четверг, 4 августа 2011 г.

Тест антивирусов для Linux.

Вопреки расхожему мнению, что под Linux написано 1 или 2 вируса, да и те безопасны, на самом деле их количество перевалило за 400. Это не 200000 под Windows, но шанс прицепить заразу не нулевой.

Еще один аргумент в пользу антивируса на Linux: я не хочу слышать от моих друзей, коллег и знакомых фразу типа "Я получил твой файл, но в нем был вирус."
Это сразу снижает уровень доверия к результатам вашей работы.

На сайте http://nnm.ru есть архив, содержащий 17955 вирусов.

Я решил проверить надежность ClamAv, которым пользуюсь под Linux последний год. А заодно и всех антивирусов под Linux до которых смог дотянуться.

Для теста я создал несколько наборов вирусов. Наборы 1,2 и 3 были техническими, поэтому в результирующем тесте не задействованы.
Набор 4. Я распаковал архив с вирусами, удалил дубликаты и запаковал по новой. В этой коллекции всего 6643 файла, которые предположительно имеют вирусы.
Набор 5. Для получения наиболее объективной картины я использовал еще один набор современных вирусов и троянов (пароль на архив virus) из 580 файлов. Некоторые файлы имеют по два и более вируса.
Набор 6. Недавно я получил набор из 91 вируса, написанных исключительно для linux.

Сразу начну с полученных результатов.


Рейтинг считался по формуле
R=10*(VT4/max(VT4n)*V4+VT5/max(VT5n)*V5)
где
VT4 - число обнаруженных вирусов в тесте 4
V4=0,2 - оценка вероятности появления вируса из набора 4
VT5 - число обнаруженных вирусов в тесте 5
V5=0,8 - оценка вероятности появления вируса из набора 5


Прежде чем интерпретировать результаты пара-тройка замечаний:

  • Некоторые антивирусы своеобразно подсчитывают свою эффективность, чтобы показать себя в выгодном свете перед конкурентами. Так например DrWEB, Avast!, ESET считают не обработанные файлы, а объекты. Например, если файл с вирусом упакован, то он посчитается как два объекта.
  • Одни антивирусы (ClamAV, Avira) считают количество зараженных файлов, а другие - количество найденных вирусов.
  • ClamAV после обнаружения вируса в файле говорит, что файл инфицирован и прекращает сканирование, тогда как некоторые другие пытаются найти все вирусы в этом файле.
  • Результаты очень сильно зависят от тестового набора вирусов, поэтому, если у вас есть ссылка на хороший тестовый набор вирусов - дайте. Всем будет лучше :).
  • Учитывая выше сказанное я оценил результаты "творческим" субъективным методом.

Итак:

  • (70%) Худшие из худших:
    ClamAV - пропустил 338 инфицированных файлов. Но, к сожалению полностью провалил тест на современных троянах. Я колебался некоторое время куда его. К сожалению - фтопку.
  • F-Prot for Linux Workstation - Со средними показателями выполнил тест 4. Полностью провалил тест на современных троянах и линуксовых вирусах. Разводка на бабки.
    ESET NOD32 Antivirus for Linux - пропустил 3197 инфицированных файлов. Вот, я понимаю, классная разводка на бабки.
  • (90%) Середнячки:
    Avira Free Unix/Linux - Из 6643 вирусов смешанной коллекции №5 пропущен 3081 вирус!!!
    AVG Anti-Virus Free Edition for Linux - пропустил 1837 инфицированных файлов.
    McAfee VirusScan Command Line for Linux - занял место середнячка благодаря неплохому результату тестов смешанной коллекции вирусов: из 6643 файлов пропустил всего 159.
  • (97%) Лучшие:
    DrWEB - пропустил 667 инфицированных файлов
    F-Secure Linux Security Client and Server Editions - пропустил 208 инфицированных файлов в тесте №4 и 38 в тесте №5, благодаря чему заслуженно занимает место среди лучших.
    Avira ScanCL - пропустил 142 инфицированных файлов
  • (99%) Лучшие из лучших:
    BitDefender - пропустил 155 инфицированных файла.
    Касперский Endpoint Security 8 - пропустил 57 инфицированных файлов в смешанной коллекции и показал превосходные результаты в коллекции современных вирусов.
  • Avast! - пропустил 57 инфицированных файлов. Браво: лучший и бесплатный!

Avira и Avast! бесплатные, поэтому выбор есть.


ClamAv


Цена: 0.00
Установка через репозиторий.

Я скомпилировал и установил самую свежую версию: ClamAV 0.97.2/13389/Tue Aug 2 06:58:58 2011.
Обновил базы до:
main.cvd is up to date (version: 53, sigs: 846214, f-level: 53, builder: sven)
daily.cld is up to date (version: 13389, sigs: 166276, f-level: 60, builder: guitar)
bytecode.cvd is up to date (version: 144, sigs: 41, f-level: 60, builder: edwin)

И вот что получилось: $ clamscan -r 05_Virus_6643 . . . . . . . . . ----------- SCAN SUMMARY ----------- Known viruses: 1011152 Engine version: 0.97.2 Scanned directories: 1 Scanned files: 6643 Infected files: 6305 Data scanned: 3.92 MB Data read: 3.91 MB (ratio 1.00:1) Time: 13.450 sec (0 m 13 s)
ClamAv пропустил 338 файлов из этой коллекции.


Avast4Workstation


Цена: 0.00
Download: avast! 4 для Linux.
После регистрации на почту придет лицензионный код.

$ avast -V avast: avast v1.3.0 VPS: 110802-0 (date: 02.08.2011) Copyright(C) 2003-2008. ALWIL Software. All rights reserved.
$ sudo sysctl -w kernel.shmmax=128000000 $ avast -tA 05_Virus_6643 . . . . . . . . . # # Statistics: # # scanned files: 6665 # scanned directories: 1 # infected files: 6586 # total file size: 9.0 MB # virus database: 110802-0 02.08.2011 # test elapsed: 2s 326ms # # scanned files: 6665 - это ошибочная строка. Правильно считает ClamAV.

Итого Avast пропустил 57 файлов.


DrWEB 6.0.1.2 for Linux Workstation


Цена: 26 Eur
Download: Dr.Web anti-virus for Linux.


Всего обнаружил 5967 угроз и посчитал, что 667 файлов безопасны.
Сравните с бесплатным ClamAV


ESET NOD32 Antivirus for Linux


Цена: 1 250 руб в год на три компьютера.
Download: Антивирус ESET NOD32 для Linux Desktop.


Всего обнаружил 3446 угроз и посчитал, что 3197 файлов безопасны.
Нет слов.


Avira Professional Security (ScanCL)


Цена: 978,30 Руб.
Download: Avira Professional Security.

$ sudo /usr/lib/AntiVir/webgate/scancl 05_Virus_6643 -a Avira / Linux Version 1.9.150.0 Copyright (c) 2010 by Avira GmbH All rights reserved. engine set: 8.2.6.22 VDF Version: 7.11.12.198 key file: /usr/lib/AntiVir/webgate/HBEDV.KEY registered user: Some Body serial number: 2215333376 key expires: Sep 03 2011 Scan start time: Wed 03 Aug 2011 10:02:53 AM MSD Command line: /usr/lib/AntiVir/webgate/scancl 01_Virus_0096 -a auto excluding /sys from scanning (is a special fs) auto excluding /proc from scanning (is a special fs) configuration file: /usr/lib/AntiVir/webgate/scancl.conf . . . . . . . . . Statistics : Directories............... : 1 Files..................... : 6643 Infected.............. : 6501 Ignored........... : 6501 Warnings.............. : 0 Suspicious............ : 0 Infections................ : 6501 Time...................... : 00:00:16
Avira / Linux Version 1.9.150.0 посчитал, что 142 файла из этой коллекции безопасны


Avira Free UNIX/Linux


Цена: 0 Руб.
Download: Avira AntiVir Personal - Free Antivirus.

Из 6643 вирусов смешанной коллекции №5 пропущено 3081 вирус. Результат просто обескураживает. Кто бы мог предположить, что два продукта Avira комплектуются разными вирусными базами?
Насколько я понимаю это маркетинговое решение.
Хотите бесплатный? Нате, но он не работает.


AVG Anti-Virus Free Edition for Linux


Цена: 0.
Download: Basic antivirus protection for Linux/FreeBSD.

$ avgscan -v AVG command line Anti-Virus scanner Copyright (c) 2010 AVG Technologies CZ Anti-Virus scanner version: 8.5.850 $ avgscan -a 05_Virus_6643 AVG command line Anti-Virus scanner Copyright (c) 2010 AVG Technologies CZ Virus database version: 271.1.1/3807 Virus database release date: Wed, 03 Aug 2011 10:34:00 +04:00 . . . . . . . . . Files scanned : 6644(6643) Infections found : 4805(4805) PUPs found : 0 Files healed : 0 Warnings reported : 1 Errors reported : 0
AVG Anti-Virus Free Edition for Linux посчитал, что 1837 файла из этой коллекции безопасны.


BitDefender Antivirus Scanner for Unices


Цена: $93.75 в год на 5 пользователей.
Download: BitDefender Antivirus Scanner 7.6-4 linux.


BitDefender посчитал, что 155 файла из этой коллекции безопасны.


McAfee VirusScan Command Line for Linux


Отдельного антивируса для linux я на сайте разработчика не нашел.
Вероятно он входит в состав Anti-Spam for Email Servers
Цена: 20.72 per year.
Загрузить trial версию можно по этой ссылке: Free Security Trials.

Для обеспечения работы этого антивируса под ubuntu 10.10 потребовалась установка пакета libstdc++5

$ sudo apt-get install libstdc++5
Претензии к этому антивирусу в тесте на коллекцию современных вирусов. Видно, что мейнтенеры не обременяют себя созданием актуальной базы. Да и скорость работы очень низкая.

$ uvscan --secure --summary tz-4 McAfee VirusScan Command Line for Linux32 Version: 6.0.3.356 Copyright (C) 2010 McAfee, Inc. (408) 988-3832 EVALUATION COPY - December 16 2011 ... ... ... Summary Report on /home/akhromov/stuff/viruses/testZone/tz-4 File(s) Total files:................... 580 Clean:......................... 70 Not Scanned:................... 0 Possibly Infected:............. 510 Time: 00:04.05
McAfee VirusScan Command Line for Linux посчитал, что 70 файлоа из этой коллекции безопасны.
В общем - типичный середнячок.


Kaspersky Endpoint Security for Linux


Цена: 280$ на 10 компьютеров в год.
Download: Version 8 (8.0.0.35) for Linux.

Прежде всего, как он выглядит.


Поскольку в отчете о тестировании "все смешалось: кони, люди", интерпретирование результатов становится лженаукой похожей на астрологию.
Мне, как пользователю важно знать, что у меня система чистая от вирусов.
А вместо однозначного ответа антивирус говорит, что вот эти файлы какие то подозрительные, а такие то файлы вроде как не вирусы, но что то в них опасное есть. И что я должен сделать?
Чтобы было снять с себя ответственность по итерпретации, я дал указание сканеру стирать инфицированный объект.
$ sudo /opt/kaspersky/kes4lwks/bin/kes4lwks-control --action Remove --scan-file tz-4 Objects scanned: 6650 Threats found: 6585 Riskware found: 74 Infected: 6504 Suspicious: 7 Cured: 0 Moved to quarantine: 0 Removed: 6585 Not cured: 0 Scan errors: 0 Password protected: 0 Corrupted: 0 $ $ sudo /opt/kaspersky/kes4lwks/bin/kes4lwks-control --action Remove --scan-file tz-5 Objects scanned: 1132 Threats found: 593 Riskware found: 37 Infected: 513 Suspicious: 43 Cured: 0 Moved to quarantine: 0 Removed: 551 Not cured: 0 Scan errors: 0 Password protected: 0 Corrupted: 0 $ sudo /opt/kaspersky/kes4lwks/bin/kes4lwks-control --action Remove --scan-file tz-6 Objects scanned: 91 Threats found: 91 Riskware found: 0 Infected: 91 Suspicious: 0 Cured: 0 Moved to quarantine: 0 Removed: 91 Not cured: 0 Scan errors: 0 Password protected: 0 Corrupted: 0 $

F-Prot for Linux Workstation


Цена: 29$ за 1 лицензию в год.
Download: F-PROT Antivirus for Linux Workstations - for home users.

Сначала, что установлено:
akhromov@X200s:~/stuff/viruses/testZone$ fpscan --version F-PROT Antivirus CLS version 6.5.1.5418, 32bit (built: 2010-09-10T17-02-09) FRISK Software International (C) Copyright 1989-2010 Engine version: 4.6.2.117 Arguments: --version Virus signatures: 201112211536 (/opt/f-prot/antivir.def) $ fpscan --virno F-PROT Antivirus CLS version 6.5.1.5418, 32bit (built: 2010-09-10T17-02-09) FRISK Software International (C) Copyright 1989-2010 Engine version: 4.6.2.117 Virus signatures: 201112211536f220bd86dcd9fdca2e874b6326fd91ba (/opt/f-prot/antivir.def) The virus signature file contains information that is not supported by this version of F-PROT Antivirus, it is therefore likely that a newer version should be available. Windows: 1895367 DOS: 42768 Unix/Linux: 2190 Script/Batch: 176541 Office/Macro: 11412 Java: 861 Mobile: 760 Mac: 72 OS/2: 56 Other: 124 F-PROT Antivirus can detect at least 2130151 viruses and trojans using the current virus signature file. $
Поскольку сканер не выдает статистику по найденным вирусам, я использовал средства Linux для подсчета найденных уязвимостей.
$ fpscan -s 4 -u 4 -z 10 -v 0 -r tz-4 | grep "\[Found" | wc -l 6489 $ fpscan -s 4 -u 4 -z 10 -v 0 -r tz-5 | grep "\[Found" | wc -l 350 $ fpscan -s 4 -u 4 -z 10 -v 0 -r tz-6 | grep "\[Found" | wc -l 54 $


F-Secure Linux Security Client and Server Editions


Цена: n/a
Download: F-Secure for Linux workstation 30-day trial.

F-Secure имеет web интерфес и ин терфейс командной строки. Честно скажу в web даже не заглядывал.
Сначала убедимся, что базы вирусов актуальны:
$ sudo dbupdate 11:52:49 AM F-Secure Security Platform 11:52:49 AM F-Secure Virus Description Database Update 11:52:49 AM 11:52:49 AM Copyright (c) F-Secure Corporation. All Rights Reserved. 11:52:49 AM 11:52:49 AM Forcing AUA to check for updates 11:52:49 AM AUA state is Connecting, waiting 11:52:50 AM AUA state is Connecting, waiting 11:52:51 AM AUA has completed downloading/checking 11:52:51 AM Making sure the latest versions are in use 11:52:51 AM Series fmlibunix is at latest version 1294643837 11:52:51 AM Series hydralinux is at latest version 1324524922 11:52:51 AM Series aqualnx32 is at latest version 1324534287 11:52:55 AM No updates $
Вывод сканера на терминал очен похож на аналогичную диагноситку других антивирусов. Поэтому полностью листинги не буду приводить:
$ fsav --allfiles=on --archive=on --virus-action1=delete --virus-action2=delete tz-4 EVALUATION VERSION - FULLY FUNCTIONAL - FREE TO USE FOR 30 DAYS. To purchase license, please check http://www.F-Secure.com/purchase/ F-Secure Security Platform version 2.50 build 11691 Scan started at Thu Dec 22 11:30:03 2011 Database version: 2011-12-22_03 tz-4/Trojan.BAT.TimeReset: Infected: BAT.Trojan.Rat.A [Aquarius] tz-4/AP_480.COM: Infected: PS-MPC.0401.AE.Gen.Damaged [Aquarius] tz-4/Backdoor.BO2K.install.2: Infected: Backdoor.Bo2k.Install.2 [Aquarius] tz-4/Trojan.DOS.Casper: Infected: Trojan.Casper [Aquarius] . . . . . . . . . tz-4/BAT.Winstart.320: Infected: BehavesLike:BAT.Winstart.Gen [Aquarius] tz-4/Virus.BAT.SMF.g: Infected: BehavesLike:BAT.Gen [Aquarius] Scan ended at Thu Dec 22 12:02:35 2011 6642 files scanned 6435 files infected 10 files riskware 29 files suspected 6435 files deleted 1 file could not be scanned $




Полезные ссылки:



PS. Для тех, кто хочет сделать полное тестирование вот коллекция вирусов на 45 Gb http://forum.vxheavens.com/viewtopic.php?id=141. Torrent viruses-2010-05-18.tar.bz2

Если есть замечания, дополнения - велкам.

Upd 17/12/2011