Легче предупредить, чем лечить

Тестовая лаборатория

И у нас в стране локальные сети постепенно становятся обычным делом. А как известно, последствия от проникновения компьютерного вируса в сеть гораздо страшнее, чем от заражения одного компьютера. Именно поэтому мы решили провести сравнительное тестирование сетевых антивирусных пакетов, имеющихся на российском рынке. Рассматривались только комплексные решения, включающие NLM-модуль для сервера Novell NetWare, сканер/фаг для рабочих станций и резидентный модуль, предотвращающий заражение и блокирующий вредоносные действия вирусов.

Таких пакетов было представлено три: Antiviral Toolkit Pro фирмы КАМИ, Norton Antivirus корпорации Symantec и ViruSafe компании EliaShim. Каждый из них имел самую свежую из доступных на момент тестирования базу вирусных сигнатур, полученную у фирмы-производителя.

При тестировании ставилась задача проверить все аспекты работы программ  не только качество обнаружения вирусов, но и удобство, скорость работы, надежность резидентных модулей, степень загрузки сети.

Оценка велась по следующим критериям:

Способы обнаружения известных и неизвестных вирусов, в том числе эвристическое сканирование, хранение и проверка контрольных сумм, отслеживание “незаконных” действий зараженных программ, поиск вирусов с помощью корреляции.

Установка, администрирование, обслуживание и обновление версий антивирусного ПО на серверах и рабочих станциях.

Поддержка разнообразных конфигураций аппаратного и программного обеспечения.

Эффективность обнаружения и лечения вирусов  процент обнаруженных и вылеченных вирусов, влияние на производительность сети, занимаемое место в ОЗУ и на жестких дисках серверов и рабочих станций.

Цена, поддержка производителя, наличие локализованной версии, качество документации.

Antiviral Toolkit Pro

Продукт фирмы КАМИ показал безоговорочно лучшие результаты как при поиске вирусов, так и при их лечении. За одно это его стоит внести в список программ, достойных покупки. Если заражение все же произошло, особенно в масштабах целой сети, то только этот пакет способен свести к минимуму последствия.

Однако, к сожалению, этим его достоинства исчерпываются. Все остальные характеристики не способны удовлетворить даже самого невзыскательного пользователя. Например, при установке по инструкции (где рекомендовано просто переписать содержимое инсталляционных дискет в отдельный каталог) программа AVPTSR оказывается снаружи каталога программы AVP, а потому при запуске не может найти базы вирусных сигнатур.

Очень опасная кнопка “<Free>”, позволяющая разрешить резидентному модулю выполнять без подтверждений все операции такого же типа, как текущая, не только не выделена цветом и не вызывает появления дополнительного окна подтверждения, но даже не описана в документации. Стоит пользователю один раз нажать ее по ошибке в ответ на запрос программы о подтверждении опасного действия  и вирусы могут без труда проникнуть в систему.

При копировании командами DOS, а не средствами разнообразных оболочек типа Norton Commander (к примеру, copy virus.com d:), резидентный модуль не производит проверку таких файлов, что позволяет свободно распространять зараженные файлы. По этой причине пришлось тестировать скорость проверки не с помощью команды copy *.* nul, а с помощью команды copy в программе Norton Commander (с виртуального диска на виртуальный диск).

Влияние резидентного сканера на производительность просто катастрофическое. Скорость работы с диском замедляется в десятки раз. Очень маловероятно, что удастся заставить пользователей работать с этой программой. Малая производительность обычной программы-сканера, хотя и сильно бьет по карману фирмы, регулярно тестирующей свои компьютеры, тратя на это массу времени, окупается ее великолепными результатами. А вот для резидентного модуля это непростительно. То же самое можно сказать и про NLM-модуль, который даже во время бездействия повышал загрузку тестового сервера до 80%, а во время тестирования копируемых файлов  и до 95%.

Этот продукт  единственный, содержащий очень серьезные средства для борьбы с вирусами “на дому”, без обращения в фирмы, выпускающие антивирусное ПО. И резидентный модуль, и документация, и многое другое рассчитано на профессионального программиста, в совершенстве знающего язык ассемблера и тонкости работы вирусов. Если в фирме есть программист, занимающийся защитой от вирусов и тому подобных неприятностей, то такой комплект  незаменимая помощь в его работе.

Norton Antivirus

Традиционно мощный и гибкий интерфейс продуктов фирмы Symantec, а также обилие полезных функций, очень высокая скорость и поддержка разнообразных клиентских платформ позволили ему получить оценку Analist’s Choice, несмотря на недостаточно высокие результаты в тестах на обнаружение и лечение вирусов.

В последнее время акцент в использовании сетевых антивирусных пакетов делается не на лечении серьезно зараженных сетей, а на недопущении проникновения вирусов, в том числе неизвестных. Кроме того, очень важна стоимость администрирования антивирусного ПО и обучения пользователей работе с ним.

Поэтому нас приятно поразила легкость установки и настройки пакета Norton Antivirus, почти полное отсутствие сбоев в работе (только один раз  при попытке резидентного модуля вылечить зараженный файл в условиях жесткой нехватки свободного ОЗУ  произошло “зависание”) и богатейшие возможности сетевого администрирования.

Впрочем, не обошлось без “тонкостей”, на которые стоит обратить внимание при покупке. “Коробочная” версия Norton Antivirus for DOS and Windows, предоставленная фирмой CPS, имела в своем составе Network Manager, позволяющий централизованно обновлять и настраивать антивирусный пакет на рабочих станциях, а в самую свежую версию этой же программы, предоставленную российским представительством фирмы Symantec на дискетах, этот модуль не входил. Как утверждает фирма, этот модуль поставляется по-прежнему, но только в версиях, специально предназначенных для работы в сети.

Можно высказать несколько замечаний к резидентному модулю. При запуске зараженного файла из-под оболочки Norton Commander резидентный модуль выдает сообщение вида “NCMAIN.EXE пытается записать в файл <имя>”, вместо ожидаемого имени запущенного зараженного файла, что способно запутать пользователя и заставить его разрешить опасное действие.

Кроме того, именно резидентный модуль Norton Antivirus пропустил один вирус и дал ему размножиться. Впрочем, это в достаточной степени искупается скоростью его работы  в десять раз быстрее ViruSafe и почти в сто раз быстрее, чем AVP. NLM-модуль также оказался самым быстрым из протестированных.

И не стоит забывать о поддержке разнообразных платформ и отличном интерфейсе, к сожалению, пока не русскоязычном.

ViruSafe    

Этот многообещающий комплект ПО почти по всем параметрам находится между Norton Antivirus и AVP и при этом радует невысокой ценой. Это вполне способно сделать его серьезным конкурентом, особенно учитывая хорошую поддержку разнообразных платформ и некоторые новые технологии. Но, к сожалению, его установка и настройка проходят далеко не просто и не гладко.

Возможность поиска вирусов по корреляции, позволяющая находить общие черты в нескольких (как минимум трех) файлах, помогает на ранних этапах обнаружить подозрительные файлы, а способность на базе полученной информации выделить сигнатуру вируса дает возможность остановить эпидемию, не дав зараженным файлам распространиться по всей сети.

Приятный интерфейс, причем есть и локализованная версия, вполне удовлетворительная скорость работы  многое говорит в пользу этой программы. Но наличие недоделок и ошибок сводит ее преимущества на нет.

Есть недоделки организационные: как правильно заметил Джей Милн в своем обзоре антивирусных программ для NetWare (журнал Network Computing от 15 сентября 1995 года), отсутствие защиты на сервере, не зависящей от наличия работающего антивирусного ПО на рабочей станции, является серьезной опасностью для всей сети. Кроме того, хотя настройка ПО самим пользователем на рабочей станции невозможна (при следующем входе в сеть все параметры будут без предупреждения возвращены к состоянию, установленному администратором), программа для настройки существует и никаких предупреждений не выдает. Эта же программа, хотя в ней есть целый раздел, посвященный настройке резидентного модуля, никаких изменений в его конфигурации не производит  необходимо пользоваться его встроенными средствами.

Есть и чисто программистские недоделки. Например, при инсталляции нужно самому, с помощью текстового редактора, изменять сценарий входа в систему, добавляя туда запуск программы для автоматической инсталляции пакета на рабочей станции.

При инсталляции лишнее нажатие клавиши Enter (программа долго показывала один и тот же экран, видимо, делая что-то с сетью) привело к тому, что при продолжении работы инсталлятор начал создавать дискету для загрузки в случае аварии на одной из дистрибутивных. К счастью, этот процесс удалось вовремя прервать.

Странные проблемы с памятью встречались в разных программах. Сканер не смог загрузить таблицы сигнатур при объеме свободной памяти 515 Кб, хотя в документации написано, что достаточно 455 Кб. Когда мы отдали под Smartdrive почти всю свободную память, резидентный модуль загрузился, занял 10 Кб памяти, но делать любые действия отказался (кстати, он при любых условиях не может проверять BAT-файлы при их запуске, что создает опасную лазейку для вирусов). Программа централизованного управления при выходе неоднократно выдавала сообщение “Fatal swapping error. Unable to reload program”.

Несмотря на то, что резидентный модуль допустил увеличение размеров вирусного EXE-файла, эта программа вполне конкурентоспособна и может даже занять лидирующую позицию по продажам среди малых и средних фирм. Как правило, на таких фирмах есть один-два “хакера”, способных успешно решить проблемы, возникающие при инсталляции и эксплуатации, а низкая цена и богатство возможностей этого пакета весьма привлекательны.

Рекомендации

Фирмам, готовым потратить больше денег и рассчитывающим получить за них надежную и удобную систему, стоит повнимательнее изучить Norton Antivirus  он лучше других систем подходит для работы в большой сети благодаря удобству настройки и администрирования, а также невысокой нагрузке на серверы и рабочие станции.

Желающим сэкономить некоторую сумму денег, получив почти те же самые возможности, и не боящимся проблем с настройкой ПО отлично подойдет ViruSafe. Возможно, в будущем, если разработчики тщательнее будут тестировать продукт, эта система станет гораздо более опасным конкурентом.

И наконец, почти каждая фирма захочет иметь Antiviral Toolkit Pro, но, видимо, только DOS-версию, для лечения уже зараженных компьютеров. Пока не ясно, приведет ли развитие этой программы к более “человечному” стилю работы и не отразится ли он, в свою очередь, на качестве обнаружения и лечения вирусов.

Павел Гродек

ОБОЙТИСЬ ОДНИМ КОМПЛЕКТОМ АНТИВИРУСНОГО ПО, К СОЖАЛЕНИЮ, НЕВОЗМОЖНО

     БЫСТРО ХОРОШО НЕ БЫВАЕТ

     Разнообразие рассмотренных продуктов позволяет достичь баланса между производительностью и надежностью защиты от вирусов

МЕТОДИКА ТЕСТИРОВАНИЯ

    

     Мы тестировали продукты на сети, предоставленной НПО “Прикладная Логистика” и состоящей из сервера (IBM PS/2 Model 80 с 4 Мб ОЗУ и 16 МГц процессором 386DX) и рабочей станции (IBM PS/2 Model 80 c 3 Мб ОЗУ и 16 МГц процессором 386DX). Вирусы, на которых проводилось тестирование, состояли из двух групп. Первая была предоставлена НПО “Прикладная Логистика”, распространяющим ViruSafe, и состояла из 65 вирусов.  Вторая была собрана из глобальных сетей и состояла из 24 вирусов. В таблицах приведены суммарные результаты по обеим группам и отдельно  результаты по второй группе как более репрезентативной, поскольку эти вирусы гарантированно разошлись по миру и существуют не только в коллекциях, но и “на воле”.

* Возможности сканера/резидентного модуля.

** ViruSafe контролирует файлы не по полной контрольной сумме, а по некоторым “ответственным” частям файла.

*** Norton Antivirus контролирует не файл на диске, а его образ, загружаемый в ОЗУ, что ускоряет проверку.

**** Указаны только максимальные значения, поскольку при минимальных все три системы почти бесполезны  большинство функций отключено.

    

* Результаты по двум группам/в том числе по независимой группе.

** Время копирования всех *.com и *.exe файлов из комплекта поставки MS-DOS 6.20 с виртуального диска на устройство nul.

*** Загрузка при запущенном, но бездействующем антивирусном модуле/загрузка во время копирования того же самого комплекта файлов с виртуального диска на сервер.

**** Модуль InterServer запустить на выбранной для этого теста рабочей станции не удалось, на соседней загрузка составила около 60% во время копирования.

Версия для печати