Результаты теста антивирусов на лечение активного заражения (Anti-Malware, февраль 2010)

  Краткое содержание:

1. Введение
2. Сравнение антивирусов по возможности лечения
3. Итоговые результаты теста и награды
4. Анализ изменений в сравнении с предыдущими тестами

  Основные результаты тестирования:

Введение

  В тестировании участвовали следующие антивирусные программы:

1. Avast! Professional Edition 4.8.1368
2. AVG Anti-Virus & Anti-Spyware 8.5.0.40
3. Avira AntiVir PE Premium 9.0.0.75
4. BitDefender Antivirus 2010 (13.0.18.345)
5. Comodo Antivirus 3.13.121240.574
6. Dr.Web Anti-Virus 5.00.10.11260
7. Eset NOD32 Antivirus 4.0.474.0
8. F-Secure Anti-Virus 2010 (10.00 build 246)
9. Kaspersky Anti-Virus 2010 (9.0.0.736 (a.b))
10. McAfee VirusScan 2010 (13.15.113)
11. Microsoft Security Essentials 1.0.1611.0
12. Outpost Antivirus Pro 2009 (6.7.1 2983.450.0714)
13. Panda Antivirus 2010 (9.01.00)
14. Sophos Antivirus 9.0.0
15. Norton AntiVirus 2010 (17.0.0.136)
16. Trend Micro Antivirus plus Antispyware 2010 (17.50.1366)
17. VBA32 Antivirus 3.12.12.0

  Тест проводился на следующих вредоносных программах, которые были выбраны в соответствии с определенными требованиями:

1. AdWare.Virtumonde (Vundo)
2. Rustock (NewRest)
3. Sinowal (Mebroot)
4. Email-Worm.Scano (Areses)
5. TDL (TDSS, Alureon, Tidserv)
6. TDL2 (TDSS, Alureon, Tidserv)
7. Srizbi
8. Rootkit.Podnuha (Boaxxe)
9. Rootkit.Pakes (synsenddrv)
10. Rootkit.Protector (Cutwail, Pandex, Pushdo)
11. Virus.Protector (Kobcka, Neprodoor)
12. Xorpix (Eterok)
13. Trojan-Spy.Zbot
14. Win32/Glaze
15. SubSys (Trojan.Okuks)
16. TDL3 v.3.17 (TDSS, Alureon, Tidserv)

  Проверка возможности лечения активного заражения антивирусными программами проводилась четко в соответствии с определенной методологией.

Сравнение антивирусов по возможности лечения

  Напомним, что в соответствии с используемой схемой анализа результатов и награждения, (+) означает, что антивирус успешно устранил активное заражение системы, при этом работоспособность системы была восстановлена (или не нарушена). (-) означает, что антивирус не смог устранить активное заражение или при лечении была серьезно нарушена работоспособность системы.

  Как видно из таблиц 1-3 самым сложным для удаления оказался бэкдор-шпион Sinowal (Mebroot), который не смог вылечить ни один из протестированных антивирусов.

  Далее по сложности для удаления следует нашумевшая троянская программа TDL3 (TDSS, Alureon, Tidserv), червь Worm.Scano (Areses) и вирус Virus.Protector (Kobcka, Neprodoor). С ними справились не более трех из протестированных антивирусов.

  Также достаточно сложными для удаления оказались вредоносные программы TDL2 (TDSS, Alureon, Tidserv), Srizbi, Rootkit.Podnuha (Boaxxe), SubSys (Trojan.Okuks), Rustock (NewRest) и Rootkit.Protector (Cutwail, Pandex), с ними смогли справиться не более пяти антивирусов.

Итоговые результаты теста и награды

  В итоге только 6 из 17 протестированных антивирусов показали достойные результаты по лечению активного заражения. Согласно действующей для всех подобных тестов системы награждения, высшую награду Platinum Malware Treatment Award в этот раз не получил никто.

  Лучшими по результатам теста оказались Dr.Web и Антивирус Касперского, которые корректно вылечили систему в 13 из 16 случаев и получили заслуженную награду Gold Malware Treatment Award.

  Хорошие результаты также показали антивирусы Avast! Professional Edition и Microsoft Security Essentials, получившие награду Silver Malware Treatment Award, а также Norton AntiVirus и F-Secure Anti-Virus, получившие Bronze Malware Treatment Award.

  Отдельно необходимо отметить неожиданно высокие результаты нового бесплатного антивируса Microsoft, который с первого же раза сумел войти в призеры этого сложного теста. Такой результат свидетельствует, что корпорация уделяет внимание проблеме устранения активных заражений.

  Также необходимо сделать комментарий относительно VBA32 Antivirus. Дело в том, что в составе дистрибутива этого антивируса идет Vba32 AntiRootkit, который необходимо запускать отдельно (в интерфейсе нет информации о нем) и производить удаление вредоносных программ из системы в ручном режиме. Тоже самое касается и утилиты Eset SysInspector. Согласно методологии теста мы не могли их учитывать, но эффективность этих программ (также как и других антируткитов и утилит для лечения системы) мы проверим в самом ближайшем будущем отдельном тесте.

  Чтобы ознакомиться с подробными результатами теста и убедиться в правильности итоговых расчетов, вы можете скачать результаты теста в формате Microsoft Excel.

Анализ изменений в сравнении с предыдущими тестами

  В заключение хотелось бы проанализировать результаты всех наших тестов на лечение активного заражения за 2007-2010 годы. Для этого к результатам этого теста были добавлены результаты трех предыдущих тестов, которые вы можете найти здесь.

  Таким образом, можно проследить изменения в эффективности лечения сложных случаев заражения для каждого протестированного продукта (за исключением Microsoft, который не участвовал в предыдущих тестах) - см. рисунок 1.

  Как видно из рисунков 1-2, никакого прогресса в лечении сложных видов угроз по индустрии в целом не наблюдается. Положительную динамику в последних тестах продемонстрировал только Антивирус Касперского и F-Secure. Открытие прошлого теста, Outpost, к сожалению, сдал позиции и не смог закрепиться в группе сильнейших.

  Стабильно лучшими антивирусами для лечения активного заражения остаются четыре продукта: Dr.Web, Антивирус Касперского, Avast и Norton. Результаты других антивирусов или балансируют на неудовлетворительном уровне или, что еще хуже, снижаются.