2012. november 9.

Teszteld a vírusirtód!

Nézzük a tényeket:

1. Többen állítják, hogy vírusirtó nélkül sem vírusos a gépük. Erre mondhatnánk, honnan tudja, de valójában az általa küldött fájlokat más gépek ellenőrzik, jó eséllyel kiderülne, ha vírusos lenne a gépe; van aki olykor ellenőrzést is futtat és nem talál vírust.

2. Sok olyan gépet ismerek, amin van vírusirtó, de sosem fogott még semmit (az enyém például).

3. Olyan gépeket is ismerek, amiken van vírusirtó, de hemzsegnek rajta a vírusok.

4. Én egyszer kaptam (és terjesztettem) vírust, az ominózus Delphi fejlesztőkörnyezetet fertőző próba vírust, ami egy évig(!) rejtve maradt mindenki előtt.


Fentiekből számomra az következik, hogy a vírusirtók a vírusok egy részét megfogják, de lehetnek olyanok, amiket nem. Továbbá kellő odafigyeléssel bőven lehet vírusfertőzés (ismert vírus!) veszélye nélkül is hosszasan üzemeltetni egy gépet. Nyilván mindenki tudja milyen környezetben mozog, annak megfelelően el tudja dönteni kell-e neki vírusirtó vagy sem.

És akkor térjünk ki egy kicsit a 3. pontra. Hogyan lehet egy gép vírusos annak ellenére, hogy fut rajta a vírusirtó? Ha a vírus előbb kerül a gépre, mint ahogy a vírusirtó felismerné, akkor bizony el tudja rejteni magát, sőt akár a vírusirtót ki is kapcsolhatja. Ilyenkor látszólag működik a vírusirtó, de valójában a gép lassításán kívül semmit nem csinál. Te szoktad ellenőrizni a vírusirtódat? Ugye nem nagyon. Pedig kell. Erre a célra való az EICAR tesztvírus, amit a vírusirtónak fel kell ismernie, és meg kell fognia. Célszerű időnként egy EICAR vírust tartalmazó fájlt másolni, egy olyan mappát ellenőrizni, amiben benne van a tesztvírus. Ha nem jelez a vírusirtód, akkor feleslegesen fut, nem ér semmit. Ilyenkor cserélni kell és vagy újratelepíteni, vagy másikat feltenni.

A vírusirtók a sok frissítés, és az egyre újabb sérülékenységekre és trükkökre való felkészítés miatt maguk is igen sérülékeny programok. Nem feltétlenül egy vírus kapcsolja ki őket, egyszerűen maguktól elromlanak (hasonlót a tűzfalak is tudnak, azokat is tesztelni kell időnként). Nekem legutóbb a Panda Cloud adta meg magát. A másik kellemetlenség, hogy időnként a saját beállításaikat sem veszik komolyan, azaz hiába zársz ki az ellenőrzésből egy mappát, akkor is ellenőrzi. A NOD32 például hajlamos erre. Ez nem azért van, mert a vírusirtók írói olyan rossz programozók, hanem mert rengeteg trükkre, manipulációra kell felkészülniük, és egy adott gépen a dolgot szerencsétlen együttállása folytán összezavarodik a program. A mappák kizárására meg azért van szükség, mert például egy adatbáziskezelő működését teljesen ellehetetleníti, ha az adatfájlt folyton ellenőrzi a vírusirtó.

Összefoglalva: ha nem tudod eldönteni kell-e neked vírusirtó vagy nem, akkor kell. Viszont, ha van vírusirtó a gépeden, akkor azt időnként tesztelni kell, hagy valóban működik-e vagy csak a gépet lassítja. És még valami: a hivatalos vírusirtó tesztekkel, hogy melyik mennyit fog meg, nem kell foglalkozni, nagyon kicsi köztük a különbség, a tesztek nagy többsége pedig sima marketing, nem több.