Intro

Каждый из нас сталкивался с выбором "Какой же антивирус мне установить?"
И следующий вопрос был "А какой лучше?".

В интернете можно достаточно легко найти тесты и истории сравнения антивирусов.
Однако зачастую, это либо галочка "Зачёт/Незачет", либо сухое "Нашел 7 вирей из 10".
Несколько полезных ссылок на ресурсы приведены в конце статьи.
Кроме того, самые смачные глюки находят обычно пользователи... тоесть мы с вами.

Фанаты до хрипа доказывают друг другу преимущества любимого продукта,
приводя мыслимые и немыслемые доводы.
Не будем им мешать. А тиха сядем, скачаем и протестируем сами. Чо мы, лузеры? =]
__________________________________________________ _____________________

Чёрт знает, что тварИться!!...

1. Технологии.
2. Испытуемые.
3. Обещания разработчиков.
4. Если приглядеться.
5. Сканируем файлы.
6. Проверяем почту.
7. Ловим на живца.
- Это не слон - это конь!
- Rootkit - играем в прятки.
- SpyWare - подглядим.
8. Умри, несчастный!
9. Вскрытие показало.




№_1_+++++++++++++..:: Технологии ::.. +++++++++++++
Технологии обнаружения и борьбы с вирусами.

1. Основной метод поиска вирусов состоит в использовании сигнатур(характерных фрагментов кода) вирусов,
т.е. так называемые "антивирусные базы".
Цепочка попонения антивирусных баз такова: "обнаружение вредоносного кода пользователем\разработчик� �м антивируса"
- > "отправка на проверку" -> "анализ" -> "включение сигнатур в базы" -> "обновление баз".
Слишком долго, не правда ли? Цепочка длинная и слабым звеном в ней является первоначальное обнаружение вируса.

Однако, теперь этой задачей занимается эвристик.

Перспективные направления методов детектирования вирусов:

1. Эвристический анализатор.
Эвристика (от греч. - отыскиваю, открываю) - это наука, изучающая продуктивное творческое мышление и
использующая спец. методы с целью открытия нового.
Спомощью эвристики можно распознать вируную программу по типу выполняемых действий,
путем глубокого и "интелектуального" анализа кода.
Эвристик не даёт 100% защиты и его работа сводиться к балансу между приемлемым уровнем защиты и числом
ложных срабатываний.
Эвристика на основе сигнатур: в базу эвристика заносятся сигнатуры характерных фрагментов кода вирусов и
троянских программ. Самая распространённая методика.

2. Эмулятор.
Эмулируя выполнение программы, можно проследить, какие действия она будет пытаться выполнить.
Существует онлайн проверка http://virusscan.jotti.org. Полноценное изучение программы на виртуальном ПК.
Вы можете отослать подозрительный файл на проверку и посмотреть результаты.
Эмуляция позволяет распознать полиморфные(т.е. самошифрующиеся вирусы), используя способ редуцированной маски.

3. Поведенческие анализаторы и блокираторы.
Анализируют действие запущенной программы, следит за их последовательностью.

4. SpayWare методика.
Основана на поиске характерных файлов, ключей реестра и др.

---- iChecker и iStreams("Антивирус наоборот").
Создается база данных сигнатур проверенных файлов и в дальнейшем отслеживаются лишь их изменения и создание новых файлов (снимаются подозрения с уже проверенных файлов).
Это возможно благодаря использованию базы контрольных сумм объектов и хранение контрольных сумм файлов в дополнительных потоках NTFS.

5. iChecker™ - технология, позволяющая увеличить скорость антивирусной проверки за счет исключения тех объектов,
которые не были изменены с момента предыдущей проверки, при условии, что параметры проверки (антивирусные базы и настройки) не были изменены. Информация об этом хранится в специальной базе.
Технология iChecker™ имеет ограничение: она применима только к объектам с известной Антивирусу структурой (например, файлы exe, dll, lnk, ttf, inf, sys, com, chm, zip, rar).

6. iStreams™ - технология, аналогичная iChecker™. Отличие технологий состоит в том, что в iStreams™ информация о проверке объекта хранится в дополнительном потоке файла.
Кроме того, технология iStreams™ применима к объектам любого типа, независимо от того, известна или нет Антивирусу Касперского структура данного объекта.

7. iCure и iArc - технологии проверки архивов с многотомным вложением. Большинство антивирусов не способны проверять архивы, тем более, если он многотомный. Это позволяет скрыть вирус. Но с использованием данных технологий вирус будет обнаружен(если архив без пароля).

частично: источник ][aker-spec_08_2005


№_2_+++++++++++++..:: Испытуемые ::.. +++++++++++++

На операционном.. тьфу, рабочем столе:

1. Microsoft Windows XP Professional 5.1.2600 Service Pack 2 сборка 2600
число установленных исправлений - 117 ( гы! у кого больше? =] )
2. Антивирусы распространённые:
- Kaspersky_Anti-Virus_Personal_Pro_v388
(base from 2006-02-05)
- NOD32_2.50.25
Версия вирусной базы данных: 1.1381 (20060126)
Датирована: четверг, 26 января 2006 г.
Сборка вирусной базы данных: 6669
- DrWeb_4.33
Последнее обновление вирусных баз: 2006-02-07 15:01:53 MSK
Всего записей в вирусной базе: 102261
3. T
4. Вирусы разные. БАААААльшая куча.
- 120 мб разных червей и вирей вперемешку (выбирай себе любой =] )
- Trojan
- Spy_&_KeyLoger
- Rootkit
- Exploit
- HackTools

5. Хинч_1.5_alfa3 собственной персоной.
6. Руткит AFXRootkit2005
7. Кейлогер Nestor 9х/NT/2000/XP Version 2.0
8. Холодильник - пустой, совесть - деинсталированная =]



№_3_+++++++++++++..:: Обещания разработчиков ::.. +++++++++++++

Приведем-с описание важных модулей, заявленных разработчиками в мануале.
Пропустим второстепенные модули, ИМХО мы тут не цвет кнопочек разглядываем.

Итак, они мамой клянуться, что:

=======Общее
- Постоянная защита
- Проверка по требованию
- Проверка и лечение входящей/исходящей почты
- Обновление антивирусных баз
- Защита паролем
- Управление профилями работы
- Отправка объектов на экспертизу
- Логи, карантин, планировщик
- Проверка архивов.
- Internet monitor for POP3 / HTTP

=======Индивидуальное

=======Kaspersky_Anti-Virus_Personal_Pro_v388
- Защита от сетевых атак
- Очень Частое Регулярное обновление антивирусных баз, программных модулей
(включающая ВСЕ когда-либо найденные типы вирусов, эксплоитов)
- Защита от макросов и скриптов
- Обновление баз сетевых атак и программных модулей
- IChecker™ и iStreams™
- Лечение зараженных архивов(zip, arj, cab, rar), проверка вложенных архивов.

=======NOD32_2.50.25
- Защита от макросов и скриптов
- Обновление программных модулей

=======DrWeb_4.33
- Консольный сканер под винды.
- Сканер под дос.


№_4_+++++++++++++..:: Если приглядеться ::.. +++++++++++++

Здесь я приведу достоинства/недостатки/заметки, которые подметил лично я, либо другие пользователи.

=======AVP или просто Дядя Каспер :-] . За что же мы его так любим?

Достоинства:

1. Простота настроек.
2. Рускоязычный, дружелюбный к пользователю интерфейс.
3. Хорошая защита собственного процеса.
4. Защита настроек паролем.

Недостатки:

1. Фирменные ТОРМОЗА дяди Каспера ))). Но это смотря где и как настроить.
2. Отсутвие проверки сетевых дисков (в данной версии).
3. Недостаточная защита ключей настроек в реестре и баз от удаления.
4. Убивает зараженный файл, хотя мог бы и вылечить.
5. Нет поддержки Win2003 (в данной версии), скорее всего, и WinVista_Longhorn.

=======NOD32 - скорость и функциональность

Достоинства:

1. Хорошая эвристика.
2. Не тормозит на полных настройках.
3. Приемлемо лечит зараженные файлы.
4. Поддержка проверки файлов по сети.
5. Поддержка Win2003.
6. Английский, но есть русик.

Недостатки:

1. Ложное срабатывание.
2. Не всегда верно определяет версию вируса.
3. Недостаточная защита собственного процесса и сервиса.
4. При отключении AMON - отказывался включать без перезагрузки системы.
5. Не чистит архивы.

=======DrWEB - о, любезный доктор...

Достоинства:

1. Лучший эмулятор из существующих!
2. Великолепно лечит зараженные файлы, доктор ведь :-] .
3. Поддержка всех известных упаковщиков.
4. Русский и простой интерфейс.

Недостатки:

1. Ошибки с обновлением баз, зачастую недаёт обновить новую базу без обновлении версии самой программы.
2. При использовании апача некотоые скрипты глючат.
3. Процесс антивируса, его служба и ключи реестра АБСОЛЮТНО беззащитны.
4. Нет защиты настроек паролем.
5. Не поддерживает Win2003.
6. Не чистит архивы.
7. Тормоза есть, однако.



№_5_+++++++++++++..:: Сканируем файлы ::.. +++++++++++++

ВсЁ!!! Хватит нудной теории, скучных манов и наставительных советов!
Покажите себя в реальном деле! Вот вам вири. АТУ, их! АТУ!

Так, поочередно врубаем каждый сканер. Ставим МАКСИМАЛЬНЫЕ режимы.
Вобщем то, это будет пасивное сканирование, так вири я не запускал.
Поясню, что зачастую, будучи запущенным, вирус может быть определён;
тогда как в незапущенном состоянии он может абсолютно не палится.

На растерзание обозлившимся сканерам будут отданы семь типов ПО.

А именно:
1)Шутки - безвредные приколы над юзером
2)Гады =] - вредные вири(формат, тормоза, сжигание железа)
3)Trojan - воровство паролей, удаленное администрирование
4)Spy_&_KeyLoger - шпионы всех мастей
5)Rootkit - проги, скрывающие в системе процесы\записи в реестре
6)Exploit - эксплоиты
7)HackTools - самые нужные программы на вашем винте =]

Расшифровать так:
34=5678=01:45
нашёл 34 виря из 5678 проверяемых за 1 минуту 45 сек
=======AVP
/me ...обычно, вам низя лезть в эти папки, но сЁдня всё можно ))).

1)Шутки - 21=796=00:40
2)Гады - 238=583=00:13
3)Trojan - 139=2661=01:00
4)Spy_&_KeyLoger - 15=536=00:22
5)Rootkit - 36=2240=00:48
6)Exploit - 51=4785=02:12
7)HackTools - 81=56378=00:18:10

=======NOD32

1)Шутки - 7=736=00:42
2)Гады - 227=469=00:06
3)Trojan - 136=2846=02:29
4)Spy_&_KeyLoger - 23=550=00:14
5)Rootkit - 23=2227=00:28
6)Exploit - 33=4680=01:24
7)HackTools - 75=85795=00:26:10

=======DrWEB

1)Шутки - 20=917=00:40
2)Гады - 236=517=00:20
3)Trojan - 149=3280=01:45
4)Spy_&_KeyLoger - 30=836=00:33
5)Rootkit - 16=2221=00:53
6)Exploit - 47=6289=03:07
7)HackTools - 235=91831=01:19:00

Так-так, АВП у нас середнячок - и по скорости и кол-ву. Эксплоитов больше всех.
Однако, со шпионами он не так хорошо знаком, как остальные.

Нод самый шустрый. С "шутками" он не знаком, но это простительно.

Доктор думает дольше всех. Но не вовсе не зря.
Настораживает незнание руткитов. Хм..
Хак-тулзы и эксплоиты знает в лицо )))

№_6_+++++++++++++..:: Проверяем почту ::.. +++++++++++++
Не хотел ставить The Bat, но пришлось.

Предварительно закинул на свой ящик три письма. В каждом по Email-Worm.Win32.Nyxem.exe.
В первом - вирь как есть. Во втором - в RAR архиве. В третьем - RAR архив с тройным вложением.
Кадый антивирус нашел при сканированиии все вирусы.

Ну к чести антивирей зараза в почте была распознана. Так даже не интересно.


№_7_+++++++++++++..:: Ловим на живца ::.. +++++++++++++

А теперь приступим к учениям, приближенным к боевым.
Ударим по самым уязвимым местам антивирусов.
И на этот раз вири будут нападать, а не лежать мясом в бойне.

Причем, я предварительно убрал те, что палились.
Теперь всё по честному, все на равных.

=======Это не слон - это конь!

Возьмём популярного ксинча, скомпилим несколько различных его комбинаций:

1) Xinch_pass_.exe - тащит пароли, SMTP
2) Xinch_backdoor.exe - просто бэкдор
3) Xinch_irc_.exe - ирк-бот
4) Xinch_service.exe - убийство процессов для последующей атаки
5) Xinch_proxy.exe - прокси-сервер
6) Xinch_site.exe - накрутчик сайтов
7) Xinch_ftp_.exe - фтп-сервак

Просканим, их.

******AVP******
MEW-паковщик - среагировал только на пароли Xinch_pass_
UPX-паковщик - вирусов не найдено!!!

****NOD32****
MEW-паковщик - опознал всех, кроме Xinch_proxy и Xinch_site
UPX-паковщик - опознал всех, кроме Xinch_service.exe

****DrWEB****
MEW-паковщик - опознал всех!!!
UPX-паковщик - опознал всех!!!

Лана, делаем прокси+бэкдор без сжатия, пакуем ASPack_2.12.
Йййй-е-е-с!!! Никто не палит!!! Запустим... Каждый антивирь молчит!!!

=======Rootkit - играем в прятки

Большинство антивирусов не умеют бороться с руткитами.
Как известно руткит-технология позволяет изменить работу ядра системы по усмотрению хакера,
в результате чего достаточно легко можно "спрятать" файлы, ключи реестра, открытые порты и прочие проявления
работы вредоносной программы от антивируса и утилит пользователя.
Обнаружить и удалить руткит досаточно трудно, нейтрализовать на рабочей системе - ещё сложнее.

Берём AFXRootkit2005. Определяеться всеми антивирями. Мне было влом его распаковывать и вновь упаковывать.
Предположим, что антивирь временно отключён. Активируем руткит. Скрываемая папка пропадает, процесс не видно
в диспетчере задач. Включаем поочередно антивирусы...

******AVP******
Мониторинг находит руткит, если вызвать диспетчер задач и легко находит его на винте при скане дисков.

****NOD32****
Аналогично.

****DrWEB****
У Доктора есть класный глюк!!!
Сканер НЕ НАХОДИТ руткита на диске, НО ещё многое зависит от сканирования оперативы при старте сканера.
(если диспетчер задач при старте не открыт - руткит не будет обнаружен)

Не сомневаюсь, есть более продвинутые руткиты, которые не видны.

=======SpyWare - подглядим
Шпионы зачастую остаються незамечены антивирями

Я выбрал стелс-кейлогер nestor-2.0.
Он не определяеться КАВом и НОДом.
Доктор его знает, и потому для него мы намеренно запустим шпиона из папки с руткитом из предыдущего теста))

Хыхыхы =] Все антивири дружно облажались.