Vírusölők

Vírusölők

Összeállította: Horváth Győző

Tartalom:

A vírusölők jellemzői
Néhány népszerű vírusölőről régen és most

Antivirus site-ok és linkek

Irodalom

A vírusölők jellemzői

A vírusölő programok egyre nagyobb hatékonysága ellenére a vírusok úgy szaporodnak, mint a legyek. De nemcsak mennyiségben lesz belőlük egyre több. Amellett, hogy havonta kétszáz új törzs jelenik meg, és a kutatók ma már körülbelül 18 ezer vírusfajtát tartanak nyilván, a vírusok egyre újabb területekre törnek, s ott bukkannak fel, ahol senki nem várná, illetve remélné. Éppen ezért a vírusellenőrző és vírusölő programok fontossága egyre nagyobb hangsúlyt kap az egyéni, de főleg a vállalati számítógépes munkák körében. A választék elég nagy, elméletileg mindenki olyat választ, amilyet akar, vagy meg tud fizetni, azonban érdemesebb körülnézni, hogy vajon milyen szempontok szerint is válasszunk magunknak vírusölő programot. Az alábbiakban olyan szempontokat fogok felsorolni, amelyek egyrészt a vírusölők tudására vonatkoznak, másrészt a felhasználók kényelmét szolgálják.

A felismert vírusok száma

Mint fentebb írtam, ma már több mint 18 ezer vírusfajtát ismernek a kutatók. A vírusellenes programok íróinak laborjaiban végzett kemény munkának köszönhetően a nagyobb programok elég gyorsan bővülnek a legújabb vírusok felismeréséhez szükséges vírusmintákkal, megoldásokkal. Éppen ezért fontos vírusellenőrző programunk adatainak frissítése rendszeres időközönként.

A kisebb programok néha csak egy-egy vírus irtására vagy egy speciális víruscsalád irtására vállalkoznak (pl. makrovírusokéra vagy boot-vírusokéra). Néha érdemes ezek között is körbenézni a weben, hátha éppen problémánknak megfelelő programra akadunk.

Hány vírust tud kiirtani a program

Nem minden detektálható vírus irtható is egyben. Ez a szám a nagyobb programoknál 12-14 ezer. A kisebb programok néha speciálisan egy vírus irtására vállalkoznak.

Gyorsaság

A felhasználó szempontjából nem mindegy, hogy mennyi idő alatt ismeri fel a program a vírusokat, illetve hogy mennyi ideig tart egy adott terület átnézése. Gyakorlati szempontból: ha minden egyes bekapcsolásnál ellenőrizzük a gépünket, nem örülünk, ha a merevlemez átnézése egy óráig tart.

Milyen gyorsan reagál az adott program egy új vírusra

Azaz a programunk egy vírus megjelenéstől számítva mennyi idő elteltével képes felismerni ezt az új vírust. Minél hamarabb a kezünkben van az “ellenszer”, annál jobbnak tekinthető az adott program. Ez a program fejlesztőinek, kutatógárdájának szorgalmát, felkészültségét, munkájuk keménységét is jelzi.

Milyen platformokon fut

Egyes programok csak bizonyos környezetben futnak. A választásnál nézzük meg, hogy fut-e azon a platformon, ahova szánjuk. Ezek a következők lehetnek:

DOS
Windows 95/98/NT
OS2
LINUX
Novell

Az adott programcsomagban hányféle termék van

Komplexebb programok több szolgáltatás nyújtanak a keresésen és az irtáson kívül:

Kereső/irtó
Rezidens védelmek
Külön szoftverek alá beépülő rezidens védelmek: Word, Excel, levelező szoftverek
Egyéb szolgáltatások: rendszeres naplókészítés, automatikus frissítés, stb.

Hálózati adminisztráció mennyire támogatja

Nagyobb rendszerek több száz gépet fognak össze. Hasznos lehet tehát, ha nem minden egyes gépen kellene végigfuttatni a keresést, hanem azt a rendszergazda egy gépről megnézheti.

Mennyibe kerül

Ingyen: általában magánszemélyek ingyen is igénybe vehetnek bizonyos szoftvereket.
A shareware példány csak bizonyos ideig engedi használni a programot.
A demo példány bizonyos korlátozásokkal működik, pl. nincs irtás rajta. Ha tetszik a program, pénzért a forgamazótól megvehető.
Bizonyos termékeket bizonyos vevők (vállalatok, cégek) csak pénzért vehetnek meg.

Milyen módszerrel ismeri fel a vírust

Szekvenciakeresés: a vírusra jellemző mintát, a szekvenciát keresi a file bizonyos pontjain. Ez csak a vírusok egy csoportjánál lehet hasznos, azoknál, amelyek nem változtatják önmagukat.

Emulátor: a víruskereső elkezdi emulálni a programot, s az emuláció kiad egy szekvenciát a végrehajtott utasításokról, amelyben már szekvenciakereséssel lehet keresni. Ez a módszer az önmagukat kódoló vírusoknál is hatékony.

Heurisztikus módszer: elkezdi végrehajtani a programot, s ha vírusra utaló tevékenységet talál, kiértékeli, s eldönti, vírus-e vagy sem. Ezzel ismeretlen vírusok ismerhetők fel.

Milyen vírusokat tud felismerni

A vírusokat fajtáik szerint kategóriákba lehet sorolni. A teljesség igénye nélkül a következő kategóriák lehetnek:

Boot vírus
File vírus (lopakodó, oligomorf, polimorf)
Makrovírusok (dropper, lopakodó, companion, oligomorf, polimorf, chained)
HTML-vírusok (Visual Basic Script-ben írt vírusok)
Script vírusok (UNIX alatt)
Inf vírusok (Windows .inf állományait fertőzi meg)
Cross-vírusok
Multiplatform-vírusok
Hoax-ok (e-mail-es rémhírek)

Könnyű telepíthetőség és használat

A könnyen kezelhetőség, a csiszolt, egyértelmű, felhasználóbarát felület sokat nyomhat a latba a laikus felhasználó szemszögéből. A design a mai világban néha fontosabb, mint a lényeg, azonban ha a kettő párosul, akkor csak jól járhatunk.

Megbizhatóság

Jó, ha egy program nem fagy le gyakran, nem akad össze az operációs rendszerrel vagy nem ad hibás riasztást.

Víruseltávolítási biztonság

Jó, ha biztosak lehetünk abban, hogy az adott vírustól az irtás után már mentes a gépünk.

Hogyan lehet a vírusaláírásokat (vírusmintákat) frissíteni

A felhasználó szempontjából nem mindegy, hogy a vírusminták frissítése egyszerű-e vagy pedig bonyolult folyamat. Megkönnyíti a kezelhetőséget is, ha a program támogatja az egyszerű frissítést (pl. egyetlen gombnyomás).

Néhány népszerű vírusölőről régen és most

A vírusellenőrző piac 1999 elején jelentősen átalakult, s talán a változások nem értek el mindenkit, ezért foglalkoznunk kell a tavalyi év vírusölőivel is, pontosabban ezek jellemzőivel, hatékonyságával.

1998

A vírusellenőrző választásakor mindenkinek megfordul a fejében, hogy vajon hogyan döntse el, melyik a legjobb. Még hogyha a fentebbi szempontokat saját igényei szerint egyenként sorba is veszi, azt nem tudja láttomra eldönteni, hogy melyik vírusölő mennyire hatékony. Éppen ezért érdemes körülnézni egy kicsit a segítségért. Ezt megtehetjük különböző számítástechnikai magazinokban (pl. az Alaplapban mindig van Vírusőrjárat címen 2-3 oldal a legújabb vírusokról és ellenőrzőkről) vagy pedig az Interneten. A hamburgi egyetemen például félévente összehasonlítják a legismertebb vírusellenőrzőket felismerés szempontjából, s tesztjeik eredményét közzé is teszik az Interneten. A táblázatokat megnézve talán könnyebb lesz a döntésünk a megfelelő szoftver felől.

1998 második felében a következő nagyobb vírusellenőrzők voltak a színen:

ACCURA (Livingstone), AVAST! (Alwil), AVG (Grisoft),

AVP (KAMI Ltd), AntiVir (H+B EDV), Anyware (Anyware),

ASPVirin, DSAV (Dr. Solomon), DrWeb (Dialogue Science),

F-Prot and F-MacroW (Frisk Software), F-SECURE (Data Fellows),

F/Win (Kurtzhals), HMVS (Valky,Vrtik), IBM AV (IBM),

Inoculan (CAI/Cheyenne), IRIS (IRIS Israel), InVircible,

Integrity Master (Stiller Research), Norman Virus Control

(Norman Data), Norton AV (Symantec), Power Antivirus (G-Data),

RAV (GeCAD Romania), Scan (McAfee), Sweep (Sophos),

TBAV (ThunderByte), TNT (Carmel), TSCAN (Marx),

VBS (Virus Buster), VET (CYBEC) and VSP (VirScan Plus).

Példaképpen nézzük meg, hogyan alakult a tesztelés DOS-os platformon:

DOS scannerek fejlődése 1997-02-tól 1998-02-ig:

==============================================================

--- File Virus Detektálás --- --- Makro Virus Detektálás ---

SCAN 97/02 97/07 98/02 98/10 DELTA 97/02 97/07 98/02 98/10 DELTA

NER % % % % % % % % % %

-----------------------------------------------------------------

ALE 98.8 94.1 89.4 - - 96.5 66.0 49.8 - -

AVS 98.9 97.4 97.4 97.9 +0.5 99.3 98.2 80.4 97.2 +16.8

AVG 79.2 85.3 84.9 87.6 +2.7 25.2 71.0 27.1 81.6 +54.6

AVK - - - 90.0 - - - - 99.7 -

AVP 98.5 98.4 99.3 99.7 +0.4 99.3 99.0 99.9 100.0 +0.1

ANT 73.4 80.6 84.6 75.7 -8.3 58.0 68.6 80.4 56.6 -23,8

DRW 93.2 93.8 92.8 93.1 +0.3 90.2 98.1 94.3 99.3 +5.0

DSS 99.7 99.6 99.9 99.9 0.0 97.9 98.9 100.0 100.0 +0.0

FMA - - - - - 98.6 98.2 99.9 - -

FPR 90.7 89.0 96.0 95.5 -0.5 43.4 36.1 99.9 99.8 -0.1

FSE - - 99.4 99.7 - - - 99.9 90.1 -9.8

FWN - - - - - 97.2 96.4 91.0 85.7 -5.3

IBM 93.6 95.2 96.5 - - 65.0 88.8 99.6 - -

INO - - 92.0 93.5 +1.5 - - 90.3 95.2 +4.9

IRS - 81.4 74.2 - - - - 69.5 48.2 -22.3

ITM - 81.0 81.2 65.8 -15.4 81.8 58.2 68.6 76.3 +7.7

IVB 8.3 - - - - - - - - -

HMV - - - - - - - 98.2 99.0 +0.8

NAV 66.9 67.1 97.1 98.1 +1.0 80.7 86.4 98.7 99.8 +1.1

NVC 87.4 89.7 94.1 93.8 -0.3 13.3 96.6 99.2 90.8 -8.4

PAN - - 67.8 - - - - 73.0 - -

PAV - 96.6 98.8 - - - 93.7 100.0 - -

PCC - - - - - - 67.6 - - -

PCV 67.9 - - - - - - - - -

RAV - - - 71.0 - - - - 99.5 -

SCN 83.9 93.5 90.7 87.8 -0.9 95.1 97.6 99.0 98.6 -1.4

SWP 95.9 94.5 96.8 98.4 +1.6 87.4 89.1 98.4 98.6 -0.2

TBA 95.5 93.7 92.1 93.2 +1.1 72.0 96.1 99.5 98.7 -1.2

TSC - - 50.4 56.1 +5.7 - - 81.9 17.0 -64.9

TNT 58.0 - - - - - - - - -

VDS - 44.0 37.1 - - 16.1 9.9 8.7 - -

VET - 64.9 - - - - 94.0 97.3 97.5 +0.2

VRX - - - - - - - - - -

VBS 43.1 56.6 - 35.5 - - - - - -

VHU 19.3 - - - - - - - - -

VSA - - 56.9 - - - - 80.6 - -

VSP - - - 76.1 - - - - - -

VSW - - 56.9 - - - - 83.0 - -

VTR 45.5 - - - - 6.3 - - - -

XSC 59.5 - - - - - - - - -

Hasonló táblázatokhoz juthatunk a http://agn-www.informatik.uni-hamburg.de/vtc homepage-en.

A teszt eredményeképp kíváló kategóriába régi és szakmailag képzett hátterű kutatócsoportok által fejlesztett szoftverek kerültek. 1998 októberében legjobbnak a Dr Solomon, az AVP és a Sweep bizonyult.

Annyi megjegyzést tegyünk ezekhez a tesztekhez, hogy csak a felismerést ellenőrizték, s bár a vírusölőknek ez az egyik fő szempontjuk, ne felejtsük el, hogy más szempontokat is figyelembe lehet vennünk a választáskor.

1999

1999-ben a softverek fejlesztőinek tábora jelentősen átalakult. A Network General először megvette a Dr Solomon’s-t, aztán összeolvadt a McAfee-vel. A megnövekedett cég, immár Network Associates néven, visszahozta az élvonalba a McAfee VirusScant, és a következő változatokba a Dr Solomon’s néhány megoldását is be fogja építeni. (A két termék ma még külön, de idővel összeolvadnak.) Közben a Symantec megvette az IBM vírusellenes technológiáját (kivégezve az IBM AntiVirust), és az egészet beépítette a Norton AntiVirusba. A Symantec felvásárolta a VirusSweep fejlesztőjét, a Quarterdecket is. Az F-Prot program fejlesztőcsapata háromfelé vált. Az izlandi csapat továbbra is az F-Prot shareware verzióját terjeszti; a másik vonal Command AntiVirusként szerepel Amerikában; harmadikként pedig a Data Fellows csapata ötvözte az F-Protot az AVP (AntiViral Toolkit Pro) magjával, s F-Secure Antivirus néven hozta forgalomba.

A PC World márciusi számában az átalakulásnak megfelelően hat programcsomagot teszteltek: Command AntiVirus 4.52, McAfee VirusScan 4.0, Norton AntiVirus 5.0, Panda AntiVirus 6.005 Platinum, Sophos Anti-Virus 3.13, Trend PC-cillin 6 vírusellenőrzőket. Legjobbnak a Norton AntiVirus és a McAfee VirusScan bizonyult. A tesztben nemcsak a felismerés hatékonyságát vették figyelembe, hanem a kezelhetőséget, az irtást, stb.

A PC World ugyanezen a számában kerül sor egy nagyon jó magyar termék ismertetőjére, a VirusBustersére. A magyar csapat az utóbbi időben próbál az élvonalba kerülni: nagy platformtámogatottság, hatékonyság, könnyű kezelhetőség, s ne feledjük, hogy magyar termék lévén könnyebben kapcsolatba léphetünk a gyártókkal, ha valamilyen probléma adódna.

Antivirus site-ok és linkek

http://ch.kee.hu/virus/antivirus.html

Platformok: WIN3.x, WIN9x, WINNT, OS2, LINUX

Scannerek: F-Secure, McAfee Scan, TBAV, VirusBusters

http://xenia.sote.hu/ftp/virus/antivirus McAfee mirrorsite + egyéb apróságok http://agn-www.informatik.uni-hamburg.de/vtc

ftp://agn-www.informatik.uni-hamburg.de/pub/texts/tests/pc-av/1999-03/

Hasznos tesztek félévente http://www.symantec.com/avcenter/vinfodb.html

http://avp.metro.ch/avpve

http://www.datafellows.fi

http://www.drsolomon.com

Ismertebb fejlesztőcsoportok oldalai

Irodalom

PC World 99/márc/51-56. oldal