Ниже вы можете увидеть кто из антивирусов
и сколько наград получил в 2006-2007:
Статус патриарха антивирусного тестирования
не избавляет журнал Virus Bulletin от периодически накатывающихся
волн критики со стороны антивирусного сообщества.
Недавно, в сентябре 2007, на конференции
в Вене эксперт Андреас Маркс (работает в исследовательской
лаборатории AV-Test, функционирующей при университете Магдебурга)
представил критический доклад «The WildList is Dead, Long
Live the WildList!», в котором было подчёркнуты недостатки
коллекции вирусов WildList, используемой в антивирусном
тестировании специалистами Virus Bulletin:
- коллекция вирусов WildList состоит преимущественно
из вирусов и червей для операционных систем семейства
Windows и не включает вредоносный код другого типа (трояны,
бэкдоры),
- коллекцию нельзя назвать обширной и активно обновляемой
– ежемесячное наполнение вирусной коллекции составляет
всего до сотни новых вирусов, в то время как вирусные
сигнатуры ведущих производителей антивирусного программного
обеспечения ежемесячно пополняются десятками/сотнями тысяч
образцов новых вирусов.
В докладе было сказано, что коллекция вирусов
WildList в её нынешнем виде устарела и более не отражает
реального положения в сети интернет. В итоге, по мнению
Андреаса Маркса, производство тестов антивирусов на данной
коллекции не имеет реального смысла и хорошо только для
рекламы антивирусных продуктов, а не для отображения реального
качества работы антивирусов.
Антивирусные тесты на больших коллекциях
вирусов.
Эксперты независимых лабораторий, к примеру
AV-Comparatives и AV-Tests, направляют свои критические
стрелы на только на методы тестирования. Два раза в год
они проводят тесты антивирусов самостоятельно. При этом
тестировании в качестве вирусной базы применяются миллионные
коллекции вредоносного кода, регулярно пополняющиеся новыми
образцами. Публикацию результатов можно увидеть в известных
компьютерных изданиях и на сайтах компаний.
Итоги тестирования антивирусов в августе:
Касательно российских производителей и
наиболее распространённых на нашем рынке продуктов, видны
хорошие результаты только антивируса Касперского и Symantec.
Особое внимание следует уделить антивирусу Avira, к которому
вернёмся в рассуждениях о частоте ложных срабатываний.
Модель пользовательского поведения.
Любые тесты имеют свои достоинства и недостатки.
Это напрямую относится и к AV-Comparatives и AV-Test. Положительным
моментом является использование большой вирусной базы, характеризующейся
большим разнообразием типов вредоносного кода.
Отрицательным моментом является содержание
в этих базах относительно старых вирусов, возрастом более
полугода. К тому же при выведении оценки используется результат
сканирования жесткого диска, что не совсем верно. Ведь пользователь
гораздо чаще получает заражённый файл посредством электронной
почты или из Интернета в коде страницы, поэтому очень важным
моментом в оценке эффективности антивируса является перехват
нежелательного кода именно в момент его проникновения на
компьютер, а не при сканировании жесткого диска.
Журналом PC Pro (одно из старейших авторитетных
изданий Великобритании) была предпринята попытка выработки
более совершенной методики тестирования антивирусов. Для
этого собирается вирусная коллекция 2-недельной давности
(из трафика через серверы MessageLabs). Компания MessageLabs
предоставляет своим клиентам услуги по фильтрации трафика,
поэтому собираемая коллекция вирусов отражает реальную ситуацию
в интернете.
Экспертами издания PC Pro при тестировании
были смоделированы действия пользователя:
- инфицированные файлы пересылались в виде почтовых вложений,
- инфицированный код скриптами встраивался в web-страницу,
просматриваемую пользователем.
Моделирование реальных ситуаций сразу отразилось
на результатах: большая часть антивирусов показала гораздо
более низкий результат, нежели при тестировании по методике
AV-Comparatives и AV-Test.
Важным компонентом антивирусной защиты,
дающим большой вклад в успешное прохождение теста при такой
методике, является частота обновления антивирусных баз и
наличие развитого механизма проактивной защиты при анализе
подозрительных файлов.
Спецгруппа быстрого реагирования.
Скорость и частота выхода обновлений антивируса
с наборами сигнатур новых вирусных программ весьма важная
составляющая антивирусной защиты. Чем скорее выпущено обновление
антивирусных баз, тем меньше период, в течении которого
пользователь беззащитен перед вирусом (потому что антивирусная
защита идёт след в след за обнаружением новых вирусов).
В апреле 2007 лаборатория AV-Test проводила изучение скорости
реакции на появление новых угроз для американского издания
PC World. Результаты ниже:
Неизвестная известность.
Скорость выявления новых вредоносных кодов
в последнее время возросла настолько, что специалисты антивирусных
лабораторий не всегда поспевают реагировать и выпускать
новые сигнатуры в короткий срок. В этой ситуации поможет
технология «проактивной» защиты, с помощью которой антивирусная
программа может выявлять по некоторым характерным признакам
ещё неизвестные образцы вредоносного кода.
Эвристические технологии разделяются на 2 направления: эвристические
анализаторы (отвечают за обнаружение новых неизвестных вирусов
по программному коду) и поведенческие блокираторы (отвечают
за блокировку вирусов на основе характерного поведения в
операционной системе).
Эффективность различных эвристических анализаторов
давно изучается лабораторией AV-Comparatives. Эксперты лаборатории
применяют свою методику проверки: антивирусные программы
тестируются на
актуальной коллекции вредоносного кода с устаревшими сигнатурами.
Это обеспечивает проверку антивируса на способность обнаружения
и локализации ещё неизвестных вирусов. Используемая методика
тестирования, заключающаяся в файловом сканировании, анализирует
эвристические способности антивирусного продукта, не используя
поведенческий блокиратор.
По графику видно, что даже самые продвинутые
эвристические анализаторы способны выявить не более 70%
образцов вредоносного кода, причём при их использовании
резко возрастает число ложных срабатываний на лояльных файлах.
Вывод – использование проактивных технологий защиты будет
эффективным только в качестве второго после сигнатурного
метода.
Тестирования второй ветви проактивных технологий,
«поведенческого блокиратора», на серьёзном профессиональном
уровне пока не проводилось. Во многих антивирусах поведенческий
блокиратор отсутствует вообще.
Вторым нюансом при таких тестах является
их трудоёмкость: необходимо вручную активировать вирусы
и проводить наблюдение за эффективностью работы антивирусной
программы. Длительность и трудоёмкость этой методики отпугивает
многих исследователей, поэтому результатов подобных испытаний
очень мало. Пока только исследовательская лаборатория AV-Comparatives
представила на суд общественности свои исследования. В настоящий
момент только антивирусы F-Secure (технология DeepGuard)
и антивирус Касперского (модуль Проактивная защита) получили
заслуженную награду Proactive Protection Award.
К технологии поведенческого блокиратора
проявляется все больший интерес как со стороны производителей
антивирусных продуктов, так и со стороны исследователей,
поэтому есть надежда на её качественно-скачкообразное развитие
в ближайшем будущем. Подтверждением тому служит широкое
обсуждение этого вопроса на конференции Virus Bulletin 2007,
в ходе которого появились некоторые наработки методик тестирования
поведенческого блокиратора антивирусных продуктов для пока
неизвестных угроз.
Ложные срабатывания.
Очень важной характеристикой эффективности
антивируса является отсутствие ложных срабатываний. Потому
что вреда от ложных срабатываний не меньше – тут и блокировка
лояльных программ и файлов, отсутствие доступа к «чистым»
сайтам в интернете.
Примеры ложных срабатываний:
- обновление сентября 2007 заставило антивирус AVG считать
программу Adobe Acrobat Reader 7.0.9 трояном SHueur-JXW,
- в июле 2007 Eset NOD32 посчитал рекламные баннеры Yahoo,
MySpace и др. троянами Tivso.14a.gen и заблокировал доступ
к многим интернет-ресурсам.
При проведении тестимрования специалисты
AV-Comparatives тестировали продукты на ложные срабатывания
на сборке «чистых» файлов. Результат тестов стал огорчением
для продуктов Dr.Web и Avira.
Лечим не пойманное
Как это ни печально, но гарантированной
защиты от вирусов нет. Периодически пользователи сталкиваются
с проникновением вируса на свой компьютер и заражением операционной
системы. Чаще всего это происходит, когда антивирус не установлен
вообще, или не обновлён. Но иногда случается что активные
обновлённые антивирусные продукты «пропускаю мимо ушей»
новый вирусный код и не помогает ни сигнатурный анализ,
ни проактивные анализаторы.
В этом случае важно, чтобы после локализации
активной фазы заражения (например, после обновления антивирусных
баз) антивирус смог успешно удалить все последствия действия
вирусного кода.
Надо чётко понимать, что в ходе постоянного
противостояния вирус/антивирус изготовители вредоносного
кода так же активно совершенствуют свои творения, улучшая
и способы маскировки и совершенствуя механизмы противодействия
антивирусам.
К тому же не достаточно просто нейтрализовать
вирусный код, необходимо обеспечить удаление всех изменений
в операционной системе (в системном реестре в частности)
и обеспечить её работоспособность.
Сегодня нем известна только одна группа,
проводящая тестирование на противодействие активному заражению
и нейтрализацию последствия вирусной атаки. Такого рода
тестирование антивирусов проводится специалистами Anti-Malware.ru.
Данные последнего сентябрьского теста перед вашими глазами:
Итоговые оценки.
Мы рассмотрели различные методики тестирования
антивирусных продуктов, представив различные параметры работы
антивирусов и способы их тестирования. Итог: идеального
антивируса не существует – каждый силён в том или ином аспекте.
Вполне естественно, что разработчики при рекламе своей продукции
особо подчёркивают сильные стороны работы антивирусов, приводя
в подтверждение результаты тестов, в которых их продукты
заняли высокие позиции:
- аборатория Касперского подчёркивает высокую скорость
реакции на новые угрозы,
- лаборатория Еset – на продвинутость проактивных технологий,
эвристического анализатора в частности,
- лаборатория Доктор Веб подчёркивает хорошие способности
своего антивируса Dr.Web противостоять активному заражению.
Опираясь на представленные в этой статье
результаты, пользователю предстоит самостоятельно сделать
выбор антивирусного продукта, которому он доверит сохранность
своей операционной системы.
Итоговая сводная таблица результатов:
Полезно: ремонт
компьютеров
|
