Австрийская независимая лаборатория AV-Comparatives опубликовала результаты динамическом тестировании антивирусов Real-World Protection Test за период с февраля по май 2025 года. Тест направлен на оценку эффективности комплексной защиты антивирусных решений от актуальных интернет-угроз в условиях, максимально приближенных к реальным.
В испытаниях использовались актуальные версии 20 антивирусов, установленных на Windows 11 (64-бит). Каждое решение обновлялось перед тестом и тестировалось на 423 активных вредоносных URL.
Тестируемые антивирусы
В 2025 году в динамическом тестировании AV-Comparatives принимают участие следующие антивирусы:
- Avast Free Antivirus
- AVG Free Antivirus
- Avira Free Security
- Bitdefender Total Security
- ESET NOD32 Internet Security
- F-Secure Internet Security
- G Data Total Security
- K7 Total Security
- Kaspersky Premium для Windows
- Malwarebytes Premium
- McAfee Total Protection
- Microsoft Defender Antivirus
- Norton Antivirus Plus
- Panda Free Antivirus
- Quick Heal Total Security
- Total Defense Essential Antivirus
- TotalAV Antivirus Pro
- Trend Micro Internet Security
- VIPRE Advanced Security
Примечание. Некоторые продукты используют движки сторонних производителей: например, G Data, Total Defense и VIPRE используют движок Bitdefender, F-Secure и TotalAV — движок Avira, AVG и Norton — движок Avast.
О динамическом тестировании антивирусов
Вредоносное ПО продолжает развиваться, и современные угрозы всё чаще проникают в системы не через заражённые файлы, а через интернет — с использованием вредоносных сайтов, фишинговых писем, поддельных обновлений, скрытых загрузчиков и эксплойтов. Это требует от антивирусного программного обеспечения комплексной защиты, включающей не только сигнатурный анализ, но и эвристические алгоритмы, облачные репутационные системы, фильтрацию URL, поведенческие блокираторы и другие интеллектуальные механизмы.
AV-Comparatives проводит динамическое тестирование антивирусов Real-World Protection Test — один из самых репрезентативных и сложных тестов на рынке, отражающий реальные сценарии заражения. В нём проверяется, как антивирус реагирует на угрозу на каждом этапе: при переходе на вредоносный URL, при загрузке или создании файла на диске, при попытке запуска вредоносного процесса и в момент активации вредоносных действий.
Такой подход позволяет всесторонне оценить эффективность различных компонентов антивирусного решения. Антивирус может компенсировать слабую работу одного модуля (например, веб-фильтра) за счёт других — поведенческого анализа или облачной эвристики. Однако идеальным считается решение, эффективно блокирующее угрозу на любом этапе.
Важно учитывать, что не все вредоносные программы распространяются через интернет. Например, антивирус с отличным веб-фильтром будет бесполезен против вредоносного файла, попавшего на устройство через USB-накопитель или локальную сеть. Поэтому ключевую роль продолжают играть и традиционные технологии — сигнатурный и эвристический анализ.
Реализация комплексного подхода в антивирусных решениях особенно важна на фоне увеличения количества атак нулевого дня. Даже если антивирус не смог предотвратить заражение на раннем этапе, обновление сигнатур должно позволять впоследствии обнаружить и удалить угрозу.
Тест Real-World Protection разрабатывается AV-Comparatives совместно с факультетом информатики и управления качеством Университета Инсбрука (Австрия). Методика получила несколько наград, включая Constantinus Award, Cluster Award, eAward и Innovationspreis IT.
Цель теста — дать объективную и достоверную информацию о том, насколько эффективно антивирусное программное обеспечение защищает пользователей от актуальных интернет-угроз, имитируя реальное поведение обычного пользователя.
Методика тестирования
Динамическом тестировании антивирусов AV-Comparatives Real-World Protection — это одно из самых реалистичных и технически сложных испытаний антивирусных решений. Оно основано на имитации реального пользовательского поведения, включая переход по вредоносным ссылкам, загрузку и запуск вредоносных файлов, использование эксплойтов и методов социальной инженерии.
Организация тестирования
Каждое антивирусное решение устанавливается на отдельный физический компьютер, работающий под управлением актуальной версии Windows 11 (64-бит) с полностью установленными обновлениями. Все компьютеры имеют индивидуальные внешние IP-адреса и подключены к стабильному интернет-соединению. Ежедневно перед началом тестов выполняется ручное обновление всех антивирусных продуктов.
Тестирование осуществляется в полностью автоматизированной среде с контролем сетевого и файлового трафика, регистрации системных изменений и анализом поведения вредоносных программ. Это позволяет отслеживать все попытки заражения и реакцию антивируса на каждом этапе.
Подготовка и отбор вредоносных URL
Каждый потенциальный вредоносный URL предварительно проверяется на «чистой» системе (без антивируса), чтобы удостовериться, что он действительно ведёт к заражению. Если подтверждается наличие угрозы, ссылка включается в тест. Источники URL включают как drive-by загрузки с эксплойтами, так и прямые ссылки на исполняемые вредоносные файлы, полученные, в том числе, через спам, мессенджеры и вредоносные сайты.
Для обеспечения статистической значимости в каждом месяце используется значительное количество тестов (более 100 URL), что значительно превышает масштабы аналогичных испытаний у других лабораторий. За весь период февраль–май 2025 года было использовано 423 уникальных тест-кейса.
Цикл тестирования для каждого случая
- Антивирусное решение обновляется вручную и получает время для загрузки последних модулей и облачных правил.
- Осуществляется переход по вредоносной ссылке и мониторинг всех системных изменений.
- После завершения теста система откатывается к чистому состоянию, и тест переходит к следующему URL.
Принципы оценки
Защита считается успешной, если система остаётся незаражённой. Это может произойти на любом этапе: при блокировке URL, при загрузке файла, при попытке запуска, либо при срабатывании поведенческого анализатора или эвристики.
Если вредоносное ПО было остановлено, удалено или нейтрализовано, это засчитывается как блокировка. Если система была скомпрометирована (вредоносный процесс остался активным или произошли изменения в системе) — это считается заражением.
Если защита зависит от пользовательского решения (например, всплывает окно с вопросом, запускать ли файл), и неправильное действие приводит к заражению, такой случай классифицируется как user-dependent.
Облачные компоненты
При использовании облачных механизмов (например, репутации или облачных сигнатур) учитываются только результаты, полученные во время теста в лабораторных условиях. Если облачный сервис был недоступен в момент тестирования — это отражается на результатах. Поэтому антивирусы, сильно зависящие от облака, могут показывать нестабильные результаты.
Наилучший подход — сочетание облачных и локальных технологий: сигнатур, эвристики, поведенческого анализа и репутационных систем.
Реалистичность и ограничения
Поскольку тест повторяет реальные пользовательские сценарии и взаимодействие с внешними URL, он не является полностью воспроизводимым, как классические офлайн-тесты. Однако лаборатория собирает все необходимые журналы событий и предоставляет производителям возможность оспорить спорные результаты для их перепроверки.
Результаты тестирования
Результаты тестирования на ложные срабатывания
Тест AV-Comparatives не ограничивается только проверкой уровня защиты. Не менее важно, чтобы антивирус корректно различал вредоносные и безопасные объекты. Для этого проводится отдельное тестирование на ложные срабатывания (False Positive / False Alarm Test), в рамках которого оценивается:
- Блокировка безопасных сайтов (доменов), при обычном интернет-сёрфинге.
- Блокировка безопасных файлов при загрузке и установке программ.
Продукт, который часто ошибочно блокирует легитимные программы или веб-сайты, может мешать повседневной работе пользователей и вызывать потерю доверия к предупреждениям безопасности. Поэтому высокая точность обнаружения важна не меньше, чем сама защита от угроз.
AV-Comparatives использует как популярные, так и новые безопасные приложения, загруженные с официальных сайтов разработчиков. Также учитываются случаи, зафиксированные за предыдущие месяцы тестирования. Все ложные блокировки регистрируются и учитываются в общей оценке.
Важно: пользовательские сценарии, при которых требуется вручную разрешить действие, считаются «зависимыми от пользователя» и учитываются как 0.5 балла в итоговом значении ложных срабатываний.
Итоговая таблица ложных срабатываний
| Антивирус | Ошибочно заблокировано (сайты/файлы) | Итоговый балл FP (чем ниже, тем лучше) |
|---|---|---|
| Total Defense | 0 / 0 | 0 |
| VIPRE Advanced Security | 1 / 0 | 1 |
| Kaspersky Premium для Windows, Microsoft Defender Antivirus | 2 / 0 | 2 |
| Bitdefender Total Security, ESET NOD32 Internet Security | 3 / 0 | 3 |
| Avira Free Security, G Data Total Security, TotalAV Antivirus Pro | 5 / 0 | 5 |
| Quick Heal Total Security | 6 / 0 | 6 |
| Norton Antivirus Plus | 8 / 1 (user-dependent) | 8.5 |
| McAfee Total Protection | 9 / 0 | 9 |
| AVG Free Antivirus | 12 / 1 (user-dependent) | 12.5 |
| Avast Free Antivirus | 12 / 3 (user-dependent) | 13.5 |
| K7 Total Security | 15 / 0 | 15 |
| F-Secure Internet Security | 18 / 0 | 18 |
| Panda Free Antivirus | 25 / 0 | 25 |
| Malwarebytes Premium | 32 / 0 | 32 |
| Trend Micro Internet Security | 52 / 0 | 52 |
Критерии оценки ложных срабатываний
Для определения финальной награды AV-Comparatives учитывает не только уровень защиты, но и частоту ложных срабатываний. Продукты с числом FP выше среднего (12) получают пониженную награду, в зависимости от диапазона:
- 0–12 FP: награда не снижается
- 13–25 FP: понижение на один уровень
- 26–50 FP: понижение на два уровня
- >50 FP: понижение до минимальной оценки («Tested»)
Таким образом, продукты AVG, Avast, K7, F-Secure, Panda, Malwarebytes и Trend Micro были понижены в итоговом рейтинге из-за количества ложных срабатываний, превышающих средний показатель.
Примечание: антивирус может демонстрировать высокий уровень защиты, но чрезмерное количество FP негативно сказывается на удобстве использования и доверии со стороны пользователя. Баланс между эффективной защитой и точностью — ключевой критерий при выборе решения.
Общий результат тестирования
В ходе четырёхмесячного тестирования с февраля по май 2025 года было обработано 423 вредоносных случая. Антивирусные решения проходили испытание на способность блокировать угрозы на всех стадиях: от перехода по вредоносному URL до запуска вредоносного кода. Результаты сгруппированы по кластерам в зависимости от уровня защиты.
Февраль-Март 2025
Количество тестовых образцов: 423
Обозначения на графике
- Blocked (Заблокировано, % )- заблокированные угрозы
- User dependent (Решение пользователя, %) - действие над угрозой зависит от решения пользователя
- Compromised (Пропуск, %) - пропущенные угрозы
- False Positives (Ложные) - ложные срабатывания
Результаты (таблица)
| Антивирус | Заблокировано | Решение пользователя | Пропуск | Уровень защиты | Кластер |
|---|---|---|---|---|---|
| Bitdefender Total Security | 422 | 0 | 1 | 99.8% | 1 |
| Avast, G Data, Malwarebytes, Norton, Trend Micro, VIPRE | 421 | 0 | 2 | 99.5% | 1 |
| AVG, Avira, Kaspersky, McAfee, Total Defense | 420 | 0 | 3 | 99.3% | 1 |
| ESET, F-Secure, Microsoft Defender, TotalAV | 419 | 0 | 4 | 99.1% | 1 |
| K7 Total Security | 417 | 0 | 6 | 98.6% | 2 |
| Panda Free Antivirus | 412 | 0 | 11 | 97.4% | 3 |
| Quick Heal Total Security | 399 | 0 | 24 | 94.3% | 4 |
Уровень защиты рассчитывался по формуле:
Protection Rate = [Blocked % + (User Dependent % / 2)]
Большинство продуктов, включая Bitdefender, G Data, Kaspersky, Microsoft Defender, ESET и Norton показали уровень защиты выше 99%, эффективно блокируя угрозы на разных этапах. Тем не менее, Quick Heal и Panda продемонстрировали сравнительно низкие результаты, а также оказались в последних кластерах по итогам теста.
Оценки AV-Comparatives учитывают не только уровень защиты, но и количество ложных срабатываний. Поэтому финальная награда может быть снижена, даже если антивирус показал высокую защиту.
Награды тестирования
По итогам теста Real-World Protection Test (февраль–май 2025) AV-Comparatives присвоила антивирусным продуктам награды в зависимости от уровня защиты и количества ложных срабатываний. Продукты с высоким уровнем защиты и минимальными FP получили наивысшую награду Advanced+, а продукты с чрезмерным количеством ложных блокировок или недостаточной защитой — пониженные оценки.
* Антивирус понижен в награде из-за высокого уровня ложных срабатываний.
Последние обзоры и тесты
• Лучший антивирус 2025: Тестирование 35 антивирусов для Windows 11
• AV-Comparatives 2025: Тестирование защиты антивирусов от интернет-угроз
• AV-Comparatives 2025: Лучшие антивирусы для Android
• Тестирование AV-Test: 25 антивирусов для Windows против шифровальщиков и ПО для кражи данных
• Выбираем легкий антивирус для Windows 11 – результаты тестов AV-Comparatives 2025
• AV-Test: Тестирование 26 антивирусов для Windows против шифровальщиков и ПО для кражи данных