Недавно надыбал около 40'000 образцов всякой дряни и решил потестить COMODO AntiViruSpyware Beta 2.0. Собрал виртуальную машину, скачал последние дистрибутивы и прогнал тесты. Для честности и обьективности, я решил проверить антивирусные способности Касперского 7 и NOD32 v3.0 и сравнить. Я не пытаюсь строить из себя эксперта. Просто делал тесты для себя и подумал - а что плохого в том, чтобы их опубликовать? Постарался быть как можно более обьективным.

----------------------------------------------

ДИСКЛЕЙМЕР 

Я не работаю на COMODO, ESET или Лабораторию Касперского. Я пока вообще не работаю.

Тестирование COMODO AntiViruSpyware и Антивируса Касперского проводилось на свежайшей (ничего кроме антивирусника не устанавливалось) оптимизированной с помощью nLite операционной системы Windows XP Home SP2 внутри виртуальной машины, БЕЗ доступа в интернет - то есть, антивирусные базы были устаревшие, поэтому тесты будут прогнаны повторно после установки апдейтов. Тестирование NOD32 производилось на реальной машине с кучей установленного софта и более свежими (но тоже устаревшими) базами.
Все пять тестов проходили по три раза каждый - первый только на сигнатурах, второй с максимальной эвристикой, третий - посмотреть сколько антивирь сможет вылечить.

Несколько исправлений:

• Тест CAVS был пройден три раза. Без эвристики, с эвристикой и с дезинфекцией.
• Тест KIS7 также был пройден три раза, но невозможно точно узнать сколько KIS7 засек на эвристике. Более того, я даже не знаю сколько точно он засек просто на сигнатурах (читайте заметки ниже)! Результаты тестов KIS7 точны примерно на ~90-95%.
• Тест NOD32 был пройден три раза, но по другому. Первый - только сигнатуры. Второй - расширенные сигнатуры (потенциально опасное ПО и т д). Третий - только эвристика. Причем каждый тест проходился не заново, а после предыдущего (то есть эвристика искала лишь то, чего не нашли сигнатуры). Нет способа узнать сколько NOD32 смог вылечить потому что в терминологии NOD32 "вычищение" - это и удаление, и дезинфекция. Тесты NOD32 точны примерно на ~70-90%.

----------------------------------------------

Результаты:

* - читать заметки.

Прибилизительные результаты сканирования NOD32 v3.0:

** - результаты основаны на количестве оставшихся файлов. Однако очевидно, что например для теста с вирусами NOD32 "не детектировал" слишком много образцов, что заставляет предположить, что большая часть из них является "остатками" вычищеных файлов.

Во время тестирования я заметил несколько интересных вещей, которые заставили меня подправить дисклеймер и написать кучу всего, что и сделало эту "статью" такой громадной.

Заметка 1: Некоторые образцы, детектированные COMODO AntiViruSpyware (CAVS) и NOD32 (KAV тоже) имели неправильное название (неправильная сигнатура?)

Заметка 2: NOD32 отказался удалять три образца с вирусом OneHalf. Точнее, он говорил что он их удалил, а при повторном сканировании снова находил.

Заметка 3: Учитывая, что CAVS является достаточно новой программой, и наслышавшись о "плохих" антивирусах, нужно было удостовериться, что CAVS сам по себе не является вирусом и не дает ложных срабатываний на чем попало. Процесс тестирования выявил, что чрезвычайно маловероятно наличие вредоносного кода в самом антивирусе, а несколько тестов, произведенные на разных машинах над одними и теми же файлами не оставили в "честности" CAVS никаких сомнений.

Заметка 4: Эвристика CAVS не дает ровным счетом НИЧЕГО. (На прошлой неделе я провел быстрый тест и после выставления высокой эвристики антивирус нашел еще 15 вирусов. Я не знаю почему это произошло. Единственная возможная причина - он проапдейтился пока я сканировал.)

Заметка 5: Точный подсчет результатов для KIS7 и NOD32 невозможен.

Я четыре вечера проводил эти тесты и обнаружил некоторые вещи, которые нужно учесть при интерпретации результатов тестирования. Первая вещь - это тот факт, что Касперский сканирует внутри пакованых/склееных файлов. Поэтому он может детектировать несколько заражений внутри одного файла, сильно увеличивая количество детектированных заражений (например 3 заражения на один файл, не одно). Это делает невозможным использование в качестве источника результатов отчет антивируса, так как обычно число детектированных заражений даже больше, чем количество образцов.

В процессе составления таблицы результатов для Касперского я опирался на количество оставшихся файлов - то есть тех, которые остались после удаления (подразумевалось, что они не были детектированы Касперским). Так было до тех пор, пока я кое что не обнаружил. Я рылся в настройках, и в одном из пунктов меню я нашел включение детекта т. н. "опасного" ПО - то есть ПО, которое не является вредоносным, но может нанести вред при неправильном использовании. Затем я решил проверить - как много "опасного" ПО Касперский найдет среди оставшихся файлов? Я прогнал касперского по папке с 16 файлами (в папке с опасным ПО), он обнаружил еще 4 заражения, я велел их удалить... Но при проверке той папки оказалось, что число оставшихся файлов по прежнему равно 16! Таким образом я выяснил, что Касперский не удаляет пакованные заражениями файлы, он удаляет сами заражения внутри пакованых файлов! Это означает, что "оставшиеся" файлы - не обязательно вредоносны! Это поставило под сомнение все полученные мною результаты и я решил просто прервать тестирование Касперского. Общий процент детектирования был около 98-99 процентов. (теоретически возможно определить "дезинфицированный" файл от недетектированного по размеру файла (подразумевая, что вредоносный код не может быть размером 50 байт) но это не дает гарантии точности результатов (потому что вдруг вредоносный код МОЖЕТ быть размером 50 байт?) У меня недостаточно знаний чтобы отличить недетектированный файл от остатков пакованного).

С NOD32 проблемы еще хуже. Хотя я использую NOD32 уже более года, я никогда по-настоящему не тестировал его (просто "поставил и забыл"). А теперь вот протестировал. Эта программа сильно страдает от недостатка возможностей ее настройки. Имеется три главных претензии к NOD32 v3.0 (эти проблемы не распространяются на NOD32 версии 2.7, так что я думаю снести третью и поставить 2.7).

Первая - это собственно его антивирусные способности. Точнее, их тонкая настройка. Я не могу заставить его удалять все зараженные файлы, я не могу его заставить только лечить файлы, а неизлечимые не трогать (все это есть в Касперском и COMODO). Все, что у меня есть - это "без вычищения" (не лечит ничего, вопросы задает потом), "стандартное вычищение" (вычищает или удаляет все, кроме заражений в архивах, в которых содержатся и незараженные файлы) и "полная очистка" (вычищает все). Если я просто хочу удалить все, что он найдет - я не могу, он все равно будет дезинфицировать то, что сможет.

Такова природа вирусов - большая часть из них может заражать файлы, не разрушая их, а значит изменения обратимы. Это является причиной смехотворно малого процента детектированных "Нодом" вирусных угроз - NOD32 вычищает вирусы из файлов вместо того, чтобы их удалить.

Вторая претензия по поводу все того же дезинфектора. Это нормально, когда антивирусник не предпринимает никаких действий, когда речь заходит о заражении системных файлов (чтобы предотвратить повреждение ОС вследствие такого "лечения"), но все равно там должен быть пункт о вычищении всего, что он найдет, даже если это убьет систему. Почему? Я целый вечер пытался понять почему NOD32 в режиме "полной очистки" все равно спрашивает меня о действиях над некоторыми заражениями. Даже после очистки всех аттрибутов антивирус спрашивал меня о действии над некоторыми зараженными файлами, и единственное обьяснение, которое я вижу - файлы внутри пакованых архивов помечены как системные. (чем чаще я пользуюсь консолью - тем больше я осознаю, что графический интерфейс никогда ее не заменит. Простая текстовая команда - и все пометки "системный файл" сняты у 23'000 файлов, находящихся в директории, и при этом никаких тормозов. Попытка сделать это через графический интерфейс (в свойствах файлов) просто обвалила Explorer (прочитать аттрибуты 23 тысяч файлов не такая уж и простая задача)

И третья претензия. Карантин. NOD32 пихает туда всё. После прогона теста по сорока тысячам вирусов у меня имеется ГРОМАДНЫЙ карантин, который я даже очистить не могу. О, да, я могу, но поочередное удаление 30'000 файлов это не самое веселое занятие, знаете ли.

ЗАКЛЮЧЕНИЕ

На данный момент лучшим сигнатурным детектором является продукт Лаборатории Касперского. Ежечасные обновления, приемлемая скорость (версия 7 НАМНОГО быстрее но все равно монструозная, и это главная причина, по которой я его не использую), лучшая защита от известных угроз, огромная гибкость в настройке... К сожалению, у меня нет знакомых вирусописателей, чтобы проверить эвристические способности Касперского - а ведь это на сегодняшний день и должно являться главным критерием оценки - способность бороться с неизвестными угрозами.

Пара слов о, собственно, цели тестирования - об антивирусном продукте COMODO AntiViruSpyware Beta 2.0. Общий процент детектирования пока не позволяет его рекомендовать, а его эвристика - не более чем галочка в настройках. Но - он новый, и у него есть перспективы. И эта приятная программа бесплатна (не пробовал бесплатные Avira или Avast, но собираюсь попробовать. Позже). Также я настоятельно рекомендую попробовать COMODO Firewall Pro. Хорошо работает с NOD32 (чтобы с "Нодом" нормально работал любой (кроме их собственного) файрволл нужно отключить его функции прокси), дружит с другими антивирусами (иногда возникают проблемы, так что лучше сначала зайти на форумы COMODO)... А после некоторых танцев с бубном "Комод" начинает дружить и с Касперским (не пробовал, но люди говорят их можно помирить).

Что же касается NOD32... Я всегда думал, что это - идеальное решение для меня - детектирует все вирусы, водящиеся в Интернете (несколько наград VB100), считается, что "Нодовская" эвристика - лучшая (хотя последние тесты говорят в пользу Avira... Но вы же знаете эти "тесты"...), является быстрым и не тормозит систему, гибкий в настройках... Не то чтобы я разочарован и собираюсь его снести, нет. Просто не смотрю больше на него сквозь розовые очки. Ни один антивирус не может дать 100% детекта, но NOD32 даже близко к 100 не подобрался (в отличие от Касперского). Его эвристика действительно что-то детектирует (даже с полностью выключеным сигнатурным поиском он детектирует около 40% угроз), но так как я не могу по-настоящему протестировать эвристику - я останусь нейтральным. Что же касается скорости - я не знаю когда это произошло, но NOD32 больше не "быстрый и легкий". Да, скорости его сканирования оставляюет всех далеко позади (включая CAVS), но так как он помещает все в карантин, прежде чем что то сделать с инфекцией - скорости вычищения ужасно медленные. Гибкий в настройках... Да, гибкий, но опять же, Касперский оставляет его далеко позади в смысле гибкости. И все равно, для меня это решение является идеальным, так как я достаточно продвинутый пользователь и с безопасностью у меня нет проблем (впрочем иногда дохожу и до паранойи). Но, учитывая неплохие результаты по детектированию известных вирусов - почему бы тогда не использовать CAVS? Он еще легче, в каком то смысле быстрее (NOD32 опять будет быстрее всех когда разработчики уберут эту глупую схему "все в карантин") и он бесплатен... Конечно же, у CAVS имеется мега-крутая эвристика, но тем не менее. Неизвестные вирусы для меня не проблема, так как я использую COMODO Firewall v3.0 с его непревзойденными функциями HIPS... Так что мне не нужен сильный антивирусник, чтобы поймать нечто, пытающееся меня поиметь.

P. S. каждая буква в этом тексте является сугубо моей точкой зрения. Я и только я несу ответственность за свои собственные слова. Ничего плохого не имелось в виду, просто мои наблюдения, не обязательно истинные. Комментарии приветствуются.