Grote virusscanner test kent 7 winnaars
Het Oostenrijkse testorgaan AV-Comparatives heeft 16 virusscanners op de pijnbank gelegd en er uiteindelijk 7 tot winnaar uitgeroepen. Er werd gekeken naar de on-demand scan eigenschappen, false positives en scansnelheid. G Data en Avira scoorden bij de detectie van 1,6 miljoen malware exemplaren beide boven de 99%, terwijl Kingsoft en Norman niet boven de 90% uitkwamen. Op het gebied van false positives moet Avira met de middenmoot genoegen nemen. BitDefender, eScan en F-Secure weten met elk 4 false positives het best te scoren. Trustport, Norman en Kingsoft sloegen respectievelijk 42, 42 en 47 keer vals alarm en staan daarmee helemaal onderaan.
De laatste test van AV-Comparatives keek naar de scansnelheid en kende wederom een verschillende winnaar. Dit keer zijn het Avast en Symantec die bovenaan de lijst uitkomen, terwijl eScan veruit het traagst is. Andreas Clementi, de man die de test uitvoerde, merkt op dat het verstandig is om de producten eerst zelf te proberen voordat men tot aanschaf overgaat.
Winnaars
Aan de hand van de drie tests werden de volgende awards uitgereikt. "De awards zijn niet alleen gebaseerd op detectie, maar ook op false positives. Een product dat veel malware herkent, maar met veel false positives heeft te maken, is niet per definitie beter dan een product dat minder malware detecteert, maar ook minder false positives geeft", aldus Clementi. Hieronder staan ook het detectiepercentage en aantal false positives vermeld.
Advanced +++
G Data (99,8% - 9)
Symantec (98,4% - 13)
Avast (98% - 5)
F-Secure (97,9% - 4)
BitDefender (97,8% - 4)
eScan (97,7% - 4)
ESET (97,2% - 12)
Advanced ++
Avira (99,4% - 21)
McAfee (98,7% - 41)
TrustPort (97,6% - 42)
Kaspersky (94,7% - 8)
AVG (94% - 8)
Standard
Microsoft (90% - 5)
Tested
Sophos (91,3% - 26)
Kingsoft (86,4% - 47)
Norman (84,4% - 42)
Terwijl het zelfde bestandje een xp pc met avg helemaal platgooide.
Volgens mij moet je 3 verschillende virusscanners op je pc tegelijk installeren wil je 99.99999% bestand zijn tegen virussen. Jammer dat dat niet kan....
Het is ook van belang hoe een virusscanner een onbekend virus kan stoppen via pro active defence. Heel veel scanners worden door cybercriminelen vooraf getest of de door hen onwikkelde malware wel gedetecteerd wordt. De pro active defensie moet voorkomen dat onbekende malware zich toch in het systeem vreet. Er zijn echter ook scanners, zoals McAfee die grote moeite hebben om gecomprimeerde kwaadaardige bestanden te scannen. Bij verschillende pakketten heb ik gemerkt dat McAfee bijvoorbeeld geen zip files decomprimeerd, waardoor virusschrijvers de vrije hand kunnen hebben om een systeem te besmetten.
Voorts is het van belang of na detectie het virus wel volledig wordt verwijderd. Zo is er eens een test geweest waarbij een bootsectorvirus alleen door Kaspersky kon worden verwijderd. Symantec "vernielde" bij het verwijderen ook de bootsector. De vraag is waarom dat hier niet getest is?
Het stoppen van malware moet een groot pakket van maatregelen omvatten, en niet alleen maar detectie.
Hoe vaak maak je mee dat je een boot sector virus tegenkomt? Boot sector virussen zijn al vele jaren exoten.
Proactieve bescherming is belangrijk, maar waar het uiteindelijk om gaat is just-in-time (JIT) bescherming. Zodra je pro-actief gaat detecteren gaan malware schrijvers malware aanpassen zodat het niet meer wordt gedetecteerd.
Wat betreft het uitpakken van archiefbestanden: dat is meestal instelbaar, ook bij McAfee. Bij het uitpakken zal het bestand op schijf worden geschreven. Op dat moment kan een on-access scanner ingrijpen.
Het is ook van belang hoe een virusscanner een onbekend virus kan stoppen via pro active defence. Heel veel scanners worden door cybercriminelen vooraf getest of de door hen onwikkelde malware wel gedetecteerd wordt. De pro active defensie moet voorkomen dat onbekende malware zich toch in het systeem vreet. Er zijn echter ook scanners, zoals McAfee die grote moeite hebben om gecomprimeerde kwaadaardige bestanden te scannen. Bij verschillende pakketten heb ik gemerkt dat McAfee bijvoorbeeld geen zip files decomprimeerd, waardoor virusschrijvers de vrije hand kunnen hebben om een systeem te besmetten.
Voorts is het van belang of na detectie het virus wel volledig wordt verwijderd. Zo is er eens een test geweest waarbij een bootsectorvirus alleen door Kaspersky kon worden verwijderd. Symantec "vernielde" bij het verwijderen ook de bootsector. De vraag is waarom dat hier niet getest is?
Het stoppen van malware moet een groot pakket van maatregelen omvatten, en niet alleen maar detectie.
Vraag me toch af hoe de gemiddelde gebruiker dit gaat doen? Expres virussen downloaden? En ookal kan je dat doen om te testen, denk ik niet dat de gemiddelde gebruiker dit ook echt gaat proberen....
Het gaat niet om de bootsectorvirus zelf, maar om de desinfectietechnologie. En niet elke virusscanner heeft dit aan boord.
De overgrote meerderheid van de desktop AV producten heeft dit wel. Het is duidelijk dat daarin verschillen zijn, maar met een voorbeeld over boot sector virussen overtuig je niemand.
Cleaning is voor de onnozele gebruiker, dat moet je ook weten. Er gaat niets boven handmatige verwijdering. Er blijft vaak rommel achter na cleaning omdat cleaners malwaregericht i.p.v. context gericht zijn.
-Eeye
-A-squared
Zolang deze niet mee worden opgenomen, zeker Eeye dan hoeven dergelijke test van mij niet en zijn die al afgeschreven
R-
Het heeft dus niets te maken met een realistische situatie. Cybercriminals huren botnets om malware te versturen of malware op te hosten (infectie via browser). Die gaan echt geen malware plaatsen als die malware gedetecteerd gaat worden door een anti-virus software. Slechts een klein percentage gaat de e-mail openen of website openen, dus moet je zeker zijn dat je malware niet wordt gedetecteerd door een anti-virus systeem. Die malware wordt gekocht met een SLA - dat commercieel beschikbare anti-virus software ze niet detecteerd. Een gemiddelde SPAM run met malware duurt 10 minuten, en daarna komt deze malware waarschijnlijk nooit meer terug (of wellicht via een USB stick van een collega).
Als prive persoon - voorzichtig zijn met Web Surfen en openen van e-mail bestanden. Ken je de afzender niet - niet openen. Verwacht je geen e-mail van iemand die je kent, en die vraagt om een bestand te openen - check het even, er is niets eenvoudiger dan het spoofen van een e-mail adres.
Voor bedrijven met een eigen e-mail domain - neem een professionele service die wat verder gaat dan een standaard AV oplossing en die SLA's biedt om ook onbekende malware te stoppen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
