Porównanie programów antywirusowych dla systemu Linux

Wirusy rozprzestrzeniają się (albo przynajmniej próbują) między innymi przez pocztę elektroniczną. Najprostszą metodą obrony jest skanowanie całej poczty przychodzącej i wychodzącej programem antywirusowym na serwerze obsługującym pocztę.

Niestety jako że nie ma rzeczy doskonałych, w pewnym momencie staje się przed wyborem programu antywirusowego.

Test antywirusów 

Oczywiście każdy producent zachwala swój produkt. Należy więc zastanowić się który produkt rzeczywiście działa dobrze, a który kiepsko.Niniejszy dokument jest opisem trzeciego testu programów antywirusowych dla systemu Linux.

Przetestowane programy

(wszystkie bazy wirusów były aktualizowane 12.06.2007 po godzinie 12:00):

Niestety nie udało się przetestować następujących programów:

• F-Secure - wymaga systemu obsługującego pakiety RPM (RedHat/Mandriva/SuSE)
• NOD32 - nie ma wersji testowej
• Sophos - nie ma wersji testowej
• AVG - wersja free nie posiadała licencji

Uwaga - program ClamAV testowany był w wersji "Release Candidate" z uwagi na błąd w obsłudze baz wirusów. W tej wersji problem został rozwiązany.

Przy wyborze testowanych programów oparłem się na czterech cechach:

1. udało mi się znaleźć dany program antywirusowy;
2. był w wersji dla Linuksa;
3. była do pobrania wersja testowa/bezpłatna;
4. program można zainstalować w dowolnej dystrybucji.

Posiadam 5 pakietów z zawirusowanymi listami.

W poniższym zestawieniu użyte jest sformułowanie "ważne" wirusy. Pojęciem tym określiłem wszystkie zagrożenia typu innego niż HTML.Phishing.

Test: Wirusy z okresu 13.09.2005 - 15.02.2006.

Test: Wirusy z okresu 1.06.2005 - 13.09.2005.

Test: Wirusy z okresu 1.05.2005 - 31.05.2005.

Test: Wirusy z okresu 15.02.2006 - 17.08.2006.

Test: Wirusy z okresu 18.08.2005 - 8.10.2006.

Test: Suma wyników powyższych testów

Widać jest iż w przypadku programu Panda działanie skanera heurystycznego jest dosyć wątpliwej skuteczności. Również heurystyka programu Avira jest niezbyt skuteczna - dzięki włączeniu skanowania heurystycznego Avira wykrywa dodatkowo 14 zagrożeń typu HTML.Phishing w stosunku do tego samego programu w wyłączoną heurystyką.

Patrząc na szybkość działania, łatwo zauważyć, iż podobnie jak w poprzednich testach najszybszy jest program F-Prot. Jednak różnica w szybkości działania jest tym razem kolosalna. ClamAV jest średnio 9,5-krotnie wolniejszy od F-Prota! Oczywiście mierzenie w taki sposób szybkości działania jest niezbyt obiektywne. Wkrótce test zostanie ponowiony z użyciem wersji usługi działającej stale (daemon). Czasy na pewno ulegną zmianie. Podejrzewam że różnice pozostaną i zmieni się jedynie współczynnik czasu. A okaże się już wkrótce.

Wracając do wyników - pozytywnie zaskoczył program Avira (następca programu H+BEDV), który w poprzednich testach nie zachwycił wynikami. Nowość w teście, program Panda, niestety nie okazał się czarnym koniem. Wprawdzie szybkoś działania jest pocieszająca, jednak nie to jest najważniejsze. Kiepski wynik programu ClamAV można łatwo wyjaśnić. Program raportuje pliki z uszkodzonymi archiwami zip nie testując ich pod kątem zawirusowania. Podobnie program MKS raportuje uszkodzone archiwa niw sprawdzając ich pod kątem zawirusowania. Na liście mailingowej dotyczącej programu ClamAV znalazłem informację iż jest to celowe działanie - uszkodzone archiwum nie jest w stanie skutecznie uaktywnić kodu wirusa, a dzięki temu skraca się czas skanowania pod kątem zawirusowania. Dodatkowo można ustalić w zewnętrznej aplikacji korzystającej z wyników działania antywirusa, aby uszkodzone archiwa były odpowiednio obsłużone (np. usunięte tak jak pliki zawirusowane).

Niestety programiści MKS'a mają dosyś dziwną interpretację pojęcia "rekursywny". Próba przeskanowania więcej niż 5000 plików rozmieszczonych w kilkunastu podkatalogach przerasta możliwości skanera. W Linuksie często katalogi zawierają po kilkadziesiąt tysięcy plików, więc ograniczenie tego typu nie jest zbyt korzystne. Po wykonaniu skanu na najmniejszej próbce wirusów podjąłem decyzję o odpuszczeniu skanowania tym programem pozostałych próbek (zbyt dużo czasu należałoby poświęcić na przygotowanie katalogów dla MKS'a, a uzyskane wyniki w jednej próbie pozwalają podejrzewać że wynik nie znajdzie się w czołówce). Program ten będzie poddany jeszcze jednej próbie - skanowania poprzez skaner rezydentny (w trybie daemona). Może wtedy uda się uzyskać pełne wyniki.

Poniżej prezentuję listę uzyskanych wyników.

Pozostaje jeszcze podsumowanie.

Oczywiście każdy potrafi sam ocenić przedstawione liczby. Niestety tak na prawdę liczby te nie oznaczają bezwzględnie jakości poszczególnych programów. Przede wszystkim zwrócić należy uwagę na fakt, iż wszystkie skanowane listy są listami wychwyconymi przez programy antywirusowe pracujące w różnych okresach czasu na serwerze pocztowym Instytutu Fizyki Molekularnej PAN. Nie jest zatem w 100% pewne, czy wśród tych listów nie ma błędnie oznakowanych zawirusowań (false positives). Należy brać jeszcze pod uwagę możliwość wystąpienia wirusów których nie wykrywa program ClamAV, a które wykrywane są przez inne z testowanych programów. Test ten daje jednak pewien konkretny obraz dotyczący różnic pomiędzy programami. Różnice są, i niestety są znaczne. Przede wszystkim ClamAV jest nastawiony na wykrywanie prób phishingu, w przeciwieństwie do pozostałych programów, które z założenia pozostawiają tą kwestię programom anty-spyware'owym.

Osobiście zaskoczony jestem postępem programu Avira. W poprzedniej wersji (H+BEDV) wyniki były niezbyt pozytywne. Tym razem program uzyskał najlepszy wynik, przepuszczając tylko 35 zawirusowanych na 105922 testowanych listów. Przyglądając się bliżej listom nieoznakowanym jako zawirusowane, widać iż Avira nie wykryła:

• W pierwszym teście:
  • 1 szt. Worm.Sober.U-3 - wykryty przez ClamAV, BitDefender, F-Prot i Panda
  • 1 szt. JS.Feebs.G - wykryty przez ClamAV, BitDefender, Avast i Panda
  • 1 szt. Worm.Sober.U-2 - wykryty przez ClamAV, BitDefender i Avast
  • 19 szt. wirus nie oznakowany przez nowsze wersje ClamAV - najświeższy ClamAV wykrył 1 spośród tych 19 listów jako zawirusowany
• W drugim teście:
  • 4 szt. Trojan.Dropper.Agent-9-zippwd - wykryty przez ClamAV, BitDefender i F-Prot
  • 1 szt. wirus nie oznakowany przez nowsze wersje ClamAV - żaden progam nie wykrył w tym liście wirusa
• W czwartym teście:
  • 5 szt. Email.Phishing.Pay-5 - wykryty przez ClamAV
  • 2 szt. wirus nie oznakowany przez nowsze wersje ClamAV - żaden progam nie wykrył w tym liście wirusa
  • 1 szt. W32.CIH.1003 - wykryty przez ClamAV i BitDefender

Widać iż 9 spośród tych 35 listów zostało wykrytych przez co najmniej 2 inne programy antywirusowe. Można więc z pewną dozą niepewności uznać, iż Avira zdała test z wynikiem 105913/105922, co daje 99.992% skuteczności.

Ten test zakończę bez wystawiania żadnych dodatkowych ocen. Zainteresowani mogą sami przeanalizować na wszelkie potrzebne sposoby zebrane przeze mnie dane. Są one dostępne w formacie tabel HTML, które łatwo można otworzyć w dowolnym arkuszu kalkulacyjnym.