Ennyi bevezető után rátérhetünk a víruskeresőkre! Kizárólag az Internetről beszerezhető (shareware, freeware, demó, evaluation) programokat választottam, leginkább a Slovak Antivirus Center (ftp://ftp.elf.stuba.sk/pub/pc/avir, tükre: ftp://ftp.bke.hu/pub/mirrors/sac/avir) kínálatából. A minimális követelmény az volt, hogy felismerjék a nagyon gyakori One_Half.3544 vírust (a WildList[25] szerint ez a harmadik legelterjedtebb vírus a világon, csak két makrovírus előzi meg: a Concept.A , és a CAP.A ), de az ezt felismerők közül is csak a nekem tetszőket vizsgáltam. Nem lehettem olyan alapos, mint mondjuk Vesselin Bontchev az Invircible boncolásakor[4], csupán néhány szubjektív észrevételt írtam.
A vakriasztás-vizsgálatot úgy végeztem, hogy megvizsgáltattam a víruskeresővel az 1999. májusi CHIP CD-t. Az a jó, ha nincs vakriasztás (hamis pozitív). Az irtás arra vonatkozik, hogy az adott, ingyenesen elérhető változat irt-e valamilyen vírust. A tömörített fájlok vizsgálata valamilyen tömörített fájlban (ZIP, ARJ, RAR, LHA, stb.) való belső ellenőrzést jelent, ez egy kényelmi funkció. A heurisztika az ismeretlen vírusok felismerésének képessége, ezt leginkább a dokumentációból néztem ki.
Mivel nincs aktuális ``in-the-wild'' vírusgyűjteményem, ezért kiválasztottam néhány problémás vírust, ami szúrópróbának tekinthető a víruskereső szempontjából. Az 1406 -os vírust május elején kaptam, a víruskeresők viszont április elején voltak frissek, tehát ezzel a vírussal az ismeretlen vírusok felismerését lehet tesztelni. (Az igaz, hogy itt a ``kis'' víruskeresők előnyben vannak, mert a vírust valószínűleg a ``nagy'' víruskeresők heurisztikus ellenőrzésének kijátszására optimalizálták.) A Pieck.4444 memóriában való felismerésére azért voltam kíváncsi, mert mint említettem, az F-PROT-nak ez nem sikerült.
Tesztelt termékek:
| Rövid név | Teljes név |
| F-PROT | F-Prot 3.04a |
| NVC | Norman Virus Control v4.60 |
| RAV | Romanian AntiVirus 6.54 |
| SCAN | McAfee VirusScan 3.2.2 |
| SWEEP | Sophos Sweep 3.20 |
| TBAV | ThunderByte Anti-Virus 8.09 |
| UVE | Universal Virus Eliminator 2.17 |
| VBUSTER | VirusBuster 8.07.006 (5.43) |
Általános jellemzők:
| Rövid név | Vakriasztás | Irtás | Tömör. vizsg. | Heurisztika |
| F-PROT | nincs | van | van | van |
| NVC | nincs | van | van | van |
| RAV | nincs | nincs | nincs | van |
| SCAN | nincs | van | nincs | van |
| SWEEP | nincs | van | van | nincs? |
| TBAV | nincs | van | nincs | van |
| UVE | nincs | van | nincs | van |
| VBUSTER | nincs | van | van | van |
Vírusok felismerése:
| Rövid név | One_Half | CIH.1003 | Cap.A | Pieck.4444 | Pieck mem. | 1406 |
| F-PROT | igen | igen | igen | igen | nem | nem |
| NVC | igen | igen | igen | igen | nem | igen |
| RAV | igen | igen | igen | igen | nem | igen |
| SCAN | igen | igen | igen | igen | nem | nem |
| SWEEP | igen | igen | igen | igen | nem | nem |
| TBAV | igen | igen | igen | igen | nem | nem |
| UVE | igen | nem | igen | igen | nem | igen |
| VBUSTER | igen | igen | igen | igen | nem | nem |
Megjegyzések:
NVC: Amikor a One_Half-ot kiirtottam, akkor az eredmény használhatatlan fájl lett.
RAV: Bosszantó, hogy nem lehet beírni a parancssorba, hogy hol keressen vírust.
SWEEP: Nem lehet (?) könyvtárat megadni neki, csak fájlmaszkot. A vizsgált vírusok közül csak a CAP.A-t tudta kiirtani.
TBAV: A vizsgált vírusok közül csak a CAP.A-t tudta kiirtani.
UVE: A vizsgált vírusok közül csak a CAP.A-t tudta kiirtani. Egyébként nagyszerű a heurisztikája. Nincs idei változat? Amit vizsgáltam, az még tavaly készült.
VBUSTER: Sok a szöveg, de legalább van összefoglaló táblázat, ami megmondja, hogy volt-e vírus.
Szomorú vagyok, hogy egyik víruskereső sem tudja rendesen átvizsgálni a memóriát! Ezek szerint csak rendszerlemezről lehet biztonságosan vírust keresni.