inoculate i VET.
3 czerwca 2001 rozesłana została wiadomość do
zarejestrowanych użytkowników programu IPE o zaprzestaniu
wsparcia dla tego programu.
Kaspersky
Anti-Virus
Jest to znany program antywirusowy AVP. Firma zmieniła nazwę
produktu. Także nowa linia produkcyjna 3.5.50 posiada zmieniony
wygląd skanera i monitora.
 |
 |
Wygląd nowej wersji KAV Lite 3.5.50. W
skład wersji Lite wchodzą:
- Skaner antywirusowy
- Monitor
- Aktualizator baz antywirusowych
Monitor nie posiada możliwości konfiguracji ustawień.
Także skaner został maksymalnie uproszczny.
Funkcjonalnie monitor jest identyczny jak w poprzednich
wersjach. Nowa wersja programu ukazała się 19 marca
2001 roku i została zaprezentowana i rozdawana jako
wersja Trial na targach CeBIT w Hannover'ze w 2001 roku. |
Kaspersky Anti-Virus Personal 3.5.50
1 sierpnia 2001 firma Kaspersky Labs.
w dziennej aktualizacji dodala modul heurystycznego wykrywania
makro wirusow. Do tej pory od wersji 3.0 program AVP nie posiadal
heurystyki dla wirusow makr. Ostatnia wersja heurystycznego
wykrywania wirusów makr zawarta była w AVP 2.2.
MkS_Vir
Polski program antywirusowy autorstwa Marka Sella doczekał się
po wielu latach wersji DOS w trybie protected. 21 marca 2001
ukazała się publiczna wersja beta.
Nowa wersja wykrywa poprawnie wirusy co pozwala na wyliczenie
wykrywalności programu.
NOD
Bardzo dobry program antywirusowy.
+Bardzo silny mechanizm heurystycznego wykrywania
nieznanych wirusów
+Wbudowany mechanizm heurystycznego wykrywania wirusów
VBS i Html
-Trudne w obsłudze menu
Norman
Virus Control
- duża szybkość testowania plików
- umożliwia wyświetlenie listy wirusów z prostym opisem
Norton
AntiVirus 2000
- bardzo rozbudowany program instalacyjny (27 MB)
- deinstalacja programu; po deinstalacji właściwego
programu trzeba osobno zdeinstalować LiveUpdate (aktualizator
baz antywirusowych); pomimo deinstalacji kilkanaście plików
pozostaje na dysku w folderze programu a także folderze Windows.
Do testów użyto wersji OEM programu z aktualnymi
sygnaturami wirusów. Wersja OEM posiada znacznie uproszczony
interfejs użytkownika oraz mniejsze możliwości zabezpieczania
systemu. Jako skaner z najnowszymi sygnaturami wirusów jest
jednak miarodajnym testem wykrywalności. Programu nie można było
przetestować na wykrywalność wirusów sektorów systemowych,
ponieważ program nie potrafi wykryć wirusów sektorów
systemowych w obrazach zainfekowanych sektorów w plikach. Jest
to jednak jedyny w testach program ktory nie potrafi testować
sektorów systemowych w ich obrazach w plikach.
- program źle określa procent przetestowanych aktualnie
plików
Panda
- testuje pliki w archiwach ZIP
- testuje dyski i pamięć przed rozpoczęciem instalacji (można
wyłączyć)
- w skład pakietu wchodzą: skaner, monitor, scheduler,
aktualizacja przez internet lub z dyskietki
PC-cillin
- testuje pliki przed rozpoczęciem instalacji
- testuje pliki wewnątrz archiwów ZIP
- w skład pakietu wchodzi: skaner, scheduler, monitor
- podczas instalacji program wykrywa zainstalowane inne
programy antywirusowe. Konieczna jest deinstalacja tych programów
przed rozpoczęciem instalacji programu
Romanian
AntiVirus
Program antywirusowy napisany w Rumunii. Wersja shareware dostępna
jest w języku angielskim.
+Wykrywa wirusy Assess oraz Java
-Nie wykrywa wirusów w dokumentach zaszyfrowanych z hasłem
Program zawiera moduł aktualizacji baz antywirusowych. Posiada
możliwość wyświetlenia listy znanych wirusów wraz z prostym
opisem. Należy do grupy programów outlook'o podobnych. Poza
skanerem zawiera scheduler oraz monitor. Pakiet instalacyjny
zawiera także wersję dla DOS.
W czerwcu 2000 roku zostanie opublikowana publiczna wersja beta
RAV 8. Najlepszych 50 testerów otrzyma nagrody: pełne pakiety i
koszulki firmowe oraz Special Darts Game.
30 sierpnia 2000 ukazała się
pierwsza wersja testowa programu RAV 8.
3 października 2000 ukazała się
druga publiczna wersja beta programu RAV8 Desktop oraz dla Linux.
Wersja oznaczona jest numerem: 8.0.56.29 i rozpoznaje 48157 wirusów.
Wiele opcji zostało zmienionych. Także stabilność programu
została polepszona poprzez usunięcie wielu wykrytych błędów.
+zawiera skaner, monitor, plugin dla Office 2000, plugin dla
Outlook, plugin dla Internet Browsera (np. IE)
- autorzy programu niestarannie zbadali jednego z wirusów
Linux/Telf.8000. Spośród kilkudziesięciu próbek
zainfekowanych tym wirusem program rozpoznał infekcję dokładnie
w jednym pliku. Wyglada to jak by autorzy podpięli wykrywanie
wirusa bez rozmnażania okazu.
Scan
+Program potrafi wykryć makro wirusy w dokumentach
zaszyfrowanych z hasłem
-Program nie wykrył kilku zainfekowanych próbek wirusa Argyle.2761
i Argyle.2770
-Program nie wykrył wirusa PeaceKeeper.a w zainfekowanych
plikach typu COM
W wersji 5 załączony jest skaner dla DOS w wersji 4. Program
wyposażony jest w silnik angielskiej firmy S&S DrSolomons.
- Program załamuje się podczas testowania archiwów o dużym
stopniu zagnieżdżenia
- Prawdopodobnie użycie silnika firmy S&S jest powodem dosyć
powolnego działania programu (trzeba dodać że to właśnie
program DrSolomons, mimo doskonałej wykrywalności, był bardzo
wolnym programem)
TBAV
-Niektóre próbki wirusa Hare.7786 sa wykrywane jako wirus
nieznany
F-MacroW
+Program potrafi wykryć wirusy w dokumentach
zaszyfrowanych z hasłem
+Program potrafi wykrywać za pomocą mechanizmu
heurystyki nieznane makro wirusy
+Uaktualnienia baz programu ukazuja się co kilka dni
+Posiada opcje /AUTOSORT= pozwalającą
na automatyczne sortowanie kolekcji wirusów wg nazw CARO
HMVS
+Bardzo dobry mechanizm heurystyki
+Program portafi wygenerować kod źródłowy makr
+Używa driver'ów sieci neuronowych do wykrywania
wirusów makro
-Nie skanuje makr wewnątrz dokumentów zaszyfrowanych z hasłem
HMVS
3.5x
Po 7 miesiącach od ukazania się wersji 2.60, 15 listopada
udostępniona została wersja 3.00 beta programu HMVS. Nowa
wersja posiada wiele nowych cech:
- testowanie plików zaszyfrowanych z hasłem
- wykrywanie wirusów Access 8.0
** wersja 3.10
- program posiada możliwość pracy w kilku językach (także po
polsku)
- program charakteryzuje bliska 100% zgodność nazywnictwa
identyfikowanych wirusów z nazywnictwem stosowanyym przez CARO
** wersja 3.50 / 99.02.14
- rozpoznawanie/generacja kodu źródłowego wirusów PowerPoint
- rozpoznawanie wirusów Office 2000
Access
Macro Virus Scanner
"Access Macro Virus Scanner" napisany przez GEGA-Software,
Andreas Marx, członeka Virus Help Munich jest drugim po AVP
znanym programem umożliwiającym wykrywanie i leczenie makro
wirusów Access. TSCAN jest programem FREEWARE. Jako pierwszy
program potrafi wykryć wirusa Access 2
F-mIRC
Skaner służący do wykrywania robaków mIRC z użyciem metod
heurystycznych.
F-Script
Skaner służący do wykrywania wirusów: WinScript, Inf,
HTML, JS.
© by Michał A. Egler