Антивирусы сравнили по интеллекту, результаты теста антивирусов по эффективности эвристики

Независимый портал Anti-Malware.ru опубликовал результаты теста антивирусов по эффективности эвристики: исследователи попытались выяснить, в каком антивирусе этот компонент защиты работает лучше.

В новом тесте Anti-Malware.ru сравнивались эвристические компоненты антивирусной защиты (эвристики + generic-детект, т.е. расширенные сигнатуры), не принимая во внимание анализ системных событий (поведенческие блокираторы, HIPS). В качестве приложения к тесту производилось финальное измерение уровня детектирования на собранной коллекции на обновленных антивирусах через неделю после завершения основного теста. В результате фиксировалось качество обнаружения новых вирусов, а также эффективность работы классических сигнатурных методов каждого антивируса в дополнение к эвристике.

В тестировании принимали участие 14 наиболее популярных антивирусных программ. Тест антивирусов проводился под операционной системой Windows XP SP3 в период с 3 декабря 2008 года по 18 января 2009 года в соответствии с определенной методологией, по которой создавались специальные условия для проверки эффективности работы эвристиков (для этого у всех антивирусов отключалась функция обновления, т.е. происходило замораживание антивирусных баз данных на дату начала теста).

Для проведения теста во время заморозки антивирусных баз была собрана коллекция из 5166 уникальных самплов новейших вредоносных программ и коллекция из 15121 чистого файла.

Основные результаты тестирования (детектирование - ложные срабатывания)



Абсолютным лидером по эффективности эвристического компонента защиты по итогам теста Avira AntiVir Premium, чей уровень детектирования неизвестных вредоносных программ оказался очень высоким – 71%. Однако повышенный уровень ложных срабатываний позволил этому продукты получить только лишь награду Silver Proactive Protection Award.

Такая же участь постигла антивирус DrWeb, чья новая версия 5.0 показала очень высокий результат детектирования в 61% ровно, но повышенный уровень ложных срабатываний позволил ему получить только награду Silver Proactive Protection Award.

Главный разочарованием теста, по словам исследователей, стал Sophos Anti-Virus, показавший уровень проактивного детектирования более 61% ценой огромного количества ложных срабатываний 2,24%.

Лучшие результаты по балансу проактивного детектирования и ложных срабатываний показала тройка Kaspersky Anti-Virus, Eset Nod32 Anti-Virus и BitDefender Antivirus. Их результаты оказались практически идентичны - уровень эвристического детектирования 60% и уровень ложных срабатываний 0,01-0,04%. Согласно используемой схеме награждения эти антивирусы получили награду Gold Proactive Protection Award.

Высокую эффективность эвристического компонента защиты показала большая группа антивирусов, получившая награду Silver Proactive Protection Award. В нее, помимо уже перечисленных выше продуктов, вошли AVG Anti-Virus, Avast! Professional Edition, Norton Anti-Virus, VBA32 Antivirus и F-Secure Anti-Virus. В Anti-Malware также отмечают, что Norton Anti-Virus оказался единственным из тестируемых антивирусов показавшим нулевой уровень ложных срабатываний.Еще 3 продукта: Panda Antivirus, Trend Micro Internet Security и Agnitum Outpost Anti-Virus Pro показали удовлетворительный результат и получили награду Bronze Proactive Protection Award.

«Как видно из результатов теста, многие антивирусы имеют отличный эвристический детект (около 60%) вкупе с низким процентом ложных срабатываний (до 0,1%), - комментирует Василий Бердников, эксперт Anti-Malware.ru. - Эвристик является хорошим средством для повышения общей эффективности защиты, но, как видно из результатов теста, у некоторых продуктов его использование сопровождается высоким уровнем ложных срабатываний. В этом плане каждый вендор сам выбирает баланс между эвристическим детектом и уровнем ложных срабатываний. Некоторые идут на сознательное увеличение уровня ложных срабатываний в угоду высоким результатам в детекте. Важно еще то, что современные эвристические технологии, как показывают результаты теста, пока не могут служить панацеей от заражения и не позволяют эффективно защищать пользователя от новейших видов угроз».

Денис Назаров, руководитель группы эвристического детектирования «Лаборатории Касперского», в свою очередь, отмечает, что в прошлом году окончательно стало понятно, что сигнатурные методы распознавания неэффективны для борьбы с современными угрозами. «По статистике «Лаборатории Касперского», подавляющее число детектирований новых вредоносных программ на компьютерах пользователей производится динамическими и эвристическими модулями защиты, - говорит Назаров. - Эти методы защиты позволяют сосредоточиться именно на вредоносных действиях вирусов и троянских программ для их детектирования и не отвлекаться на вторичные признаки той или иной программы. В 2008 г. «Лаборатория Касперского» активно занималась развитием именно проактивных методов детектирования, одним из которых и является эвристический модуль».

Компания Symantec также ведет большое количество разработок в части технологий эвристического и поведенческого анализа для повышения уровня детектирования, утверждает Кирилл Керценбаум, технический консультант представительства Symantec в России и СНГ. «Проведение теста эвристических способностей антивирусов является полезным с точки зрения оценки, насколько эффективно продукт может противостоять новейшим образцам вредоносного ПО. Ведь ни для кого не секрет, что как бы часто не обновлялись антивирусные базы, новые образцы вирусов появляются во много раз чаще», - считает он.

Источник

 

Только вчера Nod32 купил, пришлось.
"Хитрыми" Eset стали - обновлять не дают, пока логин+пароль не введёшь (выдаются в момент регистрации). 2 года фикснутый юзал т.е. делал вид, что купил. А они (Eset) все два года тоже вид делали - что обновляют регулярно.
Но (т-т-т) пронесло, что-то Nod всё-таки ловил.
С Kaspersky и Symantec тоже дружил когда-то, не помню всего, но как говорится: "осадочек остался"...

Я то ж на свой Нод кошусь...обновляется ли

Делали вид, но не обновляли?
Как отличить?
Пишет, что обновил, а сам делает вид?
Подробнее можно.

А я с самого начала появления эвристического анализатора отключаю его во всех антивирусах, которыми пользуюсь.
Интересно, а кто-нибудь проводил исследования не по эффективности, а по нагрузке на систему этой пресловутой эвристике?

В компашке около 10000 юзеров, у нас McAfee.
Три дня боремся с атакой троянов, присылаемых в зипнутых e-card.zip и postcard.zip файлах. Открывшой их рассылает эти святые письма сотням других.
В компашке через дорогу мейл был загашен на сутки из-за этой бяки.

"Люди мира, будьте зорче втрое!!!"
(с) Мурадели

Клиент почтовый - Outlook ?

Outlook. Троян прыгает на адресную книгу и понеслась потеха!
Но мы уже практически задавили эту гадину

Outlook. Троян прыгает на адресную книгу и понеслась потеха!
Но мы уже практически задавили эту гадину

У нас в конторе аутлук практически под запретом. Как и ИЕ.
Нетскейп - Мозилла - Симанки.
За 9 лет, которые я в ней работаю, не было ни одной эпидемии.
Вирусы попадались, а эпидемий не было.
У меня ни на работе, ни дома не стоят антивирусы в принципе. Нафига мне лишний тормоз?
При этом вирусов нет.
Всего лишь полностью отключен автозапуск, и не используются ИЕ и Аутлук.
С вирусами, которые попадают на флэшку жене, борьба простая - смотришь корневую директорию на предмет скрытых экзешников, при обнаружении таковых эти экзешники удаляешь. Точнее, жена сама смотрит и удаляет. И всё.
Заметьте, никакой эвристики и совершенно бесплатно.
Кстати, ИЕ при соответствующих настройках вполне безопасен. Подозреваю, что аутлук тоже, но его я просто никогда не использовал и ни малейшего понятия не имею, что он из себя представляет.

ИЕ и Аутлук на работе тоже не используется (только Opera и TheBat). Но, не смотря на это и Avast!, один раз попали. Данные восстанавливали довольно долго...

Какая мейловская система? Какой мейловский клиент? Про какой Аутлук говорим - от операционки (експресс) или от Офиса?
У нас никто экспресс не пользует, а оффисный - это стандард наверное для 99% компаний. Вирусы залетают разными путями и не обязательно через почту. Достаточно порой просто замэпать нетворковскую шеру, где черт сидит и тебя дожидается. Ну а уж кликнуть не на ту пимпу на инетовской странице - святое дело. Не иметь "екзекешников" в руте и спать спокойно - надо иметь железные нервы. А как насчет вибиэсов, эйпиэксов, диэлэлов и другой прочей каки, которая и не руте сидит воввсе? Так что не иметь антивирус - это в чистом виде самоубийство.
Раньше было принято считать, что униховские и эплевские операционки не подврежены вирусам - теперь и это уже не так. Таки атакуются и все чаще и чаще. Недаром все большие антивирусные конторы имею также версии для них.

Клиент - Симанки. Это не только браузер, это ещё и мэйлер.
Аутлуки все - мы же их не используем.

А потом удивляемся, откуда эпидемии...

На самом деле, обычный пользователь использует весьма ограниченный набор приложений. Никакой потребности ставить что-то постороннее мимо админов он испытывать в принципе не должен. Всякое тупое ламерье достаточно быстро вычисляется и получает по шапке. С флэшек, CD, DVD и пр. могут писать только автоматизаторы - то есть люди, способные определить наличие вируса в копируемой информации.
Кстати, я не говорил, что в конторе мы не пользуемся антивирусами, я лишь говорю, что на моей рабочей машинке их в принципе нет.
Вся почта проверяется антивирусами и спамоубивалками на сервере.
На юзерских компах тоже стоят антивирусы.
Но при правильной организации работы они нужны только "на всякий случай". Ибо не должно появляться никаких новых программ и прочих запускаемых модулей на юзерском компе без ведома админа. Мои рецепты - это лишь ограничение возможности вирусам самим по себе запуститься без оглядки на действия пользователя. То есть, например, открыл письмо с вирусом, а ничего не случилось. Потому что сам вирус не запускается. Потому что пользователь должен ещё потыкать-покликать, чтобы что-то случилось. И т.д.
И шары мапить можно спокойно. Потому что на них, скорее всего, тоже ничего криминального не будет.
Дома примерно такая же история. Даже если вирус попадает на компьютер, надо просто не дать ему запуститься. Все программы ставлю сам. Беру их из проверенных источников. С веба чем-то со всей дури заразиться тоже не сильно боюсь. Всё равно браузер чего-нибудь спросит, если кто-то ему попытается какую-нить каку скормить. В смысле, он спросит, даже если и не каку.
На макровирусы тоже рецепт есть - OpenOffice вместо ну очень иногда самостоятельного MSOffice. Мне лично за глаза хватает.
Здравый смысл и правильные настройки, не позволяющие программам работать без вашего ведома, защитят компьютер без всяких антивирусов.
Я, естественно, не претендую на универсальность и всемогущество моих советов. Ибо всё-таки понимание того, что творится с твоим компом, здесь первично. А его, это понимание, не от всякого пользователся получишь.

Вот тоже чего не понимаю - так это TheBat. Оно же денег просит. И в чём его радикальное отличие от того же бесплатного Thunderbird ?

А как же резервные сервера? А где бэкапы?
Вот хоть чего со мной делайте, а здравый смысл должен в первую очередь рулить, а не самый крутой антивирус.
Буквально вчера мне рассказали про очередного кадра, который бэкапы хранил на том же винте, что и данные. Винт посыпался...
А ведь включенный вовремя здравый смысл почти наверняка бы данные спас...

Я в этом нифига не копенгаген, умные люди сказали что так. Но не объяснили принципов как оно работает...

А Вы не обратили внимание, что этот самый McAfee даже не включен в обзор! Это потому, что "это" даже не антивирус вовсе, а сплошной глюк!
Лично меня пользователи программы MP3book2005, у которых установлен сей антивирус просто достали истеричными визгами, что в программе троян! Самое интересное, что этот антивирус так неадекватно реагирует на майкрософтовский кодек, скачанный с ихнего официального сайта.

А вот то, что Norton Antivirus 2009 никогда не дает ложных срабатываний - не соответствует действительности! Лично экспериментировал:
Берем "чистый" экзешник
Берем паковщик экзешников (тоже чистый с точки зрения Нортона)
Берем еще один паковщик (тоже чистый)
Проделываем простейшую противохакерную операцию - дважды пакуем исполняемый файл разными паковщиками - на выходе получаем "файл зараженный трояном"

В последних версиях я даже перестал использовать этот метод защиты от взлома программы, потому что в зависимости от комбинации паковщиков то "Нортощики", то "Макафисты" начинают забрасывать меня гневными письмами.

Пошутили?

Avast! постоянно кричит на всякие кейгены и кряки. Хотя вирусов нет и в помине.

Что-то помню на эту тему...
Post Link: Юмор
Поставил Авас система объявила бунт признав троянами половину навешаных на ХР добавок под Visty и 7ку, вернул каспа ни каких проблем, кроме того что система вновь тормозит................
Прикол при Авасе я не мог открыть диски из моего компьютера, но замечательно открывал через ярлыки папок?!!!............
Если кто может объяснить данное явление, жду пояснений.

Это сообщение отредактировал CMEPTHUK - 7.03.2009 - 21:34:50

Кто? Я? Или друзья?.. С антивирусами не шутят.
Сегодня старый NOD (с фиксом) выдирал по частям из системы. Деинсталятор не сработал и повторная установка старой версии не помогла. Надёжная скотина этот NOD32 - так просто его не убъёшь...
Насчёт обновлений. На втором компе осталась версия с фиксом (увеличивает демонстрационный период использования программы на .. короче там семизначное число дней), так вот, тот NOD вроде "обновляется", но с купленным как говорится "это две большие разницы".
Кстати фикс хранится отдельно от инсталятора проги, ибо после установки и обновления NOD32 его находит в любом углу компа и трёт как вирус. В общем растут мужики из Eset, поднимаются над собой.