AVLab: Тестирование бесплатных антивирусных сканеров

2017-02-20 | Автор | комментарии
Лаборатория AVLab провела тестирование бесплатных антивирусных сканеров, выполняющих проверку компьютера по требованию, на уровень обнаружения угроз и лечение зараженных систем

AVLab: Тестирование бесплатных антивирусных сканеров

Общая информация

Проверка эффективности так называемых сканеров по требованию является очень нестандартной задачей. В настоящее время подобные инструменты используются не только домашними пользователями, но и организациями. Основная цель антивирусных сканеров - анализ устройства и подтверждение его статуса безопасности.

Главная задача сканеров по требованию заключается в обнаружении и полном удалении угроз или их остатков, а также в лечении инфицированных систем. Все протестированные сканеры позволяют задавать область проверки, в пределах которой будет осуществлен поиск инфицированных файлов в соответствии с заложенной разработчиками технологией сканирования. В данном испытании не принимали участие сканеры, которые предлагают только так называемую быструю проверку без возможности анализа безопасности отдельного раздела или местоположения.

Тестируемые антивирусные сканеры

В испытании принимали участие актуальные на момент тестирования (сентябрь 2016 года) версии антивирусных сканеров:

Антивирусный сканер Версия
Arcabit Online Scanner 1.0.4
ClamWin Free Antivirus* 0.99.1
Comodo Cleaning Essentials 2.5.242177.201
Dr.Web CureIt! 11.1.2
Emsisoft Emergency Kit 11.9.0.6508
ESET Online Scanner 2.0.12.0
Kaspersky Virus Removal Tool 15.0.19.0
Malwarebytes Anti-Malware Free 2.2.1.1043
Panda Cloud Cleaner 1.1.9
Sophos Clean (на базе HitmanPro) 3.7.13.262
Trend Micro HouseCall 1.62
Защитник Windows (Microsoft)* 4.10.14393.0

* ClamWin Free Antivirus и Защитник Windows имеют защиту в режиме реального времени, но во время тестирования она была отключена, и решения использовались в качестве сканера по требованию.

Методология

Сканер по требованию - специализированная программа, поэтому методология тестирования AVLab не ограничивается стандартной проверкой набора образцов. Кроме оценки эффективности обнаружения нескольких тысяч инфицированных объектов, в тестировании учитывалось удаление вредоносных файлов и ключей реестра в случаях заражения системы.

Для проверки уровней обнаружения бесплатных антивирусных сканеров использовался виртуальный образ Windows 10 Pro x64 с установленными новейшими обновлениями. В начале каждого тестового дня, система восстанавливалась в исходное состояние. Таким образом, все продукты проверялись в идентичных условиях.

В первой части испытания использовалось 7089 вредоносных образцов из различных независимых источников. Во второй части испытания было выбрано 6 специализированных угроз, которые не принимали участие в 1 стадии тестирования.

При отборе образцов AVLab не сотрудничала с разработчиками антивирусных продуктов. Нет никаких оснований полагать, что протестированное приложение обнаруживало угрозы, искусственно созданные разработчиком.

Во время теста все сканеры устанавливались со стандартными настройками и имели постоянный доступ в Интернет. В двух случаях с Dr. Web Cureit и Kaspersky Removal Tool, новая версия сканеров ежедневно (автоматическое обновление было недоступно).

Сканирование коллекции вредоносных программ

  1. Для каждого участника тестирования восстанавливался исходный образ операционной системы для соблюдения идентичности тестовой среды.
  2. Каждый день экспертами лаборатории загружались уникальные вредоносные образцы.
  3. Перед проведением сканирования загружались новейшие версии сигнатур или загружались новые версии сканеров (при необходимости) с интегрированными сигнатурами.

Обнаружено угроз

AVLab: Тестирование бесплатных антивирусных сканеров

День 1 День 2 День 3 День 4 День 5 День 6 День 7 Всего
Кол-во угроз 10398831044106691791512857089
Обнаружено
Arcabit 1035 882 1039 1000 914 913 1283 7066
ClamWin 895 717 831 760 748 618 946 5515
Comodo 958 713 862 953 803 859 1142 6290
Dr.Web 1023 873 1026 981 904 915 1267 6989
Emsisoft 1035 882 1039 1004 916 914 1284 7074
ESET 1030 880 1036 1001 914 913 1280 7054
Kaspersky 995 881 1040 1002 912 910 1275 7015
Malwarebytes 832 630 755 783 693 772 1060 5525
Panda 1016 740 1016 1000 914 912 1282 6880
Sophos 1034 844 1019 988 899 914 1277 6975
Trend Micro 1037 879 1043 1004 915 913 1283 7074
Microsoft 247 314 421 348 265 218 389 2202

Пропущено образцов

AVLab: Тестирование бесплатных антивирусных сканеров

Лечение зараженной системы

  1. В данной части испытания использовались различные виды угроз и проводился ручной анализ для обнаружения зараженных областей системы.
  2. Каждый вредоносный образец запускался в исходном образе операционной системы, затем выполнялась перезагрузка системы. Если для работы угрозы запрашивались права администратора, то они были предоставлены.
  3. Сканеры получали возможность обнаружить инфицированный файл и изменения в системе, вызванные заражением.
  4. Во время работы сканера при необходимости разрешалась перезагрузка системы.
Сканер / Образец A B C D E F
Arcabit Online Scanner + + + + + +
ClamWin Free Antivirus - + + + + +
Comodo Cleaning Essentials + + + + + +
Dr.Web CureIt! + + + + + +
Emsisoft Emergency Kit + + + + + +
ESET Online Scanner + + + + + +
Kaspersky Virus Removal Tool + + + + + +
Malwarebytes Anti-Malware Free + + + + + +
Panda Cloud Cleaner +* + + + + +
Sophos Clean +* + + + + +
Trend Micro HouseCall + + + + + +
Защитник Windows (Microsoft) - + - - + -

* В некоторых случаях для удаления угроз требовалась перезагрузка операционной системы. Таким образом, заражение удалялось в режиме восстановления (Rescue mode).

  • Образец A: backdoor Kelihos
  • Образец B: backdoor Careto
  • Образец C: keylogger Ardamax
  • Образец D: trojan Emotet
  • Образец E: trojan downloader
  • Образец F: trojan Poweliks

Обзор результатов

При проведении испытания использовалось 7089 вредоносных образцов. Наилучшие уровни обнаружения продемонстрировали: Arcabit Online Scanner, Emsisoft Emergency Kit, ESET Online Scanner и Trend Micro HouseCall. Хотя остальные участники тестирования получили сертификацию, подтверждающую их эффективность, они не смогли добиться уровня обнаружения свыше 99 процентов и не получили награду “Best+++”.

Следующие продукты смогли обнаружить от 98 до 99 процентов тестовых образцов общим количеством 7089 объектов: Dr.Web CureIt!, Kaspersky Virus Removal Tool, Panda Cloud Cleaner и Sophos Clean.

Время сканирования тестовых образцов у всех приложений отличалось, причем в достаточно серьезных пределах - от нескольких минут до нескольких десятков минут. Тем не менее, длительный анализ не гарантировал высокий уровень обнаружения. Самую долгую проверку выполняли Panda Cloud Cleaner, Comodo Cleaning Essentials (в некоторых случаях перед продолжением сканирования, требовалась перезагрузка компьютера) и Защитник Windows.

Emsisoft Emergency Kit, Dr. Web Cureit!, Malwarebytes Anti-Malware и ClamWin Free Antivirus быстро справились с проверкой тестовой коллекции угроз. Тем не менее, данные продукты показали разные результаты.

Рекомендуемые антивирусные сканеры

Следующие продукты получили награду “Best+++”:

AVLab: Тестирование бесплатных антивирусных сканеров

О лаборатории AVLab

AVLab (avlab.pl) объединяет энтузиастов в области антивирусной защиты и безопасности в Интернете. Лаборатория проводит тестирование программ и делится результатами анализа с пользователями Интернета. Организация не находится под контролем и никак не связана с разработчиками программных продуктов.

Результаты испытаний AVLab являются независимыми. В тестах моделируются ситуации, максимально приближенные к сценариям реального использования. Не стоит полагаться исключительно на результаты AVLab при выборе антивируса. Чтобы сделать правильный выбор, рекомендуется ознакомиться с тестами других независимых лабораторий, которые используют иные методы и техники оценки. Кроме того, выбирая антивирус, нужно учитывать множество различных факторов: персональные предпочтения, необходимые функции, эффективность, уровень обнаружения, воздействие на производительность, интерфейс, стоимость, удобство использования, совместимость, поддерживаемые языки, качество технической поддержки и др.

С полным отчетом вы можете ознакомиться по этой ссылке (pdf, на английском языке).

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества