PRIMJERCI ZLONAMJERNOG KODA

Sadržaj 1 UVOD ........................................................................................................................................
Author: Juliana Booker
1 downloads 0 Views 2MB Size
Sadržaj 1

UVOD ................................................................................................................................................................................ 3

2

PRIMJERCI ZLONAMJERNOG KODA............................................................................................................................ 4

3

PRVA FAZA TESTIRAN JA ................................................................................................................................................ 7 3.1 3.2 3.3 3.4 3.5 3.6

4

DRUGA FAZA TESTIRANJA ..........................................................................................................................................16 4.1 4.2 4.3 4.4 4.5

5

AVAST ..........................................................................................................................................................................10 BITDEFENDER FREE .......................................................................................................................................................11 AVIRA ...........................................................................................................................................................................12 AVG ............................................................................................................................................................................13 MICROSOFT SECURITY ESSENTIALS..................................................................................................................................14 COMODO......................................................................................................................................................................15

AVAST ..........................................................................................................................................................................19 COMODO......................................................................................................................................................................20 AVIRA ...........................................................................................................................................................................21 AVG ............................................................................................................................................................................22 MICROSOFT SECURITY ESSENTIALS .................................................................................................................................23

ZAKLJUČAK.....................................................................................................................................................................24

Ovaj dokument je vlasništvo Nacionalnog CERT-a. Namijenjen je za javnu objavu, njime se može svatko koristiti, na njega se pozivati, ali samo u izvornom obliku, bez ikakvih izmjena, uz obavezno navoĎenje izvora podataka. Korištenje ovog dokumenta protivno gornjim navodima, povreda je autorskih prava CARNet–a, sukladno Zakonu o autorskim pravima. Počinitelj takve aktivnosti podliježe kaznenoj odgovornosti koja je regulirana kaznenim zakonom RH.

1 Uvod Ovaj dokument donosi rezultate i opisuje postupak testiranja besplatnih antivirusnih alata. Testiranje je Nacionalni CERT proveo samostalno, na velikom uzorku poznatih zlonamjernih datoteka. Ukupno je u uzorku bilo 184 810 zlonamjernih datoteka. U prvom dijelu dokumenta ukratko je opisan navedeni uzorak. Naglašeno je kako je uzorak prikupljen iz honeypot-a što osigurava da su sve datoteke zlonamjerne, a prikazana je i dekompozicija uzorka po vrsti sadržaja u datoteci. Dokument nastavlja opisom testiranja koje je provedeno u dvije faze. U prvoj fazi testiranja svi antivirusni alati dobili su zadatak da skeniraju cijeli uzorak od 184 810 datoteka. Za svaki alat je potom izračunat postotak detekcije kao omjer broja otkrivenih datoteka i broja ukupno skeniranih datoteka koje je antivirusni alat prijavio. Ubrzo se pojavio problem s takvim načinom računanja postotka detekcije budući da antivirusni alati prijavljuju kako su skenirali više objekata nego što je datoteka u uzorku. Kako bi izračunali točniji postotak detekcije osmišljena je druga faza testiranja. U njoj su antivirusni alati dobili zadatak da skeniraju smanjeni uzorak od 20 000 zlonamjernih datoteka. Uzorak je smanjen kako bi se dobilo na brzini cjelokupnog testiranja. Za računanje postotka detekcije u drugoj fazi nisu korištene brojke otkrivenih i skeniranih datoteka koje antivirusni alati prijavljuju, već je svakom antivirusnom alatu nareĎeno da odmah poslije skeniranja s diska obriše one datoteke za koje je utvrdio da su zlonamjerne. Nakon brisanja, pobrojane su one datoteke koje su ostale budući da su to zlonamjerne datoteke koje je antivirusni alat propustio detektirati (sve datoteke iz uzorka su zlonamjerne kako je prikupljene iz honeypota). Oduzimajući taj broj od cjelokupnog uzorka (u drugoj fazi uzorak je 20 000) dolazimo do broja otkrivenih zlonamjernih datoteka za pojedini antivirusni alat, a time i do postotka detekcije.

2 Primjerci zlonamjernog koda Osnovna ideja testiranja usporedba je rezultata skeniranja različitih besplatnih antivirusnih programa. Zbog toga je, za provedbu testiranja, osiguran što je veći mogući uzorak zlonamjernih programa. Prije testiranja uzorak se sastojao od 184 811 različitih datoteka. Jedna od tih datoteka bila je tekstualna datoteka koja je sadržavala popis svih ostalih datoteka u uzorku. Ona je uklonjena iz uzorka te je testiranje provedeno na uzorku od 184 810 različitih datoteka. Na slici je prikazan direktorij sa svim datotekama.

Slika 2.1 - Prikaz s vih datoteka iz uzorka

Kao što je naglašeno, sve datoteke se meĎusobno razlikuju. Njihova različitost potvrĎena je primjenom MD5 algoritma sažimanja. Svaka datoteka ima različit MD5 sažetak. Važno je napomenuti da, bez obzira na to što svaka datoteka ima različit sažetak, nije moguće kao posljedicu toga tvrditi da svaka datoteka predstavlja različitu vrstu zlonamjernog programa. Trenutno ne postoji metoda potpuno automatske klasifikacije nepoznatog primjerka zlonamjernog koda u klase temeljene na sličnosti. Razvoj takve metode još uvijek je aktivno područje istraživanja. Sve datoteke iz uzorka prikupljene su iz honeypot-a. Honeypot je posebno računalo, servis ili čak cijela mreža čija je namjena prikupljanje primjeraka zlonamjernog softvera. Budući da se honeypot ne koristi unutar legitimne komunikacije na Internetu, već služi samo kao mamac za zlonamjerni softver, za sve datoteke koje on prikupi može se s velikom vjerojatnošću reći kako su zlonamjerne.

Prvi korak u analizi ovako velikog broja nepoznatih primjeraka bio je utvrĎivanje vrste sadržaja koja je u datotekama pohranjena. Pri tome je cilj dobiti odgovor na pitanje, da li se u datotekama većinom nalazi izvršni kod, komprimirana arhiva, slike, PDF dokument ili nešto treće. Sljedeći graf prikazuje distribuciju sadržaja za navedeni uzorak.

Izvršni kod RAR arhiva PDF dokument JPEG slika Ikona CDF Asf Batch skripta Ostalo CAB arhiva Chm MPEG4 zapis Slika 2.2 - Vrste sadržaja unutar uzorka

Iz slike je jasno kako je udio onih datoteka koje ne sadrže izvršni kod zanemariv i ispod 1%. Sljedeća tablica prikazuje apsolutne iznose za pojedinu vrstu datoteke.

Tabela 1 - Distribucija sadržaja unutar uzorka

Vrsta datoteke

Broj primjeraka

Udio

Izvršni kod

182651

98,83%

RAR arhiva

1070

0,58%

848

0,46%

JPEG slika

56

0,03%

Ikona

51

0,03%

CDF

51

0,03%

Asf

31

0,02%

Batch skripta

17

0,01%

Ostalo

15

0,01%

CAB arhiva

13

0,01%

Chm

4

0,00%

MPEG4 zapis

2

0,00%

Arj

1

0,00%

184810

100,00%

PDF dokument

Ukupno

Za odreĎivanje vrste sadržaja u pojedinoj datoteci korišten je program file. Riječ je o komandno-linijskom programu koji može prepoznati vrstu sadržaja iz nepoznate datoteke na temelju karakterističnog niza bajtova, poznatih struktura podataka i sl. Program standardno dolazi s Linux operacijskim sustavom, ali postoji i verzija za W indows operacijski sustav.

3 Prva faza testiranja Prva faza testiranja provedena je na Windows XP SP3 operacijskom sustavu koji je u potpunosti ažuriran posljednjim zakrpama. Sve datoteke iz uzorka (njih 184 810) smještene su u isti direktorij, a proces skeniranja započet je iz okruženja Windows Explorer ljuske. Kako bi svi antivirusni alati imali jednake početne uvjete korišteno je virtualno računalo u kojem je napravljena snimka stanja prije instalacije bilo koje g alata. Nakon što je pojedini antivirusni alat završio sa skeniranjem, rezultati su upisani u evidenciju, a virtualno računalo je vraćeno na stanje prije instalacije alata. Postavke pojedinih antivirusnih alata nakon instalacije nisu mijenjanje osim ako to nije naglašeno u ostatku dokumenta. Vjerujemo da većina korisnika neće mijenjati postavke, stoga takav pristup može osigurati realnije uvjete za testiranje antivirusnih alata. Za sve antivirusne alate je odmah nakon instalacije napravljeno i ažuriranje s zadnjim verzijama antivirusnih definicija. Sljedeća tablica prikazuje zbirni rezultat svih skeniranih objekata, otkrivenih objekata i vremena potrebno za skeniranje. Tabela 2 - Uk upni rezultati prve faze testiranja

Skenirani objekti

Zlonamje rni objekti

Vrije me (u satima)

675949

170790

6,06

730

231

1,8

Testiranje prekinuto zbog sporosti alata

Avira

20943

10000

0,9

Alat neće nastaviti nakon 10 000 otkrivenih primjeraka

AVG

608659

177017

7,35

MSE

471485

129

26

Comodo

306668

180288

8,78

Naziv alata Avast

BitDefender

Napomena

Prilikom usporeĎivanja alata treba imati na umu dvije napomene istaknute za Aviru i BitDefender. Izračunom omjera skeniranih i zlonamjernih objekata koje su antivirusni alati prijavili dolazimo do redoslijeda prikazanog na sljedećem grafu.

58,79% 60,00% 47,75% 50,00%

40,00% 31,64% 29,08% 30,00%

25,27%

20,00%

10,00% 0,03% 0,00% Avast

BitDefender

Avira

AVG

MSE

Comodo

Slika 3.1 - Grafički prikaz postotka detekcije

Niti jedan od antivirusnih alata ovaj omjer nije imao veći od 60%. Ukoliko se uzme u obzir kako Avira nije nastavila detekciju nakon 10 000 primjeraka, a BitDefender je bio izrazito spor, stječe se opći dojam kako su Comodo, Avast i AVG pokazali najbolje rezultate na testu. No, ovdje je važno napomenuti kako ovaj postotak detekcije ne mora odražavati stvarnu sposobnost antivirusnog alata. Naime, kako je iz tablice 2 vidljivo, svi antivirusni alati osim BitDefendera i Avire prijavili su kako je skenirano mnogo više objekata ne go što postoji datoteka u uzorku. Zbog toga je nemoguće utvrditi koje datoteke antivirusni alati označavaju kao zlonamjerne. Jasno je da kod antivirusnih alata ne postoji jedan na jedan odnos izmeĎu prijavljenih skeniranih objekata i stvarnih datoteka koje se skeniraju. Zašto antivirusni alati prijavljuju mnogo više skeniranih objekata nego što postoji datoteka u uzorku? Razlog vjerojatno leži u činjenici da oni mogu skenirati i pojedine dijelove jedne izvršne datoteke, te potom svaki skenirani dio prijaviti kao posebno skenirani objekt. Naravno, ovo je nemoguće tvrditi bez internog poznavanja svakog antivirusnog softvera.

U sljedećoj tablici antivirusni alati su poredani prema vremenu potrebnom za skeniranje. Iz tablice su izuzeti BitDefender i Avira koji nisu uspjeli u potpunosti skenirati sve primjerke. Tabela 3 - Vrijeme potrebo za skeniranje

Naziv alata

Vrijeme (u satima)

Avast

6,06

AVG

7,35

Comodo

8,78

MSE

26

Ukoliko izračunamo prosječan broj datoteka skeniranih unutar jedne minute tada možemo izraditi graf koji će uključivati i Aviru i BitDefender. Sljedeća slika prikazuje takav graf.

600,00 507,72

500,00

419,07

387,83 350,68

400,00

300,00

200,00 118,47 100,00 6,76 0,00 Avast

BitDefender

Avira

AVG

MSE

Comodo

Slika 3.2 - Grafički us poredba brzine skeniranja u broju datoteka po minuti

Graf prikazuje broj testiranih datoteka unutar jedne minute za svaki od antivirusnih alata. BitDefender je zbog svoje sporosti izbačen iz testiranja.

3.1 Avast Avast je prvi antivirusni alat koji je testiran na opisanom uzorku. Njega je moguće preuzeti na sljedećem web mjestu: http://www.avast.com/en-eu/index. Avast je skeniranje svih datoteka završio za 6 sati 4 minute i 8 sekundi. Prijavio je 170 790 otkrivenih zlonamjernih programa, ali je zanimljivo kako je prijavio 675 949 testiranih datoteka odnosno programa. Sljedeća slika prikazuje Avast nakon završetka skeniranja.

Slika 3.3 - Rezultat skeniranja Avastom

Postavlja se pitanje kako je Avast prijavio preko pola milijuna testiranih primjeraka. Odgovor leži u samoj implementaciji antivirusnog alata. Moguće je da alat ima podršku za komprimirane datoteke u kojima se onda nalazi više različitih datoteka. TakoĎer, moguće je da alat skenira više dijelova iste datoteke te svaki dio prijavljuje kao posebno skenirani. Prema prikazanim rezultatima omjer otkrivenih i skeniranih datoteka za Avast je 0,25, što znači da je Avast otkrio 25% primjeraka kao zlonamjernih. No, zaključak donesen samo na temelju tog podatka bio bi neistinit, pogotovo bez usporedbe s drugim alatima.

3.2 BitDefender Free BitDefender iako poznatiji po prodaji komercijalnih antivirusnih rješenja ima i besplatno rješenje za kućne korisnike. Njihovo besplatno rješenje nosi naziv BitDefender 2009. Iako je softver nešto starije verzije, još uvijek ga je moguće ažurirati s zadnjim verzijama antivirusnih definicija. Nažalost, testiranje navedenog skupa primjeraka s BitDefe nderom pokazao se kao neostvariv zadatak. Problem je bio u brzini kojom je BitDefender skenirao skup primjeraka. Nakon gotovo 2h ovaj antivirusni program nije uspio skenirati niti 1000 datoteka. Sljedeća slika svjedoči o tome.

Slika 3.4 - BitDefender skenira uzorke

Bio je potreban jedan sat, 48 minuta i 21 sekundu za provjeru 730 različitih primjeraka. Ukoliko bi ovakav trend ekstrapolirali na svih 184 810 datoteka dolazimo do ukupnog vremena skeniranja od 19 dana. Za sve praktične svrhe takvo skeniranje traje predugo.

3.3 Avira Avira je već dugo godina poznata kao besplatan antivirusni proizvod. Kao što je slučaj i sa svim ostalim besplatnim antivirusnim proizvodima, ovaj alat nudi smanjene mogućnosti u usporedbi s komercijalnim alatima koje proizvodi ista tvrtka. Avira je dostupna s web adrese: http://www.avira.com/en/free-download-avira-antivir-personal. Za razliku od testiranja s BitDefender-om, Avira je pokazala prihvatljivu brzinu skeniranja. No kod ovog alata pojavio se drugi problem. Naime, Avira nakon 10 000 otkrivenih zlonamjernih datoteka prestaje s radom. Takva situacija predočena je i na sljedećoj slici.

Slika 3.5 - Avira ti jekom skeniranja

Testiranje je ponovljeno dva puta i oba put Avira je prestala nakon 10 000 otkrivenih zlonamjernih datoteka. Avira pri tome prijavljuje 20943 skenirane datoteke. Ovdje je teško odrediti da li Avira, kao i Avast, prijavljuje više skeniranih objekata nego što postoji datoteka ili ne. Omjer otkrivenih zlonamjernih datoteka i ukupno skeniranih datoteka je 0,48 što upućuje na postotak uspješnosti od 48% no, kao i kod Avasta nemoguće je o tome govoriti na temelju samo ovih podataka. Avira je spomenutih 20 943 objekata skenirala 54 minute i 38 sekundi.

3.4 AVG AVG je sljedeći alat koji je, za razliku od Avire i BitDefendera, uspješno završio skeniranje cijelog uzorka zlonamjernih datoteka. Zanimljivo je kako je AVG pokazao rezultate sličnima kao i Avast. Prijavio je ukupno 608 659 skeniranih objekata, a otkrio je 177 017 zlonamjernih datoteka. Sljedeća slika prikazuje taj rezultat.

Slika 3.6 - AVG ti jekom završio skeniranje

Omjer otkrivenih zlonamjernih datoteka i svih skeniranih objekata za AVG iznosi 0,29 ili 29%. Takav omjer ga svrstava u rang s Avastom.

3.5 Microsoft security essentials Microsoft security essentials ili skraćeno MSE, novi je besplatan antivirusni proizvod na tržištu. U vrlo kratkom vremenu postao je izrazito popularan budući da iza njega stoji Microsoft. U ovom testu korištena je druga verzija ovog alata. Neugodno iznenaĎenje kod testiranja ovog alata je vrijeme potrebno za skeniranje koje iznosi oko 26 sati. Sljedeća slika prikazuje skeniranje ovim alatom.

Slika 3.7 - MS E pri kraju skeniranja

Nakon što je skeniranje završilo alat je prijavio ukupno skeniranih 471 485 datoteka a otkrivenih samo 129 primjeraka zlonamjernog koda.

3.6 Comodo Comodov besplatan antivirusni alat pokazao se kao najuspješniji alat na testu. Uspješno je skenirao sve datoteke iz uzorka, a omjer detekcije mu je u rangu AVG-a i Avasta. Slika prikazuje rezultate testiranja Comodo antivirusnim alatom.

Slika 3.8 - Comodo na kraju skeniranja

Ukupno trajanje od 8 sati i 47 minuta treće je po brzini, ali posebno je zanimljiv podataka o ukupno prijavljenim skeniranim objektima i otkrivenim prijetnjama. Sa 306 668 skeniranih objekata i 180 288 otkrivenih prijetnji comodo ima najbolji omjer detekcije koji iznosi 0,59 ili 59%.

4 Druga faza testiranja Druga faza testiranja osmišljena je kako bi se dobio detaljniji uvid u sposobnost detekcije pojedinih antivirusnih alata. Problem nakon prve faze testiranje bilo je odreĎivanje točnog broja datoteka koje antivirusni alat otkrije kao zlonamjerne. Problem se pojavljuje zbog činjenice da antivirusni alati prijavljuju više skeniranih objekata nego što postoji datoteka u uzorku, a detaljnije je opisan u trećem poglavlju. Za drugu fazu testiranja odlučeno je da: 

će se uzorak smanjiti na 20 000 slučajno odabranih datoteka iz prvog uzorka od 184 810 datoteka zbog uštede vremena na testiranju. Tih 20 000 datoteka je raspodijeljeno u dva direktorija - u svaki po 10 000. Alati su prvo skenirali jedan pa drugi direktorij. Ova raspodjela bitna je jedino kod prikaza slika svakog antivirusnog alata (biti će prikazane dvije slike, svaka za jedan direktorij). Svi rezultat i grafovi prikazani su zbirno, na ukupnom uzorku od 20 000 datoteka.



se prilikom računanja postotka detekcije neće koristiti broj skeniranih i otkrivenih objekata koje prijavljuje sam antivirusni alat, nego će se drugim putem doći do broja datoteka koje je antivirusni alat otkrio kao zlonamjerne.

Nakon što alat završi skeniranje uzorka, potrebno je otkriti koliko je datoteka alat otkrio kao zlonamjerne. Kako bi to napravili, počinjemo od činjenice da je veličina uzorka 20 000 primjeraka i bez obzira na to koliko skeniranih objekata antivirusni alat prijavi, on nikada nije skenirao više od 20 000 pojedinih datoteka. Potom, zanemarujemo broj otkrivenih primjeraka koje je antivirusni alat prijavio te koristimo mogućnost koju posjeduje svaki antivirusni alat a to je uklanjanje svih otkrivenih primjeraka iz uzorka, bilo u vidu smještaja u karantenu bilo u vidu brisanja s diska. Nakon što antivirusni alat ukloni sve zlonamjerne datoteke iz uzorka jasno je da u njemu ostaju samo one datoteke koje je alat propustio otkriti kao zlonamjerne. Pomoću tog podatka možemo doći do broja datoteka koje je alat otkrio kao zlonamjerne i u konačnici do postotka detekcije. Prema tome, za svaki antivirusni alat vrijedi: 

Broj skeniranih datoteka je 20 000 (veličina uzorka)



Broj otkrivenih zlonamjernih datoteka = 20 000 – broj datoteka nakon uklanjanja



Postotak detekcije = broj otkrivenih zlonamjernih / broj skeniranih datoteka

Kako možemo biti sigurni da su sve datoteke koje antivirusni alat nije uklonio zlonamjerne? U prilog ovoj tvrdnji idu dvije činjenice: 

Uzorak od 20 000 datoteka u potpunosti prikupljen je iz honeypota pa je vrlo velika vjerojatnost da su sve datoteke u njemu zlonamjerne.



Od svih datoteka koje antivirusni alat nije uklonio iz uzorka izuzet je manji, slučajni uzorak koji je analiziran na VirusTotal- u, poznatom on-line servisu za analizu nepoznatih datoteka. U svim slučajevima drugi antivirusni alati (komercijalni) su većinom uzorak označili kao zlonamjeran.

Prije prikaza rezultata valja naglasiti da meĎu rezultatima neće biti prikazan BitDefender. Kao što je bio slučaj i u prvoj fazi testiranja, BitDefender se pokazao izuzetno sporim u skeniranju. Prvih tisuću datoteka je testirao za 2 sata i 23 minute, time bi bila potrebna gotovo dva dana za testiranje svih 20 000 primjeraka.

Slijedeća tablica prikazuje zbirne rezultate testiranja u drugoj fazi. Tabela 4 - Rezultati testiranja druge faze

Alat

Skenirani objekti

Zlonamje rni objekti

Stvarno otkrivene datoteke

Preostale datoteke

Vrije me skeniranja (u minutama)

Avast

71 045

19 969

1074

18 926

34

MSE

49 260

2346

1388

18 612

263

Comodo 28 024

19 596

525

19475

39

Avira

32 458

19 698

746

19 254

16

AVG

62 161

19 202

1063

18 937

60

Skenirani objekti i zlonamjerni objekti su oni podaci koje je prijavio sam antivirusni alat. U stupcu s preostalim datotekama upisan je broj datoteka iz uzorka koje su preostalo nakon što je antivirusni alat uklonio sve zlonamjerne datoteke. Na temelju toga podatka može se doći do podatka o stvarno otkrivenim zlonamjernim datotekama, on je upisan u petom stupcu tablice. Na temelju dobivenih rezultata testiranja za pojedini antivirusni alat možemo izračunati omjer skeniranih datoteka (uvijek 20 000) i otkrivenih primjeraka zlonamjernog koda (predzadnji stupac tablice 4). Sljedeći graf prikazuje navedeni omjer u postocima za svaki antivirusni alat.

97,38%

98,00%

96,27%

97,00%

96,00%

94,69%

94,63%

95,00% 94,00%

93,06%

93,00% 92,00% 91,00% 90,00%

Avast

Komodo

Avira

AVG

MSE

Slika 4.1 - Grafički prikaz omjera detekcije u drugoj fazi

U drugoj fazi dolazimo do znatno drukčijih rezultata skeniranja za svaki alat. Svi alati imaju visoki i ujednačen stupanj detekcije (pripaziti na to da je graf skaliran na raspon od 10%). Ovakav rezultat puno je realniji od onog u prvoj fazi testiranja budući da se radi o uzorcima

koji su neko vrijeme poznati u antivirusnoj industriji. Niti jedan antivirusni alat neće propustiti više od 10% zlonamjernih programa, a razlika izmeĎu najboljeg i najlošijeg u detekciji je oko 4%. U brzini testiranja ima većih razlika izmeĎu pojedinih alata. Slijedi grafički prikaz brzine detekcije u minuti za svaki antivirusni alat.

1400,00

1250,00

1200,00

1000,00

800,00 588,24

512,82 600,00 333,33 400,00

76,05

200,00

0,00 Avast

Komodo

Avira

AVG

MSE

Slika 4.2 - Grafički prikaz broja testiranih datoteka u mi nuti (više je bol je)

IznenaĎenje u odnosu na pravu fazu testiranja je Avira koja se pokazala izuzetno brzom u skeniranju datoteka. Najsporiji alat, isto kao u prvoj fazi testiranja je Microsoft Security Essentials (ne smijemo zaboraviti činjenicu kako je BitDefender izuzet iz testiranja). Slijedi kratak sažetak dojmova za svaki alat i slike alata.

4.1 Avast Kao i u prvoj fazi testiranja s Avastom nije bilo većih problema. Alat odlikuje njegova brzina i lijepo sučelje. Kod prikaza rezultata alat nudi odabir akcije za svaki otkriveni primjerak posebno ili za sve primjerke zajedno. Uklanjanje primjeraka s diska je bilo relativno brzo.

Slika 4.3 - Završetak skeniranja prvog direktori ja

Slika 4.4 - Završetak skeniranja drugog direktorija

4.2 Comodo Comodo ima sličnu brzinu skeniranja kao i Avast, ali za razliku od Avasta s Comodom je bilo velikih problema prilikom uklanjanja zlonamjernih datoteka. Tek nakon nekoliko pokušaja je Comodo uspio ukloniti sve otkrivene zlonamjerne datoteke iz direktorija. Često se dogaĎalo da se alat sruši prilikom uklanjanja i prestane funkcionirati, tada bi u direktoriju ostao veliki broj neuklonjenih zlonamjernih datoteka.

Slika 4.5 - Comodo završetak skeniranja prvog direktorija

Slika 4.6 Comodo završetak skeniranja drugog direktorija

4.3 Avira Avira je u drugoj fazi testiranja pokazala bolje rezultate nego Avast. Ovo se prvenstveno odnosi na brzinu skeniranja koja je znatno veća od svih ostalih alata. Uklanjanje zlonamjernih datoteka prošlo je brzo i jednostavno.

Slika 4.7 Avira - završetak skeniranja prvog direktori ja

Slika 4.8 Avira završetak skeniranja drug og direktorija

4.4 AVG Kod AVG- nije bilo problema s skeniranjem direktorija u kojima se nalaze. Uklanjanje otkrivenih zlonamjernih datoteka bilo je sporo. AVG nema opciju da izravno obriše datoteke s diska već je korištena opcija smještaja svih zlonamjernih datoteka u karantenu. Budući da se prilikom smještaja u karantenu koristi kompresija možemo pretpostaviti kako je zbog toga bilo riječ o sporijem uklanjanju.

Slika 4.9 AVG - Završetak skeniranja prvog direktori ja

Slika 4.10 AVG završetak skeniranja drugog direktorija

4.5 Microsoft Security Essentials MSE je bio uvjerljivo najsporiji alat na testu. Trebalo mu je gotovo 2h sata za skeniranje uzorka od 10 000 primjeraka. I uklanjanje otkrivenih zlonamjernih datoteka je bilo sporo. Ovaj manjak na brzini može odvratiti brojne korisnike od ovog alata.

Slika 4.11 - MS E završetak skeniranja prvog direktorija

Slika 4.12 MS E završetak skeniranja drug og direktoija

5 Zaključak U zaključku valja uzeti drugu fazu testiranja kao mjerodavnu budući da su za drugu fazu testiranja antivirusni alati u jednom trenutku bili testirani na manjem uzorku što je omogućilo i testiranje Avira antivirusnog alata. Osim toga, u drugoj fazi testiranja stupanj detekcije izračunat je tako da predstavlja stvarni omjer otkrivenih i ukupno provjerenih datoteka. Zbog toga možemo reći kako su što se tiče stupnja detekcije svi antivirusni alati ostavili su vrlo dobar dojam. No, ukoliko u obzir uzmemo i brzinu skeniranja i uklanjanja otkrivenih zlonamjernih datoteka možemo zaključiti kako je Avira ostavila vrlo dobar dojam.