Công cụ chống virus tốt nhất (Phần 2)

Trojan horse, rookit, botnet, keylogger... những thuật ngữ này có thể không có nhiều ý nghĩa đối với người dùng thông thường, nhưng đối với máy tính thì chúng giống như vi rút (virus) Ebola hay cúm gia cầm. Bọn tội phạm công nghệ đã tìm cách kinh doanh thật sự từ những thứ giải trí một thời của các chuyên viên máy tính lập dị.

5. Panda
Kết quả phát hiện ở mức trung bình, các thiết lập mặc định không thích hợp và hiệu suất diệt malware không nổi bật của Panda Antivirus 2007 làm lu mờ các tính năng mạnh của nó dẫn đến thứ hạng không ấn tượng - thứ 5.
Phần mềm này phát hiện 90% mẫu malware của AV-Test.org, tỉ lệ này bị kéo xuống do thể hiện kém trong việc phát hiện trojan horse (87%) và các chương trình cổng hậu (86%), hai dạng malware ngày càng phổ biến. Tuy nhiên, nó xếp thứ ba về khả năng phát hiện đón đầu, phát hiện 56% mẫu malware mới với dữ liệu nhận dạng cũ 1 tháng.

Khả năng phát hiện malware trung bình, tương xứng với thứ hạng giữa của Panda Antivirus 2007.

Nhưng nhiều tính năng bảo vệ quan trọng của Panda Antivirus 2007 mặc định bị tắt. Bạn cần phải tự bật tính năng quét kiểm tra email theo một qui trình phức tạp cần đến Windows Control Panel. Việc bảo vệ chống lại “các file có khả năng gây nguy hiểm” - ám chỉ adware và các thứ phiền toái khác - cũng mặc định tắt và bạn phải tự lập lịch quét kiểm tra toàn bộ hệ thống.

Tuy nhiên, một khi bạn bật các tính năng trên, các hoạt động kiểm tra của Panda Antivirus sẽ bao trùm nhiều giao thức tin tức và email - POP3, SMTP, IMAP4, NNTP cùng với luồng dữ liệu web. Nó có thể cảnh báo email tình nghi giả mạo gửi qua giao thức POP3 và SMTP, và tích hợp với các ứng dụng IM Yahoo, MSN và AOL.

Panda Antivirus 2007 có điểm kém trong các thử nghiệm diệt malware. Nó bỏ sót một malware và không làm sạch được những thay đổi mà một malware khác gây ra trên file Hosts và registry. Với các thay đổi registry, nó chỉ làm sạch được 41%. Và sau khi gỡ bỏ, Panda để lại một file .dll mà các phần mềm chống virus khác báo hiệu có khả năng gây nguy hiểm.

Với giá 30USD cho 2 PC (không có giấy phép sử dụng cho 1 PC), Panda Antivirus 2007 là một trong những sản phẩm dễ mua, nhưng không giống với hầu hết các phần mềm khác, bạn không được giảm giá cập nhật. Ngoài ra, Panda chỉ cung cấp hỗ trợ điện thoại miễn phí cho 30 ngày đầu; sau đó cuộc gọi bị tính phí 20USD.

6. Alwil
Phiên bản có phí của phần mềm Alwil, Avast 4 Professional Edition, đứng thứ 6, thật đáng thất vọng, mặc dù tỉ lệ phát hiện malware thành công đến 92%. Nó chỉ phát hiện 37% malware trong các thử nghiệm đón đầu, thứ hai từ dưới lên. Và Alwil không cung cấp hỗ trợ điện thoại.

Trong thử nghiệm diệt malware, Avast chỉ đạt mức trung bình, làm sạch tất cả các file bị nhiễm nhưng bỏ sót các thay đổi đối với file Hosts và một số mục registry. Tỉ lệ thành công là 78%.

Avast có giao diện cơ bản dễ dùng nhưng giấu đi những thiết lập cấu hình nâng cao.
Phần mềm này cài đặt trơn tru với các thiết lập mặc định thích hợp cho người dùng thông thường. Nó có 2 lựa chọn giao diện: một bảng điều khiển rõ ràng dạng trình chơi nhạc giúp dễ nhận biết cách kích hoạt tính năng quét kiểm tra hay thiết lập thủ công việc kiểm tra lúc khởi động; và một “giao diện nâng cao” cho phép bạn truy cập và tinh chỉnh nhiều thiết lập hơn, nhưng có vẻ kém thân thiện hơn nhiều so với giao diện đầu.

Sau khi cài đặt, Avast thực hiện một cuộc kiểm tra ban đầu toàn bộ hệ thống. Nhưng trong giao diện nâng cao rối rắm, NTN đã không thể tìm thấy nơi để thiết lập việc kiểm tra theo lịch thông thường. Có một thiết lập cho phép kiểm tra bất cứ khi nào trình tiết kiệm màn hình chạy, nhưng thiết lập này cũng khó tìm.

Phần mềm này quét kiểm tra nhiều giao thức tin tức và email, gồm POP3, SMTP, IMAP và NNTP. Nó cũng quét kiểm tra toàn bộ luồng web. Cơ chế bảo vệ nhắn tin nhanh toàn diện của Avast hỗ trợ đầy đủ một số trình IM phổ biến nhất - AIM, ICQ, MSN, Skype, Trillian và Yahoo Messenger - và nhiều công cụ chat ít tên tuổi hơn như GAIM, Miranda và Pal Talk Messenger.

Khi cài đặt, Avast 4 đặt trên PC của bạn một cơ sở dữ liệu khôi phục (Virus Recovery Database) hữu ích, mà về lý thuyết có thể dùng để sửa chữa các file chương trình (.exe) bị nhiễm virus.

Phiên bản Professional có phí của Avast 4 giá 40 USD, phí cập nhật hàng năm là 28USD. Phiên bản Home miễn phí thiếu một số tính năng như kiểm tra theo lịch và xem các kết quả kiểm tra trước đây.

7. Grisoft
Grisoft AVG 7.5 Anti-Virus Professional Edition là lựa chọn ít tốn kém nhất trong 8 phần mềm thử nghiệm, và tỉ lệ phát hiện malware 91% thuộc nhóm đầu bảng. Tiếc là hiệu suất phát hiện đón đầu quá kém, giao diện rối và thiếu hỗ trợ điện thoại đã đẩy nó xuống vị trí thứ 7 trong bảng xếp hạng.

AVG giá thấp nhưng giao diện rối và thể hiện kém trong thử nghiệm bảo vệ đón đầu.

AVG thể hiện khá tốt trong các thử nghiệm diệt malware, cứu được hơn 80% các thay đổi do malware. Đây là phần mềm duy nhất diệt được tất cả malware và khôi phục cả 2 thay đổi file Hosts, nhưng giống các ứng dụng khác bỏ sót một số thay đổi registry.

Tuy nhiên trong việc bảo vệ đón đầu, AVG xếp cuối, không phát hiện được 2 trong 3 mẫu malware mới. Phần mềm này còn đặt lên vai người dùng quá nhiều quyết định yêu cầu kiến thức nâng cao. Ví dụ, để lập lịch quét bạn phải trải qua vai trò “người quản lý kiểm tra” và nhận biết những khác biệt giữa kiểm tra hoàn chỉnh, kiểm tra chi tiết, kiểm tra người dùng chi tiết và kiểm tra người dùng đơn giản. Grisoft có kế hoạch cải tổ giao diện nhưng việc này có vẻ khó.

Grisoft AVG tích hợp tốt với Eudora và Microsoft Outlook để cách ly những email tình nghi, và nó quét luồng email dùng giao thức POP3 và SMTP của tất cả chương trình. Tuy nhiên, đây là một trong 2 phần mềm (phần mềm kia là Trend Micro) không quét luồng web và nó không hỗ trợ trực tiếp bất kỳ trình IM nào.

Tương tự Alwil, Grisoft có một phiên bản miễn phí thiếu cơ chế bảo vệ chống spyware và có tính năng lập lịch quét hạn chế. Phiên bản Professional có giá 30USD, phí cập nhật hàng năm là 15USD.

8. Trend Micro
Thứ hạng cuối bảng của Trend Micro Antivirus + AntiSpyware 2007 chủ yếu là do khả năng phát hiện malware quá kém. Phần mềm này bỏ sót gần 1/5 mẫu malware, tỉ lệ phát hiện chỉ được 82%.

Khả năng phát hiện malware kém nhất, Trend Micro đứng cuối.

Trend Micro thể hiện tốt hơn một chút trong việc phát hiện đón đầu malware chưa biết, nhưng ngay cả ở đây nó cũng xếp thứ ba từ dưới lên. Nó phát hiện 43% malware khi kiểm tra với dữ liệu nhận dạng cũ 1 tháng. Bị kéo xuống do giá 40 USD khá đắt và không có giảm giá cập nhật, sản phẩm chống virus của Trend Micro không được ưa thích lắm.

Mặt tích cực, chương trình này cài đặt trơn tru, dễ dùng và có các thiết lập mặc định tốt - như quét toàn bộ hệ thống theo lịch tự động dành cho người dùng thông thường. Nó có tính năng quét theo lịch tuỳ người dùng xác định và kiểm tra cập nhật nhận dạng virus mỗi 3 giờ. Các thiết lập mặc định này thay đổi dễ dàng thông qua giao diện trực quan thích hợp với cả người dùng không rành về kỹ thuật.

Một tính năng đặc biệt hữu ích là quét các lỗ hổng đã biết của sản phẩm Microsoft. Ví dụ, nếu máy tính thiếu một bản vá bảo mật quan trọng, phần mềm này sẽ chỉ người dùng đến site Microsoft Windows Update để tải về và cài đặt.

Trend Micro AntiVirus quét luồng email trên các giao thức POP3 và SMTP, nhưng không giống hầu hết các phần mềm khác (ngoại trừ AVG của Grisoft), nó không quét luồng HTML. Ngoài ra, nó còn khác ở chỗ không thể kích hoạt thủ công việc quét file khi nhấn chuột phải trong Windows Explorer, một điểm yếu trong phiên bản Vista mà công ty hứa sẽ chỉnh sửa trong bản cập nhật sắp tới. Cuối cùng, cơ chế bảo vệ chống spyware của phần mềm này có một thói quen phiền toái là ghi nhãn các cookie là spyware nguy hiểm.

KHI DỮ LIỆU NHẬN DẠNG KHÔNG ĐỦ

Hồi đầu năm nay, khi các cơn cuồng phong càn quét châu Âu thì có một cơn bão thuộc dạng khác tàn phá các máy tính khắp toàn cầu. Ngày 18/1, sâu mang tên Storm (cơn bão) bắt đầu xuất hiện ở dạng đính kèm email với những tựa đề có dạng như ‘230 người chết khi cơn bão tàn phá châu Âu’.

Hơn 42.000 biến thể của sâu này đã lây lan trong suốt 12 ngày, theo công ty bảo mật Commtouch. Những kẻ tấn công định tổ chức cuộc tấn công quy mô lớn để lẩn tránh cơ chế phát hiện virus dựa trên nhận dạng (yêu cầu phải biết một mẩu dữ liệu của malware trước mới có thể phát hiện).

Sâu Storm là ví dụ điển hình về việc các tay viết virus cố gắng đi trước các chương trình chống virus một bước bằng cách tung ra những biến thể mới của các dòng malware thành công. Bọn tội phạm cũng tìm cách tránh bị để ý (và bị nhận dạng) bằng cách phát động các cuộc tấn công có chủ đích - gửi số

lượng nhỏ malware đến một công ty mục tiêu nào đó. Những cuộc tấn công như vậy thường áp dụng nhiều chiêu thức tâm lý, ví dụ giả địa chỉ ‘From:’ của nhân viên thật để gửi email chứa virus.

Đối phó lại, các công ty bảo mật hiện dùng cơ chế bảo vệ đón đầu không cần nhận dạng virus đầy đủ vẫn có thể làm việc hiệu quả. Theo chuyên gia bảo mật cao cấp của Forrester Research, cơ chế này cần thiết để chống lại các mối đe doạ chưa biết và có chủ đích.

Một phương thức đón đầu dùng phương pháp được gọi là “heuristic” dò tìm các câu lệnh hay đoạn mã đáng nghi. Thường thì phương pháp này có thể phát hiện biến thể mới của malware hiện có bằng cách nhận diện những điểm chung với các biến thể đã phân tích trước đây.

Phương pháp heuristic xem xét sâu bên trong mẩu malware tình nghi. Một kỹ thuật khác phân tích hành vi, xem xét từ bên ngoài để phát hiện những hoạt động đáng ngờ như thực thi từ một thư mục tạm.

Một số dạng cao cấp hơn của phương pháp phát hiện dựa trên hành vi tạo ra cái gọi là “hộp cát” - môi trường ảo có bảo vệ dùng để phân tích chương trình đáng nghi. Hai phần mềm thể hiện tốt nhất trong thử nghiệm đón đầu đều dùng phương thức hộp cát: Eset NOD32 chặn được 79% malware, còn BitDefender Antivirus 10 chặn được 61%. Cũng dùng phương thức hộp cát nhưng Grisoft AVG cũng chặn được 34%.

Các con số này cho thấy mặc dù các phương thức bảo vệ đón đầu là những bổ sung quan trọng nhưng chúng chưa thể thay thế hoàn toàn phương thức nhận dạng truyền thống.