Когда-то давно я проводил этот тест. Я проверял, какие из популярных антивирусов (AVG, Avast, NOD, Avira, Kaspersky, DrWeb) смогут найти _известный_ им вирус в системе, если вирус уже запущен и работает. Других подобных тестов я не встречал.
Тест старый, но с тех пор не многое изменилось.
Текст писался давно и для знакомых, за стиль прошу сильно не пинать.
[more]
Вступление
==========
Как известно, нет идеальных антивирусов. И всегда есть шанс, что антивирусные базы будут обновлены не во время, или что вирус попадет на машину раньше, чем в антивирусную лабораторию и таки заразит любимую операционную систему.
С другой стороны рано или поздно любой антивирус детектит почти все вирусы. А значит когда вирус попадет в базы антивируса, после очередного обновления, он должен быть сразу найден.
Но оказалось, что это далеко не всегда так.
Предыстория
===========
Однажды один знакомый попросил меня помочь ему с компьютером. У него постоянно пропадал и-нет, тормозила сеть на машине. При этом там стоял Symantec Antivirus с последними апдейтами, но никаких вирусов не находил.
Оказалось, что на компе есть троян, который при обнаружении доступа в и-нет начинает рассылать спам на всей доступной скорости (не удивительно, что сеть тормозила).
Но вирус оказался stealth-rootkit-ом. Он прятал свои файлы и ключи в реестре. Видимо, потому его не видел и Symantec. Как позже выяснилось, Symantec знал этот вирус, просто не находил его.
Так и возникла идея проверить, а какие еще антивирусы смогут (или не смогут) найти работающий вирус на собственной машине?
Найденный вирус был аккуратно скопирован на флешку и принесен домой для тестов.
Метод тестирования
==================
Для тестирования каждого антивируса выполнялась примерно следующая последовательность шагов:
1. На пустое место с нуля ставилась Windows XP SP2.
2. На нее аккуратно вручную устанавливался принесенный вирус.
3. Компьютер перегружался и проверялось, что вирус активен (файлы вируса не видны).
4. Устанавливался антивирус, если надо - ОСь перегружалась.
5. Всеми доступными из антивируса средствами искался вирус.
6. Время и результаты поиска записывались и сохранялись.
Тестирование
============
Symantec Antivirus тестировать не было смысла - он явно не нашел вирус. Поэтому я решил испытать остальные доступные популярные антивирусы, попутно записывая, сколько места занимал антивирус, и как долго выполнялась проверка. Начал с бесплатных.
* AVG 7.5 Free, апдейты от 2007-10-16.
http://free.grisoft.com/ Средний по скорости и размеру антивирус (см. таблицу внизу). На официальном сайте упоминались специальные методы обнаружения руткитов, и я надеялся, что вирус он таки найдет.
На полное сканирование диска ушло (время в минутах и секундах):
8:14 (только инфицируемые файлы)
9:34 (все файлы)
Но никаких вирусов обнаружено не было, все опции поиска, что смог - я включил.
Жаль. Тогда с сайта AVG я скачал отдельную имеющуюся там небольшую Anti-Rootkit программу, на случай, вдруг она сможет обнаружить вирус.
* AVG Anti-Rootkit Free 1.1.0.42 (downloaded 2007-10-16)
Программа имеет 2 режима сканирования, оба довольно быстрые:
~1:30 - Search for rootkits
~2:30 - Perform in-depth search
и оба ничего не нашли. Я не знаю, какие руткиты находит эта программа, но моего руткита она не заметила.
* Avast Professional 4.7 080328-0 trial (2008-03-29)
http://www.avast.com/ Тоже бесплатный для домашнего использования антивирус. Он хоть и требует e-mail регистрации, но сама регистрация бесплатная.
Этот антивирус оказался одним из самых тяжелых, то ли из-за красивого интерфейса (в котором, кстати, фиг разберешься), то ли из-за мощной голосовой озвучки (вроде "Внимание, обнаружен вирус").
Но тем не менее опций сканирования у него оказалось только две - уровень сканирования (низкий, нормальный, полный) и сканировать или не сканировать архивы (если были другие - я их не нашел). Скорость сканирования тоже очень высокая:
2:15 - Нормальный (без архивов)
3:20 - Полный (без архивов)
4:08 - Полный (с архивами)
Кстати, в процессе экспериментов с Авастом (при попытке полазить по его базе вирусов), у меня однажды повис комп. Было это из-за антивируса, вируса или из-за того, что они не ужились вместе - я не знаю.
Но в общем-то это и не важно, поскольку никаким из методов сканирования мой вирус он так и не нашел.
* NOD32 2.70.39 Rus, апдейты от 2007-10-17
http://www.eset.com/ Тоже популярный и часто рекомендуемый (интересно, почему?) антивирус. Один из самых компактных в установленном виде. По скорости он средний:
1:11 - быстрое сканирование (без архивов, упакованных и т.д.)
9:58 - полное сканирование (сканировать все с макс. настройками)
И хотя среди опций я включил загадочный пункт "Антистелс технология", но ни в одном из режимов сканирования он так и не смог найти сидящий на компе вирус. И вообще они довольно мирно друг с другом существовали - комп не тормозил, вирус работал, антивирус - тоже, идиллия.
* Avira Antivir, апдейты от 2007-10-16
http://www.free-av.com/ Не такой известный, но далеко не самый худший антивирус. Бесплатен для домашнего использования.
Довольно небольшой по размеру, хотя и один из самых медленных по скорости сканирования (конечно, все опции сканирования я включил):
2:28 - сканирование системных каталогов
13:30 - сканирование локальных дисков
2:15 - поиск руткитов
Причем сканирование и поиск руткитов - это совершенно разные режимы, находящиеся, почему-то в разных частях программы, и судя по всему, выполняющие разные действия. Потому что оба сканирования ни одного вируса не нашли. А вот поиск руткитов - нашел.
Из проверенных антивирусов Antivir оказался единственным полноценным бесплатным антивирусом, который смог обнаружить этот вирус.
Но все не так радужно. Режим "Поиск руткитов" - это поиск, и только. А что дальше с ними делать? Обычное сканирование их как не находило раньше, так и сейчас не находит. А кнопки "удалить" в этом режиме нет.
Т.е. чистить найденные таким образом руткиты придется чем-то другим...
* Kaspersky Antivirus 7.0.0.125 trial
http://www.kaspersky.ru/ Касперский. Один из самых популярных на наших просторах антивирус. Самый большой из всех антивирусов.
Кстати, вопрос к знатокам касперского: он ставит себя в 2 папки "Program Files" и в "Application Data". В "Program Files" лежат, как им и положено, программы (~15.5МБ), а в "Application Data" в папке "Kaspersky Lab" лежит папка AVP7 (40.8МБ) с базами, протоколами, какими-то бакапами и другим барахлом. И в той же папке "Application Data/Kaspersky Lab" у меня образовались еще 199МБ каких-то .dmp файлов. Никто случайно не знает, что это такое, откуда взялось, и зачем их там так много нужно?
Но возвращаясь к тестированию. Касперский отлично установился. При установке он пару раз подвесил машину на минутку-другую, и при каждой загрузке комп вис на 1-2 минуты. При этом не использовались ни диски ни процессор. Чем он при этом занимался - останется на совести разработчиков.
Сканирование у него тоже далеко не быстрое (кроме перечисленных остальные опции сканирования во всех тестах были включены):
0:34 - Объекты автозапуска(-adv.rootkits, heurist=3)
2:05 - Поиск руткитов(+adv.rootkits, heurist=10)
11:24 - Проверка Моего компьютера (-adv.rootkits, heurist=3)
12:36 - Поиск вирусов (+adv.rootkits, heurist=10)
Но надо отдать ему должное: кроме первого режима, все остальные три поиска вирус нашли и предложили удалить.
Удалял он его тоже интересно. Сначала он попросил перегрузиться, чтобы удалить вирусы после перезагрузки. И действительно, после перезагрузки он удалил _файлы_, но в памяти вирус все равно остался. И окончательно исчез только после еще одного ребута.
* DrWeb CureIt! от 2007-10-11 14:41
http://www.drweb.ru/download/ CureIt - бесплатная антивирусная утилита, не требующая установки. Она распространяется вместе с базами, поэтому ее самораспаковывающийся архив очень часто обновляется на сайте.
В отличие от остальных протестированных антивирусных программ CureIt - это не совсем антивирус, это только сканер от него. Поэтому сравнивать его с остальными программами по размеру надо с определенной коррекцией.
Но поскольку меня в первую очередь интересовало умение антивируса обнаружить вирус, то такой урезанный вариант меня вполне устраивал (другие антивирусы просто не предоставили такой возможности). Если CureIt вирус найдет, то и полный антивирус тоже с этим справится.
Не смотря на то, что из всех антивирусов CureIt является самым маленьким, по скорости он примерно такой же медленный, как и касперский:
6:21 - Экспресс-сканирование (память, автозапуск, C:\WINDOWS)
12:34 - Полное сканирование диска
Однако в обоих режимах CureIt нашел и сразу же удалил вирус, даже перезагружать систему не пришлось (с ним вообще интересно было: сразу после запуска CureIt-а файлы вируса стали видны даже в проводнике. CureIt делает тайное явным
).
Общие результаты
================
Несмотря на то, что все проверявшиеся антивирусы знают вирус, только три из шести антивирусов смогли его найти, и только два из них справились с удалением вируса.
Antivirus Download(MB) Installed(MB) Full Scan Results
(да простят мне этот вынужденный оффтопик) А мне казалось что и для XP, этих "определенных условий" что бы не помог АВ - предостаточно...
, остались, правда, еще кое-какие моменты... 
, в обсуждаемом вопросе тип операционной системы вообще имеет второстепенное значение (дабы не начался злостный оффтопик - я имею в виду линейку Windows)...
На Оперу это не повлияло главное 