Dr.Web
В рейтинге продаж софта в Рунете на протяжении уже трех месяцев мы постоянно видим три антивирусных продукта Panda Antivirus, Dr. Web и NOD32. Позиции у них, конечно, не самые лучшие, чем у лидера продаж — Антивируса Касперского, но раз их кто-то покупает, значит, что-то покупатели в них находят. В марте-месяце в этой компании появился еще один «герой» — антивирус Outpost Antivirus Pro от петербургской компании Agnitum, продукты которой в конце 2007 году успешно выигрывали серьезные международные тесты защиты данных. В этой статье сравнивается работа этих продуктов, выявляется победитель по количеству выявленных вирусов, а также по соотношению «цена/качество».
Авторы данной статьи заранее приносят свои извинения, что не сравнивают продукты в комплексном плане — формат статьи этого не позволяет. Сравниваться будет только работа антивирусного сканера по возможности на максимальных настройках.
Методология тестирования
В тестировании участвуют антивирусы Panda Antivirus 2008, NOD32 Standard 3, Dr.Web 4.44 и Outpost Antivirus Pro 2008, установленные по очереди на Windows Vista Ultimate. Во всех антивирусах мы устанавливаем максимальный уровень сканирования, загружаем последние сигнатурные базы и «натравливаем» на заранее зараженную папку размером 597 Мб, в которой находятся 7234 вируса, включая упакованные в инсталляторы (база загружена с файловообменного сайта). Данный объем данных выбран, исходя из усредненной оценки размера папки «Мои документы» для типичного пользователя (в нашем тестировании мы ее специально назвали «some documents»). Большую часть файлов занимают инфицированные библиотеки приложений, архивы, исполняемые файлы, а также в нем присутствуют порядка 20% рекламных программ и некоторое количество вирусов-мутантов.
Во всех случаях мы настраивали на максимум антивирусный модуль, включая все возможности для обнаружения как можно большего числа вирусов. Важное замечание — в этой статьи антивирусы тестировались в один день, базы загружались свежие, а также мы принудительно выключали отсылку отчетов и подозрительных файлов в лаборатории. Итак. Начнем обзор.
Outpost Antivirus Pro
Антивирусное решение у Agnitum является самым молодым по появлению из всех описываемых в статье продуктов. До этого компания выигрывала тесты по антивирусной защите со своим продуктом Outpost Security Suite Pro. Понятное дело, что антивирусное решение идеологически напоминает другие решения по безопасности — достаточно взглянуть на список модулей антивируса. Среди них есть и «нетрадиционный» компонент Веб-контроль, блокирующий сайты, замеченные в фишинге (воровстве личных данных), а также препятствующий передаче паролей и прочей конфиденциальной информации.
Режим работы модуля Антивируса+Антишпиона работает в трех основных режимах — облегченном, оптимальном и максимальным. По умолчанию установлен вариант «оптимальный», однако мы в целях эксперимента выставляем максимальный уровень. Оптимальный режим пропускает файлы, превышающим размер 20 Мб, не проверяет встроенные OLE-объекты и не использует эвристический анализ. Для обычного пользователя, в принципе, эти дополнительные опции и не нужны (кроме эвристики), так как проверка больших файлов просто занимает лишнее время, а 20 Мб — это максимальный размер файла дистрибутива какой-нибудь Adware-программы, которая способна установить в систему разнообразные нелегитимные программы или компоненты.
От программы Outpost Security Suite Pro в Outpost Antivirus Pro «перекочевал» модуль Локальной безопасности, который позволяет отследить внедрение вредоносных программ в легальные приложения, например, в браузер или текстовый процессор. В данном тестировании мы не обращаем внимания на такие возможности, нас интересует только работа антивирусного сканера, но немного слов о такой возможности все-таки сказать надо. Злоумышленники часто подделывают программы, содержащие вирусы, под известные приложения — они могут запустить процесс в скрытом режиме или захватить память легального процесса, замаскировавшись под привычное приложение. Этот вид защиты называется проактивным — система защищается от угроз извне специальными модулями (Контролем компонентов, Контролем anti-Leak (утечки данных) и Контролем критических системных объектов).
NOD32 3
Еще один антивирус данного тестирования, ESET Nod 32 совсем недавно обновился до третьей версии. Это обновление позволило интегрировать антивирусный движок в Центр безопасности Windows, а также достичь совместимости с Windows Vista. Кроме того, значительной переработке подвергся интерфейс главного окна антивируса, которое почему-то очень сильно напоминает Outpost Antivirus Pro. Производитель заявляет, что время сканирования также уменьшилось по сравнению с версией 2.7.
Итак, для простого пользователя настройки антивируса все-таки решили спрятать — чтобы до них добраться, придется включить расширенный режим, а потом нажать «ввод всего дерева расширенных параметров». Все команды выполнены в виде гиперссылок, очень трудно догадаться о том, как включить ту или иную настройку. В нашем случае мы открыли это «дерево» и основательно «подкрутили» дефолтные настройки антивируса. Обычно при установке такого рода продуктов они оказываются не всегда адекватными существующим угрозам, поэтому пользователи часто «пинают» тот или иной антивирус на форумах, утверждая, что «он пропустил вирусы». Ряд вендоров (описанный выше Agnitum) «выкручивают» по умолчанию уровень защиты на максимум, а вот к ESET Nod 32 это не относится никак. Примечательно, что модуль по борьбе с руткитами (Anti-Stealth) включен по умолчанию.
За обнаружение вредоносного программного обеспечения в NOD 32 отвечает модуль ThreatSense, в котором по умолчанию не активированы следующие опции: сканирование упакованных объектов (не традиционных архивов, а упаковщиков, которые распаковываются в оперативную память), расширенная эвристика, сканирование потенциально опасного ПО. Разумеется, в нашем тесте мы выбрали эти опции. Отдельные слова стоит произнести разработчикам по поводу механизма очистки файлов — результаты его работы можно будет увидеть в тестировании антивирусов. Пока мы можем сказать о том, что уровней очистки два — тщательная и стандартная. Вторая позиционируется как полуавтоматическая, первая — автоматическая, но в случае затрагивания системных данных придется вмешиваться пользователю (у нас полпапки было заполнено как раз такими вирусами). Как и продукт от Agnitum, NOD32 позиционируется как «скоростной антивирус», о чем свидетельствует пункт «оптимизированное сканирование».
Так же, как и в Outpost Antivirus Pro, в NOD32 есть достаточно продвинутый сканер сообщений электронной почты (те же настройки, что и в антивирусном модуле), а также некое подобие «Веб-контроля», чтобы конфиденциальные данные, которые укажет пользователь в настройках, не передавались злоумышленнику.
Panda Antivirus 2008
Антивирус Panda Antivirus 2008, как заявил его производитель, призван защитить систему от «разношерстного» вредоносного ПО, однако, как потом выяснится в ходе тестирования, это далеко не так. Интерфейс системы сделан под «обычного пользователя» — чтобы добраться до настроек сканера, нам, как и в случае с NOD32, пришлось преодолеть «полосу препятствий», правда она была «короче». В тестировании мы передвинули уровень чувствительности эвристики с обычного на высокий (который рекомендовался все-таки для сообщений электронной почты, а не зараженной папки): мы представили ситуацию, что какая-то часть файлов из нашей зараженной папки попала на компьютер через популярные средства обмена файлами (торрент-клиенты, «мейл-агенты», «аськи» и так далее). Понравилось, что Panda Antivirus 2008 по умолчанию проверяет и архивы (опция не отключается). В остальном — настройки очень бедные (максимум, что можно выбрать — это типы вредоносных программ для проверки).
Dr.Web
Еще один петербургский антивирус (после Outpost Antivirus Pro), участвующий в нашем обзоре — Dr.Web версии 4.44. Мы уже рассказывали о его особенностях, но в рамках нашего тестирования немного слов все-таки мы уделим работе его антивирусного движка. Самое главное, что отличает его от других продуктов, это то, что все вредоносные программы сортируются по категориям — «рекламные», «дозвонщики», «шутки», «потенциально опасные», «взломщики», «инфицированные», «подозрительные». Соответственно, для каждого из типов файлов можно установить тип операции при обнаружении — удаление, помещение в карантин, пропуск и так далее. Режим использования эвристики для детекта потенциально опасных вирусов включен в Dr.Web по умолчанию.
Тестирование антивирусов
Первым тестирование мы начали у NOD32 — обновили базы данных, отключили для экономии оперативной памяти дополнительные модули (сканирование почты, проверка доступа в Интернет), поставили максимально возможные настройки антивирусного сканера и «натравили» его на нашу зараженную папку. Из 7234 вирусов сканер обнаружил 6743 (93,21%), причем эвристика определяла вполне корректно некоторые модифицированные вредоносные программы. Сканирование продолжалось 21 минуту и 22 секунды в режиме без очистки вирусов. Отключили мы очистку только потому, что, будучи включенной, сканер обрабатывал каждый вирус так тщательно, что скорость уничтожения вредоносного программного обеспечения составила 250 вирусов в час (у нас их 7234). Поэтому мы не можем заявить, что обновленный движок NOD 32 является быстрым. Более того, мы не уверены в том, что NOD32 3 умеет удалять обнаруженные вирусы — отчет был переполнен сообщениями о невозможности удаления того или иного зараженного файла.
Следующим испытуемым стал продукт от Agnitum — Outpost Antivirus Pro. Базы были также обновлены, и мы установили максимальные настройки модуля «Антивирус-Антишпион». Настройка модуля «Локальная безопасность», а также включена опция SmartScan (ускорение сканирования). Outpost Antivirus Pro из 7234 файлов нашел 7001 вирус (96,78%), из них большую часть «заловил» именно модуль антивируса. Время сканирования составило 8 минут ровно, еще порядка 5 минут вирусы перемещались в папку карантина.
Антивирус Dr.Web сканировал систему 17 минут 44 секунды, были найдены 6638 вредоносные программы из 7234 образца (91,76%). Разумеется, все они были удалены программой.
Panda Antivrus 2008 со свежими базами спокойно «завалил» тест — из 7234 программ она обнаружила и удалила только 3257, показав уровень детектирования 61,86%. При этом было переименовано 1218 файлов.
Заключение
Проводилось комплексное тестирование, поэтому оценка была проведена на основании нескольких результатов: процент найденных вирусов и время сканирования (что также немаловажно).
1 место Outpost Antivirus Pro - 96,78% вирусов и 13 минут поиска
2 место Dr.Web - 91,76% вирусов и 17 минут 44 секунды детектирования
3 место NOD32 3 - 93,21% вирусов и 21 минута и 22 секунды детекта
4 место Panda Antivirus 2008 - 61,86% вирусов.
Как видно, лучшим стал антивирус от Agnitum, показав самое быстрое время сканирования, самый высокий процент детектирования, а также стоящий дешевле остальных продуктов. На втором месте в тестировании — Dr.Web с более низким уровнем обнаружения вирусов, с большим временем сканирования, продающийся по цене почти в два раза большей, чем у лидера тестирования. Третье место отдано NOD32 Standard, но весьма условно — сканер незначительно отстал в области детекта от Outpost Antivirus Pro, но сам процесс сканирования занимает чрезвычайно длительное время, что неприемлемо для такого относительно дорогого продукта.
Следует заметить, что в Outpost Antivirus есть модуль «Локальная безопасность» (система Host Protection, или HIPS — система защиты от вторжений), блокирующий новые (неизвестные) угрозы при попытке внедриться в систему, а также контролирующий неизменность компонентов установленных программ (в отличие, к примеру, от Dr. Web, не занимающегося мониторингом реестра). В то же время решения под брендами Dr.Web и Panda, в явном виде снабжены анти-руткитами в составе антивирусного модуля, что слишком неявно реализовано в Outpost — в основном за счет контроля компонентов. Однако такие сравнения мы оставим на будущее, когда выработаем соответствующую методику тестирования.