Сравнение эффективности проактивной антивирусной защиты (тест I)

...

В данном тесте проводится сравнение эффективности работы проактивной защиты (в частности эвристических анализаторов) в 16-ти различных персональных антивирусных продуктах.

Последнее время в индустрии и средствах массовой информации все больше внимания уделяется так называемым проактивным методам антивирусной защиты, которые позволяют антивирусу противостоять еще неизвестным видам и модификациям вредоносных программ. Можно даже сказать, что данное направление развития антивирусных технологий является наиболее модным на рынке, и почти каждый производитель пытается подчеркнуть, что именно его проактивная защита лучшая.

Более того, делаются попытки в каком-то смысле даже противопоставить новейшие проактивные технологии прежним реактивным (классическим), которые основываются на сигнатурных методах обнаружения вредоносных программ и требуют постоянного и оперативного обновления антивирусных баз данных.

Сама концепция проактивной защиты, безусловно, выглядит очень привлекательно: вирус еще не появился, а защита от него уже есть. Но возникает резонный вопрос, как обстоят дела с эффективностью этой самой проактивной защиты? Ведь вирусописатели не дремлют, находят все новые и новые возможности атак, противодействия защите и т.д., поэтому можно сказать, что создать универсальное противоядие от всех возможных в будущем угроз в принципе невозможно.

Сразу оговоримся, что проактивные технологии – довольно обширное понятие, включающее в себя множество направления и составляющих, охватить их всех в рамках одной статьи и тем более одного теста невозможно. Поэтому далее мы будет говорить и сравнивать эвристические анализаторы или просто эвристики.

Давайте попробуем ответить на вопросы: "Насколько эффективны проактивные технологии сейчас? Какой антивирус лучше защищает от новых, еще неизвестных видов угроз?" Чтобы понять это обратимся к последнему тесту проактивных защит в наиболее популярных антивирусных продуктах, проведенному в мае 2006 года Андреасом Клименти (проект www.av-comparatives.org), одним из ведущих независимых исследователей антивирусных технологий.

Методика тестирования эвристических анализаторов

В тесте принимали участие 16 антивирусных программ, среди которых:

Avast! 4.6.763 Professional Edition
AVG Professional 7.1.135
AVIRA Antivir Personal Edition Premium 7.00.00.21
BitDefender Anti-Virus 9.0 Professional Plus
Dr.Web Anti-Virus for Windows 95-XP 4.33.0.9293
Eset NOD32 Anti-Virus 2.51.20
F-Prot Anti-Virus for Windows 3.16f
F-Secure Anti-Virus 6.12
GDATA AntiVirusKit (AVK) 16.0.5
Kaspersky Anti-Virus Personal Pro 5.0.391
McAfee VirusScan 10.0.21 (с движком 5000)
Norman VirusControl 5.81
Panda Platinum Internet Security 10.01.02
Symantec Norton Anti-Virus 12.1.0.20
TrustPort Antivirus Workstation 1.5.0.752
VBA32 Workstation 3.10.5

Для проверки работы эвристических анализаторов, все 16 антивирусов были "заморожены" на три месяца с 6-го февраля по 6-е мая 2006 года, т.е. после 6-го февраля у них не производились никакие обновления антивирусных баз. Таким образом, все экземпляры вирусов, собираемые за эти три месяца, должны были быть для антивирусов новыми, так как антивирусные базы данных сигнатур за это время не обновлялись. Всего за три месяца Клименти было собрана коллекция из новых 8745 новых вирусов, червей, троянов и других вредоносных программ, которая проверялась сканером по требованию каждым тестируемым антивирусом с максимальными настройками.

Результаты тестирования с разбивкой по категориям

В следующей таблице представлены подробные результаты тестирования с разбивкой по категориям в вирусной коллекции. Для каждой категории вирусов в заголовке таблицы в скобках указано количество экзепляров, в ячейках - количество детектированных вирусов и их процент от общего количества.

Антивирус	DOS malware (35)	Windows viruses (39)	Script malware (217)	Worms (502)	Backdoors (3836)	Trojans (3638)	Other malware (356)	Other OS malware (122)	Всего (8745)
Eset NOD32 Anti-Virus	16 46%	19 49%	31 14%	409 81%	2.946 77%	1.382 38%	223 63%	8 7%	5.034 58%
VBA32 Workstation	25 71%	6 15%	23 11%	160 32%	2.692 70%	1.780 49%	249 70%	0 0%	4.935 56%
AVIRA AntiVir PE Premium	1 3%	7 18%	62 29%	239 48%	2.400 63%	1.726 47%	263 74%	29 24%	4.727 54%
AntiVirusKit (AVK)	16 46%	8 21%	36 17%	306 61%	2.277 59%	1.425 39%	271 76%	8 7%	4.347 50%
TrustPort Antivirus	16 46%	8 21%	24 11%	324 65%	2.130 56%	1.461 40%	269 76%	8 7%	4.240 48%
BitDefender Anti-Virus Professional Plus	16 46%	8 21%	24 11%	302 60%	1.973 51%	1.375 38%	268 75%	8 7%	3.974 45%
Dr.Web Anti-Virus	5 14%	7 18%	41 19%	249 50%	1.971 51%	1.428 39%	199 56%	1 1%	3.901 45%
Panda Platinum Internet Security	4 11%	6 15%	17 8%	92 18%	1.412 37%	832 23%	232 65%	0 0%	2.595 30%
McAfee VirusScan	9 26%	8 21%	35 16%	111 22%	1.477 39%	725 20%	279 78%	19 16%	2.663 30%
Norman VirusControl	5 14%	2 5%	58 27%	201 40%	1.316 34%	583 16%	234 66%	0 0%	2.399 27%
F-Secure Anti-Virus	7 20%	2 5%	18 8%	35 7%	1.680 44%	74 2%	232 65%	8 7%	2.056 24%
Kaspersky Anti-Virus Personal Pro	7 20%	2 5%	26 12%	33 7%	1.685 44%	76 2%	232 65%	8 7%	2.069 24%
Avast! Professional	7 20%	8 21%	51 24%	51 10%	1.260 33%	296 8%	217 61%	8 7%	1.898 22%
Norton Anti-Virus	14 40%	6 15%	37 17%	109 22%	772 20%	242 7%	237 67%	14 11%	1.431 16%
F-Prot Anti-Virus	16 46%	0 0%	1 0%	120 24%	599 16%	188 5%	192 54%	0 0%	1.116 13%
AVG Professional	16 46%	3 8%	137 63%	25 5%	153 4%	38 1%	229 64%	0 0%	601 7%

На рисунке ниже для удобства представлены суммарные результаты эффективности работы эвристических анализаторов в различных персональных антивирусах.

Рисунок 1: Эффективность проактивной антивирусной защиты

Эффективность проактивной антивирусной защиты

Выводы

Как видно из таблицы и рисунка выше, лучшую эффективность среди эвристических анализаторов показал антивирус Eset Nod32 Anti-Virus – 58% от общего количества вредоносных программ. Совсем немного позади его VBA32 Workstation и AVIRA Antivir Personal Edition Premium – 56% и 54% соответственно. Если посмотреть подробно на результаты первой тройки, то видно серьезное преимущество этих антивирусов над конкурентами по трем основным категориям вредоносных программ: трояны, черви и бекдоры. Например, Eset Nod32 детектировал 81% червей, что значительно выше, чем у конкурентов.

Пятерку лучших замыкают AntiVirusKit (AVK), использующий движки от BitDefender и Лаборатории Касперского, и TrustPort Antivirus, также использующий "чужие" движки от BitDefender и Norman. Их результаты составили 50% и 48% соответственно.

Совсем немного отстав от первой 5-ки, расположились антивирусы BitDefender и Dr.Web, чьи результаты работы эвристических анализаторов (45%) можно считать очень приличным. Все остальные антивирусы показали низкий уровень детектирования "неизвестных вирусов", не превзойдя уровень 30%. В том числе в группу аутсайдеров попали такие именитые антивирусные продукты как McAfee VirusScan, Norton Anti-Virus (с очень низким результатом в 16%), а также Norman VirusControl, F-Secure Anti-Virus, Kaspersky Anti-Virus, Avast! Professional. Замыкают таблицу F-Prot Anti-Virus и AVG Professional.

Не стоит забывать и об обратной стороне работы любой проактивной технологии и эвристики в частности – ложных срабатываниях, которые, безусловно, почти всегда имеют место, но этот вопрос мы оставим для следующей отдельной статьи.

Автор: Сергей Ильин
Основатель проекта Anti-Malware.ru
14.06.2006