Сравнение антивирусов по скорости реакции на новые угрозы

В данной статье приводится анализ результатов теста на скорость реакции продуктов различных антивирусных компаний, среди которых Kaspersky, BitDefender, Dr. Web, F-Secure, Norman, Sophos, AntiVir, Command, Ikarus, Trend Micro, F-Prot, Panda Software, AVG, Avast, Computer Associates eTrust, McAfee, VirusBuster, Symantec. Сравнение проводится на наиболее значимых вирусных эпидемиях 2005 и 2004 года.

Наряду с быстрым ростом общего количества новых вредоносных программ, среди которых вирусы, трояны, интернет-черви, шпионские программы, растет и скорость их распространения. В сети Интернет действует множество организованных преступных группировок, для которых создание новых вирусов, рассылка спама или организация заказных DDoS-атак давно стало источником дохода. Часто злоумышленникам достаточно всего несколько часов для организации "локальной эпидемии", целью которой служит пополнение своей зомби-сети за счет компьютеров новых жертв.

Поэтому при классическом, реактивном подходе к антивирусной защите (на основе сигнатур) время реакции, под которым подразумевается промежуток времени между первым детектированием вредоносного кода и выходом соответствующей сигнатуры, становится одним из основных параметром в сравнении антивирусных продуктов.

Суммарное время реакции на новую угрозу можно разложить на следующие составляющие:

  • временя детектирования вредоносного кода (до попадания его в антивирусную лабораторию);
  • время анализа вредоносного кода экспертами, подготовки его сигнатуры, политики безопасности и т.д.;
  • время тестирования сигнатуры, политики безопасности и т.д.;
  • время выхода соответствующего обновления баз данных для загрузки клиентам.

Последняя составляющая напрямую зависит от частоты выхода обновлений, которая рассматривалась для различных вендоров в статье «Частота обновлений антивирусных баз различных производителей».

Однако интересно все же посмотреть на скорость реакции различных вендоров в целом, а не по отдельным ее составляющим. Для этого необходимо провести значительную работу, накапливая статистические данные по детектированию вредоносных программ независимыми источниками и выпуску обновлений антивирусными компаниями.

Такие исследования на регулярной ежегодной основе проводятся независимым исследователем AV-Test GmbH, Андреасом Марксем (Andreas Marx). В его последнем отчете, опубликованном The Washington Post, приводятся результаты теста на скорость реакции продуктов различных антивирусных компаний на наиболее значимых вирусных эпидемиях 2005 года.

В тесте измерялась суммарная скорость реакции вендоров (до выхода обновления)
на 16 наиболее опасных вариантах червей для Microsoft Windows 2005 года, включая Bagle, Bobax, Bropia, Fatso, Kelvir, Mydoom, Mytob, Sober и Wurmark.

Результаты сравнения приведены в таблице ниже, где для каждого антивирусного производителя указывается среднее на 16 измерений время реакции с разбивкой по интервалам в два часа.

Результаты тестирования на скорость реакции, 2005 год

Средняя скорость реакции Производители
От 0 до 2 часов Kaspersky
От 2 до 4 часов BitDefender, Dr. Web, F-Secure, Norman, Sophos
От 4 до 6 часов AntiVir, Command, Ikarus, Trend Micro
От 6 до 8 часов F-Prot, Panda Software
От 8 до 10 часов AVG, Avast, CA eTrust-InocuLAN, McAfee, VirusBuster
От 10 до 12 часов Symantec
От 12 до 14 часов -
От 14 до 16 часов -
От 16 до 18 часов -
От 18 до 20 часов CA eTrust-VET
Больше 20 часов -

 

Как видно, лучшей по скорости реакции является Лаборатория Касперского, ее клиенты защищены уже в среднем менее чем через 2 часа после появления новой угрозы. Следом за Kaspersky идет целая группа производителей, среди которых BitDefender, Dr. Web, F-Secure, Norman и Sophos, их среднее время реакции составило от 2 до 4 часов, что также очень хорошо.

Далее идут AntiVir, Command, Ikarus и Trend Micro со временем реакции от 4 до 6 часов, а также F-Prot и Panda Software со временем реакции от 6 до 8 часов, что можно считать удовлетворительными результатом.

У всех остальных вендоров дела со скоростью реакции обстоят не важно. Интересен еще тот факт, что AntiVir, Avast и AVG, чьи персональные антивирусные продукты распространяются бесплатно, демонстрируют скорость реакции лучше, чем лидеры рынка - компании Symantec и McAfee. Последнюю строчку занял антивирусный движок CA eTrust VET (используется в продуктах Zonelabs), который оказался самым медленным по скорости реакции среди участвовавших в тесте.

Для сравнения в 2004 году результаты были следующими:

Результаты тестирования на скорость реакции, 2004 год

Средняя скорость реакции Производители
От 0 до 2 часов -
От 2 до 4 часов BitDefender, Kaspersky
От 4 до 6 часов AntiVir, Dr. Web, F-Secure, Panda Software, RAV
От 6 до 8 часов Quickheal, Sophos
От 8 до 10 часов AVG, Command, F-Prot, Norman, Trend Micro, VirusBuster
От 10 до 12 часов Avast, CA eTrust-CA
От 12 до 14 часов Ikarus, McAfee
От 14 до 16 часов CA eTrust-VET, Symantec

 

Как видно некоторые антивирусные производители за год заметно улучшили свои показатели по скорости реакции, среди них: Kaspersky, Dr. Web, F-Secure, Norman, Symantec, Sophos, F-Prot, Avast, McAfee и VirusBuster. Есть и такие, кто по этому показателю стал хуже, огорчили Panda Software и CA eTrust-VET.

Понятно, что по одной только скорости реакции нельзя судить о качестве того и иного антивируса. Существует также различные проактивные технологии, а также множество других важных для антивирусов критериев оценки, но все же значение скорости реакции сложно переоценить.

Мы будем рады прочитать Ваши комментарии и ответить на все Ваши вопросы по данному сравнению в нашем форуме.

 

Автор: Сергей Ильин

Основатель проекта Anti-Malware.ru

10.01.2006

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru