Testy wydajności Microsoft Security Essentials

1 Październik 2009

Wiele osób pytało mnie w komentarzach jak wypada nowy skaner Microsoftu w porównaniu z konkurencją. Wysłałem kilka emaili, zrobiłem małe dochodzenie, a wyniki mojego śledztwa znajdziecie poniżej.

Przede wszystkim: czym jest Microsoft Security Essentials? Amy Barzdukas, odpowiedzialna za “Internet Explorer and consumer security” w Microsofcie udzieliła takiej odpowiedzi brytyjskiej gazecie Guardian:

The [Morro] engine is the same as the one that drives Forefront and that drove OneCare, but our focus was to make a very lightweight and performant security solution that also has a level of quality backed by Microsoft’s researchers around the world.

Jak wiadomo Microsoft miał do tej pory dwa programy antywirusowe: OneCare i Forefront (można dodać jeszcze Defender, choć ten nie ma wykrywania wirusów). MSE, znane także pod nazwą kodową Morro, jest zasadniczo tym samym silnikiem co OneCare i Forefront, ale nieco lżejszym i mającym wsparcie w cloud computing. Szczególnie ta ostatnia cecha odróżnia go od konkurencji. MSE kontaktuje się z serwerami Microsoftu w przypadku gdy napotyka na znalezisko, którego sam nie jest w stanie zdefiniować. Usługi w “chmurze” analizują przesłaną próbkę, w razie konieczności wspomagając się analizą specjalistów. Pozwala to znacznie zredukować ilość false positives i daje Microsoftowi możliwość analizowania trendów na skalę globalną z niespotykaną do tej pory szybkością, co w rezultacie pozwala na szybsze reagowanie na zagrożenia.

Wg. ostatnich testów przeprowadzonych przez Virus Bulletin w sierpniu, silnik z OneCare, Forefront i MSE radził sobie całkiem nieźle nie ustępując dużo pola konkurencji.

Pod lupę wziąłem 11 najpopularniejszych programów antywirusowych, spośród wszystkich które zostały przetestowane przez VB:

• AVG Internet Security
• McAfee VirusScan Enterprise
• Avira AntiVir Professional
• Microsoft Forefront Client Security
• CA eTrust ITM
• Norman Security Suite
• ESET NOD32 Antivirus
• F-Secure Client Security
• Sophos Anti-Virus
• Symantec Endpoint Protection
• Kaspersky Anti-Virus 2009

Jedynie Symantec Endpoint Protection nie przeszedł pozytywnie testu, uzyskując 99.9999% wykrywalności przy badanych próbkach (2 z 2.500). Progiem było pełne 100% wykrywalności.

Pod względem prędkości najszybszym skanerem okazał się być eTrust, przed Avira i Kaspersky’m. MSE zajał siódme miejsce przed F-Secure, Nod32, AVG i Norman’em. Pełne wyniki znajdziecie w dokumencie PDF.

Wyniki te świadczą, że Microsoft może przysporzyć bólu głowy co najmniej kilku, znanym z dobrych produktów AV firmom. Czas pokaże jak będzie się sprawdzało wsparcie MSE za pomocą cloud computing i dalsze testy Virus Bulletin. Póki co, MSE wygląda całkiem zachęcająco.

Domel (pozdrawiam i dziękuję za komentarz) zadał pytanie czy można instalować MSE z innym skanerem (wymienił tutaj McAfee). Ja odpowiem pytaniem: po co? Instalacja dwóch programów antywirusowych ma sens jedynie w sytuacji, kiedy jeden uzupełniałby drugi. W testach VB oba produkty, MSE i McAfee, przeszły pozytywnie test 2,500 próbek, co świadczy że i jeden i drugi program (najprawdopodobniej!) ma taką samą skuteczność. Działanie dwóch programów AV o takich samych możliwościach na jednym komputerze powoduje jedynie niepotrzebne obciążenie procesora i pamięci, nie niosąc żadnej wartości dodanej.

Firefox i skanowanie ściągniętych plików

30 Wrzesień 2009

Po zainstalowaniu Firefoxa w wersji 3, czyli już spory kawałek temu, po raz pierwszy zobaczyłem nową funkcjonalność przeglądarki, jaką było skanowanie nowo ściągniętych plików przez program antywirusowy. Zacząłem się wtedy zastanawiać czy Mozilla podrzuciła w F3.0 jakiś skaner, czy też sama zacząła zajmować się produktami AV. Od tamtego czasu nie miałem okazji i czasu by głębiej przyjrzeć się tematowi. Do dzisiaj.

Zasada działania skanowania w Firefox jest bardzo prosta. Jeśli użytkownik systemu Windows ma zainstalowany program antywirusowy, Firefox (a konkretniej Download Manager) użyje tego programu by przeskanować ściągnięty plik. Jeśli takowego programu nie ma, skanowania, opóźnienia w ściąganiu i zapisywaniu pliku nie będzie. Dodatkowo, w Windows XP SP2 i Windows Vista (i Windows 7) przeskanowany program nie aktywuje alertu bezpieczeństwa systemu.

Funkcjonalność ta pojawiła się w Firefoxie w wersji 3.0b3 na początku 2008 i zdążyła wywołać niemało problemów.

Pierwszym problemem, który został zaobserwowany przez dużą część użytkowników przeglądarki to problem w ściąganiu plików, a konkretniej w ich zapisaniu na dysku. Jednak nie jest to problem samej przeglądarki, ale programu antywirusowego, który może nieprawidłowo rozpoznać ściągnięty plik jako zagrożenie (false positive). Wykrycie jakiejkolwiek postaci malware uniemożliwia w rezultacie zapisanie pliku na dysku.

Drugim problemem, a raczej niedogodnością było opóźnienie związane z czynnością skanowania ściąganych plików, tym większe im większy jest plik. Opóźnienie to zależy też od szybkości działania programu antywirusowego.

Jak można się domyśleć, to co robi Download Manager jest tak naprawdę niepotrzebne, ponieważ nowo tworzone, zmieniane i otwierane pliki i tak są skanowane przez programy antywirusowe (w ustawieniach domyślnych). Dlatego też ja nie znajduję mocnych merytorycznych podstaw uzasadniających potrzebę dodania tej funkcjonalności do przeglądarki.

Skanowanie to można wyłączyć ustawiając zmienną browser.download.manager.scanWhenDone na false w ustawieniach przeglądarki (about:config, a poźniej Toggle na wartości).

Więcej:

• mozillaZine -Browser.download.manager.scanWhenDone
• mozilla Developer Center – Download Manager preferences

Debiut darmowego oprogramowania antywirusowego z Microsoftu

29 Wrzesień 2009

Produkt, który miałem okazję testować przez ostatnie kilka miesięcy, wyszedł dzisiaj z fazy beta.

Produkt o nazwie Microsoft Security Essentials (MSE) jest dostępny za darmo na stronach Microsoftu w następujących krajach (a co za tym idzie, językach):

• Australia, Austria, Belgium, Brazil, Canada, France, Germany, Ireland, Israel, Italy, Japan, Mexico, Netherlands, New Zealand, Singapore, Spain, Switzerland, United Kingdom, United States

Z pewnością MSE zachwieje rynkiem produktów antywirusowych i odbije się czkawką McAfee, Symantec czy innym.

Program do ściągnięcia ze strony Microsoft Security Essentials.

Microsoft Security Essential uznaje oprogramowanie Lenovo za adware, część druga

8 Lipiec 2009

Dwa tygodnie temu pisałem o oprogramowaniu Lenovo, które jest wykrywane jako adware przez najnowszy produkt Microsoftu Security Essentials. Po moim poście dostałem email od jednego z pracowników Microsoftu zajmującego się Security Essentials z prośbą o sprostowanie mojego komentarza.

Zostało mi wskazane, że MSE prawidłowo rozpoznaje Lenovo Message Center Plus jako adware, co zostało potwierdzone w badaniach przeprowadzonych przez specjalistów z Microsoft. Skontaktowano się z Lenovo, które szybko wypuściło zmodyfikowaną wersję Message Center Plus nie zawierającą kodu uznawanego przez MSE za adware.

Po ukazaniu się nowej wersji oprogramowania Lenovo Microsoft opublikował nowe definicje dla MSE oznaczone numerem 1.61.794.0, które nie rozpoznają już tego oprogramowania jako adware.

Adware:Win32/LenovoMCP was a detection for Lenovo Message Center Plus. This program was detected by definitions prior to 1.61.794.0 as adware, as it violated the guidelines by which Microsoft identifies spyware and other potentially unwanted software. The vendor subsequently modified the program so as to remove the undesired behavior. Due to this vendor action, Microsoft has confirmed that the program no longer has potentially unwanted behaviors. Microsoft has released definition 1.61.794.0, which no longer detects this program.

(informacje ze strony Microsoft Security Encyclopedia)

Użytkownicy komputerów Lenovo powinni zaktualizować swoje oprogramowanie na nową, pozbawioną adware wersję Message Center Plus.

Microsoft Security Essential uznaje oprogramowanie Lenovo za adware

26 Czerwiec 2009

Jeszcze nie tak dawno pisałem pochwalne peany na cześć MSE (Microsoft Security Essentials), a tu już na drugi dzień po zainstalowaniu przywitała mnie pierwsza wpadka tego programu antywirusowego.

Ku mojemu wielkiemu zaskoczeniu, MSE uznał, że Message Center Plus z Lenovo to szkodliwy program wyświetlający reklamy, tzw. adware.

Szczegóły:

• plik – C:\Program Files\Lenovo\Message Center Plus\MCPLaunch.exe
• wykryty jako Adware:Win32/LenovoMCP
• poziom zagrożenia: średni

Najnowsza wersja Message Center Plus z Lenovo pochodzi z końca maja 2009 roku (link). Od maja nie pamiętam, bym widział reklamę wyświetloną inaczej niż z okna przeglądarki internetowej (Firefox, IE), tym bardziej nie z narzędzia Lenovo. Być może moje doświadczenia to za mało, by stwierdzić, że program tego nie robi, ale chyba nie jest to powodem by ostrzegać użytkowników laptopów Lenovo o potencjalnym zagrożeniu.

Znalezisko wygląda mi na klasyczny false positive. Mam nadzieję, że w niedługim czasie program nie będzie już wykrywany.

Microsoft Security Essentials – darmowy i lekki program antywirusowy

24 Czerwiec 2009

Microsoft oficjalnie zakończył dostępność wersji beta swojego nowego produktu, Security Essentials, jednak program wciąż jest dostępny na innych serwerach. Softpedia udostępnia wersje 32 i 64 bitowe dla Windows 7, Vista i Windows XP (na chwile obecną link wciąż działa, ale prawnicy Microsoftu już mogli zacząć działać).

Ten niedawno stworzony produkt to darmowa wersja Microsoft Windows Live OneCare, czyli program antywirusowy. Oparty na Microsoftowej technologii sprawdzonego skanera antywirusowego, tego samego, który znalazł zastosowanie w Forefront i OneCare budzi we mnie nadzieję, że będzie to bardzo dobry produkt. Dodatkowo, wyniki z VB100 zdają się potwierdzać tę tezę. Pracuję z grupą odpowiedzialną za tworzenie programu antywirusowego w mojej firmie od ponad 2 lat. Postęp, jakiego jestem świadkiem i narzędzie jakie stworzyli pozwala mi odważnie postawić tezę, że będzie to jeden z najlepszych programów antywirusowych na rynku.

Przez ostatnie kilka lat codziennie miałem do czynienia z wieloma programami antywirusowymi – AVG, Symantec, McAfee, Eset, Norman, Avira – by wymienić tylko kilka. Jednym z czynników, na podstawie których można stwierdzić, że program antywirusowy jest dobry jest ilość tzw. false positives, czyli błędnych wskazań zagrożenia wirusem. Kolejnym jest oczywiście celność wskazania właściwego zagrożenia. Wymienione przeze mnie programy miały porównywalne wyniki w tym drugim teście, natomiast potrafiły nastręczać nie lada problemów przy pierwszym.

Skaner opracowany przez Microsoft nigdy nie nastręczał problemów przy false positive ale zawsze znajdywał to, co miał znaleźć.

Ściągnąłem i zainstalowałem Microsoft Security Essentials na swoim komputerze. Szybka instalacja i mała zasobożerność przyjemnie odróżniają się od znanych na rynku alternatywnych rozwiązaniach. Program pracujący w tle zajmuje nieco ponad 6MB przy włączonych opcjach skanowania modyfikowanych plików. To skutecznie pozwala zapomnieć o tym, że w ogóle mamy program antywirusowy, co nie jest takie proste przy zauważalnym odcisku na procesorze i pamięci np. w programie antywirusowym od firmy Symantec.

Wykonałem mały test za pomocą eicar’a by przetestować nie tyle działanie skanera, ile informacje jakie dostają użytkownicy w przypadku wykrycia zagrożenia wirusem. Microsoft Security Essentials nie tylko poprawnie wykrył zagrożenie, na moje żądanie je usunął, ale także udostępnił dodatkowe informacje on-line na stronach Microsoftu. Takie wsparcie bazą wiedzy bardzo się przydaje.

Nie był to test z prawdziwego zdarzenia, na taki pewnie przyjdzie jeszcze zaczekać, kiedy program ukaże się w finalnej wersji. Moje odczucia są bardzo pozytywne, bo żaden inny program antywirusowy do tej pory nie spowodował, że nie chcę go usuwać krótką chwilę po zainstalowaniu (tym samym przyznaję się, że do dnia dzisiejszego nie mialem zainstalowanego żadnego programu antywirusowego ).

XAMLPad i programy antywirusowe

20 Marzec 2009

Niektóre osoby mogły zaobserwować dość niepokojące zachowanie programu antywirusowego przy po ściągnięciu lub w trakcie instalacji programu XAMLPad (plik nazywa się XamlpadX_4.0.exe), pochodzącego z Microsoftu (program jest dostępny na MSDN). Program ten był traktowany jako malware przez kilka programów antywirusowych. Poniżej znajduje się lista programów i nazwa rozpoznania:

• a-squared -  Trojan.Generic!IK
• BitDefender - Trojan.Generic.872546
• Fortinet – PossibleThreat
• GData - Trojan.Generic.872546
• Ikarus - Trojan.Generic
• K7AntiVirus - Trojan.Win32.Agent.FQZE
• McAfee+Artemis - Generic.dx
• NOD32 - probably a variant of Win32/Agent
• Norman – W32/Agent.FQZE
• nProtect – Backdoor/W32.RA-based.1814186
• Panda – Generic Trojan
• Symantec - Trojan Horse
  

Informacje dostępne na VirusTotal.com

Podobnie ma się z dodatkiem do Age of Empires II. Plik o nazwie age2_x1.icd jest niepoprawnie rozpoznawany jako malware (raport z VirusTotal.com).

Ten pliki oczywiście nie są trojanem ani żadną inną formą złośliwego oprogramowania. Mój zespół skontaktował się już ze wszystkimi producentami programów antywirusowych i poprosił ręczną analizę pliki i usunięcie rozpoznania.

Takie sytuacje się zdarzają. Ze względu na liczebność programów antywisurowych są to sytuacje wręcz nie do uniknięcia. Celem naszego zespołu w Microsofcie jest minimalizowanie tego typu zachowań poprzez współpracę z producentami oprogramowania antywirusowego.

Adware z BIOS'u?

14 Styczeń 2009

Wpadła mi w ręce informacja dotycząca nieczystego zagrania pewnego dużego producenta komputerów przenośnych. Ze względu na toczącą się analizę problemu, nie ujawnię jego nazwy.
Na świeżo zainstalowanym systemie Windows Vista na komputerze od tego producenta, pokazało się okno Internet Explorera z reklamą pewnej usługi. Warto podkreślić, że nie był to obraz systemu, jaki zazwyczaj jest dostarczany z komputerem, ale świeża instalacja (nie tzw. OEM, ale FPP) wprost “z pudełka”. W grę nie wchodziły żadne programy, które mogły zainstalować się z Internetu. Poza systemem operacyjnym na komputerze nie było zainstalowane żadne inne oprogramowanie.

Dalsza analiza problemu pokazała, że niechciany software pochodził … z BIOS’u!

Amerykańska firma Absolute Software dostarcza rozwiązanie do ukrywania pewnego rodzaju oprogramowania wprost w BIOS’ie systemu. Oprogramowanie to, zwane Computrace, ma za zadanie namierzenie skradzionego komputera w momencie gdy jego nowy użytkownik połączy się z siecią Internet. System ten działa z powodzeniem w Stanach Zjednoczonych od 1997 roku. Stosuje go wielu znanych producentów systemów komputerowych (lista) – sugeruję sprawdzenie w swoim BIOS’ie.

Jednak firma Absolute Software dla jednego z tych producentów wykazała więcej inicjatywy i dostarczyła opcję wyświetlania reklam.

W 2006 roku program antywirusowy AVG znajdował w plikach rpcnetp.exe i rpcnetp.dll trojana. Nie pomagało usuwanie plików, używanie innych skanerów, ani nawet re-instalacja systemu. Pliki te zawsze “magicznie” pojawiały się w systemie po restarcie. Autorem tych dwóch plików jest firma Absolute Software (Computrace LoJack for Laptops) i pliki te były kopiowane z BIOS’u. Od tego czasu AVG już nie znajduje w tych dwóch plikach trojanów, ale jakby nie było, niesmak pozostał.

Problemów z tego rodzaju oprogramowaniem jest co najmniej kilka. Ale najbardziej niepokąjaca nie jest idea, że na naszych komputerach możemy mieć zainstalowane oprogramowanie, którego nie pozbędziemy się nawet stosując format dysku. Nawet jeśli Computrace stworzony został w zacnym celu, może okazać się przykry w skutkach, jeśli zostanie rozpracowany przez autorów malware.

Oryginalne okno z reklamą usługi Computrace. Wyciąłem nazwy i loga producenta oprogramowania.

VB2009, Geneva: Call for papers

8 Styczeń 2009

Z dzisiejszej korespondencji:

VB2009, Geneva: Call for papers

Virus Bulletin is seeking submissions from those wishing to present at VB2009, the 19th VB International Conference, which will take place from 23-25 September 2009 at the Crowne Plaza, Geneva, Switzerland.

The conference will include a programme of 40-minute presentations running in two concurrent streams: Technical and Corporate. Submissions are invited on all subjects relevant to anti-malware and anti-spam. In particular, VB welcomes the submission of papers that will provide delegates with ideas, advice and/or practical techniques, and encourages presentations that include practical demonstrations of techniques or new technologies.

Abstracts should be submitted via the online abstract submission system at http://www.virusbtn.com/conference/abstracts/ and must be submitted no later than FRIDAY 6th MARCH 2009.

Further details of the paper submission and selection process, including a list of suggested topics for papers, can be found at http://www.virusbtn.com/conference/vb2009/call/.

Apple doradza: zainstaluj antywirusa

2 Grudzień 2008

Przeczytane na BBC.

Na swojej stronie internetowej Apple sugeruje użytkownikom MacOS korzystanie z jednego z trzech wymienionych tam programów antywirusowych: Intego VirusBarrier, Symantec Norton Anti-Virus for Macintosh i McAfee VirusScan for Mac.

Pamiętacie poniższą reklamę?

Wydaje się, że od 2 maja 2006 roku, od daty początku ukazywania się reklam Mac vs. PC, troszkę się zmieniło. Reklama wciąż jest prawdziwa, bo wirusy pisane pod PC prawdopodobnie nie będą działać z równą skutecznością na Mac’ach i jedne drugich nie “zarażą”. Ale dla Maców powstaje dedykowany malware. I to powstaje tak szybko i zaczyna być na tyle skutecznym zagrożeniem, że firma Apple zaczęła to zauważać.

Przykładem może być AppleScript.THT, trojan który spisuje bufor klawiatury i zapamiętuje zrzuty akranu. Na komputery użytkowników dostaję się dzięki zmodyfikowanym stronom WWW, jak również poprzez iChat i Limewire. Polecam lekturę na stronie SecureMac w celu poznania innych efektów działań robaka.

Jak dla mnie to nie tylko koniec ery komputerów z jabłuszkiem wolnych od wirusów, ale definitywny koniec marketingu pod tytułem virus free Mac.