Testy programów antywirusowych

Zamieszczone testy programów antywirusowych przeprowadzone były w następujących warunkach:
1. Każda próbka zainfekowana była jednym wirusem.
2. Dla każdego wirusa wygenerowanych było:
- kilka próbek dla wirusów prostych
- kilkadziesiąt dla wirusów polimorficznych.
3. Dla wirusów infekujących kilka rodzajów plików wygenerowane były próbki z każdego typu pliku.
4. Wykrywanie wirusów boot sektorów oceniano na podstawie wykrywania wirusów w plikach będących kopiami zainfekowanych obszarów dysky (MBR, Boot sektor).

Uwaga!!!

Dla niektórych programów antywirusowych przyjęta metoda testowania wykrywalności wirusów sektorów systemowych może okazać sie nieobiektywna.

5. Do testów użyto (liczba wirusów została określona przy użyciu programów: AVP32, AVPDOS32, F-MacroW, F-Prot, KAV, Virsort 2000):

60
KAV
wirusów infekujących boot sektory i MBR dysków twardych
599
KAV
wirusów infekujących pliki (COM, EXE, SYS, BAT, NE, PE, HLP, itp)
13
KAV
dropperów wirusów boot sektorów i plików
82
KAV
wirusy generacji 0 (Germs)
69
KAV
konstruktorów wirusów
1022
KAV
makro wirusów: Word, Excel, AmiPro, Lotus123, Access, PowerPoint, Project98, Visio, Acad2000
7
KAV
jokes (dowcipne programy, programy naśladujące wirusy)
131
KAV
robaków IRC, mIRC
130
KAV
wirusów: WinScript (VBS), Html (HTM), JS, Inf, CorelScript (CSC), XML (XMS), WBS, PHP
2
KAV
wirusy Java (class)
88
KAV
robaków internetowych (I-Worm, Worms)
120
KAV
koni trojańskich
415
KAV
backdoorów
64
KAV
wirusów UNIX (Linux ELF, Shell Script, PERL)
60
KAV
malware (Cracker, Flooder, Hoax, KeyMaker, Nuker, Spammer)
7
KAV
VirTools
3
KAV
PalmOS


Testy przeprowadzano na komputerach:

1. P55C (Pentium MMX) 233 MHz, 64 MB RAM; Windows 98 wydanie drugie, wersja 4.10.2222 A
2. Pentium (Cyrix 6x86-P150+) 120 MHz, 64 MB RAM; Windows Millennium 4.90.3000
3. Pentium (Cyrix 6x86-P150+) 120 MHz, 64 MB RAM; Windows 2000 Professional Pre-release (Build 2031) / Beta 3
4. Pentium II 350 MHz, 128 MB RAM; Windows 98 wersja 4.10.1998.

Wyniki testów wykrywalności wybranych programów antywirusowych
Wyniki dodatkowych testów wykrywalności wybranych programów antywirusowych
Czas testowania plików przez wybrane programy antywirusowe
Szybkość testowania wybranych programów antywirusowych
Ocena wykrywalności wybranych programów antywirusowych
Wykres wykrywalności
Omówienie wybranych programów antywirusowych
Rozpoznawane przez programy klasy wirusów
Rozpoznawane przez programy klasy makro wirusów
Rozpoznawane przez programy programy pakujące
Wersje programów dla różnych systemów
Składniki standardowych pakietów AV
Adresy http oraz ftp związane z programami antywirusowymi
Lista programów antywirusowych na polskim rynku
Liczba znanych wirusów w programach antywirusowych
Wielkość wersji instalacyjnych wybranych programów antywirusowych
Częstotliwość aktualizacji wybranych programów antywirusowych

Lista wirusów złapanych w Polsce na wolności

Definicje wybranych pojęć

Virus komputerowy Wirusem komputerowym nazywany jest program posiadający zdolność samodzielnego powielania swojego kodu. Wirus komputerowy może także zawierać tzw. ładunek. Ładunkiem jest każde dodatkowe (poza rozmnażaniem) działanie np. wyświetlanie efektów graficznych, wyświetlanie komunikatów, granie muzyczki, niszczenie danych, kasowanie plików itd.
Wirus szyfrowany Wirusem szyfrowanym jest wirus posiadający zdolność szyfrowania swojego kodu. Podczas uruchamiania następuje rozkodowanie rzeczywistego kodu wirusa a dopiero później jego uruchomienie. Wirusy polimorficzne szyfrują swój kod zmienną procedurą szyfrującą (zmiennym algorytmem). Taki wirus w każdym zainfekowanym pliku wygląda inaczej. W przeszłości szyfrowanie wirusów miało za zadanie utrudnić a dla prostych programów wręcz uniemożliwić wykrycie infekcji pliku. Obecne technologie programów antywirusowych radzą sobie bez większych problemów nawet z bardzo skomplikowanymi procedurami szyfrującymi głównie dzięki wbudowanym w skanery tzw. emulatorom kodu.
Koń trojański Koniem trojańskim nazywamy program udający program użytkowy, który podczas działania wykonuje dodatkowe działania niszczące (może to być np. zamazywanie sektorów, kasowanie programów itd.)
Backdoor Backdoor jest hakerskim programem do zdalnej administracji. Cechą różniącą backdoory od komercyjnych programów do zdalnej administracji jest to, że instalują się "cicho" (bez wiedzy użytkownika) w systemie.
Robak Robakiem nazywamy program posiadającym zdolność samodzielnego rozsyłania swojego kodu poprzez sieć komputerową (najczęściej pocztą elektroniczną). Kod robaka dołączany jest do listu jako załącznik. Użytkownik otrzymujący pocztę jest bezpieczny (nie zainfekowany) dopóki nie otworzy załącznika. Podczas otwarcia załącznika następuje uruchomienie kodu robaka który najczęściej natychmiast po uruchomieniu rozsyła swój kod do innych adresatów znajdujących się w książce adresowej.
Heurystyka Metoda heurystycznego wykrywania wirusów (w uproszczeniu) polega na analizie kodu (bez znajomości wirusa) i ocenie czy dany kod wykazuje cechy wirusopodobne. Jeśli tak, to kod uznawany jest za wirusa. Metoda ta w najlepszych programach pozwala na uzyskanie ponad 80% skuteczności. Skutkiem ubocznym heurystyki może byś generowanie fałszywych alarmów tzn. generowanie podejrzenia, że wirus jest obecny w niezainfekowanym programie. Heurystyki w programach antywirusowych należy więc używać bardzo świadomie (trzeba samodzielnie ocenić czy program jest rzeczywiście zainfekowany czy zdrowy). W przypadku poważnych wątpliwości  podejrzany obiekt - program należy przesłać do firmy antywirusowej w celu przeprowadzenia profesjonalnej analizy.

kontakt: michal@et.put.poznan.pl
Ostatnie zmiany: 15 września 2001
© by Michał Egler