MRG Effitas: Динамическое тестирование антивирусов

Динамическое тестирование "360 Assessments" от независимой лаборатории MRG Effitas показывает возможности антивирусов защищать от реальных угроз. Также, в случае, если система была заражена, измеряется время, необходимое для обнаружения и устранения последствий заражения.

Используемая методология приближена к реальному использованию антивирусных программ на среднестатистической системе и позволяет дать реалистичную оценку возможностей продукта безопасности.

Специалисты MRG Effitas учитывают ту особенность, что многие антивирусы способны обнаруживать заражение только во время перезагрузки / автозапуска, или если по умолчанию было установлено сканирование по расписанию. Для оценки времени обнаружения использовалась методология, основанная на том, что зараженная система перезагружается один раз в течение 24-часового периода.

Название тестирования "360 Assessments" обусловлено тем, что испытание производилось с полным спектром вредоносных программ, а не только с финансовыми угрозами. Для тестирования использовались трояны, трояны-бэкдоры, шифровальщики, финансовые зловреды и другие вредоносные образцы.

Методология тестирования

Подробная информация

1. Операционная система Windows 10 64-разрядная установлена на виртуальную машину. В системе установлены Adobe Flash, Reader, Java, Microsoft Office 2010, Microsoft Edge и VLC Player. Все компоненты Microsoft полностью обновлены, а все сторонние компоненты устарели на три месяца.

2. Создается образ операционной системы.

3. Копия образа системы создается для каждого из тестируемого продукта.

4. Отдельные приложения безопасности установлены с настройками по умолчанию (при наличии опции защиты от ПНП, она включается) на каждой системе, созданной на шаге 3, а затем, при необходимости обновляются.

5. Создается копия системы, после завершения шага 4.

6. Проводится тестирование. Выполняется загрузка вредоносного образца по активной URL-ссылке с использованием браузера Microsoft Edge на рабочий стол, после закрытия Microsoft Edge выполняется запуск образца.

7. Тест считается пройденным по следующим критериям:

a) Приложение безопасности блокирует URL-ссылку, по которой расположен образец, таким образом предотвращая его загрузку.

b) Приложение безопасности обнаруживает образец, пока он загружается на рабочий стол.

d) Приложение безопасности обнаруживает образец при его выполнении в соответствии со следующим критерием:

- Антивирус определяет образец как вредоносный, а затем либо автоматически блокирует его или приостанавливает его исполнение, и уведомляет пользователя, не запуская его и ожидая решения пользователя.

8. Тест считается проваленным по следующим критериям:

a) Приложение безопасности не в состоянии обнаружить образец по всем условиям пункта 7.

9. Тестирование на зараженной системе продолжается в течение 24 часов с помощью следующего процесса:

a) Перезагрузка системы выполняется один раз в 24-часовом периоде, ровно через 12 часов после заражения системы.

10. Способность антивируса восстанавливать зараженную систему определяется ручной проверкой состояния системы в сравнении с ее первоначальным состоянием, а не с помощью антивирусной проверки с помощью самого продукта безопасности.

11. В процессе тестирования все системы имеют доступ в Интернет.

12. Все программы безопасности имеют полный функционал в незарегистрированных версиях или в версиях, зарегистрированных анонимно, без всякой связи с MRG Effitas.

13. Все испытания проводились в 4 квартале 2016 года.

14. Испытание не предусматривает принудительный запуск сканеров, поэтому для предотвращения угроз тестируемые продукты могли использовать различные собственные технологии обнаружения и устранения вредоносных программ, включая фоновое сканирование, сканирование при загрузке системы, запланированное сканирование, системный мониторинг и т.д. Сканирование по расписанию использовалось, только если оно было включено по умолчанию.

Тестируемые антивирусы

Использовались следующие антивирусные программы с последними версиями на момент тестирования:

Антивирус	Версия
Avast Internet Security	12.3.2280
AVG Internet Security	16.131.7924
Avira Internet Security	15.0.23.58
Bitdefender Internet Security 2017	21.0.21.976
ESET NOD32 Smart Security	10.0.369.0
Kaspersky Internet Security	17.0.0.611 (b)
Malwarebytes Anti-Malware*	2.2.1.1043
McAfee LiveSafe	15.1.156
Microsoft Windows Defender	4.10.14393.0
Panda Internet Security	17.0.1
SurfRight Hitman Pro*	3.7.15.281
Symantec Norton Security	22.7.1.32
ThreatTrack VIPRE Internet Security	9.3.6.3
Trend Micro Maximum Security	11.0.1186
Watchdog Anti-Malware*	2.20.186.576
Webroot SecureAnywhere Internet Security	9.0.13.62
Zemana AntiMalware*	2.50.2.133

* Malwarebytes Anti-Malware, Surfright HitmanPro, Watchdog Anti-Malware и Zemana AntiMalware являются дополнительными антивирусными инструментами. HitmanPro не имеет защиты в режиме реального времени и был протестирован только при сканировании "по требованию".

Используемые вредоносные образцы

В общей сложности было использовано 360 активных "In the Wild" образцов, среди которых: трояны (188), трояны-бэкдоры (59), финансовые вредоносные программы (34), шифровальщики (48) и другие (31).

Используемые вредоносные образцы

Результаты тестирования

Пропущенные и заблокированные образцы

auto blocks - автоматическая блокировка угроз, behaviour block - поведенческая блокировка с помощью проактивной защиты, block in 24h - блокировка в течение 24 часов, fail - пропущенные угрозы