Тест антивирусов журнала PC World

[rayoflight 0]

На западных форумах горячо обсуждают результаты очередного теста,проведённого сайтом www.av-test.org для журнала PC World.

http://www.pcworld.com/article/id,130869/article.html

Итоговая сравнительная таблица

[Пит 15]

Да тест действительно странноват.

Удивляет следующее:

1) Результат по Adware

Каспер – 73% остальные намного лучше!!! Что это происки конкурентов, или слабость продукта?

2) Результат по звонилкам:

Каспер – 80% у остальных намного лучше!!! Мне кажется результат тоже неутешительный. Тем более если учесть что большинство у нас сидит на диалпе. А это пострашнее будет, для пользователя любого вируса, когда он получит астрономический счёт за телефон!

Результаты эвристика вообще улыбнули. Оказывается уже во всех есть эвристики, да ещё с какими результатами:

Сигнатуры двухмесячной давности:

Каспер – 46%

Нортон – 43%

Нод – 73%

Бит – 55%

Оказывается, все выше упомянутые товарищи, половину зловредов ловят эвристикам! А я чудак ещё и сигнатуры закачиваю каждый день. Зачем когда такие эвристики есть!

Особенно хочется поиздеваться над Питером Нортоном !!!

Итак, навскидку пять минут лажу по нехорошим сайтам, проверяю эвристику Питера.

STATUS: FINISHEDComplete scanning result of "__1056", received in VirusTotal at 04.24.2007, 20:34:41 (CET).Kaspersky 4.0.2.24 04.24.2007 not-a-virus:AdWare.Win32.Virtumonde.if Symantec 10 04.24.2007  no virus found

Где же эта заявленная ловля Adware – 97%

Да, наверно мой актуальный Adware попал в погрешность 3% поверим ):

STATUS: FINISHEDComplete scanning result of "__1056", received in VirusTotal at 04.24.2007, 20:33:46 (CET).Kaspersky 4.0.2.24 04.24.2007 Trojan-PSW.Win32.LdPinch.bvg Symantec 10 04.24.2007  no virus found

Ой эвристик подвёл.

STATUS: FINISHEDComplete scanning result of "__1056", received in VirusTotal at 04.24.2007, 20:34:01 (CET).AhnLab-V3 2007.4.25.0 04.24.2007  no virus found AntiVir 7.4.0.15 04.24.2007  no virus found Authentium 4.93.8 04.24.2007  no virus found Avast 4.7.981.0 04.23.2007 Win32:Agent-FKE AVG 7.5.0.464 04.24.2007 Dropper.Small.29.E BitDefender 7.2 04.24.2007  no virus found CAT-QuickHeal 9.00 04.24.2007 (Suspicious) - DNAScan ClamAV devel-20070416 04.24.2007  no virus found DrWeb 4.33 04.24.2007  no virus found eSafe 7.0.15.0 04.23.2007  no virus found eTrust-Vet 30.7.3592 04.24.2007  no virus found Ewido 4.0 04.24.2007  no virus found FileAdvisor 1 04.24.2007  no virus found Fortinet 2.85.0.0 04.24.2007 suspicious F-Prot 4.3.2.48 04.24.2007  no virus found F-Secure 6.70.13030.0 04.24.2007  no virus found Ikarus T3.1.1.5 04.24.2007  no virus found Kaspersky 4.0.2.24 04.24.2007  no virus found McAfee 5016 04.24.2007  no virus found Microsoft 1.2405 04.24.2007  no virus found NOD32v2 2215 04.24.2007  no virus found Norman 5.80.02 04.24.2007  no virus found Panda 9.0.0.4 04.24.2007  no virus found Prevx1 V2 04.24.2007  no virus found Sophos 4.16.0 04.23.2007  no virus found Sunbelt 2.2.907.0 04.19.2007 VIPRE.Suspicious Symantec 10 04.24.2007 Bloodhound.W32.1 TheHacker 6.1.6.095 04.15.2007  no virus found VBA32 3.11.4 04.23.2007  no virus found VirusBuster 4.3.7:9 04.24.2007  no virus found Webwasher-Gateway 6.0.1 04.24.2007 Win32.Malware.gen (suspicious)

Где же эта эвристика в заявленных продуктах?

STATUS: FINISHEDComplete scanning result of "__1056", received in VirusTotal at 04.24.2007, 20:34:50 (CET).Antivirus Version Update Result AhnLab-V3 2007.4.25.0 04.24.2007 Win-Trojan/Downloader.3849.D AntiVir 7.4.0.15 04.24.2007 TR/Dldr.Small.edb.498 Authentium 4.93.8 04.24.2007 Possibly a new variant of W32/new-malware!Maximus Avast 4.7.981.0 04.23.2007 Win32:Small-EMG AVG 7.5.0.464 04.24.2007 Downloader.Small.58.K BitDefender 7.2 04.24.2007 Trojan.Downloader.Harnig.XB CAT-QuickHeal 9.00 04.24.2007 (Suspicious) - DNAScan ClamAV devel-20070416 04.24.2007 Trojan.Downloader-2385 DrWeb 4.33 04.24.2007 Trojan.DownLoader.20865 eSafe 7.0.15.0 04.23.2007 Win32.Small.edb eTrust-Vet 30.7.3592 04.24.2007 Win32/Harnig!generic Ewido 4.0 04.24.2007 Downloader.Small.edb FileAdvisor 1 04.24.2007 High threat detected Fortinet 2.85.0.0 04.24.2007 W32/Small.EDB!tr.dldr F-Prot 4.3.2.48 04.24.2007 W32/new-malware!Maximus F-Secure 6.70.13030.0 04.24.2007 Trojan-Downloader.Win32.Small.edb Ikarus T3.1.1.5 04.24.2007 Trojan-Downloader.Win32.Small.edb Kaspersky 4.0.2.24 04.24.2007 Trojan-Downloader.Win32.Small.edb McAfee 5016 04.24.2007 Generic Downloader Microsoft 1.2405 04.24.2007 TrojanDownloader:Win32/Small.NCA NOD32v2 2215 04.24.2007 a variant of Win32/TrojanDownloader.Small.NRS Norman 5.80.02 04.24.2007 W32/DLoader.CQAU Panda 9.0.0.4 04.24.2007 Trj/Agent.EXQ Prevx1 V2 04.24.2007  no virus found Sophos 4.16.0 04.23.2007 Mal/Packer Sunbelt 2.2.907.0 04.19.2007 Trojan-Downloader.Harnig.XB Symantec 10 04.24.2007  no virus found TheHacker 6.1.6.088 04.09.2007  no virus found VBA32 3.11.4 04.23.2007 Trojan.DownLoader.20865 VirusBuster 4.3.7:9 04.24.2007 Packed/FSG Webwasher-Gateway 6.0.1 04.24.2007 Trojan.Dldr.Small.edb.498

А тут вообще, только такой антивирус как Нортон может так тупить.

Где, где эта эвристика! Ах, да ладно, поверим….

[Dmitry Perets 30]

Да, с эвристикой там что-то странное... Т.е. если я беру сигнатуры двухмесячной давности, то всё, что ловится, - это эвристикой? А вирус, значит, не мог быть просто добавлен в базы более двух месяцев назад? =)

[EP_X0FF 15]

Все очень просто, такие тесты заказываются определенными компаниями, занявшие второе-третье места, как правило и есть заказчики.

[Oleg Bil 0]

Результат по звонилкам

Звонилки сигнатурами ловить - очень опасно. Пишутся легко (в смысле, переписываются).

Та система, которая встроена в большинство антивирусов (почти во все) для поведенческого блокирования таких программ (отлов попытки дозвона) обходится тремя строчками кода (оставшиеся - обходятся теми же тремя строчками, но немного подумав), а на предложения пересмотреть систему (с предложениями готового кода) отвечают отказом, признавая при этом косяки того что есть и преимущества предлагаемого метода... Пользователи, благо, в архитектуре системы защиты ничего не понимают. Им сказал что она работает, они и поверили. До первого более-менее соображающего "звонилко-писателя".

[Иван 290]

Все очень просто, такие тесты заказываются определенными компаниями, занявшие второе-третье места, как правило и есть заказчики.

я не спорю что такой расклад возможен, но скажите вы что рядом с фонарем стояли и светили, когда это потсыдное действо происходило?

[Ezhikkk 0]

Да,действительно,тесты странные... :? Хоть я и не фанат Каспера,но всё-таки,это хороший антивирус и такие провальные результаты ему не свойственны.Я пользуюсь NOD 32 и считаю,что он не хуже Каспера,но тем не менее,я за справедливые тесты!

[Storm 0]

а на предложения пересмотреть систему (с предложениями готового кода) отвечают отказом, признавая при этом косяки того что есть и преимущества предлагаемого метода...

А кто Вам мешает выпустить свой продукт?

ЗЫ Человек по своей природе ленив. Ему проще получить сразу например 100 человек без АВ, чем 1000 с "дырявым" АВ, так как даже "дырявый" АВ может начать брать звонилку сигнатурно. Если же вдруг кто-то захочет организовать масштабный "прозвон", он это сделает в любом случае, и обойдет даже Ваш метод, так как "целевую" атаку еще не выдержал ни один вендор.

[Иван 290]

Да,действительно,тесты странные... :? Хоть я и не фанат Каспера,но всё-таки,это хороший антивирус и такие провальные результаты ему не свойственны.Я пользуюсь NOD 32 и считаю,что он не хуже Каспера,но тем не менее,я за справедливые тесты!

Ну это просто тест, со своими недостатками и нелепостями, как и во всяком тесте.

Только вот считать его провальным для касперыча это смотреть в книгу и видеть фигу.

Что вы считает провальным?

Это? After rigorous analysis, we awarded Kaspersky's well-designed Anti-Virus 6 the Best Buy. It ended up in a virtual dead heat with the entries from Symantec and BitDefender for best malware detection honors, and it also did the best job of cleaning malware infections.

Или один из лучших уровней детекта в целом, и также один из самых высоких уровней детtкта по всем категориям кроме адваре и диалеров (нот эвирус по сути)? Кстати под адварью они понимают не все спайваре, а троянцы как видно это отдельная категория - в которой касперыч вовсе не плох.

А может вы под провалом понимаете самую высокую скорость реакции?

Короче видимо что-то ускользнулу от вашего взгляда. в частности высшая оценка касперыча в этом тесте, спорном (коллекция то фиг ее знает как собиралсь), но тесте.

Кстати о спорности тестов. Существуют на свете много спорных тестов, которые делают разные спорные люди из совсем разных стран.

И во всех этих спорных тестах какой-то продукт занимает топовые места, а другой продукт эти топовые места в этих тестах не знаимает.

Для меня такая ситуация показатель не того, что все тесты отвратительные и им нельзя верить, а того что продукт который ни в одном тесте топовые места не занимает - плохой. Статистика просто в пользу такого вывода говорит, типа ктоб не брался - итог один.

[Oleg Bil 0]

А кто Вам мешает выпустить свой продукт?

Собственно, ничего:

1. http://www.agnitum.ru/products/outpost/plugins.php#dialstop

2. http://www.agnitum.ru/news/securityinsight/february2007.php

Как отдельный продукт:

3. http://www.outpostfirewall.com/forum/showthread.php?t=19980

ЗЫ Человек по своей природе ленив. Ему проще получить сразу например 100 человек без АВ, чем 1000 с "дырявым" АВ, так как даже "дырявый" АВ может начать брать звонилку сигнатурно. Если же вдруг кто-то захочет организовать масштабный "прозвон", он это сделает в любом случае, и обойдет даже Ваш метод, так как "целевую" атаку еще не выдержал ни один вендор.

Согласен, что целевой атаке противостоять чрезвычайно тяжело. Имеет смысл, правда, учитывать то, какая квалификация злоумышленника необходима для преодоления защиты... Если достаточно взять справочник по языку и 10 минут посидеть - это одно, а если нужно хорошо подумать - это другое.

Следуя предложенной Вами логике, можно сказать - а зачем улучшать антивирусы, целевую атаку не один не выдержит... Ловить только сигнатурами и т.д. Нет, антивирусы внедряют технологии самозащиты, проактивные технологии и т.д., тем самым усложняя жизнь "разработчикам" вирусов, поскольку на преодоление поведенческих анализаторов нужна более высокая квалификация троянописателя, чем на анти-антивирусную правку файла.

Тем более, про абсолютную защищенность я не говорил, я говорил о том, что можно значительно повысить надежность защиты.

[Storm 0]

Следуя предложенной Вами логике, можно сказать - а зачем улучшать антивирусы

Дело в том, что dialers и вирусы - это разные категории malware. Для того, чтобы поймать dialer надо просто похукать RAS API (в большинстве случаев этого хватает). А вот отличить malware от обычного файла НЕ сигнатурно очень сложно. Возьмем например инсталлятор такой известной штуки как ICQ. Он копирует файлы, регистрирует их, прописывает в автозапуск. А теперь возьмем например какой-нить троян, который тоже копирует свои файлы и пишется в автозапуск. По поведению их практически невозможно отличить, есть лишь косвенные признаки.

Короче говоря для отлова dialers существует два-три способа, а для отлова вирей - великое множество. Анти-диалерам развиваться некуда, существующие звонилки они детектят, от супер-крутую звонилку они пропустят. Антивирусы наоборот, ловят в пределах 90%, вот и набирают эти 10 процентов.

[Oleg Bil 0]

Для того, чтобы поймать dialer надо просто похукать RAS API (в большинстве случаев этого хватает).

Так раньше было. Сейчас кулхацкеры все больше на другое налегают, не будем им подсказывать

А вот отличить malware от обычного файла НЕ сигнатурно очень сложно.

С этим я не спорил, я привел как пример того, что сейчас сильно развиваются не сигнатурные методы противодействия малварам в других видах вредоносов (не звонилках).

[Сергей Ильин 1538]

Обратите внимание еще на графу System disinfection, а точнее на данные по лечению активного заражения:

Disinfection rate (files, Hosts changes, Registry items)

Kaspersky Anti-Virus 6.0 - 86%

Norton AntiVirus 2007 - 82%

AVG 7.5 Anti-Virus Professional - 82%

Avast Antivirus Professional - 77%

Trend Micro AntiVirus plus AntiSpyware 2007 - 77%

BitDefender Antivirus v10 - 59%

Eset NOD32 - 55%

Panda Antivirus 2007 - 41%

теперь сравните это с нашими собственными результатами

http://www.anti-malware.ru/index.phtml?par...ctive_infection

Если пара лидеров не вызывает сомнений лично у меня сомнений, то дальшей просто какая-то ерунда. AVG, Avast, также как и Trend Micro беспомощны перед серьезными угрозами, не понятно, как им удалось занять достойные места по этому показателю :?

Добавлено спустя 10 минут 38 секунд:

Все очень просто, такие тесты заказываются определенными компаниями, занявшие второе-третье места, как правило и есть заказчики.

А почему второе или третье? Какой смысл финансирвоать тесты, где твой продукт будет не первым? PR не сделаешь, значок на сайт не повесишь ... выгоды никакой.

Меня еще очень удивили цифры System slowdown по BitDefender Antivirus v10:

With Firefox 2 - 187%

With Adobe Photoshop CS2 - 34%

With Microsoft Office 2003 - 124%

Жесть просто, я хоть и не очень жалую этот АВ, но каких-то из ряда вон выходящих тормозов у него не замечал.

[Иван 290]

Обратите внимание еще на графу System disinfection, а точнее на данные по лечению активного заражения:

Disinfection rate (files, Hosts changes, Registry items)

Kaspersky Anti-Virus 6.0 - 86%

Norton AntiVirus 2007 - 82%

Если пара лидеров не вызывает сомнений лично у меня сомнений, то дальшей просто какая-то ерунда. AVG, Avast, также как и Trend Micro беспомощны перед серьезными угрозами, не понятно, как им удалось занять достойные места по этому показателю :?

вот кстати это есть подтверждение моих слов. Если разные люди в разных странах с разными коллекциями вирей утверждают, что симантек и касперский лучше всех лечат активное заражение, значит это близко к истине

Если панда есет и бит выступает в обоих тестах на активное заражение плоховатенько, значит похоже так оно и есть.

Что же делать с несовпадающими результатами? А ничего вот они как разные потому что разные люди, разные страны, разные коллекции. Это как раз к вопросу о не репрезентативности выборки. Сергей брал одну коллекцию 10 самплов, Маркс брал другую коллекцию (тоже кстати 10 самплов). Вот поэтому и разница такая - самплов маловато.

но вместе их уже 20 и подобранных абсолютно независимо, так как сговор между Сергеем и Марксом вряд ли возможен - значит там где их результаты совпадают - это и есть с большой вероятностью правда жизни .

[Dexter 20]

вот кстати это есть подтверждение моих слов. Если разные люди в разных странах с разными коллекциями вирей утверждают, что симантек и касперский лучше всех лечат активное заражение, значит это близко к истине

Если панда есет и бит выступает в обоих тестах на активное заражение плоховатенько, значит похоже так оно и есть.

Что же делать с несовпадающими результатами? А ничего вот они как разные потому что разные люди, разные страны, разные коллекции. Это как раз к вопросу о не репрезентативности выборки. Сергей брал одну коллекцию 10 самплов, Маркс брал другую коллекцию (тоже кстати 10 самплов). Вот поэтому и разница такая - самплов маловато.

но вместе их уже 20 и подобранных абсолютно независимо, так как сговор между Сергеем и Марксом вряд ли возможен - значит там где их результаты совпадают - это и есть с большой вероятностью правда жизни .

Угу.

Но не могу полностью согласиться.

Меня смущают, например, в широко известных сигнатурных тестах стабильные успехи симантека и провалы веба.

Опыт говорит: что-то не так.

Ах да. Добавлю ещё и про 24 процентный эвристик каспа(промолчу по поводу оценки эвристики в обсуждаемом тесте).

[Dmitry Perets 30]

Угу.

Но не могу полностью согласиться.

Меня смущают, например, в широко известных сигнатурных тестах стабильные успехи симантека и провалы веба.

Опыт говорит: что-то не так.

Имхо причина в том, что во всех таких сигнатурных тестах (включая и тесты Клементи) не учитывается скорость реакции на угрозы. Т.е. если взять зловредов, чей возраст около месяца, то вполне возможно что такой результат и будет. Антивирусные компании, как известно, обмениваются сигнатурами периодически. Думаю, как раз с Symantec обмениваются многие. Вот и выходит, что у него такой высокий процент денекта...

Но из-за низкой скорости реакции этот процент вряд ли кого-то спасёт. Ибо лучше уж чтобы процент был чуть поменьше, но базы поплнялись не в конце месяца, а вовремя...

[Dexter 20]

Это не объясняет низких процентов веба в этих тестах.

[alexgr 556]

Обратите внимание еще на графу System disinfection, а точнее на данные по лечению активного заражения:

Disinfection rate (files, Hosts changes, Registry items)

Kaspersky Anti-Virus 6.0 - 86%

Norton AntiVirus 2007 - 82%

Если пара лидеров не вызывает сомнений лично у меня сомнений, то дальшей просто какая-то ерунда. AVG, Avast, также как и Trend Micro беспомощны перед серьезными угрозами, не понятно, как им удалось занять достойные места по этому показателю :?

вот кстати это есть подтверждение моих слов. Если разные люди в разных странах с разными коллекциями вирей утверждают, что симантек и касперский лучше всех лечат активное заражение, значит это близко к истине

Если панда есет и бит выступает в обоих тестах на активное заражение плоховатенько, значит похоже так оно и есть.

Что же делать с несовпадающими результатами? А ничего вот они как разные потому что разные люди, разные страны, разные коллекции. Это как раз к вопросу о не репрезентативности выборки. Сергей брал одну коллекцию 10 самплов, Маркс брал другую коллекцию (тоже кстати 10 самплов). Вот поэтому и разница такая - самплов маловато.

но вместе их уже 20 и подобранных абсолютно независимо, так как сговор между Сергеем и Марксом вряд ли возможен - значит там где их результаты совпадают - это и есть с большой вероятностью правда жизни .

камушек то, конечно, в мой огород. Отвечу снова - если мы говорим об "активном заражении", то давайте заражать еще и теми вредоносами, еоторые "укладывают" систему, шифруют файлы etc. Этого не было ни там, ни здесь. Более того, господа немцы признались, что просто боятся такого теста и в силу трудоемкости, и в силу сложности оценки результата у известных брендов. Не секрет для вас, что многое из такого они просто обходят. Вот потому и разговор о репрезентативности. Восстанавливать работоспособность в сравнительно "живой" среде легче, чем у упавшей в даун

[Иван 290]

да нет наоборот это был не камушек, я наоборот соглашался с вашим мнением. говорил что самплов в обоих тестах мало и они разные - поэтому и результаты разнятся. Но то,что они по ряду вендоров схожи,делает результаты по этим вендорам лично для меня более достоверными.

[Сергей Ильин 1538]

давайте заражать еще и теми вредоносами, еоторые "укладывают" систему, шифруют файлы etc. Этого не было ни там, ни здесь.

Бесполезное занятие, вирей типа Plastix не много и их все равно штатными средствами не вынесет ни один антвирус, можно и не тестировать даже.

Это не объясняет низких процентов веба в этих тестах.

Объяснет его то, что DrWEb быстро реагирует на отечественные семплы, а на западных образцах частенько проваливается по скорости реакции. И ничего плохого тут нет сейчас, их основной рынок - СНГ, а здесь все в порядке с реакцией.

Вы же не будете утверждать, что Марксу в Германии и вам в России приходят одни и те же семплы?

[Михаил Кондрашин 55]

Если пара лидеров не вызывает сомнений лично у меня сомнений, то дальшей просто какая-то ерунда. AVG, Avast, также как и Trend Micro беспомощны перед серьезными угрозами, не понятно, как им удалось занять достойные места по этому показателю :?

Мне кажется, что методика разная. Они считают активным заражением зараженную машину, на которой уже стоит антивирус, а вы тестировали установку антивируса на зараженную машину.

[alexgr 556]

давайте заражать еще и теми вредоносами, еоторые "укладывают" систему, шифруют файлы etc. Этого не было ни там, ни здесь.

Бесполезное занятие, вирей типа Plastix не много и их все равно штатными средствами не вынесет ни один антвирус, можно и не тестировать даже.

тут я не совсем согласен. Их мало - да эффект велик. Encoder к примеру серьезно поставил проблему, которую не решили западники, и сейчас они стараются ее обходить. Громко промолчу о новых сэмплах Plastix - новых за последний месяц 3 - но тоже вызывает панику. К примеру -в Нью - Йорке. Велик был Союз, много выходцев в разных весях, а Нортон даже не детектит

[Аркадий 0]

Не партесь, ставте два антивиря и настройте их. Один используйте только как сканер. Все. У меня 3 пень (1000герц) и НОД32+AntiVir PersonalEdition Classic Profile Manual Selection и прекрасно себя чувствуют. Второй использую как сканер. Они друг друга прекрасно дополняют. Сразу не отметайте эту идею, просто подумайте.