В первой части статьи мы рассмотрим одну стандартную ситуацию: пользователь скачивает программу из интернета, установленный на компьютере антивирус автоматически проверяет скаченные файлы и срабатывает в случае обнаружения какой-либо угрозы. Сразу условимся, что мы будем все время употреблять слово «угроза», а не «вирус» или «троян», т.к. оба названия входят в понятие угрозы, а для наших испытаний — не имеет значения какая именно угроза обнаружена.

Основной критерий наших испытаний — реализм ситуации: пользователь с обычным уровнем компьютерной подготовки ищет в интернете новую платную программу, а чтобы сэкономить финансы, он скачивает ее на своем любимом торрент-трекере. В комплекте с такой программой обычно идет некое «лекарство», которое позволяет пользоваться программой, не заплатив разработчику, и которое может содержать (и, как правило содержит) различного вида угрозы Вашему компьютеру.

Для тех, кому кажется, что эти угрозы не так уж страшны, поясню: после запуска одного такого «лекарства», Ваша ОС Windows может перестать загружаться, или Ваши документы могут исчезнуть с жесткого диска. Но Windows можно переустановить заново (а также все Ваши любимые программы, их заново настроить, наладить интернет,...), а утерянные документы можно восстановить, но украденный пароль от кредитной карты, который Вы вводили в онлайн-банке, будет стоить Вам гораздо больших потерь. Воровство паролей (Вашего банка, почты, аськи, сайтов и т.д.) — самый популярный вид угрозы сегодня.

Итак, начнем испытания. В качестве торрент-трекера был выбран самый популярный, который известен большинству обычных пользователей. С трекера были взяты 20 популярных новейших платных программ, каждая из которых обязательно комплектовалась упомянутым «лекарством». В общей сумме 203 файла. Это будет нашей наживкой.
Данные об испытуемых антивирусах представлены в таблице 1.

Таблица 1

У каждого антивируса мы будем испытывать 2 функции:

• сканирование по требованию
• сканирование в реальном времени

Вторая функция работает прозрачно, например, когда пользователь скачал файл из интернета. А первая функция вызывается либо через контекстное меню (правая кнопка мыши на файле или папке), либо срабатывает по расписанию в заданное антивирусу время. По-умолчанию настройки обеих функций антивируса отличаются, поэтому есть разница насколько хорошо антивирус знает угрозы, и как он их ловит.

Один файл может содержать в себе несколько угроз, но для пользователя имеет значение только наличие одной, чтобы принять меры. Поэтому мы будем учитывать в результатах сканирования только количество файлов с угрозами.

Ни один современный антивирус не может Вам дать гарантию, что конкретный файл содержит угрозу, поэтому все методики выявления угроз в файлах лишь косвенные. Условимся, что если 3 любых антивируса обнаружат угрозу в одном и том же файле, то угроза считается подтвержденной. Поэтому программа испытаний для каждого антивируса будет следующая:

1. сделать сканирование по требованию всех файлов наживки;
2. выявить все файлы с угрозами, которые подтверждены;
3. сделать сканирование в реальном времени всех файлов наживки.

Файлы для наживки располагались на локальном диске. У всех антивирусов были настройки по-умолчанию и обновлены антивирусные базы.

Итак, результат выполнения первого и второго пунктов программы представлен в таблице 2 (испытания проводились с отключенной «защитой в реальном времени»).

Таблица 2

Красным цветом выделены файлы с подтвержденными угрозами, их 10. Желтым выделены файлы, угрозы в которых обнаружили два антивируса, и зеленым — только один антивирус. В последней строке каждого столбца указано, сколько конкретный антивирус обнаружил угроз из десяти подтвержденных. Используя эти итоговые значения, можем построить график (рисунок 1).

Рисунок 1

Каждая шкала на графике отображает количество обнаруженных угроз из уже подтвержденных, в процентах.

Из результатов видно, что большая часть антивирусов справились со своей задачей хорошо — они обнаружили почти все подтвержденные угрозы. Можно сделать вывод, что эти антивирусы достаточно хорошо знают о современных угрозах. 4 последних на графике антивируса справились со своими обязанностями очень плохо — обнаружили всего 2 или меньше из 10 подтвержденных угроз. Очень популярные в нашей стране антивирусы Kaspersky, Nod32 и DrWeb оказываются просто хорошо разрекламированным товаром!

Специально отмечу, что DrWeb не нашел ни одной угрозы. Ради интереса я дополнительно сканировал несколько раз, изменяя настройки, но все безрезультатно.

Несмотря на условие, что угроза считается подтвержденной, если хотя бы 3 антивируса ее обнаружили, в среднем, подтвержденные угрозы обнаруживали сразу 5 антивирусов.

Таким образом, мы выяснили, что некоторые антивирусы знают о современных угрозах хорошо, а некоторые — практически ничего.

Теперь, необходимо узнать насколько хорошо антивирусы работают в режиме сканирования в реальном времени» (пункт 3 программы испытаний).

Для быстродействия компьютера настройки сканирования в реальном времени делают слабее, чем настройки сканирования по требованию. Тогда логично предположить, что в режиме сканирования в реальном времени антивирусы будут находить угроз меньше. Поэтому в нашем испытании подтверждений о новых угрозах при сканировании в реальном времени ожидать не стоит (разумеется, это подтвердилось на практике). В таблице 3 представлены результаты сканирования в реальном времени уже подтвержденных угроз.

Таблица 3

В последней строке таблицы указано количество найденных антивирусами угроз из уже подтвержденных.

На рисунке 2 представлен график, построенный на основе результатов предыдущего сканирования по требованию и сканирования в реальном времени. Каждая шкала отображает количество обнаруженных угроз из уже подтвержденных, в процентах.

Рисунок 2

Данные результаты показывают, что антивирусы McAfee, Norton и Nod32 обнаруживают столько же подтвержденных угроз при сканировании в реальном времени, сколько и при сканировании по требованию. Поэтому для этих антивирусов не требуется детальная перенастройка их параметров.

Остальные антивирусы находят угроз меньше при сканировании в реальном времени. Данные антивирусы следует детально перенастроить сразу же после установки на компьютер, только так они смогут обеспечить безопасность компьютера и Ваших личных данных на максимуме своих возможностей.

Очень сильно, по сравнению с остальными, упали результаты у антивируса Panda, который был одним из лидеров в сканировании по требованию. Это говорит о том, что  его производители плохо позаботились о балансе настроек обоих режимов сканирования. Антивирус так же требует детальной перенастройки.

Результаты Kaspersky и Avg упали до нуля, но это и не удивительно, поскольку даже в режиме сканирования по требованию данные антивирусы обнаруживали очень мало угроз.

Таким образом, мы выяснили, что антивирус антивирусу — рознь, что не все антивирусы справляются со своими обязанностями, и что после установки антивируса на компьютер, требуется детальная перенастройка его параметров.

Автор: Максим Л.

Редактор: Ольга С.

© 2010