Проблему вирусов сложно назвать новой. Каждые 30 минут в мире появляется, по крайней мере, один новый вирус или новая разновидность существующего. К счастью, далеко не все появившиеся могут вызвать эпидемию. Однако пользователям компьютеров на помощь приходит специализированное программное обеспечение, призванное бороться с компьютерной инфекцией — антивирусы.

О том, что проблема вирусов интересует читателей нашего журнала, говорят не только цифры
(см. таблицу ниже), но и комментарии после выхода
первой статьи, затронувшей проблему выбора антивирусов. Безусловно, нас радует тот факт, что пользователи стали «с умом» подходить к выбору заградительных барьеров для своего ПК. А ведь еще совсем недавно обыкновенный, среднестатистический пользователь использовал тот антивирус, который ему поставили в компании, где он брал свой домашний компьютер. Это в лучшем случае, в худшем же не использовал это программный продукт вовсе! Про обновление баз я, вообще, молчу… 

Каким антивирусом пользуются люди:

  • Stop 0,4%
  • Panda Antivirus 2,4%
  • F-Prot 0,5%
  • AVG Anti-Virus 1,1%
  • Avast 4,1%
  • AntiVIR 2,6%
  • UNA 0,1%
  • Trojan Remover 0%
  • Антивирус Касперского (КАВ) 31,4%
  • Dr WEB 23,1%
  • Norton AntiVirus 12,4%
  • McAfee 1,7%
  • Eset NOD32 6,3%
  • BitDefender 1,1%
  • FortiGate Antivirus 0%
  • Trend Micro PC-cillin 0,6%
  • eTrust EZ Antivirus 0,4%
  • eSafe Antivirus 0,2%
  • Sophos Antivirus 1%
  • Vba32 1,7%
  • Sybari Antivirus 0,1%
  • Norman Virus Control 0,2%
  • GData Security Antivirus Kit 0,5%
  • PC DoorGuard 0%
  • VirusBuster 0,1%
  • CAT Quick Heal Anti-Virus 0,3%
  • AVIRA 0,2%
  • Ikarus 0,8%
  • ClamAV 0%
  • Stocona Antivirus 0%
  • Другой 0,2%
  • Я не пользуюсь антивирусом 6,5%

Это было небольшое лирическое отступление… Теперь же давайте перейдем непосредственно к нашему исследованию. 

Основной упор в тестировании делался на попытку обмануть, одурачить АВП различными способами. Проверялась эвристика и прочее важнейшие компоненты антивируса. Все АВП прошли одинаковое количество проверок, на идентичных вирусных базах, но, дабы не загромождать статью нудными и однотипными описаниями, приведу только самые яркие моменты. 

Итак, что же у нас сегодня на операционном столе??? 

1) BitDefender Professional Plus (www.bitdefender.ru
или www.bitdefender.com)
2) FortiGate Antivirus (www.fortinet.com
)
3) Trend Micro PC-cillin Internet Security 2005 VirusBuster (www.trendmicro.com
)
4) eTrust EZ Antivirus  (www.my-etrust.com
или www.ca.com )
5) eSafe Enterprise (www.esafe.com )
6) Sophos enterprise solutions (www.sophos.com
)
7) Vba32.NT.P (www.anti-virus.by
8) Sybari Enterprise Manager (www.sybari.com

9) Norman Virus Control Plus (www.norman.com

10) GData Security Antivirus Kit Pro 2005 (www.gdata.de

11) PC DoorGuard (www.astonsoft.com

12) VirusBuster Professional 2005 (www.virusbuster.hu
)
13) CAT Quick Heal Anti-Virus 2005 (www.quickheal.com
)
14) AVIRA (www.avira.com
15) Ikarus (www.ikarus.at)  
16) ClamAV (www.clamav.net)  
17) Stocona Antivirus (www.stocona.ru

BitDefender — для тестировании использовался пакет
BitDefender Professional Plus. Он сочетает в себе функции антивируса, брандмауэра и модуль антиспам. Эдакий универсальный предохранитель в стиле швейцарской камасутры (когда «всё в одном»).
Вот как разработчики охарактеризовали свой продукт: 

«Антивирус
Целью модуля Антивирус является гарантированное обнаружение и определение, а также удаление всех вирусов категории «in the wild». Антивирус BitDefender использует мощный сканирующий механизм, сертифицированный ICSA Labs, Virus Bulletin, Checkmark, Checkvir и TUV.

Брандмауэр
Модуль Брандмауэр защищает ваши данные, используя фильтрацию входящего и исходящего трафика, контроль cookies, блокировку вредоносных скриптов и программ типа «XXX-dialer».

Антиспам
Установив BitDefender AntiSpam, вы просто-напросто забудете о проблеме нежелательных почтовых сообщений и спама.»

Безусловно, в этом пакете нам интересен только антивирус, но я не удержался и «посмотрел» работу и других компонентов. В частности,
файрвола. Да… ребята переходите на производство ТОЛЬКО антивирусов. В производстве брандмауэров
SoftWin делать нечего, также как и «Agnitum’у» в производстве антивирусов (я имею в виду его так называемый защитник от троянов – «Tauscan»). «Это почему это??» — гневно бросили разработчики в мою сторону. Об этом в следующий раз, господа… в другой статье (если руки дойдут её написать и опубликовать).

Итак, антивирус BitDefender. Пожалуй, этот продукт занимает 2 место по скорости реакции на возникновение новых вредоносных кодов, после детища господина Касперского. Хотя базы обновляет не слишком часто: 3-4 раза в неделю. Этот показатель даже хуже чем у
Dr. Web’a. Радует большой размер базы и маленький размер дистрибутива. Размер полноценного универсального пакета безопасности — 15 Мбайт! Не 120, не 90 и даже не 45, а — пятнадцать! Батюшки святы! =)

Но вот с заявлением о том, что их продукт «гарантировано обнаруживает и определяет, а также удаляет все вирусов категории «in the wild»», разработчики из
SoftWin явно погорячились. Ну что же сделаешь, румыны – народ горячий, сначала ляпнут что-нибудь, а потом подумают что сказали. Все дело в том, что из всех имеющихся чистяков у меня в коллекции этот АВП обнаружил, как и ожидалось, ноль… Вот вам и вирусы категории «in the wild» (дикие).
Теперь будем прятать вирусы от этого АВП. Берем
IWormKlez, обрабатываем UPX-ом, пропускаем через сканер. Видит!!
🙁 Это радует… база упаковщиков есть! Берем спуфер, обрабатываем… Хм… какой настырный!
🙂 Попробуем подправить вирус. Наши действия будут заключаться во внедрении неизвестных инструкций. Антивирусы не смогут ее эмулировать, так как неизвестная инструкция имеет неизвестную длину и определить ее границы просто невозможно. Эмулятор просто не будет знать, откуда ему продолжать разбор кода. Внедрять ее можно, куда угодно, где адрес начинается с точки. Открываем файл в
HIEW, находим свободное место, где будут расположены нули (обычно после секций «.text», «.data» всегда есть свободное место). Выберете подходящий адрес, пусть к примеру это будет 00408150h, сюда и будем направлять новую точку входа. А вот теперь нам потребуется, еще одна очень полезная утилита, под названием
PETools. Открываем файл в PETools и нажимаем «Optional Header», здесь нам понадобятся две формы, это «Entry Point» и «Image Base», а нужны они нам для того, чтобы вычислить, абсолютный адрес старой точки входа, для этого нужно сложить «Entry Point» и «Image Base». Например:

Entry Point = 0000E017h
Image Base = 00400000h

Чтобы их сложить, заходим в «HIEW», и жмем «Alt+», и вводим шестнадцатеричное значения, единственное там используется сишный префикс 0x.

0x0000E017 + 0x00400000 = 0x0040E017 (0040E017h)

Запишите его, он нам пригодиться чуть позже. Теперь идем обратно в
PETools, и нажимаем «FLS» («FLS» — это калькулятор файловых локаций), далее переходим на «Virtual Address», и вбиваем 00408150h, результат должен получиться примерно 00008150, его мы и должны вписать в поле «Entry Point», заменив старое. Все?
Работа с PETools пока закончена. Теперь нам надо указать переход на оригинальную точку входа. Заходим в
HIEW, нажимаем сначала «F8», а потом «F5», и мы должны переместиться на 00408150h. Чтобы сделать переход и исполнить его, нам нужно набрать последовательность команд:

mov eax, 0040E017h ; вот он то нам и понадобился = )))
jmp, eax ; тут же ее исполняем

Остается лишь добавить любую неизвестную инструкцию. Что мы и делаем… Далее сохраняем и проверяем тестовый файл… молчит! Даже не знаю, что здесь и сказать: с одной стороны я был рад, когда «BitDefender» не определил файл…
с другой стороны, это весьма печально. По существу, это метод среднего уровня в борьбе с антивирусным ПО… и уже тут
Bit встал как вкопанный.

Да, забыл указать на один странный момент: троян
DonaldDick прошел без упаковки просто программкой. Я написал разработчикам, мол, что за ерунда…
такой раритет, как DonaldDick ваш антивирус не знает. Они мне ответили что-то вроде: «Научись пользоваться Виндовсом, мальчик!» Мда…
Я не поленился через неделю слил новую базу…
порылся в ней.  Смотрю новенький трой. Оо…=) так ведь это же… «утенок». Нет, чтобы сказать: «Извините… сейчас же исправим», а они рейтинг поднимают себе. Ну, как говорится, Бог им в помощь. 

Пожалуй, с этим АВП все… Подводя итоги, хотелось бы акцентировать ваше внимание вот на каком моменте: безусловно, это антивирусный пакет достоин был тестироваться рядом с КАВ и Вебом. Правда, справедливости ради, хочу сказать, что эти две статьи ни в коем случае нельзя рассматривать отдельно, как разные
— они единое целое. И, конечно же, при подготовке этой статьи я обращался к результатам прошлой, так что читать их нужно вместе! Что касается цены за этот продукт, то максимальная, которую я бы дал за него – так это 20$ за пожизненную лицензию =)

FortiGate Antivirus — ищет после точки старта команды jmp и retn и пытается посмотреть по тем адресам. Исходя из этого можно заключить, что упаковщик должен его дурачить. Упаковываю – ВИДИТ!!!! Мда… С выводами я поторопился. По-видимому, база сигнатур неплохая… вот и детектит. Теперь попробуем ручками: наши дальнейшие действия будут заключаться во внедрении подложных сигнатур. Для это мы воспользуемся проектором
EPProt. В ней находятся достаточное количество разных сигнатур. Но для начало нам нужно упаковать
ASPack’ом. После того как, мы прогнали через ASPack, открываем
EPProt, указываем путь к нужному нам файлу. Далее нам нужно выбираем какую-нибудь сигнатуру. Для
Pinch’a вполне подойдет tEtlock». Выбрали? ОК, теперь смело нажимай
Protect EP (попробуйте сами поэкспериментировать, на некоторых версиях желательно убирать галочку с «Crypt EntryPoint», можно даже попробовать внедрить несколько сигнатур). Проверяем файл антивирусом, палиться во всю! Почему? А чего же вы хотели, данные сигнатуру уже давно известны всем (далеко не всем :), но об этом позже) антивирусам! Но мы поступим хитрее, мы чуть подправим уже внедренную сигнатуру, и антивирусы перестанут ее опознавать! Для этого загоним файл в
HIEW, перейдем в ассемблерный режим (двойным нажатием на «Enter») и уйдем в конец файла. Там должны быть расположены цепочки из инструкций nop, этой
команде соответствует 90h. Теперь на месте этих инструкций нам надо к регистру eax добавить значения регистра ebx и вычесть его оттуда. Сохраняем, смотрим – что молчит??! То то же.
Обращаю ваше внимание на то, что данная методика не действует (теперь не действует) на КАВ, Веб… так что делайте выводы!

Trend Micro – очень не понравился этот пакет.
Как-то читая ленту новостей, я наткнулся на такое сообщение: 

«Дефектное обновление от Trend Micro спровоцировало крупный сбой!
В минувшую субботу компания Trend Micro, специализирующаяся на разработке антивирусных программных решений, выложила очередное обновление баз данных для своих продуктов. Однако пользователи, установившие апдейт, столкнулись с неожиданной проблемой: их компьютеры либо вообще отказывались работать, либо становились настолько «задумчивыми», что фактически полностью прекращали реагировать на команды. Дефектное обновление было доступно на веб-сайте разработчиков примерно в течение полутора часов, а сообщения о сбоях компания Trend Micro получила от более чем 300 тысяч пользователей. Больше других пострадали жители Японии, кроме того, уведомления о проблеме поступали из Австралии, Соединенных Штатов и некоторых европейских стран. Как сообщает compulenta.ru со ссылкой на заявления представителей Trend Micro, ошибка содержалась в файле базы данных известных вредоносных программ. После загрузки обновления компьютеры с пакетами Trend Micro OfficeScan и Trend Micro PC-cillin Internet Security 2005 VirusBuster, работающие под управление операционной системы Microsoft Windows ХР SP2, входили в бесконечный цикл и переставали отвечать на команды пользователей. Впрочем, программистам Trend Micro удалось достаточно быстро устранить проблему, и уже спустя три с небольшим часа после появления дефектного апдейта на сайте компании было выложено исправленное обновление антивирусных баз данных. Точное количество пострадавших не называется. Не исключено, что компания Trend Micro примет решение выплатить своим клиентам компенсации за нанесенный ущерб (от 26 апреля 2005)»

«Вот вам и ГИГАНТ!», — именно с такими мыслями я начал тестировать этот антивирусный софт. Упаковщики – знает, спуферы – знает, но не все (не знает
Afx!AVSpoffer). Когда я, после обработки Afx!AVSpoffer’ом (с включенной опцией шифровать сегмент данных), засунул в этот антивирусный сканер
PSW.Trojan.Platan — он его не продетектил. Соответственно, этот АВП лазит и по сегментам данных время от времени. Троян в стиле
Lamer’s Death был спрятан элементарно, тут даже не понадобились какие-то сверх методы (например,
SEH, он же Structured Exception Handling или «Управления посредством структурного исключения»).
Простая обработка упаковщиком и спуфером…
Причем оба знакомы всем и каждому! Жаль. Весьма жаль! 

CA eTrust EZ Armor – название, говорит самом за себя… Странное название – странный и сам продукт. Понравился его эмулятор! Не такой как у
Dr. Web’а, но все же (у некоторых его нет в принципе)… Что это означает? А то, что он лезет в стартовую точку, пытается найти там совпадения со своей базой вирусов, если таких нет, тогда начинает эмулировать команды для того, чтобы узнать, не попытка ли это спрятать вирус от антивируса. Когда доходит до команд перехода поступает аналогично
Dr. Web’у… вот только много тупее (например, не рекогнизит регистры если прыгаешь на них и т.п.). Да и поиск по сигнатурам его как-то подкачал… Что до меня, то у меня нет к этому продукту никакого доверия.

eSafe Enterprise – очень и очень любопытный комплекс. Неплохой брандмауэр, а что там с антивирусом?! Смотрим… Было предложено несколько червей, но
опознан, как ни странно, только Iworm.SirCam, то есть более старые черви разработчики в качестве оптимизации выкидывают из базы!
Во-первых, сигнатура для Iworm.SirCam содержится… в… ЗАГОЛОВКЕ _PE_ файла, по-видимому больше сигнатур нет, а во-вторых, в сегмент ресурсов этот антивирусный пакет просто влюблен, все там ищет что-то! Авторы, наверное, думали, что секция ресурсов нежная, поэтому менять ее никто не будет — есть за что уцепиться! Не тут-то было.
Шифруем сегмент ресурсов. И уже для него червячок – простая программа!
Вообще, при анализе антивирусного софта заметил такую тенденцию: чем вирус более распространенный, тем сложнее его спрятать. К примеру,
Iworm.SirCam спрятать намного сложнее нежели, скажем,
psw.GIP, потому что методы поиска их сильно отличаются. Подобное замечание относится не только к
eSafe Enterprise. 

Sophos enterprise solutions – почему-то для меня этот антивирус с самого начала стал ассоциироваться с совхозом. Может быть названия созвучные!
😉 Упаковываем «UPX-ом», проверяем… Обнаружил! Возьмем уже хорошо нам знакомый по
FortiGate Antivirus’у проектор EPProt. Неупакованный вирус заряжаем в
EPProt, выбираем сигнатуру покрасивее, сохраняем, затем проверяем…
Наш антивирус полез в секцию (как ни странно) кода и нарыл там какие-то строки. Далее упаковываем вирус, снова проходимся по нему
EPProt’ом. Результат – опять определяет. Теперь внедряем несколько сигнатур (мне хватило двух), выставляем галочку «Crypt EntryPoint», затем сохраняем – молчит как партизан!
В общем, АВП ни о чем, иногда делает попытки, но их очень просто обломать.

Vba32.NT.P – белорусский антивирусный софт. Делает его «ВирусБлокАда». Компания в Республике Беларусь одна на всех, поэтому разработчики решили, что если у них нет конкурента, можно сильно не трудиться над продуктом. База совсем крохотная, напрягает, что под каждую систему нужно качать отдельный пакет (для NT – один, для XP – совсем другой!). Спуфер очень быстро успокоил этот антивирусный пакет…
Да и эвристического анализа нет. По большому счету, общий принцип действия эвристики заключается в следующем: имеется некий робот, которому для анализа выдаются две группы файлов: одна содержит вредоносные программы, другая — обычные файлы. Задача робота — найти характерные признаки («алгоритмические сигнатуры») которые встречаются во вредоносных программах, но которых нет в «хороших». Так вот.
Этого робота, чтобы не говорили разработчики, там НЕТ…. Либо он есть, но настолько древний, что просто жуть!
Странное дело, но этот пакет вообще не распознает вирусы-download’еры! Я написал в службу технической
поддержки и спросил, что за ерунда. Мне ответили примерно следующее: «Там просто практически не за что «зацепиться» и есть вероятность, что такой же фрагмент кода может встретиться и в нормальной программе. Но для относительно больших троянов (10 и более KB), обычно робот всегда может найти уникальные фрагменты кода по которым можно проводить детектирование». Хорошо, забиваем download’ер различным информационным мусором, снова сканируем — без изменений!
Выводы: антивирус не имеет эмулятора, работает сугубо по сигнатурам — ничем особым не выделяется. Спасает его то, что это была бета версия для тестеров…
Будем ждать, правда, что-то я сомневаюсь, что что-то принципиально изменится!

Sybari Enterprise Manager – хорошие машины делает эта контора. Зачем они еще решили заняться производством антивирусного софта?? Что им прибыли не хватает?? Ой… это я про другую компанию! 🙂 Мы отвлеклись. Перейдем к сути.
Упаковали MicroJoiner 1.7 (да-да именно, MicroJoiner’ом, пакует эта программа не хуже
UPX’а — за программу скажем все дружно спасибо автору — coban2k). Упаковали, проверили. Результат: молчит как убитый!
Это меня очень расстроило —  просто упаковщик и ВСЕ! Была идея, что в лексиконе производителей нет таких слов как
MicroJoiner 1.7. Пробуем ASPack’ом — видит! Значит, попросту в базе АВП нет нашего joiner’a. Все же для того, чтобы удостовериться пробуем еще и
UPX’ом — тоже видит. Да, мы были правы. По большому счету, данный программный продукт сигнатуры ищет в секции кода и смотрит на стартовый адрес периодически (либо вообще не смотрит). Поэтому
MicroJoiner так легко и морочит ему голову. Пробует обработать спуфкой, а затем пакуем
ASPack’ом и UPX’ом. В обоих случаях (а это были 2 разных теста на двух разных троях) АВП молчит…
Где-то читал о том, что данный АВП принят на вооружение во многих корпорациях, включая
Compaq. Дерзайте! =) Тут, мне кажется, даже комментарии не нужны, и так все ясно!

Norman Virus Control Plus – даже язык не поворачивается назвать этот софт АНТИВИРУСНЫМ. Это какое-то его жалкое подобие. Натравил его на большое скопление разных вирусов, так он даже при включенной опции «Test all file» протестировал слишком мало файлов. Программа справилась с тестированием zip-архива, но с архивом RAR работать напрочь отказалась. Никакой гибкости в настройках…. Эх…. Ну да ладно, идем дальше! Засунул туда «SirCam» после обработки
Afx!AVSpoffer’ом (опция «CRYPT DATA seg» выключена) – до
свидания… Ни эвристики, ничего… как за такое деньги просят?
Norman Virus Control Plus, по-видимому, смотрит только на точку входа и ищет по базе совпадения. Меняешь один бит и для
Norman’а это уже СТОП! 

GData Security Antivirus Kit Pro 2005 pro – до этого тестирования не был знаком с этим пакетом. Посоветовал включить его в обзор один мой хороший приятель. По существу, антивирус чуть (на миллиметр) выше среднего.
Знает упаковщики, но когда ему предложили опознать
Pinch 2 обработанный Apex’ом третей версии, сразу же замолчал. Ну ладно… Приватную версию он НЕ знает – это понятно, но почему Public версия ему морочит голову? При всем при том, что
Apex создан специально для одурачивания KAV’a… 

PC DoorGuard 4.1 – эта программа разработана в одной из прибалтийских «незалежностей» программистами с русскими фамилиями. Я бы и не акцентировал на этом ваше внимание, если бы не одно обстоятельство: служба технической поддержки у них до ужаса надменная, самоуверенная и желчная. Неприятный осадок остался после общения с ними… мда! НО ХОЧУ ВАС УВЕРИТЬ, ЧТО ЭТО ОБСТОЯТЕЛЬСТВО НИ КОИМ ОБРАЗОМ НЕ ОТРАЗИЛОСЬ НА КАЧЕСТВЕ ТЕСТА.
Смотрим сам продукт: прогнал его через коллекцию вирусов (самые разные… где-то около 50000). Опознал только около 87%. Сразу видно база не ахти. Пробовал упаковывать те вирусы, которые он знает…
видит! Это радует. Воспользуемся спуфером Afx!AVSpoffer v.1.49[b] (акцентирую ваше внимание на версии спуфера – это PUBLIC версия, т.е. её фокусы не детектят только самые ленивые антивирусы, прибавьте к этому её статус «беты»).
Проверка показала, что у PC DoorGuard эвристики нет в принципе. 

VirusBuster Professional 2005 — разработчики этого антивируса, по всей видимости, забыли, что одним из критериев выбора программы для пользователем является удобство ее интерфейса. Интерфейс у
Virus Buster, мягко сказать, очень неудобный и с первого раза трудно установить необходимые настройки. Хотя
Virus Buster предлагает несколько опций для изменения внешнего вида рабочего окна, так что понажимав на кнопки верхней панели программы можно, закрыв несколько элементов, получить более или менее приемлемый внешний вид. Прошу прощения, за оффтоп, но просто накипело, пока возился с этим продуктом. Итак, к делу…
Натравил его на архив с вирусами – даже .rar архивы не умеет распаковывать. Ладушки, мы не гордые сами распакуем… Не опознал ни одного червя с более старой коллекции.
Klez.Lentin.Magistr и еще с десяток разных — и ни один не опознан… просто смешно. Также у него такая же проблема со сканирование, что и у
Norman Virus Control Plus (я говорю про малое количество просканированных файлов). Вроде бы трои видит. Ладно… берем упаковщик. Больше у нас нет троя. Нет, это полный бред…
Худший антивирус, какой когда-либо мне попадался (примерно наравне с ним стоит господин
Normanи PC DoorGuard 4.1»).

CAT Quick Heal Anti-Virus 2005 – если рассматривать эффективность этого антивируса в процентном соотношении, то я бы дал ему ему примерно 73%. Нет, это не с потолка взятая цифра. Давайте смоделируем ситуацию: при проведении тестирования (скажем, обработка спуфером, обработка упаковщиком… и т.д. и т.п.) за каждый проеденный тест АВП получал по 1 баллу, а за
не пройденный – 0. Безусловно, это очень грубо и средне, но все же. Так вот, при таких расчетах эффективность этого антивирусного софта составляет 73%.
Что интересного было подмечено? Антивирус легко определяет упаковщики, спуферы (все public)… Но(!) если немного упаковку подправить, то антивирус бессилен! Упаковываем
UPX’ом версии 1.33. Смотрим – определяет. Затем обрабатываем упакованный файл… Все! Антивирусный пакет ослеп.

AVIRA 6.31.1.0 – во время тестирования данный антивирусный комплект отличился ложными срабатываниями. А может быть это не ложное срабатывание, а вирус, который не видит ни один из тестируемых АВП кроме
AVIRA? Я реалист и не верю в чудеса! 😉 Даже не знаю с чем связаны подобные срабатывания.
Ругался он на .exe-шники игр (в частности, LineAge2). А так, при попытке его облапошить держался молодцом. Распознал упаковку, спуфинг. Но спуфинг + упаковка (с доработкой) + спуфинг его успокоили. Подопытным был
Pinch (как и в других тестовых ситуациях при компиляции вируса была выключена опция «Упаковать FSG»). После указанных выше манипуляций АВП замолк.

Ikarus – троян WinMx прошел обыкновенной программкой. Весело, что тут еще скажешь! Дальше возьмем систему лицензионной защиты
Armadillo. Ее упаковщик оказался не по зубам этому антивирусному продукту. Замечу, что
Armadillo крайне редко используется для упаковки вредоносного кода, но даже тут
Ikarus» сплоховал. Спуфинг с помощью Afx!AVSpoffer v.1.49[b] его успокоил. И в конечном счете антивирусный пакет был намертво убит с помощью
EPProt (методика описана при разборе «ortiGate Antivirus).

ClamAV – совершенно обыкновенный, ничем не выделяющийся антивирусный софт. Слабенькая база, никакущий эмулятор… В общем, советуйте его своим друзьям и вся их конфиденциальная информация ваша =) ШУТКА! 😉
Mantice (непакованный) ClamAV сжевал на ура после спуфера. Что еще раз подтверждает наши выводы об эвристике этого продукта! Где сигнатуры ищет, даже не хотелось смотреть – так расстроил этот АВП. Хотя работает довольно шустро… еще бы толк от него был!

Stocona Antivirus – прошу вас обратить особое внимание на этот антивирусный пакет!
По большому счету, он не вписывается в рамки данного теста, т.к. обеспечивает защиту компьютерных систем от макровирусов и программных закладок в электронных документах и почтовых сообщениях (в форматах
Microsoft Office). Но все же было решено включить его в наш обзор по той простой причине, что в нем реализована любопытнейшая технология. Если большинство антивирусного софта сейчас работает по принципу «поиска сигнатур», то примененное в
Stocona Antivirus ядро искусственного интеллекта принимает решение о вредоносности того или иного кода на основе просчитанного конечного результата от выполнения кода программы. Т.е.
Stocona Antivirus ищет не по базе данных сигнатур, а разбирает код макросов (анализ функций программ без их выполнения), и вычисляет, что же они в конечном итоге делают. Поэтому у этого продукта НЕТ базы сигнатур…
Посмотрим его в деле. Сколько я не пытался одурачить этот антивирусный софт… Все попытки были тщетны. Легко видит, где была попытка внедрения функции с неопасными и бессмысленными аргументами, а где попытка спрятать червячка с помощью внедрения первой процедурой процедуру типа 

Sub XXX() 
MsgBox “Hellow world”
End Sub 

…либо иной безопасной процедуры.

Это действительно умный софт… А теперь перед разработчиками стоит воистину революционная задача – перенести подобную технологию на «системные» (название условное) вирусы. Тогда и надобность в подобных тестах отпадет…

Вот, пожалуй, и все. Подводя итоги, хотелось бы отметить, что на протяжении 2 статей в общей сложности было протестировано 30 антивирусных пакетов. И чем больше АВП я изучал, тем больше в моей больной голове утверждалась мысль о том, что лучший антивирус — это здравый смысл (или как было сказано в первой части «умная голова и грамотные руки») плюс хороший антивирусный сканер с последними обновлениями! Первую проблему (проблему умной головы и грамотных рук) я не в силах
вам помочь решить, но вот с выбором сканера (читать АВП) помочь попытался, расставив некоторые точки над И.
Безусловно, я не претендую на абсолютную правильность и беспристрастность
– все мы люди, всем нам свойственно ошибаться! Как сейчас стало модно говорить – ЭТО ВСЕГО ЛИШЬ МОЕ IMHO. А выбор как всегда остается за вами…

Оставить мнение

Check Also

Как работает Linux: от нажатия кнопки включения до рабочего стола

Лучший способ понять, как работает операционная система, — это проследить поэтапно ее загр…