Trojan horse, rookit, botnet, keylogger... những thuật ngữ này có thể không có nhiều ý nghĩa đối với người dùng thông thường, nhưng đối với máy tính thì chúng giống như vi rút (virus) Ebola hay cúm gia cầm. Bọn tội phạm công nghệ đã tìm cách kinh doanh thật sự từ những thứ giải trí một thời của các chuyên viên máy tính lập dị.Để xem những công cụ nào hiện nay có khả năng bảo vệ người dùng tốt nhất, nhóm thử nghiệm (NTN) đã kiểm tra 8 phần mềm chống virus chạy độc lập: Alwil Avast 4 Antivirus Professional Edition, BitDefender Antivirus 10, Eset NOD32, Grisoft AVG 7.5 Anti-Virus Professional Edition, Kaspersky Anti-Virus 6, Panda Antivirus 2007, Symantec Norton AntiVirus 2007 và Trend Micro AntiVirus + AntiSpyware 2007. Các phần mềm này có giá thấp hơn các bộ công cụ bảo mật trọn gói; tất cả đều có tính năng bảo vệ chống spyware và đa số có khả năng chống rootkit để chống lại những thủ đoạn ranh ma nhằm luồn malware vào hệ thống. Tất cả phần mềm được thử nghiệm đều có cơ chế bảo vệ đón đầu chống lại những virus chưa biết, bổ sung cho phương thức nhận dạng truyền thống. Để có thêm thông tin về các phương thức bảo vệ đón đầu, xem phần “Khi dữ liệu nhận dạng không đủ”.
Sau khi phân tích nghiêm túc, NTN đã xếp Kaspersky Anti-Virus 6 đứng đầu (Best Buy). Phần mềm này chia sẻ với các sản phẩm của Symantec và BitDefender về danh hiệu phát hiện malware tốt nhất, ngoài ra còn thực hiện tốt nhất việc làm sạch các file bị nhiễm malware; tuy nhiên khá đắt với giá 50USD.
Hợp tác với công ty nghiên cứu bảo mật AV-Test.org, NTN đã kiểm tra đánh giá các phần mềm chạy trên Windows Vista Ultimate; cả 8 phần mềm cũng có phiên bản cho Windows XP. Cho đến hiện tại những thử nghiệm quan trọng nhất mà AV-Test thực hiện là cho từng phần mềm đương đầu với “zoo” - tập hợp gần 900.000 virus, trojan horse, bot và các dạng malware khác đã được nhận dạng. Sau bước này, từng phần mềm được thử sức phát hiện những malware mới, dùng dữ liệu nhận dạng cũ 1-2 tháng để mô phỏng khả năng ngăn chặn malware chưa biết.
Từng phần mềm được đánh giá về thiết kế và tính dễ dùng, bao gồm cài đặt với cấu hình mặc định. Sau đó xem xét đến hiệu suất, hỗ trợ các chính sách và các tính năng như quét kiểm tra luồng dữ liệu web. Cuối cùng, xem xét về giá.
NTN chọn các phần mềm chống virus tốt nhất của các hãng nổi tiếng có phiên bản dành cho Vista. Alwil và Grisoft có các phiên bản miễn phí hạn chế tính năng, nhưng để so sánh tương xứng, NTN đã chọn các phiên bản có phí. Có thể bạn thắc mắc sao không thấy McAfee trong danh sách. Công ty này không còn bán phần mềm chống virus chạy độc lập (phần mềm Virus Scan Plus của hãng này bao gồm cả firewall). Một trường hợp khác là F-Secure, phần mềm phổ biến của hãng này không hỗ trợ Vista vào thời điểm thực hiện bài viết này.
1. Kaspersky
Được chọn là Best Buy, phần mềm chống virus Kaspersky Anti-Virus 6 đạt tỉ lệ thành công cao nhất trong việc phát hiện malware (96%) và diệt (86%). Đây cũng là phần mềm đưa ra nhận dạng mới nhanh nhất (0-2 giờ).
| Khả năng phát hiện virus xuất sắc và nhận dạng nhanh chóng đưa Kaspersky lên đầu bảng. |
Tuy nhiên bạn phải trả giá cho hiệu suất suất sắc này. Với giá 50USD cho sản phẩm tải về, Anti-Virus 6 đắt nhất trong các phần mềm được thử nghiệm, dù giá cập nhật giảm còn 35USD/năm. Ngoài ra, cơ chế bảo vệ đón đầu của nó chỉ ở mức trung bình, phát hiện khoảng phân nửa số mẫu malware mới khi kiểm tra dùng dữ liệu nhận dạng cũ 1 tháng.Giao diện bóng bẩy của Anti-Virus 6 cho người dùng dễ dàng lập lịch quét và các lựa chọn “một nhấn” có nhãn rõ ràng giúp tìm và thiết lập nhiều tính năng nâng cao nhanh chóng.
Xử lý luồng email và tin, phần mềm này quét kiểm tra dữ liệu vào và ra trên các giao thức POP3, SMTP, IMAP và NNTP. Nó cũng giám sát luồng HTTP để phát hiện các mối đe doạ từ web. Tuy nhiên mặc định nó không thiết lập quét theo lịch, bạn phải tự làm.
Cơ chế bảo vệ chống phishing có sẵn có thể chặn email lừa đảo, module “phòng vệ đón đầu” của Kaspersky dò tìm các quá trình chạy ngầm và những thay đổi registry có thể phát hiện malware ẩn nấp trong rootkit.
Nếu thích phần mềm này, bạn hãy mua trên mạng - giá tải về rẻ hơn 10USD so với mua hộp. Nếu muốn chạy trên Vista, bạn cũng sẽ phải tải về phần mềm. Kasperky có cung cấp hỗ trợ miễn phí qua điện thoại và email (không miễn phí điện thoại liên bang và ngoài Mỹ).
2. Symantec
Symantec Norton Antivirus 2007 là công cụ mạnh, với tỉ lệ phát hiện virus 96%, xứng đáng ở thứ hạng cao. Giống như các sản phẩm hàng đầu khác, nó có giao diện dễ dùng và hấp dẫn. Tuy nhiên đây lại là phần mềm ứng phó với những đợt bùng phát virus chậm nhất, trung bình mất 10-12 giờ để đưa ra nhận dạng mới. Giống sản phẩm của Kaspersky, cơ chế bảo vệ đón đầu của nó chỉ ở mức trung bình, phát hiện khoảng phân nửa các mối đe doạ chưa biết trong thử nghiệm.
Với giá 40USD, Norton Antivirus 2007 rẻ hơn 10USD so với Kaspersky Anti-Virus 6, nhưng Symantec chỉ giảm giá cập nhật hàng năm có 1USD nên nó trở thành một trong những sản phẩm chống virus đắt đỏ về lâu dài. Hỗ trợ kỹ thuật cũng đắt: hỗ trợ qua điện thoại miễn phí theo quảng cáo chỉ áp dụng cho các trục trặc khi cài đặt và những lỗi đã biết; các cuộc gọi dạng khác tính phí 10USD.
Norton Protection Center cung cấp thông tin tổng hợp hữu ích về tình trạng bảo mật hệ thống. | |
Trong các thử nghiệm diệt malware, Norton chỉ đứng thứ hai sau Kaspersky. Nó làm sạch 18 trong 22 tình huống, chỉ bỏ sót 1 trong 2 thay đổi file Hosts (cấu hình mạng) và 3 mục registry không quan trọng.Symantec đã tích hợp kỹ thuật phân tích hành vi SONAR mới cho cơ chế phát hiện đón đầu. Phần mềm này quét kiểm tra email và luồng web, với các giao thức POP3, SMTP và HTTP. Ngoài ra, nó liên kết với các trình nhắn tin nhanh (IM) MSN, Yahoo và AOL (nhưng mặc định chỉ bảo vệ MSN).
Kiểm tra về tính dễ dùng và thiết kế của Norton AntiVirus chạy trên Windows Vista Ultimate, phần mềm này tắt tiện ích chống spyware có sẵn Windows Defender mà không cảnh báo. Theo Symantec, đây không phải do hai chương trình “đụng” nhau mà là do hãng cảm thấy “Windows Defender không cung cấp thứ gì tốt hơn những thứ Norton cung cấp”. Chỉ có một phần mềm khác cũng tắt Defender khi cài đặt đó là BitDefender.
Symantec Norton AntiVirus 2007 cũng là phần mềm duy nhất bật nhiều cảnh báo UAC (User Account Control) khi NTN thay đổi các thiết lập; hành vi này có thể làm phiền người dùng có kinh nghiệm muốn tùy biến.
3. BitDefender
| Hiệu suất của phiên bản Vista làm ảnh hưởng đến thứ hạng của BitDefender. |
BitDefender Antivirus 10 gần như chiếm thứ hạng đầu xét về tổng thể. Nó phát hiện malware khá tốt với tỉ lệ 96% và xếp thứ hai trong các thử nghiệm phát hiện đón đầu (đứng sau Eset NOD32) với dữ liệu nhận dạng cũ 1 tháng, tóm được 61% mẫu malware mới. Với giá 30USD và phí cập nhật 22USD, đây là một trong những sản phẩm rẻ nhất.Tuy nhiên, phần mềm này làm trì trệ hệ thống nghiêm trọng trong các thử nghiệm tốc độ. Ví dụ trong thử nghiệm Firefox nạp số lượng lớn trang web, BitDefender làm chậm hơn 3 lần các phần mềm khác. Công ty cho biết việc trì trệ này do một lỗi trong phiên bản chạy trên Vista và sẽ khắc phục trong bản cập nhật sắp tới.
Mặc dù khả năng phát hiện xuất sắc, BitDefender lại kém trong việc diệt malware. Nó làm sạch thành công chỉ 13 trong 22 tình huống, bỏ sót 1 malware và cả 2 thay đổi trong file Hosts.
BitDefender cũng có tỉ lệ phát hiện sai cao nhất, nhầm 14 file vô hại là malware (trong tổng số 20.000 file thử nghiệm).
Giao diện không thân thiện của NOD32 sẽ được Eset cải tổ | |
BitDefender có giao diện thiết kế tốt với thanh trượt trong cửa sổ chính cho phép bạn dễ dàng điều chỉnh các mức bảo vệ và các biểu tượng dễ nhận biết để kích hoạt chế độ quét toàn bộ hệ thống hay thiết lập các chế độ quét riêng. Đây cũng là sản phẩm duy nhất có hỗ trợ qua điện thoại miễn phí 24/7 (tại Mỹ), với các số điện thoại dễ nhớ và địa chỉ email hỗ trợ được liệt kê trong phần Help.Mặc định, phần mềm thực hiện quét kiểm tra toàn bộ hệ thống hàng ngày. Nó giám sát luồng email theo các giao thức POP3 và SMTP, làm việc tốt với Microsoft Outlook, Outlook Express và Windows Mail (trên Vista) để chống và lọc spam. BitDefender cung cấp bảo vệ nhắn tin nhanh ở mức cơ bản, tiếc là nó không kiểm tra luồng HTTP mặc định để nhận diện các mối đe doạ từ web (bạn phải tự bật tính năng này).
Một tính năng “bảo vệ riêng tư” độc đáo phát hiện khi thông tin cá nhân - như số thẻ tín dụng hay số chứng minh thư - đang bị lấy trộm từ máy tính mà không cần bạn báo cho chương trình biết trước đó là những số nào. Mặt khác, BitDefender là một trong hai phần mềm tự động tắt tiện ích chống spyware Windows Defender có sẵn của Vista.
4. Eset
Xét về khả năng phát hiện đón đầu, NOD32 của Eset đứng thứ nhất. Trong thử nghiệm, nó bắt được 79% mẫu malware chưa biết khi dùng dữ liệu nhận dạng cũ 1 tháng. Sản phẩm xếp kế, BitDefender đứng cách xa với 61%.
Tuy nhiên tỉ lệ phát hiện malware nói chung của NOD32 không thật xuất sắc. Đối đầu với số lượng đồ sộ trojan horse, virus và malware của Av-Test.org, NOD32 chỉ phát hiện được 90%, kém hơn tỉ lệ 96% của các sản phẩm đầu bảng. Thật ngạc nhiên, nó gặp khó khăn với các virus Windows 32-bit (cứ 11 mẫu trong zoo thì có 1 mẫu thuộc loại này), chỉ phát hiện khoảng 75%. Trong các thử nghiệm diệt malware, NOD32 làm sạch tất cả malware nhưng bỏ sót mọi thay đổi đối với file Hosts và hầu hết các thay đổi registry, với tỉ lệ thành công đáng thất vọng 55%.
Chương trình này cài đặt suôn sẻ và các thiết lập mặc định gần như lý tưởng cho người dùng thông thường. Có một phiền toái: NOD32 mặc định không bật tính năng quét kiểm tra toàn bộ hệ thống. Và khi bạn cố bật tính năng này hay thay đổi các thiết lập khác, bạn có thể gặp khó khăn bởi giao diện không thân thiện. Ví dụ, bạn sẽ cần mở thành phần giao diện DMON để nhận ra nó chịu trách nhiệm về việc quét các tài liệu Microsoft Office. Tương tự, nếu cần trợ giúp, bạn phải đến website của công ty.
Chương trình này tích hợp vào Outlook và Outlook Express để kiểm tra email, nhưng nó không tích hợp trực tiếp với bất kỳ ứng dụng IM nào để kiểm tra các liên kết hay file gửi đi. Hơn nữa, nó có tính năng quét kiểm tra virus, spyware và malware kết hợp mà các phần mềm khác yêu cầu thực hiện riêng biệt, một chống virus và một chống spyware. Công cụ đa năng này cũng có thể phát hiện rootkit ẩn giấu malware.
Với giá 39USD cho 1 người dùng và phí 27USD cập nhật hàng năm, giá của Eset NOD32 thuộc loại trung bình (trong nhóm sản phẩm thử nghiệm). Hỗ trợ qua điện thoại và email miễn phí.
5. Panda
Kết quả phát hiện ở mức trung bình, các thiết lập mặc định không thích hợp và hiệu suất diệt malware không nổi bật của Panda Antivirus 2007 làm lu mờ các tính năng mạnh của nó dẫn đến thứ hạng không ấn tượng - thứ 5.
Phần mềm này phát hiện 90% mẫu malware của AV-Test.org, tỉ lệ này bị kéo xuống do thể hiện kém trong việc phát hiện trojan horse (87%) và các chương trình cổng hậu (86%), hai dạng malware ngày càng phổ biến. Tuy nhiên, nó xếp thứ ba về khả năng phát hiện đón đầu, phát hiện 56% mẫu malware mới với dữ liệu nhận dạng cũ 1 tháng.
| Khả năng phát hiện malware trung bình, tương xứng với thứ hạng giữa của Panda Antivirus 2007. |
Nhưng nhiều tính năng bảo vệ quan trọng của Panda Antivirus 2007 mặc định bị tắt. Bạn cần phải tự bật tính năng quét kiểm tra email theo một qui trình phức tạp cần đến Windows Control Panel. Việc bảo vệ chống lại “các file có khả năng gây nguy hiểm” - ám chỉ adware và các thứ phiền toái khác - cũng mặc định tắt và bạn phải tự lập lịch quét kiểm tra toàn bộ hệ thống.Tuy nhiên, một khi bạn bật các tính năng trên, các hoạt động kiểm tra của Panda Antivirus sẽ bao trùm nhiều giao thức tin tức và email - POP3, SMTP, IMAP4, NNTP cùng với luồng dữ liệu web. Nó có thể cảnh báo email tình nghi giả mạo gửi qua giao thức POP3 và SMTP, và tích hợp với các ứng dụng IM Yahoo, MSN và AOL.
Panda Antivirus 2007 có điểm kém trong các thử nghiệm diệt malware. Nó bỏ sót một malware và không làm sạch được những thay đổi mà một malware khác gây ra trên file Hosts và registry. Với các thay đổi registry, nó chỉ làm sạch được 41%. Và sau khi gỡ bỏ, Panda để lại một file .dll mà các phần mềm chống virus khác báo hiệu có khả năng gây nguy hiểm.
Với giá 30USD cho 2 PC (không có giấy phép sử dụng cho 1 PC), Panda Antivirus 2007 là một trong những sản phẩm dễ mua, nhưng không giống với hầu hết các phần mềm khác, bạn không được giảm giá cập nhật. Ngoài ra, Panda chỉ cung cấp hỗ trợ điện thoại miễn phí cho 30 ngày đầu; sau đó cuộc gọi bị tính phí 20USD.
6. Alwil
Phiên bản có phí của phần mềm Alwil, Avast 4 Professional Edition, đứng thứ 6, thật đáng thất vọng, mặc dù tỉ lệ phát hiện malware thành công đến 92%. Nó chỉ phát hiện 37% malware trong các thử nghiệm đón đầu, thứ hai từ dưới lên. Và Alwil không cung cấp hỗ trợ điện thoại.
Trong thử nghiệm diệt malware, Avast chỉ đạt mức trung bình, làm sạch tất cả các file bị nhiễm nhưng bỏ sót các thay đổi đối với file Hosts và một số mục registry. Tỉ lệ thành công là 78%.
Avast có giao diện cơ bản dễ dùng nhưng giấu đi những thiết lập cấu hình nâng cao. | |
Phần mềm này cài đặt trơn tru với các thiết lập mặc định thích hợp cho người dùng thông thường. Nó có 2 lựa chọn giao diện: một bảng điều khiển rõ ràng dạng trình chơi nhạc giúp dễ nhận biết cách kích hoạt tính năng quét kiểm tra hay thiết lập thủ công việc kiểm tra lúc khởi động; và một “giao diện nâng cao” cho phép bạn truy cập và tinh chỉnh nhiều thiết lập hơn, nhưng có vẻ kém thân thiện hơn nhiều so với giao diện đầu.Sau khi cài đặt, Avast thực hiện một cuộc kiểm tra ban đầu toàn bộ hệ thống. Nhưng trong giao diện nâng cao rối rắm, NTN đã không thể tìm thấy nơi để thiết lập việc kiểm tra theo lịch thông thường. Có một thiết lập cho phép kiểm tra bất cứ khi nào trình tiết kiệm màn hình chạy, nhưng thiết lập này cũng khó tìm.
Phần mềm này quét kiểm tra nhiều giao thức tin tức và email, gồm POP3, SMTP, IMAP và NNTP. Nó cũng quét kiểm tra toàn bộ luồng web. Cơ chế bảo vệ nhắn tin nhanh toàn diện của Avast hỗ trợ đầy đủ một số trình IM phổ biến nhất - AIM, ICQ, MSN, Skype, Trillian và Yahoo Messenger - và nhiều công cụ chat ít tên tuổi hơn như GAIM, Miranda và Pal Talk Messenger.
Khi cài đặt, Avast 4 đặt trên PC của bạn một cơ sở dữ liệu khôi phục (Virus Recovery Database) hữu ích, mà về lý thuyết có thể dùng để sửa chữa các file chương trình (.exe) bị nhiễm virus.
Phiên bản Professional có phí của Avast 4 giá 40 USD, phí cập nhật hàng năm là 28USD. Phiên bản Home miễn phí thiếu một số tính năng như kiểm tra theo lịch và xem các kết quả kiểm tra trước đây.
7. Grisoft
Grisoft AVG 7.5 Anti-Virus Professional Edition là lựa chọn ít tốn kém nhất trong 8 phần mềm thử nghiệm, và tỉ lệ phát hiện malware 91% thuộc nhóm đầu bảng. Tiếc là hiệu suất phát hiện đón đầu quá kém, giao diện rối và thiếu hỗ trợ điện thoại đã đẩy nó xuống vị trí thứ 7 trong bảng xếp hạng.
| AVG giá thấp nhưng giao diện rối và thể hiện kém trong thử nghiệm bảo vệ đón đầu. |
AVG thể hiện khá tốt trong các thử nghiệm diệt malware, cứu được hơn 80% các thay đổi do malware. Đây là phần mềm duy nhất diệt được tất cả malware và khôi phục cả 2 thay đổi file Hosts, nhưng giống các ứng dụng khác bỏ sót một số thay đổi registry.Tuy nhiên trong việc bảo vệ đón đầu, AVG xếp cuối, không phát hiện được 2 trong 3 mẫu malware mới. Phần mềm này còn đặt lên vai người dùng quá nhiều quyết định yêu cầu kiến thức nâng cao. Ví dụ, để lập lịch quét bạn phải trải qua vai trò “người quản lý kiểm tra” và nhận biết những khác biệt giữa kiểm tra hoàn chỉnh, kiểm tra chi tiết, kiểm tra người dùng chi tiết và kiểm tra người dùng đơn giản. Grisoft có kế hoạch cải tổ giao diện nhưng việc này có vẻ khó.
Grisoft AVG tích hợp tốt với Eudora và Microsoft Outlook để cách ly những email tình nghi, và nó quét luồng email dùng giao thức POP3 và SMTP của tất cả chương trình. Tuy nhiên, đây là một trong 2 phần mềm (phần mềm kia là Trend Micro) không quét luồng web và nó không hỗ trợ trực tiếp bất kỳ trình IM nào.
Tương tự Alwil, Grisoft có một phiên bản miễn phí thiếu cơ chế bảo vệ chống spyware và có tính năng lập lịch quét hạn chế. Phiên bản Professional có giá 30USD, phí cập nhật hàng năm là 15USD.
8. Trend Micro
Thứ hạng cuối bảng của Trend Micro Antivirus + AntiSpyware 2007 chủ yếu là do khả năng phát hiện malware quá kém. Phần mềm này bỏ sót gần 1/5 mẫu malware, tỉ lệ phát hiện chỉ được 82%.
Khả năng phát hiện malware kém nhất, Trend Micro đứng cuối. | |
Trend Micro thể hiện tốt hơn một chút trong việc phát hiện đón đầu malware chưa biết, nhưng ngay cả ở đây nó cũng xếp thứ ba từ dưới lên. Nó phát hiện 43% malware khi kiểm tra với dữ liệu nhận dạng cũ 1 tháng. Bị kéo xuống do giá 40 USD khá đắt và không có giảm giá cập nhật, sản phẩm chống virus của Trend Micro không được ưa thích lắm.Mặt tích cực, chương trình này cài đặt trơn tru, dễ dùng và có các thiết lập mặc định tốt - như quét toàn bộ hệ thống theo lịch tự động dành cho người dùng thông thường. Nó có tính năng quét theo lịch tuỳ người dùng xác định và kiểm tra cập nhật nhận dạng virus mỗi 3 giờ. Các thiết lập mặc định này thay đổi dễ dàng thông qua giao diện trực quan thích hợp với cả người dùng không rành về kỹ thuật.
Một tính năng đặc biệt hữu ích là quét các lỗ hổng đã biết của sản phẩm Microsoft. Ví dụ, nếu máy tính thiếu một bản vá bảo mật quan trọng, phần mềm này sẽ chỉ người dùng đến site Microsoft Windows Update để tải về và cài đặt.
Trend Micro AntiVirus quét luồng email trên các giao thức POP3 và SMTP, nhưng không giống hầu hết các phần mềm khác (ngoại trừ AVG của Grisoft), nó không quét luồng HTML. Ngoài ra, nó còn khác ở chỗ không thể kích hoạt thủ công việc quét file khi nhấn chuột phải trong Windows Explorer, một điểm yếu trong phiên bản Vista mà công ty hứa sẽ chỉnh sửa trong bản cập nhật sắp tới. Cuối cùng, cơ chế bảo vệ chống spyware của phần mềm này có một thói quen phiền toái là ghi nhãn các cookie là spyware nguy hiểm.
| KHI DỮ LIỆU NHẬN DẠNG KHÔNG ĐỦ | |
| Hồi đầu năm nay, khi các cơn cuồng phong càn quét châu Âu thì có một cơn bão thuộc dạng khác tàn phá các máy tính khắp toàn cầu. Ngày 18/1, sâu mang tên Storm (cơn bão) bắt đầu xuất hiện ở dạng đính kèm email với những tựa đề có dạng như ‘230 người chết khi cơn bão tàn phá châu Âu’.Hơn 42.000 biến thể của sâu này đã lây lan trong suốt 12 ngày, theo công ty bảo mật Commtouch. Những kẻ tấn công định tổ chức cuộc tấn công quy mô lớn để lẩn tránh cơ chế phát hiện virus dựa trên nhận dạng (yêu cầu phải biết một mẩu dữ liệu của malware trước mới có thể phát hiện). Sâu Storm là ví dụ điển hình về việc các tay viết virus cố gắng đi trước các chương trình chống virus một bước bằng cách tung ra những biến thể mới của các dòng malware thành công. Bọn tội phạm cũng tìm cách tránh bị để ý (và bị nhận dạng) bằng cách phát động các cuộc tấn công có chủ đích - gửi số | | | |
| lượng nhỏ malware đến một công ty mục tiêu nào đó. Những cuộc tấn công như vậy thường áp dụng nhiều chiêu thức tâm lý, ví dụ giả địa chỉ ‘From:’ của nhân viên thật để gửi email chứa virus.Đối phó lại, các công ty bảo mật hiện dùng cơ chế bảo vệ đón đầu không cần nhận dạng virus đầy đủ vẫn có thể làm việc hiệu quả. Theo chuyên gia bảo mật cao cấp của Forrester Research, cơ chế này cần thiết để chống lại các mối đe doạ chưa biết và có chủ đích. Một phương thức đón đầu dùng phương pháp được gọi là “heuristic” dò tìm các câu lệnh hay đoạn mã đáng nghi. Thường thì phương pháp này có thể phát hiện biến thể mới của malware hiện có bằng cách nhận diện những điểm chung với các biến thể đã phân tích trước đây. Phương pháp heuristic xem xét sâu bên trong mẩu malware tình nghi. Một kỹ thuật khác phân tích hành vi, xem xét từ bên ngoài để phát hiện những hoạt động đáng ngờ như thực thi từ một thư mục tạm. Một số dạng cao cấp hơn của phương pháp phát hiện dựa trên hành vi tạo ra cái gọi là “hộp cát” - môi trường ảo có bảo vệ dùng để phân tích chương trình đáng nghi. Hai phần mềm thể hiện tốt nhất trong thử nghiệm đón đầu đều dùng phương thức hộp cát: Eset NOD32 chặn được 79% malware, còn BitDefender Antivirus 10 chặn được 61%. Cũng dùng phương thức hộp cát nhưng Grisoft AVG cũng chặn được 34%. Các con số này cho thấy mặc dù các phương thức bảo vệ đón đầu là những bổ sung quan trọng nhưng chúng chưa thể thay thế hoàn toàn phương thức nhận dạng truyền thống. |