четверг, 4 августа 2011 г.

Тест антивирусов для Linux.

Вопреки расхожему мнению, что под Linux написано 1 или 2 вируса, да и те безопасны, на самом деле их количество перевалило за 400. Это не 200000 под Windows, но шанс прицепить заразу не нулевой.

Еще один аргумент в пользу антивируса на Linux: я не хочу слышать от моих друзей, коллег и знакомых фразу типа "Я получил твой файл, но в нем был вирус."
Это сразу снижает уровень доверия к результатам вашей работы.

На сайте http://nnm.ru есть архив, содержащий 17955 вирусов.

Я решил проверить надежность ClamAv, которым пользуюсь под Linux последний год. А заодно и всех антивирусов под Linux до которых смог дотянуться.

Для теста я создал несколько наборов вирусов. Наборы 1,2 и 3 были техническими, поэтому в результирующем тесте не задействованы.
Набор 4. Я распаковал архив с вирусами, удалил дубликаты и запаковал по новой. В этой коллекции всего 6643 файла, которые предположительно имеют вирусы.
Набор 5. Для получения наиболее объективной картины я использовал еще один набор современных вирусов и троянов (пароль на архив virus) из 580 файлов. Некоторые файлы имеют по два и более вируса.
Набор 6. Недавно я получил набор из 91 вируса, написанных исключительно для linux.

Сразу начну с полученных результатов.


Рейтинг считался по формуле
R=10*(VT4/max(VT4n)*V4+VT5/max(VT5n)*V5)
где
VT4 - число обнаруженных вирусов в тесте 4
V4=0,2 - оценка вероятности появления вируса из набора 4
VT5 - число обнаруженных вирусов в тесте 5
V5=0,8 - оценка вероятности появления вируса из набора 5


Прежде чем интерпретировать результаты пара-тройка замечаний:

  • Некоторые антивирусы своеобразно подсчитывают свою эффективность, чтобы показать себя в выгодном свете перед конкурентами. Так например DrWEB, Avast!, ESET считают не обработанные файлы, а объекты. Например, если файл с вирусом упакован, то он посчитается как два объекта.
  • Одни антивирусы (ClamAV, Avira) считают количество зараженных файлов, а другие - количество найденных вирусов.
  • ClamAV после обнаружения вируса в файле говорит, что файл инфицирован и прекращает сканирование, тогда как некоторые другие пытаются найти все вирусы в этом файле.
  • Результаты очень сильно зависят от тестового набора вирусов, поэтому, если у вас есть ссылка на хороший тестовый набор вирусов - дайте. Всем будет лучше :).
  • Учитывая выше сказанное я оценил результаты "творческим" субъективным методом.

Итак:

  • (70%) Худшие из худших:
    ClamAV - пропустил 338 инфицированных файлов. Но, к сожалению полностью провалил тест на современных троянах. Я колебался некоторое время куда его. К сожалению - фтопку.
  • F-Prot for Linux Workstation - Со средними показателями выполнил тест 4. Полностью провалил тест на современных троянах и линуксовых вирусах. Разводка на бабки.
    ESET NOD32 Antivirus for Linux - пропустил 3197 инфицированных файлов. Вот, я понимаю, классная разводка на бабки.
  • (90%) Середнячки:
    Avira Free Unix/Linux - Из 6643 вирусов смешанной коллекции №5 пропущен 3081 вирус!!!
    AVG Anti-Virus Free Edition for Linux - пропустил 1837 инфицированных файлов.
    McAfee VirusScan Command Line for Linux - занял место середнячка благодаря неплохому результату тестов смешанной коллекции вирусов: из 6643 файлов пропустил всего 159.
  • (97%) Лучшие:
    DrWEB - пропустил 667 инфицированных файлов
    F-Secure Linux Security Client and Server Editions - пропустил 208 инфицированных файлов в тесте №4 и 38 в тесте №5, благодаря чему заслуженно занимает место среди лучших.
    Avira ScanCL - пропустил 142 инфицированных файлов
  • (99%) Лучшие из лучших:
    BitDefender - пропустил 155 инфицированных файла.
    Касперский Endpoint Security 8 - пропустил 57 инфицированных файлов в смешанной коллекции и показал превосходные результаты в коллекции современных вирусов.
  • Avast! - пропустил 57 инфицированных файлов. Браво: лучший и бесплатный!

Avira и Avast! бесплатные, поэтому выбор есть.


ClamAv


Цена: 0.00
Установка через репозиторий.

Я скомпилировал и установил самую свежую версию: ClamAV 0.97.2/13389/Tue Aug 2 06:58:58 2011.
Обновил базы до:
main.cvd is up to date (version: 53, sigs: 846214, f-level: 53, builder: sven)
daily.cld is up to date (version: 13389, sigs: 166276, f-level: 60, builder: guitar)
bytecode.cvd is up to date (version: 144, sigs: 41, f-level: 60, builder: edwin)

И вот что получилось: $ clamscan -r 05_Virus_6643 . . . . . . . . . ----------- SCAN SUMMARY ----------- Known viruses: 1011152 Engine version: 0.97.2 Scanned directories: 1 Scanned files: 6643 Infected files: 6305 Data scanned: 3.92 MB Data read: 3.91 MB (ratio 1.00:1) Time: 13.450 sec (0 m 13 s)
ClamAv пропустил 338 файлов из этой коллекции.


Avast4Workstation


Цена: 0.00
Download: avast! 4 для Linux.
После регистрации на почту придет лицензионный код.

$ avast -V avast: avast v1.3.0 VPS: 110802-0 (date: 02.08.2011) Copyright(C) 2003-2008. ALWIL Software. All rights reserved.
$ sudo sysctl -w kernel.shmmax=128000000 $ avast -tA 05_Virus_6643 . . . . . . . . . # # Statistics: # # scanned files: 6665 # scanned directories: 1 # infected files: 6586 # total file size: 9.0 MB # virus database: 110802-0 02.08.2011 # test elapsed: 2s 326ms # # scanned files: 6665 - это ошибочная строка. Правильно считает ClamAV.

Итого Avast пропустил 57 файлов.


DrWEB 6.0.1.2 for Linux Workstation


Цена: 26 Eur
Download: Dr.Web anti-virus for Linux.


Всего обнаружил 5967 угроз и посчитал, что 667 файлов безопасны.
Сравните с бесплатным ClamAV


ESET NOD32 Antivirus for Linux


Цена: 1 250 руб в год на три компьютера.
Download: Антивирус ESET NOD32 для Linux Desktop.


Всего обнаружил 3446 угроз и посчитал, что 3197 файлов безопасны.
Нет слов.


Avira Professional Security (ScanCL)


Цена: 978,30 Руб.
Download: Avira Professional Security.

$ sudo /usr/lib/AntiVir/webgate/scancl 05_Virus_6643 -a Avira / Linux Version 1.9.150.0 Copyright (c) 2010 by Avira GmbH All rights reserved. engine set: 8.2.6.22 VDF Version: 7.11.12.198 key file: /usr/lib/AntiVir/webgate/HBEDV.KEY registered user: Some Body serial number: 2215333376 key expires: Sep 03 2011 Scan start time: Wed 03 Aug 2011 10:02:53 AM MSD Command line: /usr/lib/AntiVir/webgate/scancl 01_Virus_0096 -a auto excluding /sys from scanning (is a special fs) auto excluding /proc from scanning (is a special fs) configuration file: /usr/lib/AntiVir/webgate/scancl.conf . . . . . . . . . Statistics : Directories............... : 1 Files..................... : 6643 Infected.............. : 6501 Ignored........... : 6501 Warnings.............. : 0 Suspicious............ : 0 Infections................ : 6501 Time...................... : 00:00:16
Avira / Linux Version 1.9.150.0 посчитал, что 142 файла из этой коллекции безопасны


Avira Free UNIX/Linux


Цена: 0 Руб.
Download: Avira AntiVir Personal - Free Antivirus.

Из 6643 вирусов смешанной коллекции №5 пропущено 3081 вирус. Результат просто обескураживает. Кто бы мог предположить, что два продукта Avira комплектуются разными вирусными базами?
Насколько я понимаю это маркетинговое решение.
Хотите бесплатный? Нате, но он не работает.


AVG Anti-Virus Free Edition for Linux


Цена: 0.
Download: Basic antivirus protection for Linux/FreeBSD.

$ avgscan -v AVG command line Anti-Virus scanner Copyright (c) 2010 AVG Technologies CZ Anti-Virus scanner version: 8.5.850 $ avgscan -a 05_Virus_6643 AVG command line Anti-Virus scanner Copyright (c) 2010 AVG Technologies CZ Virus database version: 271.1.1/3807 Virus database release date: Wed, 03 Aug 2011 10:34:00 +04:00 . . . . . . . . . Files scanned : 6644(6643) Infections found : 4805(4805) PUPs found : 0 Files healed : 0 Warnings reported : 1 Errors reported : 0
AVG Anti-Virus Free Edition for Linux посчитал, что 1837 файла из этой коллекции безопасны.


BitDefender Antivirus Scanner for Unices


Цена: $93.75 в год на 5 пользователей.
Download: BitDefender Antivirus Scanner 7.6-4 linux.


BitDefender посчитал, что 155 файла из этой коллекции безопасны.


McAfee VirusScan Command Line for Linux


Отдельного антивируса для linux я на сайте разработчика не нашел.
Вероятно он входит в состав Anti-Spam for Email Servers
Цена: 20.72 per year.
Загрузить trial версию можно по этой ссылке: Free Security Trials.

Для обеспечения работы этого антивируса под ubuntu 10.10 потребовалась установка пакета libstdc++5

$ sudo apt-get install libstdc++5
Претензии к этому антивирусу в тесте на коллекцию современных вирусов. Видно, что мейнтенеры не обременяют себя созданием актуальной базы. Да и скорость работы очень низкая.

$ uvscan --secure --summary tz-4 McAfee VirusScan Command Line for Linux32 Version: 6.0.3.356 Copyright (C) 2010 McAfee, Inc. (408) 988-3832 EVALUATION COPY - December 16 2011 ... ... ... Summary Report on /home/akhromov/stuff/viruses/testZone/tz-4 File(s) Total files:................... 580 Clean:......................... 70 Not Scanned:................... 0 Possibly Infected:............. 510 Time: 00:04.05
McAfee VirusScan Command Line for Linux посчитал, что 70 файлоа из этой коллекции безопасны.
В общем - типичный середнячок.


Kaspersky Endpoint Security for Linux


Цена: 280$ на 10 компьютеров в год.
Download: Version 8 (8.0.0.35) for Linux.

Прежде всего, как он выглядит.


Поскольку в отчете о тестировании "все смешалось: кони, люди", интерпретирование результатов становится лженаукой похожей на астрологию.
Мне, как пользователю важно знать, что у меня система чистая от вирусов.
А вместо однозначного ответа антивирус говорит, что вот эти файлы какие то подозрительные, а такие то файлы вроде как не вирусы, но что то в них опасное есть. И что я должен сделать?
Чтобы было снять с себя ответственность по итерпретации, я дал указание сканеру стирать инфицированный объект.
$ sudo /opt/kaspersky/kes4lwks/bin/kes4lwks-control --action Remove --scan-file tz-4 Objects scanned: 6650 Threats found: 6585 Riskware found: 74 Infected: 6504 Suspicious: 7 Cured: 0 Moved to quarantine: 0 Removed: 6585 Not cured: 0 Scan errors: 0 Password protected: 0 Corrupted: 0 $ $ sudo /opt/kaspersky/kes4lwks/bin/kes4lwks-control --action Remove --scan-file tz-5 Objects scanned: 1132 Threats found: 593 Riskware found: 37 Infected: 513 Suspicious: 43 Cured: 0 Moved to quarantine: 0 Removed: 551 Not cured: 0 Scan errors: 0 Password protected: 0 Corrupted: 0 $ sudo /opt/kaspersky/kes4lwks/bin/kes4lwks-control --action Remove --scan-file tz-6 Objects scanned: 91 Threats found: 91 Riskware found: 0 Infected: 91 Suspicious: 0 Cured: 0 Moved to quarantine: 0 Removed: 91 Not cured: 0 Scan errors: 0 Password protected: 0 Corrupted: 0 $

F-Prot for Linux Workstation


Цена: 29$ за 1 лицензию в год.
Download: F-PROT Antivirus for Linux Workstations - for home users.

Сначала, что установлено:
akhromov@X200s:~/stuff/viruses/testZone$ fpscan --version F-PROT Antivirus CLS version 6.5.1.5418, 32bit (built: 2010-09-10T17-02-09) FRISK Software International (C) Copyright 1989-2010 Engine version: 4.6.2.117 Arguments: --version Virus signatures: 201112211536 (/opt/f-prot/antivir.def) $ fpscan --virno F-PROT Antivirus CLS version 6.5.1.5418, 32bit (built: 2010-09-10T17-02-09) FRISK Software International (C) Copyright 1989-2010 Engine version: 4.6.2.117 Virus signatures: 201112211536f220bd86dcd9fdca2e874b6326fd91ba (/opt/f-prot/antivir.def) The virus signature file contains information that is not supported by this version of F-PROT Antivirus, it is therefore likely that a newer version should be available. Windows: 1895367 DOS: 42768 Unix/Linux: 2190 Script/Batch: 176541 Office/Macro: 11412 Java: 861 Mobile: 760 Mac: 72 OS/2: 56 Other: 124 F-PROT Antivirus can detect at least 2130151 viruses and trojans using the current virus signature file. $
Поскольку сканер не выдает статистику по найденным вирусам, я использовал средства Linux для подсчета найденных уязвимостей.
$ fpscan -s 4 -u 4 -z 10 -v 0 -r tz-4 | grep "\[Found" | wc -l 6489 $ fpscan -s 4 -u 4 -z 10 -v 0 -r tz-5 | grep "\[Found" | wc -l 350 $ fpscan -s 4 -u 4 -z 10 -v 0 -r tz-6 | grep "\[Found" | wc -l 54 $


F-Secure Linux Security Client and Server Editions


Цена: n/a
Download: F-Secure for Linux workstation 30-day trial.

F-Secure имеет web интерфес и ин терфейс командной строки. Честно скажу в web даже не заглядывал.
Сначала убедимся, что базы вирусов актуальны:
$ sudo dbupdate 11:52:49 AM F-Secure Security Platform 11:52:49 AM F-Secure Virus Description Database Update 11:52:49 AM 11:52:49 AM Copyright (c) F-Secure Corporation. All Rights Reserved. 11:52:49 AM 11:52:49 AM Forcing AUA to check for updates 11:52:49 AM AUA state is Connecting, waiting 11:52:50 AM AUA state is Connecting, waiting 11:52:51 AM AUA has completed downloading/checking 11:52:51 AM Making sure the latest versions are in use 11:52:51 AM Series fmlibunix is at latest version 1294643837 11:52:51 AM Series hydralinux is at latest version 1324524922 11:52:51 AM Series aqualnx32 is at latest version 1324534287 11:52:55 AM No updates $
Вывод сканера на терминал очен похож на аналогичную диагноситку других антивирусов. Поэтому полностью листинги не буду приводить:
$ fsav --allfiles=on --archive=on --virus-action1=delete --virus-action2=delete tz-4 EVALUATION VERSION - FULLY FUNCTIONAL - FREE TO USE FOR 30 DAYS. To purchase license, please check http://www.F-Secure.com/purchase/ F-Secure Security Platform version 2.50 build 11691 Scan started at Thu Dec 22 11:30:03 2011 Database version: 2011-12-22_03 tz-4/Trojan.BAT.TimeReset: Infected: BAT.Trojan.Rat.A [Aquarius] tz-4/AP_480.COM: Infected: PS-MPC.0401.AE.Gen.Damaged [Aquarius] tz-4/Backdoor.BO2K.install.2: Infected: Backdoor.Bo2k.Install.2 [Aquarius] tz-4/Trojan.DOS.Casper: Infected: Trojan.Casper [Aquarius] . . . . . . . . . tz-4/BAT.Winstart.320: Infected: BehavesLike:BAT.Winstart.Gen [Aquarius] tz-4/Virus.BAT.SMF.g: Infected: BehavesLike:BAT.Gen [Aquarius] Scan ended at Thu Dec 22 12:02:35 2011 6642 files scanned 6435 files infected 10 files riskware 29 files suspected 6435 files deleted 1 file could not be scanned $




Полезные ссылки:



PS. Для тех, кто хочет сделать полное тестирование вот коллекция вирусов на 45 Gb http://forum.vxheavens.com/viewtopic.php?id=141. Torrent viruses-2010-05-18.tar.bz2

Если есть замечания, дополнения - велкам.

Upd 17/12/2011

27 комментариев:

  1. Спасибо за тестирование и сравнение. Буду знать, что держать у себя для очистки чужих флэшек.

    ОтветитьУдалить
  2. Пожалуйста. Рад, если пригодится.
    Ваш блог "Записки дебинщика" довольно интересен.

    ОтветитьУдалить
  3. «Записки дебианщика» ведёт virens, а у меня другой блог — «Краплёная колода».

    ОтветитьУдалить
  4. хм, после отпуска надо будет посмотреть, что из бесплатного можно легально прикрутить к postfix вместо clamav.

    ОтветитьУдалить
  5. А где-же Касперский? Он тоже под линукс есть.

    ОтветитьУдалить
  6. Упс. А я его не увидел. Нашел. В ближайшее время включу в тест.
    http://support.kaspersky.ru/linux_wks57?level=2

    ОтветитьУдалить
  7. Проверить касперского не получается. Для работы нужен файл-ключ.
    Если есть у кого и кто может поделиться, то буду признателен.

    ОтветитьУдалить
  8. в xubuntu 11.10 антивирус Avast после обновления антивирусных баз закрылся с ошибкой "An error coccured in avast! engine:(дальше неразборчиво)" и больше не запускается.

    ОтветитьУдалить
  9. А вот так делали?

    $ sudo sysctl -w kernel.shmmax=100000000

    ОтветитьУдалить
  10. Так вроде Avira есть и бесплатный для Linux

    ОтветитьУдалить
  11. Спасибо, теперь всё ОК.
    Кто бы знал что так надо делать? ;)

    ОтветитьУдалить
  12. Freezeman, ну да. У меня так и написано:

    Сорри, читал ночью, поэтому написал ерунду.
    Да, Avira есть бесплатный. Правлю в статье.

    Спасибо.

    ОтветитьУдалить
  13. Спасибо большое за обзор!

    ОтветитьУдалить
  14. Скажите просто: какой из них хороший и годный?

    ОтветитьУдалить
  15. Отличная статья, большое спасибо!

    ОтветитьУдалить
  16. Сколько лет работаю, хуже аваста антивиря не видел, разве что нортон по количеству параметров может уступить.
    При мне аваст уничтожил системный раздел при поимке загрузочного вируса. Многократно как зараженный аваст так и просто побитый не удавалось вычистить даже вручную (проще грохнуть систему, если аваст и он заражен или поврежден). Уязвимости системы он не компенсирует.

    ОтветитьУдалить
    Ответы
    1. Мой опыт по эксплуатации антивирусов остался далеко в прошлом.
      Поэтому ни подтвердить, ни опровергнуть не могу.
      Но в интернете есть ссылки на подобные факты:
      avast destroyed my computer

      Если все так плохо, то берем следующий: AVG

      Удалить
  17. Думал что увижу что-то про антивирус Калинина. Или он канул в лету?

    ОтветитьУдалить
  18. Как вы настроили обновление баз для Касперского? Хоть убейте, пока не могу это сделать..

    ОтветитьУдалить
  19. Как вы настроили обновление баз для Касперского? Хоть убейте, пока не могу это сделать..

    ОтветитьУдалить
  20. На виду есть malwarebytes pro! Это лучшее платное решение на сегодня. Уже два года на нём, все работает как часики, ни одна гадость на пк не попала. А под линукс я так понимаю любой антивирус даже 99% обнаружения вирусов не дал?

    ОтветитьУдалить
    Ответы
    1. 1. Уж не думаете ли вы, что ваш антивирус ловит все 100 % вирусов?
      2. Я не помню как давно нахожусь на Linux. Никакого антивируса у меня штатно не стоит. Антивирусы ставил только чтоб на них посмотреть. Никаких вирусов на компьютере нет и случаев заражения ни у меня ни у знакомых я не знаю.
      Мое мнение на Linux Антивирус нужен только для почтового сервера.

      Удалить
    2. Alexey Khromov, а как вы определяете, что проблем нет? Я понимаю, что в Linux'е это маловероятно, но всё же. И потом, может быть такая ситуация, когда вы берёте файл заражённый для Windows, передаёте его тому у кого Windows (не зная, что файл заражён) и что потом делать с репутацией? Ведь доверие будет подорвано и к вам и к Linux-системам.

      Удалить