Célkeresztben a kiterjesztések
2009. 03. 03. | Frissítve: 2009. 06. 13.
Állítólag egyes vírusvédelmek a vizsgálandó állományok körét szűkítik, és így gyorsabb működésre képesek. Az egyik ilyen egyszerű módszer, ha a védelem csak bizonyos kiterjesztésű állományokat vizsgál. De jelent-e ez biztonsági kockázatot?
Az, hogy egy védelmi rendszer mely állományokat vizsgálja és melyeket nem működése során igazából másodlagos probléma. Addig, amíg egy védelem maximális biztonságot képes nyújtani, teljesen mindegy, hogy hogyan befolyásolja a működését a kiterjesztések kezelése. A mostani tesztelés kiváltó oka az volt, hogy azt tapasztaltuk, hogy egyes vírusvédelmek csak bizonyos kiterjesztésű állományokat vizsgálnak működésük során. Ezzel természetesen sokkal gyorsabb működésre képesek, amit aztán a vírusvédelmi rendszerek marketingjében fel is használnak. Jónéhány vírusvédelmi rendszer esetén találkozhatunk olyan szlogennel, mely annak sebességére utal. Kérdés az, hogy ez mennyiben jelent megalkuvást a biztonsággal, mennyiben csökken ezáltal a felderíthető kártevők köre.
Tesztelt termékek és verziók
| Termék | Fejlesztő | Verzió |
|---|---|---|
| AVG Internet Security | AVG | 8.0.200 |
| McAfee VirusScan Enterprise | McAfee | 8.5i |
| ESET Smart Security | ESET Software | 3.0.672.0 |
| Panda Internet Security 2009 | Panda Software | 14.00.00 |
| Sunbelt VIPRE Antivirus + Antispyware | Sunbelt Software | 3.2.1866.2 |
| Trend Micro Internet Security 2009 | Trend Micro | 17.0.1305 |
Tesztkörnyezet
Valamennyi tesztet az alábbi környezetben végeztük el:
| Hardver | Intel Pentium 4 CPU 1.7 GHz |
|---|---|
| ABIT BD7 II | |
| 512 MB RAM | |
| 80 GB Maxtor HDD | |
| Szoftver | Microsoft Windows XP Professional v2002 SP3 |
Sebességmérés
Tesztelésünk során a vírusvédelmi rendszerek on-access védelmét vizsgáltuk Windows XP Home + SP3 operációs rendszer alatt. Vírusmentes állományok esetén mértük a rendszer sebességét, melyhez fájlok három csoportját használtuk, melyek összmérete kb. 20 Gbyte, az állományok száma pedig közel százezer volt. Az első csomag nem tömörített, futtatható állományokat, a második csomag tömörített, futtatható állományokat tartalmazott, míg a harmadik csomagban nem futtatható állományokat (dokumentumok, html fájlok, multimédia állományok, …) helyeztünk. Az "on-access" vírusvédelmet oly módon ellenőriztük, hogy az állományokat (valamennyi bájtját az elejétől a végéig) a védelem installálása/bekapcsolása mellett egy kis keretprogrammal elolvastuk. Tekintettel arra, hogy maga az operációs rendszer is végez tevékenységeket a háttérben, ezért a tesztet 30-szor végeztük el. Az on-access teszt esetén a táblázat a minimális, a maximális és az átlagos értékeket is tartalmazza.
Fontos megjegyzés: A tesztelés során használt állománycsomagokkal igyekeztünk az átlagos Windows alapú számítógépen előforduló állománykészletet mintázni. Előfordulhat azonban, hogy bizonyos esetekben eltérő sebességarányok alakulnak ki. A teszteredmények viszont jól mutatják az egyes víruskereső motorok sebességét. Az eredmények táblázatában valamennyi, a sebességre jellemző értéket perc:másodperc alakban adtuk meg. Fontos megjegyeznünk továbbá, hogy a vírusvédelmek lassításának meghatározásához az egyes vírusvédelmeknél megadott időértékekből a vírusvédelem nélküli értékeket ki kell vonni.
Antivírus termékek átlagos futási ideje on-access védelem mellett vírusmentes fájlok megnyitásakor
Kattintson a képre a részletekért!
Eredmények
Vírusmentes állományok 1. csomag:
| Futási idő | Védelem nélkül | AVG | McAfee | ESET | Panda | Sunbelt | Trend Micro |
|---|---|---|---|---|---|---|---|
| minimális | 0:00:53 | 0:13:38 | 0:02:25 | 0:02:11 | 0:03:00 | 0:03:16 | 0:04:18 |
| maximális | 0:03:28 | 0:17:21 | 0:10:44 | 0:04:40 | 0:53:32 | 0:05:44 | 0:05:20 |
| átlagos | 0:01:13 | 0:13:46 | 0:02:27 | 0:02:22 | 0:13:21 | 0:03:17 | 0:04:22 |
Vírusmentes állományok 2. csomag:
| Futási idő | Védelem nélkül | AVG | McAfee | ESET | Panda | Sunbelt | Trend Micro |
|---|---|---|---|---|---|---|---|
| minimális | 0:00:21 | 0:00:55 | 0:01:03 | 0:00:26 | 0:00:49 | 0:00:50 | 0:00:51 |
| maximális | 0:00:51 | 0:01:22 | 0:03:59 | 0:01:53 | 0:15:28 | 0:01:20 | 0:01:24 |
| átlagos | 0:00:26 | 0:00:57 | 0:01:04 | 0:00:30 | 0:03:48 | 0:00:51 | 0:00:53 |
Vírusmentes állományok 3. csomag:
| Futási idő | Védelem nélkül | AVG | McAfee | ESET | Panda | Sunbelt | Trend Micro |
|---|---|---|---|---|---|---|---|
| minimális | 0:01:18 | 0:07:10 | 0:02:32 | 0:03:22 | 0:05:20 | 0:05:59 | 0:04:47 |
| maximális | 0:06:17 | 0:10:09 | 0:07:04 | 0:07:43 | 0:46:49 | 0:06:26 | 0:07:52 |
| átlagos | 0:01:56 | 0:07:22 | 0:02:42 | 0:03:41 | 0:15:59 | 0:06:23 | 0:04:55 |
Kiterjesztések vizsgálata
A vírusvédelmek folyamatosan figyelő on-access védelmét vizsgáltuk abból a szempontból, hogy egyáltalán milyen kiterjesztésű állományokat vizsgálnak. Elkészítettük egy ismert kártevő azon másolatait, amelyekben az állományok maximum 3 karakter hosszú kiterjesztését az összes lehetséges értékre állítottuk (közel 57.198 példány), valamint 1000 db 4 karakter hosszúságú kiterjesztésű példány is készült véletlenszerű kiterjesztést választva. A vizsgálatot oly módon végeztük, hogy a frissen telepített operációs rendszert frissítettük, majd telepítettük és frissítettük a megfelelő védelmi rendszert is. Ezt követően a fertőzött mintákat egy batch programmal megpróbáltuk elolvasni (az úgynevezett nul egységre másolással). Az eljárás végén a védelmi rendszerek üzeneteit, naplóállományait, illetve a fertőzött minták változását elemeztük. A mellékelt táblázat mutatja, hogy mely védelem mennyi kiterjesztést vizsgált és mennyit nem. Külön érdekesség, hogy a Sunbelt VIPRE védelmi rendszere csupán 49 (!) kiterjesztésű állományban ismerte fel a kártevőt, a 4 karakteres kiterjesztésű fájlokban pedig egyetlen egyben sem. A többi védelem esetén is akadt néhány olyan állomány, amiben nem kerestek. Ezek olyan kiterjesztéseket jelentettek, melyek speciális karaktereket tartalmaztak (pl. #, $).
A teszthez használt minta
A teszthez a b60e6e27040a86fedb4986fcf2c13c52 MD5 azonosítóval rendelkező kártevőt használtuk, amelyet a vírusvédelmek így azonosítottak:
| Termék | Elnevezés |
|---|---|
| AVG Internet Security | Win32/Virut.A |
| ESET Smart Security | Win32/Virut.B |
| McAfee VirusScan Enterprise | W32/Virut.b |
| Panda Internet Security 2009 | W32/Virutas.A |
| Sunbelt VIPRE Antivirus + Antispyware | Win32.virut.b |
| Trend Micro Internet Security 2009 | PE_VIRUT.B |
Eredmények
Max 3 karakteres kiterjesztés (57198):
| Vizsgált | AVG | McAfee | ESET | Panda | Sunbelt | Trend Micro |
|---|---|---|---|---|---|---|
| igen | 52363 | 53959 | 52638 | 52582 | 49 | 53824 |
| nem | 4835 | 3239 | 4560 | 4616 | 57149 | 3374 |
4 karakteres kiterjesztés (1000)
| Vizsgált | AVG | McAfee | ESET | Panda | Sunbelt | Trend Micro |
|---|---|---|---|---|---|---|
| igen | 1000 | 1000 | 1000 | 933 | 0 | 1000 |
| nem | 0 | 0 | 0 | 67 | 1000 | 0 |
A táblázatban szereplő eredmények a vírusvédelmi programok által készített naplófájlok alapján készültek.
A Panda Internet Security által készített naplófájl összesen 4649 bejegyzést tartalmazott, melyek csupán az utolsó találatokra vonatkoztak. Így ez a naplóállomány további feldolgozásra alkalmatlannak bizonyult. A Panda Internet Security esetén a felismerési tulajdonságok vizsgálatához a vírust tartalmazó fájlok méretváltozását ellenőríztük, melyből következtettünk az antivírus felismerési tulajdonságaira.
Kiterjesztések kockázata
A on-access védelmek esetén a kiterjesztések “ismerete”, illetve “nem ismerete” önmagában még nem jelent gondot. Ha a védelmi rendszer minden kártékony kódot képes azonosítani, akkor teljesen mindegy, hogy milyen kiterjesztésű állományokat vizsgál. A nem ismert kiterjesztéseket vizsgálva azonban a Sunbelt VIPRE esetén találtunk olyan kiterjesztéseket, amelyeket konkrét kártevők használnak. A kiterjesztések kockázatának a vizsgálatánál az MP3, SWF és a WMA kiterjesztéseket teszteltük, de nem saját magunk által történő másolással, hanem konkrét kártevőkkel, melyek valóban ezekben a kiterjesztésekben terjednek.
A tesztelési elárásunkban ezen vizsgálat eredetileg nem szerepelt. A Sunbelt VIPRE esetén felmerült probléma miatt azonban szükségesnek tartottuk megvizsgáni azt is, hogy a kiterjesztések nem ismerete jelent-e egyáltalán biztonsági kockázatot. Ezen vizsgálat célja tehát nem az, hogy a termékek tudását összehasonlítsuk. Tesztünk ezen kiegészítése egyértelműen rámutatott arra, hogy a Sunbelt VIPRE esetén a feltárt problémák valós kockázatot jelentenek.
A korrekt tájékoztatás érdekében a különböző sérülékenységeket kihasználó kártevőkre (beleértve az MP3, SWF, illetve WMA fájlokban terjedő kártevőket) vonatkozóan részletesebb vizsgálatot végeztünk. Tovább
Eredmények
Mp3, swf és wma kiterjesztés vizsgálata:
| Vizsgált | AVG | McAfee | ESET | Panda | Sunbelt | Trend Micro |
|---|---|---|---|---|---|---|
| igen | - | mp3, swf, wma | mp3, swf, wma | mp3 | - | swf, wma |
| nem | mp3, swf, wma * | - | - | swf, wma ** | mp3, swf, wma ** | mp3 ** |
* Alapértelmezés szerint nem azonosítja a kártevőket de ha a felhasználó beállítja a kiterjesztést, akkor megtalálja
** Kiterjesztések hozzáadásával sem azonosítja a kártevőket
A ComputerWorld 2009. március 10-i számában a táblázat tévesen jelent meg.
Videók
| Termék | Videó megtekintése | Videó letöltése |
|---|---|---|
| AVG Internet Security (alapbeállításokkal) | megtekintés | letöltés |
| AVG Internet Security (összes állomány vizsgálata) | megtekintés | letöltés |
| McAfee VirusScan Enterprise | megtekintés | letöltés |
| ESET Smart Security | megtekintés | letöltés |
| Panda Internet Security 2009 | megtekintés | letöltés |
| Sunbelt VIPRE Antivirus + Antispyware | megtekintés | letöltés |
| Trend Micro Internet Security 2009 | megtekintés | letöltés |
Naplófájlok
- AVG Internet security
- McAfee VirusScan Enterprise
- mcafee.txt - naplóállomány az összes vizsgált kiterjesztésre vonatkozóan
- ESET Smart Security
- eset.txt - naplóállomány az összes vizsgált kiterjesztésre vonatkozóan
- Panda Internet Security 2009
- panda.txt - a naplóállomány összesen 4649 bejegyzést tartalmazott, melyek csupán az utolsó találatokra vonatkoztak
- panda-filelist1.txt - a vírust tartalmazó fájlok listája a futtatás után 1
- panda-filelist2.txt - a vírust tartalmazó fájlok listája a futtatás után 2
- panda-filelist3.txt - a vírust tartalmazó fájlok listája a futtatás után 3
- Sunbelt VIPRE Antivirus + Antispyware
- sunbelt-orig.zip - az antivírus-program által generált *.xml fájlok tömörített állományban
- sunbelt-all.xml - az antivírus-program által generált *.xml fájlok egy fájlban összesítve (utf-16)
- sunbelt-all2.xml - az antivírus-program által generált *.xml fájlok egy fájlban összesítve (utf-8)
- Trend Micro Internet Security 2009
- trendmicro.txt - naplóállomány az összes vizsgált kiterjesztésre vonatkozóan (utf-16)
- trendmicro2.txt - naplóállomány az összes vizsgált kiterjesztésre vonatkozóan (utf-8)