Test aplikacji chroniących system operacyjny w czasie rzeczywistym - druga połowa 2018

AV Comparatives przeprowadziło test aplikacji chroniących system przed złośliwym oprogramowaniem. Zapraszamy do zapoznania się z jego wynikami.

Jak powinien działać dobry program antywirusowy?

Złośliwe oprogramowanie towarzyszy nam cały czas i nic nie wskazuje na to, aby ten stan rzeczy miał ulec zmianie. Można wpuścić je nieświadomie do systemu poprzez instalację z pozoru niewinnych plików, poprzez wejście na zainfekowane strony, a także otwarcie spreparowanego załącznika e-mail. Celem aplikacji ochronnych jest natychmiastowe wykrywanie takich zagrożeń, co odbywa się poprzez zastosowanie różnego rodzaju metod, takich jak korzystanie z bazy danych złośliwych adresów URL, stosowanie filtrów, opieranie się na chmurze i reputacji witryn czy dynamiczne wykrywanie. Istotnym czynnikiem jest aktualna baza sygnatur wirusów, z którą program antywirusowy powinien być przez cały czas w kontakcie.

W teście AV Comparatives sprawdzono programy mające nie tylko wykrywać zagrożenia na bazie sygnatur wirusów czy poprzez heurystyczne skanowanie plików, ale również blokować je przed działaniem na każdym, poziomie - obojętnie, czy szkodnik będzie pobranym plikiem z sieci czy pojawi się na dysku skopiowany z pamięci zewnętrznej. Każda oprogramowanie ochronne składa się z kilku modułów, które mogą wypadać różnie - może zdarzyć się sytuacja, że blokowanie zainfekowanych stron będzie działać perfekcyjnie, ale ochrona behawioralna będzie pozostawiać wiele do życzenia. Dlatego przy każdym wyciągamy ocenę średnią, aby przekonać się, jak dany pakiet antywirusowy funkcjonuje jako całość. Istotnym elementem jest również skuteczność działania bez sieci, czyli kontaktu z bazą sygnatur wirusów. Pozwala to na przekonanie się o skuteczności mechanizmów odpowiedzialnych za automatyczne wykrywanie szkodliwych plików.

Test został wykonany przez AV-Comparatives we współpracy z wydziałem komputerowym i informatycznym uniwersytetu w Innsbrucku. Częściowo sfinansował go rząd Austrii.

Testowane programowanie

W teście wzięło udział osiemnaście aplikacji, aktualizowanych na bieżąco:

  • Avast Free Antivirus
  • AVG Free Antivirus
  • Avira Antivirus Pro
  • Bitdefender Internet Security
  • BullGuard Internet Security
  • Emsisoft Anti-Malware
  • ESET Internet Security
  • F-Secure SAFE
  • K7 Total Security
  • Kaspersky Internet Security
  • McAfee Internet Security
  • Microsoft Windows Defender
  • Panda Free Antivirus
  • Quick Heal Total Security
  • Symantec Norton Security
  • Tencent PC Manager
  • Trend Micro Internet Security
  • VIPRE Advanced Security

Procedura testowa

Manualne, wszechstronne testowanie takiej ilości aplikacji - i to przy użyciu setek adresów URL - byłoby niemożliwe, toteż niezbędne było ich zautomatyzowanie. Najpierw każda próbka została uruchomiona na czystej maszynie, bez żadnych antywirusów, aby upewnić się, że jest naprawdę szkodliwa. Jeśli malware takie było, źródłowy adres URL był dodawany do listy adresów, przygotowywanej do testowania z oprogramowaniem antywirusowym. A każde z nich otrzymało własny, podłączony do internetu komputer z 64-bitowym systemem Windows 10. Był on w pełni zaktualizowany w momencie rozpoczęcia testów i na bieżąco otrzymywał aktualizacje. Podobnie rzecz się miała z antywirusami. Oprócz tego na każdej maszynie były zainstalowane następujące aplikacje: Adobe Flash, Adobe Acrobat Reader, Apple QuickTime, Google Chrome, Oracle Java i VideoLAN VLC Media Player. Wszystkie aktualizacje odbywały się na początku dnia testowego.

Jeśli program antywirusowy przepuszczał szkodnika, odczekiwano kilkanaście minut, aby zobaczyć jego działanie oraz reakcję na nie aplikacji ochronnej. Jeśli malware zostało przepuszczone i niewykryte podczas działania, system został uznany za zainfekowany. Jeżeli szkodnik do działania wymagał wykonania przez użytkownika pewnej akcji, na przykład wyrażenia zgody na uruchomienie (oczywiście pod pozorem niewinnej aplikacji), wtedy zagrożenie zostawało uznane za zależne od użytkownika. A źródłem zagrożeń były znane, szkodliwe strony w sieci, na które może trafić nieświadomy użytkownik. Witryny te korzystają zarówno z luk (exploit) w oprogramowaniu zainstalowanym w systemie, jak również uaktywniają się poprzez pobrane pliki oraz spam-maile.

Ilość próbek w kolejnych miesiącach, zaczynając od lipca 2018, wynosiła: 186, 193, 197, 192, 230. Sumaryczne wyniki prezentują się następująco:

A bardziej szczegółowo:

Fałszywe alarmy

Jeśli chodzi o ilość fałszywych alarmów (false positive), tutaj również wyróżniono dwa ich rodzaje: pierwszy - to automatyczny, uruchamiany przez system. Drugi - pojawiający się po uruchomieniu przez użytkownika. Tutaj najlepiej wypadł Kaspersky - ilość fałszywych alarmów to 0 w obu przypadkach. Drugie miejsce zajęły wspólnie Emsisoft i VIPRE - 1 alarm automatyczny/0 użytkownika. Trzeci był Bitdefender - 2/0. Dalsze miejsca to Tencent (3/0), ESET (4/0), AVIRA (6/0), QuickHeal (8/0), potem wspólnie Avast i AVG (10/0), następnie K7 (13/2), McAfee (16/0), Symantec (12/18), BullGuard (32), F-Secure (35/0), Panda (36/0), Trend Micro (47/0), a stawkę zamyka Microsoft - 18/88.