Panda TruPrevent Personal 2005 – w telegraficznym skrócie

18 lipca 2005 0 przez Artur Wyrzykowski

Na początku lipca br. Panda Software udostępniła polską wersję oprogramowania TruPrevent Personal 2005, które ma chronić przed nieznanymi wirusami. Oprogramowanie to wykorzystuje tzw. behawioralną metodę wykrywania wirusów i innych zagrożeń, która – w przeciwieństwie do tradycyjnych programów antywirusowych czy antywłamaniowych – nie porównuje podejrzanego kodu ze znanymi sygnaturami, lecz analizuje zachowanie się programów. Postanowiliśmy sprawdzić, jak skuteczne jest takie narzędzie.

Jak działa piaskownica?

Na wstępie przypomnimy najważniejsze cechy, jakimi z założenia charakteryzują się programy wykorzystujące behawioralne metody wykrywania wirusów, zwane także piaskownicami. Już same określenia używane w odniesieniu do tych narzędzi sporo mówią – oprogramowanie analizuje zachowanie się kodu umieszczonego w pamięci komputera, zaś słowo „piaskownica” (sandbox) oznacza, że kod jest uruchamiany w bezpiecznym środowisku, w odizolowanym obszarze pamięci i tam podlega obserwacji. Jeśli zachowuje się jak normalna aplikacja – może działać dalej; jeśli zachowuje się jak wirus – jest eliminowany. Taka jest też zasada działania nowego programu Pandy, a także całej grupy programów tego producenta wykorzystujących technologię TruPrevent.

Naturalnie poważnym problemem jest udzielenie jednoznacznej odpowiedzi na pytanie „jak zachowuje się wirus?”. Zapewne odpowiedź brzmi „dokleja się do plików, nie daje się usunąć z pamięci, wyłącza programy antywirusowe, otwiera dużo połączeń, rozsyła masowo e-maile itd.” Jeśli więc program antywirusowy jest w stanie na tej podstawie określić, czy dany kod jest wirusem czy nie, otrzymujemy narzędzie znacznie podnoszące poziom bezpieczeństwa, nie wymagające ciągłej aktualizacji sygnatur – nie ma więc ryzyka, że zostaną one dostarczone zbyt późno. A właśnie to jest największym zmartwieniem producentów narzędzi zabezpieczających, którzy coraz częściej przegrywają wyścig z czasem…

Choć metody behawioralne są stosowane od kilku lat (prekursorem była bodajże izraelska firma Finjan), najwięksi producenci oprogramowania antywirusowego zainteresowali się nimi dopiero w ostatnim okresie. Być może dopiero teraz oferują odpowiednią skuteczność i mogą być stosowane w komercyjnych wersjach programów. Panda Software stosuje je nie tylko w programie TruPrevnt Personal 2005, bo składniki tego typu są wbudowane także w Titanium Antivirus 2005, o którym pisaliśmy kilka miesięcy temu. W tamtym rozwiązaniu ocena skuteczności metod behawioralnych była trudna, ponieważ oprogramowanie posługiwało się także klasyczną metodą wykrywania wirusów, czyli sygnaturami.

Program Panda TruPrevent Personal 2005 nie jest traktowany jako główna linia obrony, lecz jako uzupełnienie programu antywirusowego. Regułą jest, że jednoczesne stosowanie dwóch antywirusów (czy dwóch silników skanujących) pochodzących od różnych producentów daje większe bezpieczeństwo, ale jednocześnie dwa różne programy korzystające z jednego, systemowego interfejsu antywirusowego zawsze powodują jego niestabilne działanie, aż do całkowitego zawieszenia. Tymczasem nowy program Pandy został tak przygotowany, by mógł współpracować z tradycyjnymi antywirusami pochodzącymi od innych firm. Jego działanie ogranicza się do wykrywania i eliminowania złośliwego kodu, który z jakiegoś powodu nie został wykryty przez klasyczny program.


Jak działa TruPrevent Personal 2005?

By dać pole do popisu programowi Pandy, zainstalowaliśmy go w systemie, w którym nie było żadnego antywirusa – w ten sposób mógł on wykrywać zarówno nieznane, jak i znane wirusy, bo żadne inne narzędzie ich wcześniej nie usuwało. Po instalacji okazało się jednak, ze oprogramowanie można zaktualizować, ponieważ oprócz metod behawioralnych wykorzystuje ono także tradycyjne sygnatury, dzięki którym rozpoznaje znane zagrożenia. Jednak idea jest nieco inna – tu piaskownica jest wspierana sygnaturami, zaś w typowym antywirusie skaner bazujący na sygnaturach może być wspierany przez piaskownice lub moduły heurystyczne.


Inteligentna aktualizacja

Funkcjonalność programu okazała się nieco większa niż podejrzewaliśmy, ale przełożyło się to na jego wymagania. W systemie uruchamia się 6 usług, które razem alokują dla siebie ok. 30 MB pamięci!


Usługi w Windows XP

TruPrevent Personal 2005 okazał się programem jeszcze prostszym w obsłudze niż Titanium Antivirus 2005. Nie jest wymagana żadna konfiguracja, zabezpieczenia są domyślnie włączone, wirusy automatycznie unieszkodliwiane, od czasu do czasu wykonywana jest także autodiagnostyka.


Opcje konfiguracyjne

  

Opcje konfiguracyjne

Pierwszy sprawdzian skuteczności przeprowadziliśmy w konfiguracji „fabrycznej”, jeszcze przed aktualizacją, z sygnaturami z dnia 4 kwietnia 2005 roku. Te infekcje, które program mógł stwierdzić ze stuprocentową skutecznością (na podstawie sygnatur), były w miarę możliwości usuwane, czemu towarzyszyły stosowne powiadomienia.

Wirus zneutralizowany!

Wirusy nowsze, których program jeszcze nie znał, powinny być również blokowane, a następnie informacja o tym powinna pojawić się zarówno w postaci komunikatu, jak i wpisu w dzienniku zdarzeń. Dysponowaliśmy kilkoma takimi wirusami, ale ani razu nie pojawił się komunikat w rodzaju „wykryto nieznane zagrożenie”. Za to często pojawiało się okno takie jak poniżej, z komunikatem o błędzie programu zawierającego wirusa.


Problem z aplikacją...

Niestety, zdarzały się też znacznie gorsze sytuacje – na poniższym ekranie widać robaka, który w systemie działa jako proces o nazwie msplus32.exe (to jeden z wariantów robaka Mytob), masowo rozsyłając się za pomocą poczty. Tej infekcji TruPrevent w ogóle nie zatrzymał, co okazało się zgubne dla programu – robak bez problemu wyłączył wszystkie usługi Pandy związane z ochroną antywirusową. Funkcje autodiagnostyki wykryły problem, ale nie było szans na sprawne przywrócenie pracy programu.


Robak działający w systemie

  

Autodiagnostyka

Na szczęście tą wersję robaka można było dość łatwo usunąć z systemu (ręcznie), a następnie przywrócić działanie programu Panda TruPrevent (również ręcznie, rekonfigurując ponownie usługi). Przywrócony do pracy program pominął jeszcze dwie infekcje, które tym razem nie były w stanie zakłócić zbytnio pracy systemu. Udało się je usunąć w prosty sposób, za pomocą skanera on-line.


Trend Micro HouseCall

Niestety, jednego ataku chroniony system w ogóle nie przeżył, plik f22-013.exe zawierający robaka W32/Bagle.dldr (nazwa wg McAffee) czy też W32/Mitglieder.DT (nazwa wg F-Prot) całkowicie uniemożliwił uruchomienie systemu. W ten oto sposób zakończyliśmy bardzo krótki test oprogramowania – w pojedynkę okazało się ono mało skuteczne, więc pewnie też niezbyt mocno wspiera inne programy antywirusowe. Jedynie w przypadku, gdy bazy Pandy będą zawierały więcej sygnatur niż bazy innego producenta, współpraca dwóch narzędzi antywirusowych może mieć sens. Tylko czy warto wydawać ponad 100 złotych na narzędzie o tak ograniczonej skuteczności, w dodatku konsumujące sporo zasobów komputera?









       Zalety       Wady


  • Program praktycznie bezobsługowy

  • Autodiagnostyka programu




  • Mała skuteczność w wykrywaniu nieznanych zagrożeń

  • Nadmierne wykorzystanie zasobów komputera

  • Jednak zależność od sygnatur, a więc konieczność dokonywania subskrypcji


Do testów dostarczył:

Panda Software Polska

www.pspolska.pl

Cena brutto (z podatkiem VAT): ok. 120 zł.