|
Norton Internet Security 2010 - комплексное решение для обеспечения защиты ПК пользователя от вредоносного ПО, кражи конфиденциальной информации, сетевых атак и др. Нами была протестирована бета-версия продукта с целью выявить сильные и слабые стороны. В ходе тестирования были оценены такие параметры, как качество детектирования, производительность, работоспособность встроенного файрвола и другие параметры. Тестирование проводилось на операционной системе Microsoft Windows 7 RC1 и на Windows XP SP3 с последними обновлениями антивирусных баз продукта. Важно отметить, что в тестировании принимала участие бета-версия продукта. Финальная версия будет более оптимизирована, возможны изменения в механизмы работы программы, и, конечно же, она будет полностью на русском языке. Процесс установки продукта примерно соответствует описанному ранее Norton 360. Процесс копирования файлов и запуска драйверов занимает около минуты, никаких проблем с установкой или последующим использованием продукта замечено не было. После повторного заполнения данных пользователя для создания аккаунта на сервере Symantec, мы видим главное окно продукта. Окно очень красивое, выполнено в современном стиле. В настройках можно найти опции изменения оформления программы и отключения прозрачности. В представленной бета-версии отключение прозрачности не работало, думаю, в финале реализуют. По сравнению с прошлой версией продукта, интерфейс стал более симпатичным и более оптимизированным. Стоит отметить "двухсторонность" программы. При нажатии на кнопку "Flip Screen", происходит анимация перевертывания окна программы ... ... и мы уже видим окно отчетности работы антивируса - лог действий, наиболее часто необходимые задачи (обновление, проверка системы) и т.п. В продукте реализован интересный механизм рейтинга приложений. То есть программа рассматривает отдельно взятый файл и передает данные о нем на сервер Symantec, где имеется база по файлам, в которой указано, что пользователи и корпорация думает об этом файле: Продукт может вывести информацию по всем запущенным программам, по отдельно взятому файлу или по элементам автозагрузки. В ходе экспериментов были взяты "надежные" файлы, входящие в состав Windows, а также "подозрительные" файлы, в том числе образцы вредоносного кода и самописные программы. Система однозначно опознает надежные файлы, а в случае подозрительности показывает такие показатели, как распространенность файла среди других пользователей, дату занесения файла в базу данных и др. Также программа позволяет пометить файл как доверенный, таким образом пользователь добавляет свое одобрение файла в общую базу данных: Очень радует наличие детальной настройки поведения продукта. Настроек много, они рассортированы по компонентам продукта и позволяют детально настроить различные параметры продукта. Расстраивает две вещи: во-первых, мы так и не смогли найти опцию, позволяющую антивирусу предоставлять выбор действия при встрече с каждым вредоносным файлом. Возможно, какие-то из файлов пользователь захочет вылечить, а какие-то - удалить. Во-вторых, у нас имеется одна настройка для проактивной защиты и для сканера по требованию. Хотелось бы видеть раздельные параметры настройки для этих двух режимов проверки. В ходе тестирования мы, ествественно, обращали внимание на одну из первостепенных задач продукта - определение вредоносных объектов. Так, нами проверялись как отдельные файлы, так и коллекции вредоносных объектов. Удивило то, что модуль проверки по требованию нещадно относится к ресурсам центрального процессора. Был сделан запрос на проверку одного единственного файла размером около мегабайта, после чего антивирус надолго (для одного файла) задумался: Чем так был занят центральный процессор, для нас осталось загадкой, ввиду размера сканируемого файла. Качество детектирования вредоносных файлов находится на довольно приличном уровне. Из нашего тестового набора из 95 вредоносных объектов, антивирус пропустил всего два. Вот результаты сканирования этих файлов на virustotal.com: | File Not available, prior to VT database update received on 2008.09.03 16:39:40 (UTC) | | Antivirus | Version | Last Update | Result | | AntiVir | - | - | PHISH/Bankfraud.BP | | Authentium | - | - | - | | Avast | - | - | VBS:Malware | | AVG | - | - | - | | BitDefender | - | - | Trojan.Spy.HTML.Bankfraud.DQ | | CAT-QuickHeal | - | - | - | | ClamAV | - | - | HTML.Phishing.Bank-1 | | DrWeb | - | - | Trojan.Bankfraud | | eTrust-InoculateIT | - | - | HTML/Phishbank.NS!Trojan | | eTrust-Vet | - | - | HTML/Phishbank.NS | | Ewido | - | - | Logger.Bankfraud.dq | | F-Prot | - | - | - | | F-Prot4 | - | - | - | | Fortinet | - | - | HTML/BankFraud.CI.fam | | Kaspersky | - | - | Trojan-Spy.HTML.Bankfraud.dq | | McAfee | - | - | Phish-BankFraud.eml.a | | Microsoft | - | - | HTML/Bankfraud | | NOD32v2 | - | - | HTML/Phishing.gen | | Norman | - | - | - | | Panda | - | - | Trj/Banker.JC | | SAVMail | - | - | Troyano SPY.HTML.BANKFRAUD.DP | | Sophos | - | - | - | | T3 | - | - | Trojan-Spy.HTML.Bankfraud.DQ | | TheHacker | - | - | - | | TrendMicro | - | - | HTML_BANKFRAUD.D | | UNA | - | - | Trojan.Spy.HTML.Bankfraud | | VBA32 | - | - | Trojan-Spy.HTML.Bankfraud.dq#6 | | VirusBuster | - | - | - | | | | Additional information | | File size: 428 bytes | | MD5 : a16d8d6523d9296ec938b4db1347d357 | | SHA1 : 50d097791225ec45122a9d2b0ec3ea042b301a6e | | SHA256: b131e3b5785929f22bdde02c4c48699dbe2863eb8d6f5991df524fb62a6ce81d | TrID : File type identification
Warning: file seems to be plain text/ASCII
TrID is best suited to analyze binary files!
100.0% (.HTML) HyperText Markup Language (3000/1/1) | | ssdeep: 12:keLAmgVDGj8IDQT9KzBZz+bFoHpU1m9eLf5GZez9p:keLAmyD+8I0RqZ6CUQsLf5GZezn | | PEiD : - | RDS : NSRL Reference Data Set
- |
| File SmileyCentralInitialSetup1.0.0.8_ received on 2009.07.06 11:42:49 (UTC) | | Antivirus | Version | Last Update | Result | | a-squared | 4.5.0.18 | 2009.07.06 | Riskware.AdTool.Win32.MyWebSearch!IK | | AhnLab-V3 | 5.0.0.2 | 2009.07.06 | Win-Trojan/Xema.variant | | AntiVir | 7.9.0.204 | 2009.07.06 | ADSPY/Mywebsearch.A.72 | | Antiy-AVL | 2.0.3.1 | 2009.07.06 | AdWare/ToolBar.MyWebSearch.gen | | Authentium | 5.1.2.4 | 2009.07.05 | W32/Backdoor.BED | | Avast | 4.8.1335.0 | 2009.07.05 | - | | AVG | 8.5.0.386 | 2009.07.05 | Generic.ATO | | BitDefender | 7.2 | 2009.07.06 | Trojan.Dropper.FunWeb.A | | CAT-QuickHeal | 10.00 | 2009.07.06 | AdWare.MyWebSearch (Not a Virus) | | ClamAV | 0.94.1 | 2009.07.03 | Trojan.Dropper.Funweb.A | | Comodo | 1538 | 2009.07.02 | Application.Win32.Adware.FunWeb | | DrWeb | 5.0.0.12182 | 2009.07.06 | Trojan.Funweb | | eSafe | 7.0.17.0 | 2009.07.02 | - | | eTrust-Vet | 31.6.6598 | 2009.07.06 | - | | F-Prot | 4.4.4.56 | 2009.07.05 | W32/Backdoor.BED | | F-Secure | 8.0.14470.0 | 2009.07.06 | WebToolbar.Win32.MyWebSearch.a | | Fortinet | 3.117.0.0 | 2009.07.03 | Adware/FunWeb | | GData | 19 | 2009.07.06 | Trojan.Dropper.FunWeb.A | | Ikarus | T3.1.1.64.0 | 2009.07.06 | not-a-virus:AdTool.Win32.MyWebSearch | | Jiangmin | 11.0.706 | 2009.07.06 | TrojanDownloader.FunWeb.a | | K7AntiVirus | 7.10.783 | 2009.07.03 | Non-Virus:AdWare.Win32.MyWebSearch | | Kaspersky | 7.0.0.125 | 2009.07.06 | not-a-virus:WebToolbar.Win32.MyWebSearch.a | | McAfee | 5667 | 2009.07.05 | potentially unwanted program Adware-Websearch | | McAfee+Artemis | 5667 | 2009.07.05 | potentially unwanted program Adware-Websearch | | McAfee-GW-Edition | 6.8.5 | 2009.07.06 | Ad-Spyware.Mywebsearch.A.72 | | Microsoft | 1.4803 | 2009.07.06 | - | | NOD32 | 4220 | 2009.07.06 | Win32/Adware.FunWeb | | Norman | 6.01.09 | 2009.07.04 | - | | nProtect | 2009.1.8.0 | 2009.07.05 | - | | Panda | 10.0.0.14 | 2009.07.06 | Application/MyWebSearch | | PCTools | 4.4.2.0 | 2009.07.05 | - | | Prevx | 3.0 | 2009.07.06 | Low Risk Adware | | Rising | 21.37.02.00 | 2009.07.06 | - | | Sophos | 4.43.0 | 2009.07.06 | - | | Sunbelt | 3.2.1858.2 | 2009.07.05 | FunWebProducts | | Symantec | 1.4.4.12 | 2009.07.06 | - | | TheHacker | 6.3.4.3.362 | 2009.07.04 | - | | TrendMicro | 8.950.0.1094 | 2009.07.06 | - | | VBA32 | 3.12.10.7 | 2009.07.06 | TrojanDropper.Win32.FunWeb.a | | ViRobot | 2009.7.6.1820 | 2009.07.06 | Trojan.Win32.FunWeb.106496 | | VirusBuster | 4.6.5.0 | 2009.07.05 | - | | | | Additional information | | File size: 24150 bytes | | MD5 : 2befd8361c5c0953f15cca4bda372bee | | SHA1 : 3f1f6ce6c3d7b19fa9ed3ace28365b8771070852 | | SHA256: 7514bfd42cf05378a02f7e78bb33e244523c7e128f200edb9b8335a706232c02 | | PEInfo: PE Structure information ( base data )
entrypointaddress.: 0x1490
timedatestamp.....: 0x4059D6E4 (Thu Mar 18 18:05:40 2004)
machinetype.......: 0x14C (Intel I386) ( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xC2A 0x1000 5.30 210e7666f1304fe7e5327f4eee8fab66
.rdata 0x2000 0x652 0x1000 2.51 3aecb7a47f26bfade55aabad7c8141b0
.data 0x3000 0xBC 0x1000 0.37 f8a605d66eb9df6df2c2015944cd1d68
.rsrc 0x4000 0x15080 0x16000 3.94 f338bca93d50895b802d7f74de0a9b84 ( 4 imports ) > advapi32.dll: RegOpenKeyExA, RegCloseKey, RegSetValueExA, RegDeleteValueA, RegCreateKeyExA, RegQueryValueExA
> kernel32.dll: WriteFile, CreateFileA, LockResource, LoadResource, SizeofResource, FindResourceA, FreeLibrary, GetProcAddress, LoadLibraryExA, lstrcmpiA, DeleteFileA, SetFileAttributesA, lstrcatA, GetStartupInfoA, ExitProcess, GetCommandLineA, CloseHandle, lstrcpyA, GetLastError, SetLastError, GetSystemDirectoryA, GetCurrentDirectoryA, GetFileAttributesA, GetDriveTypeA, lstrcpynA, GetUserDefaultLangID, lstrlenA, CreateDirectoryA, EnumResourceNamesA, SetCurrentDirectoryA, GetModuleHandleA, RemoveDirectoryA
> ole32.dll: CoInitialize, CoUninitialize
> user32.dll: CharNextA, wsprintfA, MessageBoxA ( 0 exports )
| TrID : File type identification
60.8% (.EXE) Win32 Executable MS Visual C++ (generic) (31206/45/13)
16.6% (.EXE) Win32 Executable Generic (8527/13/3)
14.7% (.DLL) Win32 Dynamic Link Library (generic) (7583/30/2)
3.9% (.EXE) Generic Win/DOS Executable (2002/3)
3.8% (.EXE) DOS Executable Generic (2000/1) | | ThreatExpert: http://www.threatexpert.com/report.aspx?md5=2befd8361c5c0953f15cca4bda372bee | | ssdeep: 192:Olpqsp7DbXQIQ0CCbE/QNbfFpYfF91k5xVzbs2U:Ol3DbQIPbdbfFpYf/1kPVcz | | Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=9C56E84356EA6ABA5E3E00AB593E4100C0887E36 | | PEiD : - | | CWSandbox: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=2befd8361c5c0953f15cca4bda372bee | RDS : NSRL Reference Data Set
- |
Антивирус пропустил пару компонентов вредоносных программ, которые не могут быть запущены напрямую, но это считать серьезным промахом работы продукта нельзя. С другой стороны, при сканировании коллекции из 4000 образцов потенциально опасных файлов, антивирус проявляет достаточно низкие показатели быстродействия: Обратите внимание на показания системных часов. Ход проверки разделен на две стадии - составление списка файлов и операции над ними. В ходе составления списка вредоносных файлов, что проходит довольно быстро, кнопки "Пауза" и "Стоп" активны. Однако же как только начинается "лечение" вредоносных файлов, кнопки становятся неактивными. А ввиду того, что этот этап дольше других, полезность кнопок под большим вопросом. К слову сказать, этот процесс тоже очень требователен к ресурсам. В общей сложности проверка папки с 4000 образцами потенциально опасных файлов заняла около 50 минут, тогда как ряд популярных российских антивирусных решений справился с этой задачей от 5 до 10 минут при меньшей нагрузке на процессор. Радует интегрируемость продукта в операционную систему. Во-первых, появляется соответствующий апплет на рабочем столе. Во-вторых, продукт научился взаимодействовать с новыми элементами интерфейса Windows 7, такими как подзадачи программы: И в общем в режиме резидентной защиты продукт показывает себя неплохо как по уровню детектирования, так и по потребляемым ресурсам. В ходе тестирования мы обратили внимание на компонент продукта под названием "Smart Firewall". Логично предположить, что это защищающий компьютер пользователя файрволл. Тогда мы решили проверить качество его работы. В сети был найден небольшой инструмент для тестирования файрволлов. Стандартный Windows файрволл этот тест провалил и мы решили оценить качество работы Smart Firewall. В автоматическом режиме файрволл использует, как нам показалось, сигнатурный способ оценки опасности программы и блокирует только те, которые, по его мнению, представляют реальную опасность, поэтому тестовая программа была пропущена. В ручном режиме он спрашивает мнение пользователя на каждый отдельный случай, что позволяет рекомендовать его опытным пользователям. Также стоит отметить грамотно составленные стандартные правила для системы и ряда приложений. Интересной и полезной функцией продукта можно назвать отчеты. Функция будет полезна для оценки вирусной обстановки на месте работы продукта. Также стоит отметить, что антивирус разрешает экспортировать результаты каждой конкретной проверки в удобный отчет. На наш взгляд, довольно полезная функция: После Norton Internet Security 2009, 2010 версия порадовала изменениями в лучшую сторону. Хотелось бы отметить очень низкое потребление ресурсов при авто-протекте и загрузке ОС, хорошо отимизированный интерфейс, расширенная настройка SONAR. Также, при полном сканировании ПК есть возможность фонового сканирования, которое в ущерб скорости не сильно загружает процессор. У меня при быстром сканировании системы уровень загрузки процессора не поднимался выше 60 %. Подводя итоги, хотелось бы отметить, что продукт довольно качественный и интересный. Во-первых, высокое качество детектирования вредоносных объектов и приятный интерфейс, а также детальная настройка позволяют рекомендовать продукт всем категориям пользователей. Из минусов продукта можно отметить в первую очередь высокую потребность в ресурсах при сканированию по требованию и медлительность этого самого сканирования. И, конечно же, невозможность настройки действий антивируса в случае встречи вредоносных объектов разными модулями защиты. Что очень удобно, ведь если заражен документ, то пользователь захочет вылечить объект, а если найдет носитель вируса другого типа, то логично удалить опасный объект. Ну и настроить резидентную защиту на менее строгую проверку, а сканер по требованию на более строгую также не получилось. Тестеры: REsearch, IwanS |
