Doctor Web © Mai 2009 Dr.Web Security Space 5.0 vs AVG Internet Security 8.5 Für den Test standen Testversionen mit allen Updates und der vollständigen Funktionalität der kostenpflichtigen Produkte unter Windows XP Professional Service Pack 3 zur Verfügung. Gründe für die Wahl der Testbedingungen: - Windows XP Pro ist zur Zeit das beliebteste System bei Heimanwendern; - AVG Internet Security 8.5 und Dr.Web Security Space 5.0 sind die meist performanten Versionen der Antivirenlösungen dieser Hersteller für Heimanwender. Selbstschutz AVG Internet Security 8.5 Der Selbstschutz ist nicht vorhanden. So kann z.B. beliebige Schadsoftware sowie jeder Anwender, der nicht über Administratorrechte verfügt, zufällig oder absichtlich funktionsrelevante Dateien des Antivirusprogramms entfernen und es funktionsunfähig machen. Dafür sind keine speziellen Utilities, die einen Low-Level-Zugriff auf Ressourcen haben und im Kernel-Modus und/oder vom Administratorkonto laufen, erforderlich. Die Dateien (außer aktiven ausführbaren Dateien und Bibliotheken) können per Windows Explorer entfernt werden. Alle Dateien können zum Schreiben geöffnet werden. Die Überwachung des Öffnens sowie Einschränkung eines solchen Zugriffs ist in AVG nicht vorhanden. Auf beliebige Antivirus-Dateien können Hardlinks installiert werden. Dies lässt auf eine ernsthafte Schwachstelle im Selbstschutz zurückführen. Solche Konfigurationen können auch mit Windows-Tools definiert werden. Das Antivirusprogramm überprüft keine Dateien in seinem Verzeichnis auf Intaktheit. Die Auslagerung und die automatische Wiederherstellung der Funktionsweise wird nicht durchgeführt. Hohe kritische Anfälligkeit Dr.Web Security Space 5.0 Der Schutz für Dateien des Antivirusprogramms ist nach allen möglichen Parametern konfiguriert. Die Dateien können durch spezielle Utilities, die im Kernel-Modus des Betriebssystems laufen, bzw. wenn der Selbstschutz von Dr.Web SS deaktiviert wird, gelöscht werden. © Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6 Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212 Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected] Doctor Web © Mai 2009 Die Dateien des Antivirusprogramms können im Nur-Lesen-Modus geöffnet werden. Das Schreiben ist beim aktiven Selbstschutz unmöglich. Über den Zugriff auf die Aktualisierung und Modifikation des Inhalts verfügen nur autorisierte Prozesse des Antivirusprogramms. Die Installation von Hardlinks auf Dateien des Antivirusprogramms ist gesperrt. Keine Anfälligkeit Schutz der Registerschlüssel des Antivirusprogramms AVG Internet Security 8.5 Der Schutz der Siganturen von AVG IS im Register ist nicht vorgesehen. Auf diese Weise kann die Funktionsweise des Antiviusprogramms gestört bzw. komplett deaktiviert werden, wenn einige Signaturen im Windows-Register geändert oder gelöscht werden. Um AVG über das Systemregister zu deaktivieren, braucht man nur durch das in Windows eingebundene Utility regedit.exe einige bzw. alle Schlüssel, die in ihren Namen eine Buchstabenkombination “AVG” (Register spielt keine Rolle) enthalten, zu entfernen. Nach dem Neustart wird das Antivirusprogramm nicht mehr laufen. Um das Starten des Moduls abzubrechen, kann man auch eine Debug-Methode verwenden. Dafür muss man für jede ausführbare Datei in “HKLM\Software\Microsoft\Windows NT\Current Version\Image File Execution Option” den Schlüssel “debugger” mit dem Inhalt “ntsd –d” angeben. Das Starten einer solchen Datei (Antivirus-Komponente) wird anschließend unmöglich sein. Die Wiederherstellung von notwendigen Signaturen im Register ist nicht vorgesehen. Hohe kritische Anfälligkeit Dr.Web Security Space 5.0 Alle Zweige und Schlüssel des Registers, die für die routinemäßige Funktionsweise des Antivirusprogramms erforderlich sind, werden vom Selbstschutz-Modul des Programms kontrolliert. So können sie geändert bzw. entfernt werden, nur wenn DWProt (Selbstschutz) deaktiviert wird. Die unabsichtliche oder böswillige Änderung der Parameter ist somit ausgeschlossen. Die Debug-Methode kann für die Neutralisierung des Antivirusprogramms nicht verwendet werden, weil ihre Parameter durch Dr.Web SS geschützt sind. Keine Anfälligkeit © Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6 Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212 Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected] Doctor Web © Mai 2009 Schutz des Fensters des Antivirusprogramms AVG Internet Security 8.5 Der Schutz der Antivirus-Fenster vor Modifikationen ist nicht vorgesehen. Mit entsprechenden Utilities können AVG-Fenster ähnlich wie bei Windows-Fenstern versteckt, geändert und verschoben werden (Minimieren, Maximieren, Schließen). Als kritisch erweist sich der Einsatz der Brute-Force-Methode für Programmfenster. AVGFenster (Benutzeroberfläche, Residenter Schutz, Alerts usw.) brechen ihre Funktion ab (Funktionsstörung) und können nicht mehr geöffnet werden. Die Verwaltung des Antivirusprogramms sowie Zustellung von Meldungen und Warnungen wird folglich geblockt. Wegen der Störung der Benachrichtigung beim Resident-Shield-Fenster (Residenter Schutz) wird Schadsoftware nicht ausgeführt, das Antivirusprogramm bremst aber das System stark aus, weil es an einer Bestätigung vom Benutzer fehlt. Es ist danach unmöglich, die Infektion zu stoppen und weitere Aktionen vorzunehmen. Hohe kritische Anfälligkeit Dr.Web Security Space 5.0 Die meisten Optionen für die Verwaltung der Antivirus-Fenster sind geblockt. Das Programmfenster bei Dr.Web lässt sich aber minimieren und erweitern. Der Einsatz der Brute-Force-Methode bringt kein Ergebnis, weil alle eintreffenden Meldungen kontrolliert, gefiltert und ausgesiebt werden. Niedrige kritische Anfälligkeit Schutz der Prozesse des Antivirusprogramms Das Abbrechen der Prozesse unter allen Umständen (selbst wenn das Modul danach automatisch neu gestartet wird) beim fehlenden Schutz der Dateien führt dazu, dass eine ausführbare Datei von der Festplatte entfernt werden kann. Unten sind Beispiele der Antivirus-Module und Methoden für deren Abbrechen angeführt. Weitere Aktionen rund um diese Module bleiben auf dem Gewissen eines Übeltäters/Schadcodes. Wir © Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6 Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212 Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected] Doctor Web © Mai 2009 haben das Abbrechen der Prozesse aus dem Kernel-Modus absichtlich nicht behandelt, weil der Einsatz dieser Methode theoretisch möglich, in der Praxis aber unrealisitisch ist. AVG Internet Security 8.5 AVG hat viele laufende Module, einige sind eng miteinander verbunden. Folglich können die Funktionsstörungen bei einer Komponente die Funktionsweise anderer Module beeinträchtigen. - Residenter Schutz (avgrsx.exe) o - - Verwenden der DLL-Injection Alarm-Manager (avgam.exe) o Verwenden des Debuggers o Im Rahmen der Aufgabe o Zurücksetzen der Speichereigenschaften o Durch Änderung des Befehlszeigers o Verwenden von Remote-Thread o Durch Abbrechen aller Threads o Standardmäßiges Abbrechen des Prozesses E-Mail-Scanner (avgemc.exe) o Standardmäßiges Abbrechen des Prozesses o Durch Abbrechen aller Threads o Verwenden von Remote-Thread o Zurücksetzen der Speichereigenschaften o Durch Änderung des Befehlszeigers o Durch Neuschreiben kritischer Prozessdaten o Verwenden des Debuggers o Im Rahmen der Aufgabe © Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6 Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212 Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected] Doctor Web © Mai 2009 - - - Netzwerk-Scanner-Service (avgnsx.exe) o Standardmäßiges Abbrechen des Prozesses o Durch Abbrechen aller Threads o Zurücksetzen der Speichereigenschaften o Durch Neuschreiben kritischer Prozessdaten o Im Rahmen der Aufgabe o Verwenden des Debuggers Tray-Monitor (avgtray.exe) – wird nicht neu gestartet o Standardmäßiges Abbrechen des Prozesses o Durch Abbrechen aller Threads o Im Rahmen der Aufgabe o Verwenden des Debuggers o Als Aufgabe o Durch Senden von WM_CLOSE o Durch Senden von WM_SYSCOMMAND o Verwenden der Meldung der Windows-Station o Simulation des normalen Prozessabschlusses o Durch Senden der Brute-Force-Meldung Benutzeroberfläche (avgui.exe) – wird nicht neu gestartet o Standardmäßiges Abbrechen des Prozesses o Durch Abbrechen aller Threads o Zurücksetzen der Speichereigenschaften o Durch Neuschreiben kritischer Prozessdaten © Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6 Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212 Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected] Doctor Web © Mai 2009 - - - o Im Rahmen der Aufgabe o Verwenden des Debuggers o Als Aufgabe o Durch Senden von WM_CLOSE o Durch Senden von WM_SYSCOMMAND o Verwenden der Meldung der Windows-Station o Simulation des normalen Prozessabschlusses o Durch Senden der Brute-Force-Meldung Watching Service (avgwdsvc.exe) o Verwenden des Debuggers o Im Rahmen der Aufgabe o Zurücksetzen der Speichereigenschaften o Durch Änderung des Befehlszeigers o Verwenden des Remote-Threads o Durch Abbrechen aller Threads o Standardmäßiges Abbrechen des Prozesses Scan-Core-Modul (avgcsrvx.exe) o Verwenden des Remote-Threads o Durch Abbrechen aller Threads o Standardmäßiges Abbrechen des Prozesses (wird nicht neu gestartet) o Verwenden des Debuggers o Im Rahmen der Aufgabe Firewall-Service (avgfws8.exe) © Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6 Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212 Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected] Doctor Web © Mai 2009 o - - - Problemlos IDS Agent (avgidsagent.exe) – wird nicht neu gestartet o Standardmäßiges Abbrechen des Prozesses (Schutz wird deaktiviert) o Durch Abbrechen aller Threads (Schutz wird deaktiviert) o Zurücksetzen der Speichereigenschaften (Schutz wird deaktiviert) o Im Rahmen der Aufgabe (Schutz wird deaktiviert) IDS Monitor (avgidsmonitor.exe) o Standardmäßiges Abbrechen des Prozesses o Durch Abbrechen aller Threads o Verwenden des Remote-Threads o Zurücksetzen der Speichereigenschaften o Durch Änderung des Befehlszeigers o Durch Neuschreiben kritischer Prozessdaten o Verwenden des Debuggers o Im Rahmen der Aufgabe o Verwenden der Meldung der Windows-Station IDS Benutzeroberfläche (avgidsui.exe) o Durch Senden der Brute-Force-Meldung (Schutz wird deaktiviert) o Simulation des normalen Prozess (wird nicht neu gestartet, Monitor wird entladen) o Als Aufgabe (wird nicht neu gestartet, Monitor wird entladen) o Durch Senden von WM_SYSCOMMAND (Monitor wurde entladen, Vorgang der Benutzerobefläche bleibt aktiv, das Funktionsfenster fehlt und kann nicht gestartet werden) © Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6 Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212 Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected] Doctor Web © Mai 2009 - o Durch Senden von WM_CLOSE (Monitor wurde entladen, Vorgang der Benutzeroberfläche bleibt aktiv, das Funktionsfenster fehlt und kann nicht gestartet werden) o Als Aufgabe (viele Warnungsfenster wurden angezeigt) o Zurücksetzen der Speichereigenschaften (Vorgang und dann das ganze Betriebssystem hat sich aufgehängt) o Durch Änderung des Befehlszeigers (wird nicht neu gestartet, Monitor wurde entladen) o Verwenden des Remote-Threads (wird nicht neu gestartet, Monitor wurde entladen) IDS Watchdog Service (avgidswatcher.exe) – wird nicht neu gestartet o Durch Abbrechen aller Threads (kann nicht gestartet werden) o Verwenden des Remote-Threads (kann nicht gestartet werden) o Im Rahmen der Aufgabe (kann nicht gestartet werden) Hohe kritische Anfälligkeit Dr.Web Security Space 5.0 Das Antivirusprogramm hat nur 6 Prozesse. Einige sind mit der Funktionsweise von dwengine.exe verbunden. Das Programm kann aber nicht neutralisiert werden. - SpIDer Mail (spiderml.exe) o - SpIDer Gate (spidergate.exe) o - Problemlos Durch Senden der Brute-Force-Meldung SpIDer Agent (spideragent.exe) © Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6 Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212 Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected] Doctor Web © Mai 2009 o - Scan-Engine (dwengine.exe) o - Problemlos SpIDer Guard Service (spidernt.exe) o - Durch Senden der Brute-Force-Meldung Problemlos SpIDer Guard User Interface Agent (spiderui.exe) o Problemlos Keine Anfälligkeit © Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6 Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212 Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected] Doctor Web © Mai 2009 Ausrichtung der Untersuchung: Installation auf einem infizierten PC und Desinfektion aktiver Infektionen, Einfluss der Default-Einstellungen auf die Funktionseffizienz des Antivirusprogramms Um herauszufinden, wie das Antivirusprogramm auf einem infizierten PC installiert wird und aktive Infektionen desinfiziert, wurde das System auf 23 Viren getestet. Das System wurde infiziert (die Virenaktivität wurde nach dem Neustart getestet). Danach wurde das Antivirusprogramm installiert, der Neustart durchgeführt und die vollständige Desinfektion durch AVG vorgenommen. Bei Rootkit-Infektionen wurde das Anti-Rootkit-Modul gestartet, bei anderen Viren das vollständige Scannen des PCs durchgeführt. Der PC wurde anschließend neu gestartet und auf infizierte Objekte im System geprüft. Bei der Überprüfung der erfolgreichen Desinfektion aktiver Infektionen durch Dr.Web wurd das Utility Dr.Web CureIt! in der Schnellüberprüfung verwendet. Die Virenklassifikation entspricht der Terminologie von Dr.Web. Trojan.PWS.Clever.2 AVG: löscht einige infizierte Dateien, der Rootkit-Vorgang bleibt jedoch im PC-Speicher aktiv Dr.Web: Virus neutralisiert Trojan.PWS.Snap.395 AVG: Virus nicht detektiert Dr.Web: Virus neutralisiert MULDROP.Trojan AVG: Virus nicht detektiert Dr.Web: Virus neutralisiert Trojan.MaosBoot AVG: Virus nicht detektiert Dr.Web: Virus neutralisiert © Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6 Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212 Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected] Doctor Web © Mai 2009 Trojan.Msliksur.1 AVG: nach mehreren Neustart-Vorgängen konnte das Virus gelöscht werden Dr.Web: Virus neutralisiert Trojan.Ntldrbot AVG: Virus nicht detektiert Dr.Web: Virus neutralisiert Backdoor.tdss.77 AVG: Virus detektiert, konnte aber nicht desinfiziert werden Dr.Web: Virus neutralisiert Trojan.SpamBot.3381 AVG: Virus nicht detektiert Dr.Web: Virus neutralisiert Trojan.MulDrop.5478 AVG: Virus nicht detektiert Dr.Web: Virus neutralisiert Trojan.MulDrop.6323 AVG: wurde nicht installiert Dr.Web: Virus neutralisiert Trojan.SpamBot © Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6 Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212 Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected] Doctor Web © Mai 2009 AVG: wurde sofot nicht installiert. Das Virus wurde nach dem Neustart neutralisiert Dr.Web: Virus neutralisiert Adware.Look2Me AVG: Virus neutralisiert Dr.Web: Virus neutralisiert Backdoor.Haxdoor.360 AVG: Virus detektiert, AVG kann es aber nicht löschen, 100% Systemauslastung Dr.Web: Virus neutralisiert Backdoor.Uragan AVG: komlizierte Desinfektion (mehrere Neustart-Vorgänge erforderlich) Dr.Web: Virus neutralisiert Trojan.Siggen.2250 AVG: kann nciht aktualisiert werden, Virus nicht detektiert Dr.Web: Virus neutralisiert Trojan.PWS.GoldSpy AVG: Installation wird gestört. Starke Systemauslastung. Komplizierte Desinfektion. Virus neutralisiert Dr.Web: Virus neutralisiert Trojan.PWS.Lich AVG: detektiert, konnte aber aus der Systemdatei userinit.exe nicht gelöscht werden. Das Virus ist im System aktiv geblieben © Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6 Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212 Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected] Doctor Web © Mai 2009 Dr.Web: Virus neutralisiert Trojan.Proxy.1824 AVG: vor dem Neustart konnte nicht installiert werden, anschließend aktualisiert. Infizierte Datei konnte detektiert und gelöscht werden. Virus nicht desinfiziert Dr.Web: Virus neutralisiert Win32.HLLM.Beagle AVG: komplizierte Desinfektion (mehrere Neustart-Vorgänge erforderlich) Dr.Web: Virus neutralisiert Win32.HLLM.Graz AVG: Virus neutralisiert Dr.Web: Virus neutralisiert Win32.HLLM.Perf AVG: nach der Installation wurde folgende Meldung “Schutz der Intaktheit der WindowsDateien” angezeigt. Das Antivirusprogramm konnte nicht gestartet werden Dr.Web: Virus neutralisiert Win32.Parite.2 AVG: Virus neutralisiert Dr.Web: Virus neutralisiert Win32.Sector AVG: komplizierte Desinfektion © Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6 Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212 Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected] Doctor Web © Mai 2009 Dr.Web: Virus neutralisiert (eventuelle Probleme bei der Installation des Antivirusprogramms über das Setup auf einem infizierten PC) Einstellungen für Desinfektion und Entfernung von Viren AVG Internet Security 8.5 Man muss zu Recht betonen, dass die Einstellungen des Antivirusprogramms alles andere als unkompliziert sind. Die Oberfläche mit den Haupteinstellungen stellt eine baumartige Struktur dar, wo eine Vielzahl von Parametern und Optionen für alle AVG IS-Module vereinigt sind. Selbst ein fortgeschrittener Anwender braucht einige Zeit, um notwendige Korrekturen vorzunehmen. Die Default-Einstellungen sind nicht immer effizient, weil sie meistens für eine schnelle Funktionsweise des Antivirusprogramms optimiert sind. Dies führt dazu, dass einige Bedrohungen durch AVG Internet Security 8.5 einfach nicht detektiert werden können (dieses potenzielle Problem hätte auch behoben werden müssen). Dr.Web Security Space 5.0 Die Einstellungen von Dr.Web Antivirus sind benutzerfreundlich. Der Zugriff auf die Einstellungen erfolgt von jedem einzelnen Modul aus, dabei hängen sie inhaltlich mit der Funktionsweise des jeweiligen Moduls zusammen. Darüber hinaus ist eine optimale Konfiguration bereits vorhanden. Sie sorgt bei minimaler CPUAuslastung für ein hohes Schutzniveau. Beispiele der Fehlkonfigurationen Virenquarantäne Nach den Default-Einstellungen ist die Virenquarantäne von AVG IS, wo gelöschte infizierte und verdächtige Dateien landen, 10% von der Festplatte groß. Bei der kompletten Ausfüllung der Quarantäne werden Dateien nicht mehr verschoben und bleiben an demselben Ort. Die Virenquarantäne muss deshalb durch eine entsprechende Option gereinigt werden. Große Dateien (und sog. Dateibomben) landen nicht in der Quarantäne, das Antivirusprogramm kann mit denen überhaupt nicht fertig werden (sie müssen deshalb per Windows Explorer manuell entfernt werden). © Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6 Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212 Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected] Doctor Web © Mai 2009 Dr.Web SS hat kein solches Problem. Die Größe der Quarantäne ist nur durch Möglickeiten des Systems beschränkt. Web-Schutz (SpIDer Gate in Dr.Web) In AVG IS werden Archive nach Default-Einstellungenicht überprüft. Die Infektion kann deshalb ins System leicht eindringen und auf der festplatte gespeichert werden. Maximalgröße der überprüften Objekte - 20 MB, was für eine zuverlässige Überprüfung komplett ausreicht. Nachden Voreinstellungen werden aber Dateien mit einer Größe von 200 KB überprüft. In SpIDer Gate ist die Überprüfung von Archiven aktiviert. Die Größe der überprüften Dateien ist unbeschränkt. Scans AVG Internet Security 8.5 Das Scannen auf Rootkit-Viren ist bei der Komplettüberprüfung deaktiviert. Deis ist ein wesentlicher Nachteil, weil ein aktives Virus ohne Neutralisierung seines Prozesses nicht gelöscht werden kann. Die Überprüfung der Media-Dateien ist auch deaktiviert, was auch zu einer Ursache des Vireneinbruchs werden kann. Dr.Web Security Space 5.0 Beim Start des Scanners werden laufende Prozesse und Module immer überprüft. Aktive Viren werden deshalb noch vor der Komplettüberprüfung des PCs neutralisiert. Desinfektion der Dateien Die Desinfektion von Dateien, die außer dem Schadcode noch nützliche Informationen enthalten, ist in AVG ganz schlecht realisiert. Infizierte Datein werden in der Regel in die Virenquarantäne verschoben. Der Anwender kann deshalb sensible Informationen leicht verlieren. Um sich dafür einen Beweis zu verschaffen, muss man infizierte Dateien unabhängig durch AVG und Dr.Web überprüfen und anschließend die Anzahl der jeweilig desinfizierten und entferneten Dateien vergleichen. AVG IS desinfiziert nicht Systemdateien, weil sie sich in einer bestimmten White-Liste befinden. Das Virus bleibt aktiv und kann nicht neutralisiert werden. © Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6 Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212 Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected] Doctor Web © Mai 2009 Ausrichtung der Untersuchung: Funktionsvergleich zwischen AVG und Dr.Web Parameter Unterstützte Plattformen Dr.Web Security Space 5.0 AVG Internet Security 8.5 Windows 2000 SP4 Windows 2000 SP4 Windows XP (32-bit) Windows XP (32-Bit) Windows Vista (32-bit) Windows XP (64-Bit) Windows Vista (32-Bit) Windows Vista (64-Bit) Größe der Installationsdatei ca. 51 MB ca. 75 MB (Antivirus-Komponenten können durch AVG Download Manager heruntergeladen werden, ca. 1 MB) Systemanforderungen CPU: 400 MHz CPU: 1,2 GHz RAM: 128 MB RAM: 256 MB HDD: 50 MB HDD: 120 MB Installation Die beiden Lösungen haben einen identischen Installationsablauf. Die Installation erfolgt schnell und unkompliziert. Die Komponenten und der Installationsort können ausgewählt werden. Die Aktualisierungsfunktion ist vorhanden. Unterschiede: 1) Dr.Web Antivirus startet am Ende der Installation (vor dem Neustart) die Schnellüberprüfung des PCs auf Viren. Aktive Bedrohungen werden vor dem nächsten Start des Betriebssystems neutralisiert. 2) Der Aktualisierungsvorgang in Dr.Web wird während der Installation gestartet, in AVG – beim Starten von First Run Wizard. © Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6 Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212 Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected] Doctor Web © Mai 2009 3) AVG verfügt über einen Konfigurationsassistenten First Run Wizard, der nach dem Herunterfahren des Hauptinstallationspakets aktiviert wird. Mit Hilfe des Assistenten kann ein Update- und Scanmodus nach dem Zeitplan definiert werden (die Auswahl ist nicht optimal). Die eingebundene Firewall kann auch konfiguriert werden. Die Installation der Firewall erfordert den Neustart des Systems (ohne Firewall ist sie nicht erforderlich). 4) Wegen der spezifischen Architektur einiger AVG-Module müssen jeweilige Plug-ins (für Microsoft Office und E-Mail-Clients) für das weitere Laufen des Programms ausgewählt werden. 5) Die Unterstützung weiteter Sprachen bei AVG muss im Voraus geschaltet werden, indem die jeweilige Lokalisierung ausgewählt wird. Komponenten Die Auswahl von Möglichkeiten bei AVG Internet Security 8.5 ist größer als die Funktionalität von Dr.Web Securtity Space 5.0. Nun gehen wir auf diese Komponenten ein. Antivirus Beide Antiviren-Engines verfügen über fasz dieselbe Auswahl von unterstützten Technologien: - Signatursuche - Heuristische Analyse - Suche innerhalb Archive - Ausnahme-Listen werden unterstützt Es gibt aber wesentliche Unterschiede bei der Virensuche. Dr.Web Security Space verfügt über Origins Tracing - Technologie für die Suche nach unbekannten Viren, die nach speziellen Algoritmen und ähnlichen Merkmalen bei einem verdächtigen Objekt und in den Siganturen der Virendatenbanken unbekannte Bedrohungen, für die es noch keine Definition gibt, detektiert. In AVG Internet Security gibt es keine vergleichbare Technologie. Die Suche in Archiven und gepackten Objekten erfolgt bei Dr.Web Secirity Space effizienter. Dr.Web unterstützt mehr Archiv- und Packerformate als AVG IS, z.B.: Dateien, die mit 7-ZIP gepackt wurden, können mit AVG nicht entpackt werden, die Entpackung von E-Mail-Archiven (bei *.tbbDateien, die infizierte Anhänge enthalten) usw. Darüber hinaus verfügt Dr.Web SS über FLY-CODE (Technologie für die Entpackung der mit unbekannten Packern komprimierten Dateien). Hier werden spezielle Algoritmen eingesetzt, durch die der Inhalt vieler gepackter Dateien bearbeitet wird. In AVG Internet Security gibt es keine vergleichbare Technologie. © Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6 Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212 Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected] Doctor Web © Mai 2009 Als Beweismaterial kann eine Auswahl von Dateien verwendet werden, die mit verschiedenen Archivern komprimiert und verschiedenen Packern gepackt wurden. Wesentlich besser schneidet Dr.Web in Bezug auf den Desinfektionsmechanismus ab. Der Inhalt infizierter Dateien kann in den meisten Fällen wiederhergestellt werden. Dies kann auch eine Auswahl von Dateien belegen, die Informationen enthalten und eigens infiziert wurden. AVG Internet Security bietet eine unvollständige Liste von Aktionen – Desinfizieren, in die Quarantäne verschieben oder Infektion ignorieren. Außer den genannten Optionen können die Dateien bei Dr.Web SS umbenannt und gelöscht werden, der Zugriff auf eine Datei kann auch gesperrt werden. Security Space verfügt hier über eine reichere Funktionalität: der Anwender kann die Priorität der Aktionen definieren (bis zu vier Punkte), die für verschiedene Infektionstypen (Viren, verdächtige, verschachtelte und andere Dateien) gelten, vorausgesetzt, die Hauptaktion ist nicht möglich. Probleme finden sich in AVG beim Verschieben der Dateien in die Quarantäne. Nach den Default-Einstellungen ist sie 10% von der Festplatte groß. Sie wird oft überfüllt (weil alle Objekte beim Löschen in die Virenquarantäne verschoben werden). Dort können auch umfangreiche Dateien landen (Dateien müssen deshalb manuell mit Wondows-Tools gelöscht werden). Anti-Spyware Das Modul ist in der Programm-Engine realisiert, bei AVG IS kann es deaktiviert werden. In Dr.Web SS ist die Liste von Aktionen gegen Spyware (wie bei sonstiger Malware) viel breiter. Man kann auch die Priorität und Aktionsfolge in Bezug auf detektierte Objekte definieren. Anti-Spam Das Antispam-Modul in AVG Internet Security muss zuerst justiert werden. Es gibt viel zu viele Einstellungen, die man auf einmal beherrschen muss. Im Vergleich zu AVG muss das Antispam-Modul von Dr.Web nicht justiert werden. Es wird täglich aktualisiert, funktioniert schnell und effizient. Die beiden Programme unterstützen White- und Black-Listen. Ausgesiebte Mails können auch markiert werden. Bei AVG ist die Konfiguration der Verwaltung von Mails breit gefächert. Es ist deshalb ziemlich schwierig, alle Einstellungen auf einmal zu beherrschen. Firewall Die Firewall gibt es nur in AVG Internet Security 8.5. Eine vergleichbare Komponente gibt es in Dr.Web Security Space nicht. Wir gehen kurz auf die Benutzerfreundlichkeit der AVG IS Firewall ein. © Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6 Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212 Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected] Doctor Web © Mai 2009 Die Einstellungen der Firewall richten sich nur an Spezialisten, die mit der Funktionsweise des Netzwerk-Schutzes gut vertraut sind. Folglich kann die Konfiguration der Firewall von AVG Internet Security für einen Normal-Anwender eine harte Nuss sein. Es gibt viel zu viele Parameter und Werte, für die auch ein feines Verständnis gehört, ansonsten wird der Schutz nicht mehr gewährleistet bzw. die Netzwerk-Anwendungen werden nicht mehr laufen. MIt Hilfe von Quick-Einstellungen (Registerkarte Übersicht – Firewall) kann die Firewall aktiviert/deaktiviert und der ganze Netzverkehr geblockt werden (die letzte Option gibt es auch bei Dr.Web Security Space in der Elterlichen Kontrolle). Man kann Gaming Mode aktivieren, in dem FirewallMeldungen nicht angezeigt werden. Man kann auch Profile, die individuelle Einstellungen haben und das jeweilige Schutzniveau gewährleisten, schnell erstellen und umschalten. Das tut uns aber wenig gut, denn die Firewall von AVG Internet Security hat sich als uneffizient gezeigt. Die Studie von Matousec (http://www.matousec.com/projects/proactive-securitychallenge/results.php) belegt, dass die Firewall ihre Schutzfunktionen schlecht erfüllt, im Test mehrmals durchgefallen ist und sich für sicherheitsbewusste Anwender kaum empfehlen lässt . Anti-Rootkit Möglichkeiten der Desinfektion aktiver Infektionen, die sich zum Tarnen im Betriebssystem Rootkit-Techniken zunutze machen, wurden oben behandelt. System Tools Das Modul System Tools gibt es nur in AVG Internet Security 8.5. In einer vergleichbaren Lösung Dr.Web Security Space ist die Komponente nicht vorhanden. Ist dieses Modul für den Endanwender wirklich nötig? Eine detailierte Analyse der Funktionalität von System Tools hat einige Probleme in der Realisierung des Moduls entdeckt. Es zeigt laufende Prozesse, Netzwerkverbindungen und die von LSP und BHO definierten AutoDownloads an. Prozesse Das Antivirusprogramm Informationen an: zeigt (im Vergleich zum Windows-Task-Manager) © Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6 Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212 Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected] folgende Doctor Web © Mai 2009 Der Task-Manager entdeckt mehr Prozesse. Darüber hinaus kann AVG IS die mit den RootkitTechnologien versteckten Prozesse nicht detektieren. Diesen Nachteil machen sich oft Viren zunutze. Die Option Terminate Process (Prozess abbrechen) versucht den Prozess standardmäßig durch “End Task” zu beenden. Dies ist leider bei der Bekämpfung von Viren uneffizient. Für Anwender bietet diese Option keine zusätzlichen Instrumente für die Erhöhung der Sicherheit und Benutzerfreundlichkeit. Die Funktionalität ist arm (vergleichbar mit dem Task-Manager) und steht in keinem Vergleich mit kostenlosen und kleinen Utilities dritter Hersteller (z.B. Process Explorer, GMER usw.). Netzwerkverbindungen Dieses Modul hat sich nicht besonders gut bewährt. Es hat alle offenen und hergestellten Verbindungen nicht detektieren können (siehe Abbild für den Fall bei einer minimalen Netzwerkaktivität). Bei hoher Netzwerkaktivität und der aufgemachten Registerkarte hängt sich die Benutzeroberfläche von AVG auf. © Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6 Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212 Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected] Doctor Web © Mai 2009 Autostart Die Liste von automatisch gestarteten Programmen und Services ist schlecht dargestellt. Es wird nur ein Teil der Lokationen überprüft, wo Programme (einschl. Viren) geschrieben werden. So erweist sich der Autostart als wenig verwendbar, obwohl er mehr Informationen zur Verfügung stellt als MSConfig (Standard-Utility von Windows). Browsererweiterungen Diese Option kann nützlich sein, weil alle installierten BHOs angezeigt werden können. Der Anwender kann unnötige Erweiterungen entfernen. Keine der Komponenten von IE konnte aber durch AVG IS entfernt werden (inkl. AVG Security Toolbar). © Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6 Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212 Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected] Doctor Web © Mai 2009 LSP-Anzeige Die LSP-Anzeige erfüllt die Schaufunktion und ist somit auch nützlich. Das Einsehen der LSPAnzeige ist eine Aktion für Spezialisten, die sich im Gerät sowie seiner Funktionsweise auskennen. Der Normal-Anwender (selbst wenn er eine “überflüssige” Signatur entdeckt) wird die Lage nicht retten können (in der Tool-Auswahl von AVG sind keine nötigen Instrumente vorhanden). E-Mail-Scanner Der Schlüsselunterschied zwischen AVG IS und Dr.Web SS besteht in der Bearbeitung von Mails, genauer gesagt, wie und wann sie diese durchführen. Für eine korrekte Bearbeitung von Mails in AVG IS müssen spezielle Plug-ins für E-Mail-Clients bzw. ein persönlicher Monitor für andere Anwendungen installiert werden. Es wird nur die Überprüfung von POP3/SMTP sowie geschützter Verbindungen unterstützt. Die Überprüfung ausgehender Mails ist deaktiviert. Infizierte Mails werden entfernt. Die Änderung der Einstellungen des E-Mail-Scanners ist für den Normal-Anwender wegen der unübersichtlichen Architektur der erweiterten Einstellungen alles andere als unkompliziert. Bei Dr.Web SS gibt es keine Anbindung an eine konkrete Anwendung. Es werden alle eintreffenden und ausgehenden Mails nach dem POP3/SMTP/IMAP/NNTP-Protokoll überprüft. Man kann dabei eine Aktion auswählen, die für infizierte und verdächtige Mails (Löschen, in die Qurantäne verschieben, Benachrichtigen, Durchlassen) ausgeführt wird. © Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6 Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212 Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected] Doctor Web © Mai 2009 Identitätsschutz Identitätsschutz oder Identity Protection gibt es nur in AVG Internet Security 8.5 und hilft dem Anwender das Sicherheitsniveau seines PCs zu erhöhen und persönliche Daten zu speichern. Laufende Prozesse werden nach mehreren Parametern überprüft (Funktionsparameter, benutzte Möglichkeiten, Funktionsprinzipien usw.). Danach wird entschieden, ob man dieser Anwendung vertrauen kann. Die Entscheidung wird automatisch getroffen, der Anwender kann sie aber mit Leichtigkeit ändern: Vorgang beenden, eine ausführbare Datei in die Quarantäne verschieben, eine Anwendung blocken bzw. entsperren. ID Protection funktioniert unabhängig von der Antiviruslösung und hat eigene Prozesse, das Fenster der Benutzeroberfläche und unabhängige Einstellungen. Link Scanner (LinkChecker) und Web Shield (SpIDer Gate) Der Schutz eines Anwender-PCs mit der Internetverbindung ist eine wichtige Aufgabe für ein Antivirusprogramm, denn das Internet ist meistens eine Hauptquelle von elektronischen Infektionen. Die Tools von AVG und Dr.Web überprüfen den HTTP-Verkehr „on the fly“, d.h. bevor der Schadcode im Web-Browser ausgeführt oder auf der Festplatte gespeichert wird. Dadurch wird man solche Anfälligkeit wie Start des Schadcodes im Web-Browser (Internet Explorer, Firefox, Opera usw.) los. Es werden Archive (in AVG ist diese Option nach den Default-Einstellungen deaktiviert), Skripts, HTML-Seiten, aktive Inhalte usw. überprüft. Beide Antiviruslösungen ermöglichen es, Links noch vor dem Weiterleiten und Anzeigen der angeforderten Seiten zu überprüfen. Der LinkScanner von AVG ist auch mit beliebten Suchmaschinen (Google, Yahoo!, MSN usw.) kompatibel. Er überprüft die Treffer automatisch und markiert sie entsprechend. Ein weiterer Pluspunkt von AVG IS ist die Antivirenüberprüfung des Verkehrs der InstantMessaging-Systeme MSN, ICQ und Yahoo!. Man hätte auch behaupten können, dass Anwender von AVG vor Internetbedroghungen komplett geschützt sind. Das Programm weist aber eine niedrige Reakionsgeschwindigkeit von Web Shield auf und hat offensichtlich Probleme bei der Detektion von Bedrohungen. Viren werden im WebBrowser nicht nur ausgeführt, sondern auch lassen ihre Kopien auf der Festplatte. http://www.f16.h1.ru/open1.htm http://www.dangdangdz.com/blog/css/default/down/NBd.gif http://60.173.10.13/sas.htm © Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6 Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212 Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected] Doctor Web © Mai 2009 http://60.173.10.13/film.htm http://bins.dns-look-up.com/bins/int/upAYB.int http://t15968.nb.host-domainlookup.com/bins/int/upd_admn.int?fxp=7c375ae29fbb5b1e477769f4f3e53a1ce918380e25a9e38eb2e6 1c7173b069f40f873316 http://hospegem.land.ru/penca.jpg http://www.leutheuser.de/mxd.jpg AVG: nicht detektiert Dr.Web: blockiert http://60.173.10.13/asa.htm http://60.173.10.13/kole009.htm AVG: speichert, Web Shield findet es, die Datei bleibt aber auf der Festplatte Dr.Web: blockiert http://xtpxhtps.idoo.com/MARVEL.js AVG: Web Shield hat es zuerst nicht entdeckt, dann jedoch detektiert, anschließend durch Residenten Schutz wieder entdeckt, im Endeffekt (nach dem “Ausbremsen”) erfolgreich neutralisiert. Man kann aber zu Recht behaupten, dass sich der Schadcode im Web-Browser erfolgreich ausgeführt hat Dr.Web: blockiert Residenter Schutz (SpIDer Guard) Residenter Schutz in AVG IS sowie SpIDer Guard in Dr.Web SS ist ein Datei-Monitor, der benutzte Dateien in Echtzeit überprüft. AVG Internet Security 8.5 © Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6 Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212 Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected] Doctor Web © Mai 2009 AVG Residenter Schutz hat folgende Default-Einstellungen: über Riskware und Spyware benachrichtigen, Bootsektoren der Wechseldatenträger scannen und die Heuristik verwenden. Die automatische Desinfektion wird nicht verwendet, die Überprüfung von Datein beim Schließen ist deaktiviert (Dateien werden nur beim Kopieren, Öffnen und Speichern überprüft). Es können auch Ausnahmen definiert werden, Viren können nicht so vielseitig behandelt werden wie bei Dr.Web SS. Man muss betonen, dass nach den Default-Einstellungen nur bestimmte Dateitypen überprüft werden und zwar: infizierte Dateien und Dateien folgender Formate (;386;ASP;BAT;BIN;BMP;BOO;CHM;CLA;CLAS*;CMD;CNM;COM;CPL;DEV;DLL;DO*;DRV;EML;EXE;GIF;HLP; HT*;INI;JPEG*;JPG;JS*;LNK;MD*;MSG;NWS;OCX;OV*;PCX;PDF;PGM;PHP*;PIF;PL*;PNG;POT;PP*;SCR;SH S;SMM;SWF;SYS;TIF;VBE;VBS;VBX;VXD;WMF;XL*;XML;ZL*). Um Viren erfolgeich zu löschen, sind die Administratorrechte bzw. Power-User-Rechte (Benutzergruppe mit privilegierten Rechten) erforderlich. Oft reicht es aber nicht aus, um den PC komplett zu desinfizieren (siehe Probleme mit aktiven Infektionen). Dr.Web Security Space 5.0 Die Default-Konfiguration der Überprüfung bei SpIDer Guard ist optimal. Dateien und Bootsektoren der Festplatten werden nur beim Erstellen einer neuen Datei bzw. beim Schreiben in einer vorhandenen Datei (Bootsektor) überprüft, Dateien und Bootsektoren der Wechseldatenträger werden auch beim Lesen und Programmstart überprüft. Es werden auch Dateien der gestarteten Vorgänge, laufende Programme und Module sowie Autostart-Listen gescannt. Die Heuristik ist auch aktiviert. Es werden alle Dateien überprüft (außer Datei- und E-Mail-Archiven). Bei Bedarf kann in den Einstellungen die Überprüfung von Archiven aktiviert werden. Die Liste von überprüften Dateitypen kann auch geändert werden. Die oben beschriebene Herangehensweise gilt auch für die Aktionsfolge gegenüber verschiedenen Malware-Typen. Man kann Ausnahmen sowie weitere Einstellungen (Absenden von Meldungen, Anzeige der Mahnungen usw.) definieren. SpIDer Guard wird als Treiber des Systemkernels geladen. Er erhält den vollen Zugriff auf alle Objekte des Betriebssystems und Benutzer-Dateien und kann jegliche Infektionen leicht neutralisieren. Elterliche Kontrolle Die Elterliche Kontrolle ist ein Modul von Dr.Web Security Space. In AVG IS gibt es keine vergleichbare Komponente. Dieses Modul stellt für Anwender zwei Funktionen zur Verfügung: URL-Filter und Zugriff auf lokale Ressourcen. Alle Einstellungen sind vor dem unabsichtlichen/böswilligen Ändern und Deaktivieren über das Benutzerpasswort geschützt. URL-Filter © Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6 Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212 Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected] Doctor Web © Mai 2009 Diese Funktion schränkt den Zugriff auf Internet-Inhalte ein. Als Kriterium kann eine Liste von Benutzeradressen sowie die im Voraus erstellten Liste mit mehreren Kategorien gelten: Pornographie, Gewalt, Waffen, Drogen, Glücksspiele, Schimpfwörter, Chats, Terrorismus, E-Mail, soziale Netzwerke. Lokalzugriff Durch diese Option kann der Anwender die Verwendung von Wechseldatenträgern verbieten, den Zugriff auf das Netzwerk komplett blocken und die Verwendung von einzelnen Dateien und Verzeichnissen einschränken. Es ist deshalb unmöglich, diese Einschränkungen zu umgehen, wenn die Elterliche Kontrolle aktiv ist. Benutzeroberfläche Die Benutzeroberflächen in den Programmen unterscheiden sich gravierend. AVG Internet Security 8.5 In AVG Internet Security 8.5 ist die einheitliche Benutzeroberfläche (GUI) ähnlich wie Control Center realisiert und stellt ein Anwendungsfenster dar, auf dessen linken Seite man navigiert und rechts alle Informationen angezeigt werden. In der Navigationsoberfläche gibts es nur 3 Punkte: Komponentenübersicht, Scannen und Aktualisierung. Die ersten zwei Punkte werden im Arbeitsbereich des Untermenüs und der dritte Punkt (Aktualisierung) startet sofort die Programmaktualisierung. Bei diesem Punkt werden auch Statistiken angezeigt: Version der Komponenten, Datum der letzten Aktualisierung und Überprüfung sowie Lizenzdaten. Punkte der Einstellungen und der Verwaltung der Virenqurantäne, das Einsehen der Historie sowie weitere Funktionen sind im oberen Systemmenü versteckt. Der Zugriff auf diese Funktionen ist nicht offensichtlich. Um sich mit der Benutzeroberfläche vertraut zu machen, muss man auch mit hohem Zeitaufwand rechnen. Die Einstellungen lassen sich nur mühsam ändern. Eine baumartige Struktur der Einstellungen und eine große Anzahl der nicht immer verständlichen Parameter erschweren die Konfiguration. Um Änderungen vornehmen zu können, muss man sich in Funktionsprinzipien des Antivirusprogramms auskennen bzw. mit der jeweiligen Dokumentation vertraut sein. Im Systemtray befinden sich zwei Icons: das eine – für das Öffnen der Benutzeroberfläche von AVG IS, das andere – für das Öffnen des Fensters von Identity Protection. Während des Scans auf Anforderung bzw. nach dem Zeitplan erscheint ein drittes Icon, welches den Status des Scanners anzeigt. © Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6 Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212 Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected] Doctor Web © Mai 2009 Es müssen noch zwei Punkte hervorgehoben werden: überflüssige Anzahl der Objekte in der Übersicht und das Aufhängen bei der Arbeit mit AVG UI. Die Registerkarten werden langsam umgeschaltet usw. AVG Internet Security 8.5 hat ein auch weiteres Problem: ab Aktivierung des Scanvorganges und bis zum unmittelbaren Start des Scanvorganges vergeht viel Zeit. Der Benutzer erhält auf einmal keine Antwort von der Benutzeroberfläche und klickt auf dieselbe Schaltfläche mehrmals. Als Folge werden mehrere Scans gestartet. Der Erklärungsbedarf besteht auch bei „Automatic scan“. Man muss den Schieberegler bewegen, um andere Modi anzeigen zu lassen und den Unterschied festzustellen. Dr.Web Security Space 5.0 Das Icon von SpIDer Agent im Systemtray ist das Hauptelement der Benutzeroberfläche. Über dieses Element erfolgt die Kommunikation mit allen Einstellungen und Modulen des Antivirusprogramms: Öffnen der Verwaltung bzw. Einstellungen aller Module (für jede Komponente sind alle Befehle und Punkte im Submenü gruppiert), Einsehen des Modul-Status (geänderter Status wird durch verschiedene Icons angezeigt), Deaktivieren/Aktivieren des Selbstschutzes, Aufrufen der Hilfe, Einsehen der Version der Komponenten und Zugriff auf andere Funktionen (Lizenzmanager, Zeitplaner). Das Icon im System-Tray zeigt den Funktionsmodus kritischer Komponenten des Antivirenschutzes (SpIDer Guard und Selbstschutz) an. Alle Einstellungen sind nach entsprechenden Modulen gruppiert und intuitiv verständlich. Bei Verwaltungselementen sowie bei der Anzeige gibt es keine Probleme. © Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6 Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212 Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected]