Nástroje k tomuto článku najdete na Chip DVD pod indexem Antivirus.
Mobilní antiviry: Pro případ nouze
Počítač napadený nebezpečným malwarem většina uživatelů raději zformátuje. I v této situaci však existuje řešení, a to v podobě mobilních antivirových programů.
MANUEL SCHREIBER
Nezanedbatelná část malwaru útočí na počítače podstatně agresivněji – zapomeňte na nenápadnou infekci a skryté využívání počítače. Typickým příkladem pro tuto vlnu malwaru je trojský kůň Backdoor.MSIL. Bot.A, který nejen infikuje počítač, ale také zablokuje nainstalované bezpečnostní programy. Je také zbytečné se pokoušet o "restart" antiviru, nebo dokonce o instalaci nového softwaru – malware všechny podobné aktivity zakáže. Díky tomu má poté ničím nerušený přístup k datům uživatele – od hesel až po navštěvované WWW stránky –, a není pro něj problémem ani odesílání "snímků" obrazovky.
To sice na první pohled vypadá jako prohraná bitva, přesto ale existují řešení – jedním z nich jsou "přenosné" antivirové programy. Ty dokáží provést sken počítače na jediné kliknutí, bez nutnosti instalace – stačí jen připojit USB flash disk. V současnosti lze na internetu narazit na desítky přenosných bezpečnostních programů, ne každý z nich však dokáže váš počítač skutečně dobře zkontrolovat a vyčistit. My jsme ve spolupráci s laboratořemi AV-Test provedli první komplexní test deseti mobilních antivirů. V rámci něj byly jednotlivé programy podrobeny stejným procedurám jako jejich "desktopoví" příbuzní. A stejně jako u nich nás výsledky překvapily: rozdíly v kvalitě jsou neuvěřitelné – v testu jsme narazili jak na velmi dobré, tak i na mizerné nástroje.
Vedle výsledků testu najdete v tabulce na straně 42 i další informace o jednotlivých antivirech. Na straně 43 navíc najdete tip, jak z napadeného počítače bezpečně zazálohovat, pro případ reinstalace systému.
Snadný start: Jednoduché a rychlé nastavení
Nejlepší přenosný nástroj lze nahrát na USB a začít kontrolu jediným kliknutím. Tento postup ale bohužel u většiny kandidátů v testu nefunguje. Výjimkou jsou pouze McAfee Labs Stinger a VIPRE Rescue Scanner – u nich uživatel opravdu jen klikne na ikonu programu, a ten hned začne s kontrolou systému. O něco pomaleji je ke startu "připraven" Microsoft Safety Scanner. Tento software, převzatý z Windows Live One Care, totiž kromě "startovního kliknutí" vyžaduje ještě při každém startu potvrzení licenčních podmínek. Ještě pomalejší je Kaspersky Virus Removal Tool, který při každém spuštění vyžaduje krátkou instalaci na USB disk a k použití je připraven až po několika minutách.
Také VirusKeeper Multi Virus Cleaner nejprve vyžaduje instalaci – ale pozor, nikoliv na USB disk, ale přímo na disk v počítači. Důvodem je to, že tento nástroj se (na rozdíl od ostatních programů v testu) tváří jako "hybridní", což znamená že ho lze použít jak jako mobilní, tak i jako klasický antivir. U tohoto nástroje však musí "zpozornět" i uživatelé Windows 7, protože tento program funguje pouze v režimu "kompatibility Windows XP". Pokud se pokusíte antivir spustit bez tohoto režimu, místo spuštěného programu se objeví pouze chybové hlášení.
Lov virů: Jen pár zklamání
Vzhledem k tomu, že přenosné antiviry přicházejí na scénu až poté, co selhaly desktopové verze, nebo v případě, že uživatel potřebuje "kontrolu" druhým nástrojem, je zde mnohem důležitější spolehlivé fungování programů. Abychom zjistili, jak na tom v tomto ohledu jednotlivé nástroje jsou, použili jsme několik důkladných testů: účastníci museli najít "uměle" vytvořené malwary (zoo viry) nebo například zkontrolovat malwarem infikovaný operační systém Windows 7. Bylo nám jasné, že ne všechny antivirové nástroje dostanou "nejlepší známky", přesto nás výsledky tohoto testu šokovaly!
Open-source nástroj Simple Machine dokázal rozpoznat méně než 400 ze zhruba 13 000 potenciálních virů – tedy méně než tři procenta. Tento ubohý výsledek se mu podařilo ještě "překonat" při testu detekce rootkitů. Tento nástroj totiž nenašel jediný malware – a získal tak absolutně nejnižší počet bodů ze všech existujících testů Chipu. Jako bezpečnostní nástroj tedy Simple Machine zcela selhal. Přesto nebyl v našem testu jediným "propadákem". O moc lépe si nevedl například ani Multi Virus Cleaner od firmy VirusKeeper, který odhalil pouhých 500 malwarů. Nepříjemně překvapil i špatný výsledek nástroje od známého antivirového výrobce McAfee: Labs Stinger sice fungoval lépe než předchozí dva nástroje, i tak ale nalezl pouze jednu třetinu malwaru.
Kaspersky Virus Removal Tool a Dr. Web CureIt však dokazují, že ne všechny "nouzové" nástroje jsou špatné.
Oba programy nás zaujaly svým vysokým detekčním poměrem. Nejlepší výsledky předvedl nástroj od firmy Kaspersky: na disku testovacího počítače ponechal jen 300 vzorků malwaru – to lze označit jako velmi dobrý výkon. Lepší byl pouze klasický bezpečnostní balík Norton Internet Security 2011 (testován pro srovnání), který "přehlédl" pouhých 75 z přibližně 13 000 vzorků malwaru.
Dezinfekce: Ne všechny čisté
V druhé části testu měly nástroje za úkol odstranit malware tak, aby po nich na počítači nezůstala ani stopa – což je požadavek, který výrobci často ignorují. V této oblasti často selhávají i "desktopové verze", které například často "zapomínají" na odstranění neaktivních rootkitů stejně jako na opravu systémových změn nebo smazání zbytků souborů po malwaru.
Nouzové skenery v této tradici "špatných výsledků" pokračují: celkové hodnocení u většiny nástrojů táhly "k zemi" především výsledky tohoto testu. Pouze nástroj "Vipre Rescue" odstranil všechny aktivní složky malwaru.
Také oprava změn, které malware v systému udělal, byla obvykle nad síly testovaných nástrojů: jen malé části z nich se podařilo odstranit o něco více než polovinu z upravených dat. Podobná situace panuje i u odstraňování rootkitů – naprostá většina programů dokázala rootkity pouze detekovat, s jejich odstraněním si musí lámat hlavu uživatel. Jedinou výjimkou je nástroj Dr. Web CureIt, který nejen našel všechny rootkity, ale také je dokázal odstranit. V této oblasti byl dokonce lepší než referenční nástroj Norton Internet Security. Smutnou tečkou za tímto testem byly nástroje Viruskeeper Multi Virus Cleaner a Simple Machina Protect, které nedokázaly žádný rootit ani najít, natož odstranit. Ne že by nás to překvapilo…
Aktualizace: Velké hádání
Vzhledem k tomu, že se malware neustále mění, patří ke klíčovým vlastnostem bezpečnostního nástroje také aktuálnost. A zatímco u "desktopových" verzí je standardem integrovaný aktualizační modul (který pravidelně stahuje nejnovější signatury), u "mobilních" antivirů podobná funkce obvykle chybí, což uživateli poněkud ztěžuje práci.
Jedinou výjimkou je Emisoft Emergency Kit, který zobrazuje datum aktualizace, aktuální číslo verze a signatur. Pokud také kliknete na "Update now", program vyhledá a nainstaluje aktualizace. Jakousi nouzovou "pomůcku" nabízí nástroj od firmy Kaspersky, který alespoň kontroluje, zda je spuštěná verze aktuální. V opačném případě nástroj nabídne odkaz na stažení nejnovější verze z webu výrobce. Dalším indikátorem je i "startovací" tlačítko – pokud svítí zeleně, máte aktuální signatury.
U ostatních programů obvykle vůbec nemáte šanci "na první pohled" rozpoznat aktuálnost programu – záleží tedy jen na vás, zda jste si z webu výrobce stáhli skutečně nejnovější verzi. Typickou ukázkou přístupu ostatních programů je nástroj "Dr.Web CureIt", jehož aktualizační tlačítko vás zavede na web výrobce, kde si musí uživatel sám zkontrolovat, zda je verze, kterou používá, aktuální.
Tento přístup používání bezpečnostních nástrojů poněkud znepříjemňuje, protože před každým použitím jste nuceni znovu a znovu navštěvovat web výrobce a stahovat nejnovější verze. Ještě restriktivnější politiku používá u svého nástroje Microsoft. Jeho Safety Scanner lze používat pouze deset dní od stažení, po vypršení této lhůty musíte povinně stáhnout novou verzi programu. Tímto způsobem sice zabrání použití programu bez aktuálních signatur, ale pokud vám malware "znefunkční" připojení k internetu, nemáte šanci se škodlivým softwarem bojovat.
Extra: Výrobci s funkcemi šetří
Minimalistický přístup vývojářů však není znát jen na absenci "aktualizačních rutin", ale i na minimální nabídce dodatečných funkcí. Heslem mobilních antivirů je zkrátka "purismus". Jen dva nástroje nabídly kromě odstranění malwaru také důkladné vyčištění systému, což by mělo být podle našeho názoru samozřejmé.
Zapomeňte také na sofistikované možnosti kontroly systému. Například Microsoft Safety Scanner nabízí pouze volby "Quick scan", "Full scan" a "User defined scan". Hledání dalších funkcí je zbytečné. Nástroj Rescue VIPRE je ještě prostší, nabízí sice stejné funkce jako konkurence, ale pracuje pouze z příkazové řádky – vývojáři se s grafickým rozhraním nezatěžovali...
Z "řady" vyčnívají pouze dva programy. Emisoft Emergency Kit nabízí možnost manuálního mazání souborů, položek registru a ovladačů ze systému. Tuto funkci lze ale doporučit jen zkušeným uživatelům, protože program nenabízí žádnou nápovědu, nebo dokonce vytvoření zálohy pro případ "chybného kroku".
Dalo by se říci, že nástroj Simple Machine ani není opravdový antivir – bezpečnostní ochrana nestojí za nic, program ale naopak nabízí celou řadu doplňkových funkcí. Například pokud hledáte malý, mobilní a přehledný nástroj na čištění systému, stojí Simple Machine za vyzkoušení. Jeho "SMP Process Explorer" dohlíží na spuštěné služby a "SMP Toolkit Launcher" obsahuje balíček systémových nástrojů (například Windows Registry Editor pro práci s registry). Jako praktický bonus lze označit funkci "Document Infected Cutter", která si překvapivě dobře poradí s malwarem poškozenými soubory MS Office.
AUTOR@CHIP.CZ
ZÁVĚR
Téměř žádný z testovaných nástrojů není příliš vhodný pro každodenní použití: všechny byly očividně naprogramovány pouze pro případ nouze. Vítězem testu se tentokrát stává Dr. Web CureIt, který dělá přesně to, co uživatel od nástroje tohoto typu očekává: vyhledává a odstraňuje malware. Jeho konkurenti na tom obvykle nejsou špatně z hlediska hledání malwaru, většina z nich ale zklame při pokusech o jeho odstranění. Zdaleka se vyhněte programům Simple Machine Protect a Multi Virus Cleaner: tyto nástroje jsou naprosto zbytečné a patří mezi nejhorší skenery, které Chip kdy testoval.
Bez spuštění Windows: Virové skenery na Live CD
Některý malware zvládne nejen blokovat instalaci Security Suite, ale v určitých případech také může (byť nechtěně) zabránit spuštění systému Windows. A bez spuštění systému není možné ani použít testované nouzové "mobilní" antiviry. V tomto případě je nutné použít tzv. záchranné CD (DVD). My vám můžeme doporučit například AVG Rescue CD (nejnovější verzi najdete vždy na www.avg.com/cz-cs/avg-rescue-cd). Tento nástroj nejen umožní antivirovou kontrolu počítače, ale díky celé řadě praktických nástrojů také správu počítače – Midnight Commander vám umožní práci se soubory, TestDisk pomůže s obnovou disku a Windows Registry Editor opraví záznamy v registrech. Jak na to? Nejprve si vypalte soubor s "image" nástroje a poté s tímto diskem nabootujte počítač. Jakmile se systém spustí, zvolte "Hard Drive" a "souhlasím s licenční smlouvou". AVG Rescue CD se poté pokusí připojit k internetu a aktualizovat signatury. Protože u poškozeného systému obvykle Wi-Fi adaptér nefunguje, doporučujeme počítač připojit síťovým kabelem. Po aktualizaci klikněte na "Return" a vrátíte se zpět do hlavního adresáře. Tam můžete zvolit "Scan | Volumes" a poté nástroj zkontroluje disk a odstraní z něj malware. Nakonec program v sekci "Individual" zobrazí všechny nalezené infikované soubory.
Foto: Vypálení image Program ImgBurn dokáže snadno a rychle vytvořit i bootovací disk.
Foto: Hledání virů Nástroj AVG Rescue CD dokáže zkontrolovat váš počítač i bez startu Windows.
Poslední záchrana: Uložte si data na Linuxu
Pokud se systém Windows nespustí, může být jedinou záchranou "Live CD" se systémem pro záchranu vašich osobních údajů. Poradíme vám, jak na to, navíc rychle a snadno.
Jakmile už je malware v systému příliš "integrovaný" a Windows není možné vyčistit žádným bezpečnostním nástrojem, nezbývá než se pustit do nové instalace. Většina uživatelů se s takovýmto řešením smíří s jedinou podmínkou – pokud lze z počítače zachránit důležitá data. To je možné například při nabootování "Live CD" s alternativním operačním systémem (například Ubuntu) a připojení externího pevného disku.
Po nabootování systému klikněte na tlačítko "Start" a poté na "Personal folder " (ikona domu), čímž spustíte správce souborů.
Jeho pomocí (a příkazu "File system") získáte přístup k disku se zavirovaným systémem Windows a především s vašimi cennými daty. Označte všechny soubory, o které nechcete přijít, a zkopírujte je na externí disk. Poté už můžete zformátovat disk a nainstalovat nový systém.
Varování: Dříve než se pokusíte "zachráněná" data nahrát zpět na nově nainstalovaný systém, důkladně je prověřte kvalitním antivirem. Mohlo by se vám totiž stát, že některý ze souborů bude infikován a váš počítač bude za několik dní opět nefunkční…
Foto: Kaspersky Virus Removal Tool O aktuálnosti signatur vás informuje i barva startovacího tlačítka.
Foto: Dr.Web CureIt Vítěz našeho testu nabídne nejkomplexnější a nejlepší sken ze všech antivirů.