TEST BEZPŁATNYCH SKANERÓW ANTYW IRUSOW YCH Październik2017
1 / 6 Wstęp Zarówno użytkownik indywidualny, jak i korporacyjny od czasu do czasu sięga po przedstawione w raporcie programy. Ze względu na rosnącą ilość łatwych do wykrycia generycznych zagrożeń, a także odradzających się próbek szkodliwego oprogramowania wykorzystującego złośliwe skrypty, rola tradycyjnych skanerów nie jest już tak duża jak kiedyś. Wszystkie przetestowane przez AVLab aplikacje umożliwiają skanowanie wybranego miejsca docelowego, które będzie sprawdzone pod kątem zainfekowanych plików. Do testu nie zakwalifikowano programów oferujących tzw. szybkie sprawdzenie obszarów systemowych, które nie uwzględnia folderów użytkownika. Autorzy złośliwego kodu mając dostęp do zaawansowanych narzędzi, gotowych poradników, a nawet cyberprzestępczych usług, nie ułatwiają zadania ekspertom oddelegowanym do ciężkiej, analitycznej pracy. Z kolei projektantom aplikacji coraz trudniej pogodzić wydajność rozwiązań ze stale powiększającą się bazą sygnatur wirusów. Tradycyjne techniki skanujące są wycofywane na rzecz bardziej zaawansowanych, zautomatyzowanych i wykorzystujących zdolność uczenia się wzorców zagrożeń. Ponadto cześć producentów całkowicie rezygnuje ze skanerów na żądanie, a część przechodzi na model chmury, pozostawiając do dyspozycji funkcjonalności pozwalające przeskanować wyłącznie najważniejsze obszary systemowe. Koszt utrzymania infrastruktury i dostępu do superszybkich łącz internetowych, które są niezbędne do prawidłowej i szybkiej pracy tego typu aplikacji, stanowić może zbyt duże obciążenie finansowe dla małych twórców. Obserwując zanikające zainteresowanie tradycyjnymi skanerami antywirusowymi, eksperci z AVLab podjęli decyzję, że jest to ostatnia edycja podobnego testu. Za rok w kolejnym wydaniu metodologia zostanie poddana ewolucji w kierunku wykrywania zagrożeń w zainfekowanych systemach z uwzględnieniem detekcji szkodliwych procesów i kluczy rejestru, a także uruchomionych złośliwych usług systemowych.
2 / 6 Najlepszy wynik w wykrywaniu kilku tysięcy zainfekowanych plików, które były dobierane 24 godziny przed każdym dniem testów, uzyskały programy: Emsisoft Emergeny Kit, Trend Micro HouseCall, Dr.Web CureIt, Kaspersky Removal Tool, ESET Online Scanner i Comodo Cleaning Essentials. Chociaż żaden z testowanych produktów nie przekroczył 95% progu wykrywalności, to biorąc pod uwagę świeżość próbek, skuteczność statycznej detekcji na poziomie około 90% jest wynikiem zadowalającym. Niedogodnością testów skanowania na żądanie jest ich czas trwania. Przeskanowanie kilku tysięcy zainfekowanych plików teoretycznie nie powinno zajmować zbyt wiele czasu. Doświadczenie pokazuje, że w skrajnych przypadkach może to trwać nawet cały dzień roboczy: czas skanowania wszystkich plików przez poszczególne programy był zróżnicowany i wahał się od kilku minut (Emsisoft Emergency Kit, ClamAV Free Antivirus, Dr.Web CureIt) do kilkudziesięciu (ESET Online Scanner). Podczas pierwszych dwóch dni testów rekordowym opóźnieniem dochodzącym do kilkunastu godzin cechowało się oprogramowanie Arcabit Skaner Online. Trzeciego dnia producent Arcabit wdrożył automatyczną aktualizację, która uniemożliwiła kontunuowanie testu. Zmiana modelu funkcjonowania oprogramowania Arcabit Skaner Online w trakcie testów miała wpływ na wykluczenie rozwiązania z testu. Ale są też dobre strony tej decyzji kontrola aktywnych procesów, serwisów, sterowników i bibliotek pod kątem infekcji zajmuje teraz zaledwie kilka minut.
3 / 6 Metodologia Do sprawdzenia wykrywalności najpopularniejszych skanerów antywirusowych przygotowano obraz wirtualnego systemu Windows 10 Professional x64 z najnowszymi aktualizacjami. Materiał badawczy do testu w łącznej ilości 18562 próbek pozyskano we współpracy z niezależnymi badaczami. AVLab dobierając próbki do testów nie współpracuje z żadnym producentem oprogramowania zabezpieczającego. Dzięki temu nie zachodzi podejrzenie, że testowany program wykrywa zagrożenia dostarczone przez jego producenta. W czasie badania wszystkie programy zainstalowano na domyślnych ustawieniach. W przypadku programów Dr. Web Cureit i Kaspersky Removal Tool automatyczna aktualizacja sygnatur wirusów nie jest możliwa, dlatego każdego dnia pobierano nową wersję skanerów. 1. Dla każdego testowanego programu odtwarzano obraz systemu operacyjnego. 2. Dzień przed każdym testem dobierano próbki zagrożeń. 3. Przed wskazaniem folderu do skanowania z zainfekowanymi plikami aktualizowano sygnatury do najnowszej wersji lub pobierano nowe wersje skanerów (jeśli było to konieczne).
4 / 6 Wyniki Ilość próbek wirusów Dzień 1 3281 Dzień 2 3181 Dzień 3 1395 Dzień 4 2581 Dzień 5 3294 Dzień 6 4920 Razem Wykrytych Wynik [ % ] Emsisoft Emergeny Kit 3087 3036 1315 2516 2760 4769 17483 93,73 Trend Micro HouseCalll 2969 2982 1295 2485 2680 4724 17135 91,86 Dr.Web CureIt 2977 2985 1265 2462 2606 4677 16972 90,99 Kaspersky Removal Tool 2833 2974 1254 2465 2632 4681 16839 90,27 ESET Online Scanner 2977 2984 1280 2054 2692 4744 16731 89,70 Comodo Cleaning Essentials 2714 2873 1205 2411 2487 4552 16242 87,07 ClamAV Free Antivirus 2116 2442 953 2132 1727 3939 13309 71,35 MBAM Free 1958 2059 860 1787 1670 3291 11625 62,32 Windows Defender 874 851 388 1041 762 2009 5925 31,76 Arcabit Skaner Online [1] 1286 2920 [1] W związku ze znacznym i ciągłym wzrostem liczby użytkowników programu Arcabit Skaner Online, producent zdecydował się na optymalizację mechanizmów skanujących pozwalającą na jak najszybsze wykrycie oraz usunięcie obecnych w systemie infekcji, niezależnie od liczby plików. W najnowszej wersji skaner Arcabit Skaner Online oferuje jeden, optymalny tryb skanowania zasobów systemu, dzięki czemu kontrola aktywnych procesów, usług, sterowników i bibliotek pod kątem infekcji zajmuje zaledwie kilka minut. W najnowszej wersji Arcabit Skaner Online funkcja skanowania wybranych plików lub katalogów użytkownika nie jest dostępna, dlatego kontynuowanie testu nie było możliwe.
5 / 6 Nagrody Certyfikaty potwierdzające skuteczność skanowania na żądanie przyznano w oparciu o próg procentowy: 100% 90%: BEST+++ 89% 80%: BEST++ 79% 70%: GOOD+ 69% 0%: ONLY TESTED Emsisoft Emergency Kit Trend Micro HouseCall Dr.Web CureIt Kaspersky Removal Tool ESET Online Scanner Comodo Cleaning Essentials ClamAV Free Antivirus Malwarebytes Anti-Malware Free Windows Defender
6 / 6 AVLab Nasze poprzednie publikacje: Test antywirusowej ochrony przed atakami drive-by download Test antywirusowych modułów do ochrony bankowości internetowej Wielki test oprogramowania do ochrony przed krypto-ransomware Kontakt w sprawie testów dla producentów: kontakt@avlab.pl Przyznane certyfikaty do pobrania w wysokiej rozdzielczości: https://avlab.pl/dla prasy AVLab skupia w jednym miejscu pasjonatów i profesjonalistów do spraw bezpieczeństwa. Nasze działania obejmują testowanie i dzielenie się wynikami z analiz ze wszystkimi użytkownikami sieci Internetu. Nie jesteśmy kontrolowani i/lub powiązani w jakikolwiek sposób z żadnym producentem lub dystrybutorem oprogramowania zabezpieczającego. Nasze testy są niezależne i odbywają się w warunkach zbliżonych do rzeczywistości. W testach wykorzystujemy szkodliwe oprogramowanie narzędzia oraz techniki obchodzenia zabezpieczeń, które są używane w prawdziwych atakach. Jeśli Twoja firma zajmuje się dostarczaniem oprogramowania lub sprzętu zabezpieczająco-monitorującego sieci firmowe i urządzenia użytkowników indywidualnych, możemy dla Ciebie przygotować dedykowane recenzje i testy, które zostaną opublikowane w kilku wersjach językowych na naszej stronie internetowej. Nie wahaj się skontaktuj się z nami.