Сравнение эффективности проактивной антивирусной защиты (тест I)

В данном тесте проводится сравнение эффективности работы проактивной защиты (в частности эвристических анализаторов) в 16-ти различных персональных антивирусных продуктах.

Последнее время в индустрии и средствах массовой информации все больше внимания уделяется так называемым проактивным методам антивирусной защиты, которые позволяют антивирусу противостоять еще неизвестным видам и модификациям вредоносных программ. Можно даже сказать, что данное направление развития антивирусных технологий является наиболее модным на рынке, и почти каждый производитель пытается подчеркнуть, что именно его проактивная защита лучшая.

Более того, делаются попытки в каком-то смысле даже противопоставить новейшие проактивные технологии прежним реактивным (классическим), которые основываются на сигнатурных методах обнаружения вредоносных программ и требуют постоянного и оперативного обновления антивирусных баз данных.

Сама концепция проактивной защиты, безусловно, выглядит очень привлекательно: вирус еще не появился, а защита от него уже есть. Но возникает резонный вопрос, как обстоят дела с эффективностью этой самой проактивной защиты? Ведь вирусописатели не дремлют, находят все новые и новые возможности атак, противодействия защите и т.д., поэтому можно сказать, что создать универсальное противоядие от всех возможных в будущем угроз в принципе невозможно.

Сразу оговоримся, что проактивные технологии – довольно обширное понятие, включающее в себя множество направления и составляющих, охватить их всех в рамках одной статьи и тем более одного теста невозможно. Поэтому далее мы будет говорить и сравнивать эвристические анализаторы или просто эвристики.

Давайте попробуем ответить на вопросы: "Насколько эффективны проактивные технологии сейчас? Какой антивирус лучше защищает от новых, еще неизвестных видов угроз?" Чтобы понять это обратимся к последнему тесту проактивных защит в наиболее популярных антивирусных продуктах, проведенному в мае 2006 года Андреасом Клименти (проект www.av-comparatives.org), одним из ведущих независимых исследователей антивирусных технологий.

Методика тестирования эвристических анализаторов

В тесте принимали участие 16 антивирусных программ, среди которых:

  1. Avast! 4.6.763 Professional Edition
  2. AVG Professional 7.1.135
  3. AVIRA Antivir Personal Edition Premium 7.00.00.21
  4. BitDefender Anti-Virus 9.0 Professional Plus
  5. Dr.Web Anti-Virus for Windows 95-XP 4.33.0.9293
  6. Eset NOD32 Anti-Virus 2.51.20
  7. F-Prot Anti-Virus for Windows 3.16f
  8. F-Secure Anti-Virus 6.12
  9. GDATA AntiVirusKit (AVK) 16.0.5
  10. Kaspersky Anti-Virus Personal Pro 5.0.391
  11. McAfee VirusScan 10.0.21 (с движком 5000)
  12. Norman VirusControl 5.81
  13. Panda Platinum Internet Security 10.01.02
  14. Symantec Norton Anti-Virus 12.1.0.20
  15. TrustPort Antivirus Workstation 1.5.0.752
  16. VBA32 Workstation 3.10.5

Для проверки работы эвристических анализаторов, все 16 антивирусов были "заморожены" на три месяца с 6-го февраля по 6-е мая 2006 года, т.е. после 6-го февраля у них не производились никакие обновления антивирусных баз. Таким образом, все экземпляры вирусов, собираемые за эти три месяца, должны были быть для антивирусов новыми, так как антивирусные базы данных сигнатур за это время не обновлялись. Всего за три месяца Клименти было собрана коллекция из новых 8745 новых вирусов, червей, троянов и других вредоносных программ, которая проверялась сканером по требованию каждым тестируемым антивирусом с максимальными настройками.

 

Результаты тестирования с разбивкой по категориям

В следующей таблице представлены подробные результаты тестирования с разбивкой по категориям в вирусной коллекции. Для каждой категории вирусов в заголовке таблицы в скобках указано количество экзепляров, в ячейках - количество детектированных вирусов и их процент от общего количества.

Антивирус DOS malware (35) Windows viruses (39) Script malware (217) Worms (502) Backdoors (3836) Trojans (3638) Other malware (356) Other OS malware (122) Всего (8745)
Eset NOD32 Anti-Virus 16
46%
19
49%
31
14%
409
81%
2.946
77%
1.382
38%
223
63%
8
7%
5.034
58%
VBA32 Workstation 25
71%
6
15%
23
11%
160
32%
2.692
70%
1.780
49%
249
70%

0
0%
4.935
56%
AVIRA AntiVir PE Premium 1
3%
7
18%
62
29%
239
48%
2.400
63%
1.726
47%
263
74%
29
24%
4.727
54%
AntiVirusKit (AVK) 16
46%
8
21%
36
17%
306
61%
2.277
59%
1.425
39%
271
76%
8
7%
4.347
50%
TrustPort Antivirus 16
46%
8
21%
24
11%
324
65%
2.130
56%
1.461
40%
269
76%
8
7%
4.240
48%
BitDefender Anti-Virus Professional Plus 16
46%
8
21%
24
11%
302
60%
1.973
51%
1.375
38%
268
75%
8
7%
3.974
45%
Dr.Web Anti-Virus 5
14%
7
18%
41
19%
249
50%
1.971
51%
1.428
39%
199
56%
1
1%
3.901
45%
Panda Platinum Internet Security 4 11% 6
15%
17 8% 92
18%
1.412
37%
832
23%
232
65%
0
0%
2.595
30%
McAfee VirusScan 9
26%
8
21%
35
16%
111
22%
1.477
39%
725
20%
279
78%
19
16%
2.663
30%
Norman VirusControl 5
14%
2
5%
58
27%
201
40%
1.316
34%
583
16%
234
66%
0
0%
2.399
27%
F-Secure Anti-Virus 7
20%
2
5%
18
8%
35
7%
1.680
44%
74
2%
232
65%
8
7%
2.056
24%
Kaspersky Anti-Virus Personal Pro 7 20% 2
5%
26
12%
33
7%
1.685
44%
76
2%
232
65%
8
7%
2.069
24%
Avast! Professional 7
20%
8
21%
51
24%
51
10%
1.260
33%
296
8%
217
61%
8
7%
1.898
22%
Norton Anti-Virus 14
40%
6
15%
37
17%
109
22%
772
20%
242
7%
237
67%
14
11%
1.431
16%
F-Prot Anti-Virus 16
46%
0
0%
1
0%
120
24%
599
16%
188
5%
192
54%
0
0%
1.116
13%
AVG Professional 16
46%
3
8%
137
63%
25
5%
153
4%
38
1%
229
64%
0
0%
601
7%

 

На рисунке ниже для удобства представлены суммарные результаты эффективности работы эвристических анализаторов в различных персональных антивирусах.

Рисунок 1: Эффективность проактивной антивирусной защиты

Эффективность проактивной антивирусной защиты

 

Выводы

Как видно из таблицы и рисунка выше, лучшую эффективность среди эвристических анализаторов показал антивирус Eset Nod32 Anti-Virus – 58% от общего количества вредоносных программ. Совсем немного позади его VBA32 Workstation и AVIRA Antivir Personal Edition Premium – 56% и 54% соответственно. Если посмотреть подробно на результаты первой тройки, то видно серьезное преимущество этих антивирусов над конкурентами по трем основным категориям вредоносных программ: трояны, черви и бекдоры. Например, Eset Nod32 детектировал 81% червей, что значительно выше, чем у конкурентов.

Пятерку лучших замыкают AntiVirusKit (AVK), использующий движки от BitDefender и Лаборатории Касперского, и TrustPort Antivirus, также использующий "чужие" движки от BitDefender и Norman. Их результаты составили 50% и 48% соответственно.

Совсем немного отстав от первой 5-ки, расположились антивирусы BitDefender и Dr.Web, чьи результаты работы эвристических анализаторов (45%) можно считать очень приличным. Все остальные антивирусы показали низкий уровень детектирования "неизвестных вирусов", не превзойдя уровень 30%. В том числе в группу аутсайдеров попали такие именитые антивирусные продукты как McAfee VirusScan, Norton Anti-Virus (с очень низким результатом в 16%), а также Norman VirusControl, F-Secure Anti-Virus, Kaspersky Anti-Virus, Avast! Professional. Замыкают таблицу F-Prot Anti-Virus и AVG Professional.

Не стоит забывать и об обратной стороне работы любой проактивной технологии и эвристики в частности – ложных срабатываниях, которые, безусловно, почти всегда имеют место, но этот вопрос мы оставим для следующей отдельной статьи.

Автор: Сергей Ильин
Основатель проекта Anti-Malware.ru
14.06.2006

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru