Клуб сисадминов - Тест антивирусов №3
Клуб сисадминов
22:15 01.10.2014
Приветствуем, Гость | Регистрация \ Вход | Ваш IP: 54.198.185.156 | RSS
 
Знаете ли вы: можно сохранить модемное подключение при смене пользователя
Меню сайта
Тематические разделы
Новые статьи
[20.07.2010][Починка системы]
Возвращение Сервис -... (2)
[12.07.2010][Интересное чтиво]
3D-телевидение: как ... (1)
[07.07.2010][Интересное чтиво]
Распечатываем нужную... (2)
[17.06.2010][Настройка системы]
Программные ускорите... (6)
[07.06.2010][Починка системы]
Вирус перекрывающий ... (5)
На форуме
Видеонаблюдение бу... [0]
Скупаю постоплатны... [0]
Разработка сайта н... [0]
Структура сайта, ф... [8]
Не двигается курсо... [0]
Выгодный хостинг C... [0]
решил создать сайт... [0]
Разработка сайта н... [0]
Отзыв о ABBYY Fin... [0]
Разработка сайта н... [0]
Наша кнопка
Клуб сисадминов

Наш опрос
Ваше мнение о W8 Dev Preview

Всего ответов: 177
Клуб сисадминов проводит регулярное один раз в полгода тестирование антивирусов с целью выявить достоинства и недостатки каждого. Третье тестирование проводится при поддержке посетителей и гостей сайта, а также конференций Microsoft. Я искренне благодарю этих замечательных людей за то, что они нашли пару минут и помогли в этом деле, без них ничего бы не вышло. Я верю, что мы хорошо поработали, и результат будет честным, объективным и достойным наших стараний.

ВВЕДЕНИЕ

Третье независимое тестирование антивирусов в Клубе сисадминов должно было показать реальную ситуацию на рынке антивирусов на начало второго полугодия 2008 года. В тестировании принимали участие: Антивирус Касперского, Dr.Web, Eset NOD32, Symantec Endpoint Protection, Panda Antivirus, Norton Internet Security, Avira AntiVir, AVG Antivirus, Avast!.

Тестирование проводилось в три этапа: на первом этапе использовался архив с 95 файлами-вирусами. Он состоял из проверенных в реальных условиях отобранных файлов-вирусов, которые считались распространенными и должны были детектироваться всеми антивирусами. Во втором этапе использовался архив с 4907 зараженными файлами. Это был набор различных угроз разного времени создания и разных категорий. Суть теста заключалась в проверке качества работы антивируса на случайном наборе вредоносных файлов. Не все из представленных файлов реально опасны, а потому требовать 100% детектирования нельзя. Напротив, результаты, близкие к 100%, следует признать не очень хорошими, так как имеет место большое число ложных срабатываний. В третьем этапе использовался случайный набор наиболее распространенных программ-шуток для определения степени защищенности пользователя от ПО, которое формально вредоносным не является, однако способно дезорганизовать работу.

Цель первого этапа - сформировать предварительное впечатление обо всех кандидатах и выявить, насколько это возможно при такой ограниченной коллекции, слабые стороны каждого, чтобы впоследствии обратить внимание именно на качество детектирования вредоносного ПО определенного класса. Цель второго этапа - непосредственно общий анализ эффективности детектирования большой группы вирусов. Цель третьего этапа - детектирование специфических программ, которые формально не являются вирусами, но могут доставить неприятности. Разговор идет о так называемых "программах-шутках".

ПЕРВЫЙ ЭТАП

В первом этапе антивирусы тестировались на архиве с 95 вирусами. Каждый вирус был "боевым" и мог при желании быть активирован пользователями. Взять этот архив можно здесь (zip) (пароль virus). Ожидаемый результат: детектирование абсолютно всех представленных образцов. Результаты тестирования приведены в следующей таблице:

АнтивирусВсегоНайдено
Symantec Endpoint Protection9595
Norton Internet Security 9595
Dr Web 9595
Avast! Antivirus 9593
Panda Antivirus 9593
Антивирус Касперского 9592
McAfee VirusScan 9592
Eset NOD32 9591
Avira AntiVir Personal 9589
AVG Antivirus Free 9589

Результаты предварительного испытания показали, что даже на столь скромной базе вирусов можно обнаружить слабые места конкретных антивирусов. Хотелось бы обратить особое внимание на качество обнаружения вирусов продуктами DrWeb и Symantec - NIS и SEP обнаружили ВСЕ предложенные вирусы. Это заставляет задуматься. С другой стороны, например, KAV пропустил три вируса, которые определены большинством антивирусов сайта virustotal.com как опасные.

ВТОРОЙ ЭТАП

Во втором этапе использовался архив с 4907 единиц вредоносного ПО. Это были и скрипты, и исполняемые файлы, и файлы конфигурации, в общем - все, что признается большинством антивирусов как вредоносное ПО. Конечно, не все из приведенных образцов можно использовать непосредственно, однако наличие соответствующих сигнатур позволяет определить степень охвата антивирусом различных типов вирусов. По ряду некоторых образцов были сомнения, поэтому в помощь использовался сайт virustotal.com, который подтвердил опасность образцов. Ожидаемый результат: детектирование большинства представленных образцов, допустимый предел пропусков - примерно 300~500 объектов. Допустимый предел нужен потому, что не все представленные образцы "боевые" и не все несут опасность. Они скорее "формально вирусы", а на самом деле случайные куски кода, потому антивирус имеет право пропустить такие образцы. Но их не так много, примерно десятая часть. Итак, данные второго этапа находятся в приведенной ниже таблице:

АнтивирусВсегоНайдено
Антивирус Касперского 49074902 *
Avast! Antivirus 49074900 *
McAfee VirusScan 49074860
Avira AntiVir Personal 49074712
Panda Antivirus 49074662
Eset NOD32 49074460
Endpoint Protection 49074407 **
Symantec Internet Security 49074407 **
Dr Web 49074086
AVG Antivirus Free 49073440

* Дабы избежать обвинений в предвзятости, пиаре и прочей дезинформации, напомню, что любой посетитель может в любой момент взять этот архив (zip) и посетить сайт KAV, где лично убедиться в результате. Или просто установить KAV, обновить его, включить детектирование RiskWare и просканировать архив.
** Видимо, эти два продукта в своей работе используют одну вирусную базу, поэтому разницы в качестве работы нет.

ТРЕТИЙ ЭТАП

В ходе третьего этапа антивирусами был просканирован архив с программами-шутками, которые заведомо систему не повреждают, а лишь выполняют объявленные функции. Задачи у этого этапа две: во-первых, оценить непосредственную защиту антивирусом от такого ПО. И во-вторых, оценить параноидальность антивирусов, потому как среди представленных есть как скрытные программы (которые по нашему мнению должны детектироваться), так и открытые не прячущиеся (которые детектироваться вроде как не должны). Вряд-ли пользователь захочет, чтобы его окна сами бегали или по экрану бегала кнопка, а потому имеет место внешнее воздействие на пользователя с целью дезорганизовать работу, так что в детектировании таких программ ничего плохого нет. Вот сам архив (zip). Давайте посмотрим:

Программа-шуткаСкрытностьОпасность
1 pusk в диспетчере задачнизкая
2 Annoy в диспетчере задачнизкая
3 drifting ntvdm.exe в д.з.средняя
4 a-cool ntvdm.exe в д.з.средняя
5 swappingicons в треенизкая
6 light поверх всех оконнизкая

А теперь общее детектирование:

АнтивирусВсегоНайдено
Avira AntiVir Personal 63
Dr Web 63
Avast! Antivirus 63
Panda Antivirus 62
McAfee VirusScan 61
Endpoint Protection 61
Symantec Internet Security 61
Антивирус Касперского 60
Eset NOD32 60
AVG Antivirus Free 60

Особенности: 1 был обнаружен многими антивирусами, но Avast! ошибся в его определении и назвал его "Win32:Trojan-gen {Other}". 2 однозначно опознался только DrWeb'ом. 3 опознался многими корректно. 4 опознался тоже многими, но особенно удивила эвристика McAfee, написав "potentially unwanted program Joke-Flipped". 5 не опознался вообще никем (они не в курсе?). 6 опознался только Пандой как "Suspicious file". Для повторного анализа использовался сайт virustotal.

ВЫВОДЫ

Результаты нашего тестирования получились весьма интересными. С одной стороны, подтвердил свою репутацию Антивирус Касперского, который в России широко распространен и славится количеством обнаружений. Его промахи в первом тесте заставили насторожиться, так как пропустить "боевые" вирусы - это опасно. Без обновлений, "из коробки", он пропустил 01, 04, 05 из dll и 34, 47 из exe, с обновлениями - только три объекта. Это о пользе обновлений. Но в целом его промахи несущественны по сравнению с конкурентами. Другой стороной медали может служить то, что далеко не все образцы вирусов представляют реальную опасность для пользователя. Поэтому можно предвидеть большое количество ложных срабатываний антивируса. То есть он защищает пользователя от всего, что кажется ему подозрительным. А плюс это или минус - решать вам.

Субъективное мнение: я пользовался этим антивирусом довольно долго, ещё с версии AVP 3.0. Хочу сказать, что он меня не подводил. Да, были ложные срабатывания, да, иногда подтормаживало, но зато я был уверен, что если он не детектирует конкретный файл, то я могу запустить его. Кому-то это покажется излишней надеждой на антивирус, а мне кажется, что инструмент помощи пусть лучше зря ругается, чем молчит, если есть повод насторожиться.

Avast! Antivirus также порадовал отличными результатами. Даже бесплатная версия этого антивируса показывает, что может надежно защитить компьютер от вредоносного ПО. Сравнимые с ведущим платным антивирусом показатели говорят, что разработчики во-первых не сидят на месте, а во-вторых действительно активно работают над своим антивирусом. Отдельно стоит отметить мощный механизм эвристики, один из лучших в классе. Однако минус у этого антивируса тот же - большое количество ложных срабатываний. Во время тестирования у автора статьи антивирус среагировал на абсолютно мирный патч для кое-какой программы, ну а в рамках самого тестирования ложных срабатываний было ещё больше (как и у KAV), поэтому решение о выборе этого продукта должно оставаться опять же за пользователем.

Субъективное мнение: мои знакомые пользуются этим антивирусом тоже довольно продолжительное время и возникали ситуации, когда я приходил к ним с каким-нибудь файлом, а антивирус ругался, что там что-то неопределенное, но очень опасное. Было неприятно. Но дело в том, что этот антивирус безусловно лучший из бесплатных и если нет желания покупать антивирус, то я бы рекомендовал однозначно только его.

McAfee VirusScan порадовал меня прекрасными результатами работы. Пропуск трех вирусов в первом тесте, конечно, нельзя игнорировать, однако хорошие результаты во втором заставляют по-другому взглянуть на этот антивирус. Небольшое число ложных срабатываний и вместе с тем высокие показатели по эффективности говорят о качестве и многолетней "выдержанности" антивируса. Его с уверенностью можно рекомендовать пользователям.

Субъективное мнение: антивирус показал хорошие результаты работы. У меня нет опыта использования его, поэтому лично от себя сказать ничего, к сожалению, не могу.

Неоднозначное впечатление оставили продуты Symantec. Результаты удивляют: 100% эффективность в первом тесте и 500 пропущенных объектов во втором. Конечно, это находится в пределах терпимости, однако на фоне существования бесплатных или более дешевых и, что более важно, легких и быстрых аналогов, стоит задуматься, так ли очевиден выбор этого антивируса.

Субъективное мнение: Качество детектирования этих продуктов (NIS и SEP) можно представить в виду синусоиды - в одно время они теряют позиции, в другое - наверстывают упущенное и показывают очень хорошие результаты. Безусловно, это дело читателей, но я бы не рекомендовал использовать их продукты в личных целях. Корпоративные версии - вопрос неоднозначный, они показывают хорошие результаты в реальной жизни и многие системные администраторы хвалят их, а вот те же NIS и NAV - вопрос очень спорный.

Dr Web меня немного удивил. Во втором тестировании антивирусов (прошлом) он показал отличные результаты, и я рад был рекомендовать его друзьям и знакомым. Он хорошо начал и в первом этапе - не пропустил ни одного вируса. Вы можете самостоятельно убедиться в этом, просто скопировав ссылку на архив в поле "Проверить URL" на нашем сайте и посмотреть описания любых интересующих вас файлов. Но он дал серьёзный промах во втором тесте, на случайном наборе зараженных файлов. Даже на фоне всех других антивирусов, его результат более чем "на троечку" назвать нельзя.

Субъективное мнение: последнее время у DrWeb появилась новая политика "лечения удалением". То есть антивирус нельзя заставить бездействовать при нахождении вируса, он просто не слушается настроек лечения и молча удаляет объект. Кому-то это покажется и хорошо, но мое мнение об этом антивирусе резко упало как из-за этого факта, так и из-за результатов исследований.

Avira AntiVir показал не очень хорошие результаты тестирования. Кроме того, бесплатная версия вообще мало на что способна, а платная показала достаточно средние результаты.

Субъективное мнение: как среди платных, так и среди бесплатных есть более достойные конкуренты...

Eset NOD32 показал то, что я от него и ожидал. В ходе тестирования у меня были данные о детектировании архивов версиями v2.5, v2.7 и v3.0. Очень занимательная тенденция - NOD32 со временем "забывает" вирусы. И то, что успешно детектировалось год-два назад, сегодня уже никак не опознается. Если у кого-то будет такая возможность, рекомендую также лично ознакомиться с этой ситуацией. Невысокие, но терпимые показатели в первом тесте и во втором. Результаты второго теста можно объяснить тем, что в нем использовались кроме всего прочего экземпляры довольно старых вирусов, которые NOD уже успел "забыть", хотя результаты находятся в пределах терпимости.

Субъективное мнение: версия 2.7 - это хороший антивирус, я бы стал им пользоваться. Версия 3.0 - пардон, для домохозяек. Настройки урезаны донельзя, раньше было намного больше возможностей тонкой подстройки. Антивирус меняет свою ориентацию в сторону начинающих пользователей, но это не наш путь, а потому стоит подумать - а так ли оправдано его использование? Да и результаты тестов невысокие...

Panda Antivirus - распространенный в определенных кругах антивирус, показал средние результаты. Слабым местом оказалась борьба с RiskWare и некоторыми троянами. Отдельные тесты антивируса на случайных файлах показали, что впринципе он способен защитить пользователя, но уровень защиты хуже того же бесплатного Avast!.

Субъективное мнение: просто от себя - не рекомендую.

AVG Antivirus показал плохие результаты тестирования. Он пропустил наибольшее количество вирусов в первом этапе и один из пропустивших больше всего на втором. Конечно, он бесплатный, но мы рекомендуем задуматься о знакомстве с другими антивирусами и рассмотрении возможности перехода.

Субъективное мнение: ни за что бы не стал им пользоваться, лучше вообще без антивируса, хоть будешь больше полагаться на свою голову :).

В ходе тестирования всплыла ещё одна истина: правильная настройка антивируса - 50% защищенности. Не пренебрегайте начальной настройкой антивирусов, если хотите оценить всю мощь того или иного решения. Если вы понимаете, что вы делаете, и делаете это аккуратно, то вас способен защитить любой правильно настроенный антивирус.

По результатам тестирования будет обновлен рейтинг софта. Все комментарии, вопросы и предложения к материалу просьба оставлять в соответствующей теме форума. При копировании материалов ссылка на эту страничку обязательна.
Календарь новостей
«  Октябрь 2014  »
ПнВтСрЧтПтСбВс
  12345
6789101112
13141516171819
20212223242526
2728293031
Праздники сегодня
Актуальное сегодня
Поиск по сайту
Новости безопасности
Друзья сайта

Система Orphus


Статистика
© Иван Собакарь, 2004 - 2014 | Сайт управляется системой uCoz