Beste virusscanners op Windows 7 van dit moment
Geen enkele virusscanner weet alle malware te herkennen, maar in maart wisten verschillende anti-virusprogramma's tijdens een uitgebreide test wel degelijk 100% te scoren. Elke maand test het Oostenrijkse testorgaan AV-Comparatives een groot aantal virusscanners tijdens echte scenario's. Deze 'Real-World Protection Test' wordt als de meest uitgebreide en complexe test beschreven.
De testers laten Windows-computers honderden kwaadaardige websites bezoeken die de machines in real-time proberen te infecteren. Het gaat hier niet om gesimuleerde aanvallen of verzamelde malware-exemplaren, maar websites die op het moment van de test echt gehackt zijn en naar exploits wijzen die misbruik van beveiligingslekken in populaire programma's maken.
Exploits
Vorig jaar werd er nog met Windows XP gewerkt, maar in 2013 besloot AV-Comparatives op Windows 7 Home 64-bit over te stappen. Daarbij waren programma's zoals Adobe Flash Player, Adobe Reader en Java geïnstalleerd en up-to-date. Dit zorgde voor een probleem bij het vinden van werkende exploits die de computer ook daadwerkelijk infecteren.
Uiteindelijk werden 780 geldige kwaadaardige websites gevonden, waarvan er 422 een werkende exploit bevatten. In 358 gevallen wist de exploit het systeem vanwege de geinstalleerde patches niet te infecteren.
Daarnaast werden ook links getest die direct naar een malware-bestand wezen en werd er gewerkt met een aantal kwaadaardige bijlagen in e-mailberichten.
Uitslag
Van de 21 virusscanners wisten Emsisoft, F-Secure, G Data, Kaspersky Lab en Qihoo 360 een 100% score neer te zetten. Microsoft Security Essentials werd als basisbeveiliging niet in de test meegenomen, maar stopte in totaal 90,3% van de aanvallen.
Daarmee zou de scanner onderaan zijn geëindigd. Een beeld dat de afgelopen maanden meerdere keren tijdens andere tests terugkwam.
AV-Comparatives benadrukt dat het hier slechts om een momentopname van maart gaat en producten die 100% wisten te scoren dit niet altijd zullen doen. Daarnaast laat de test zien hoe belangrijk het is om applicaties te patchen zodra een update beschikbaar is.
Het enige wat ik jammer vind is dat de producten die meedoen nogal wisselt. Het is begrijpelijk en ik snap ook wel hoe dat ontstaat... Maar voor de vergelijking zou het makkelijker zijn.
Hun website gaat verschrikkelijk traag.
Alweer Symantec er niet tussen? Heeft ie misschien iets wrijving met AV comp? Of doen ze definitief niet meer mee met die tests? Ik had Norton er toch graag tussen gezien. Die zou ook redelijk hoge ogen moeten scoren nu.
Leuk dat Avast zo goed uit de bus komt als gratis scanner. Doen het toch al een paar jaar redelijk nu zover ik weet.
Die heeft dus wel alles gedetecteerd zo te zien.
Iedereen hier weet ;..Volgende test weer andere resultaten.
Maar erover kletsen is altijd leuk. ;)
Maar is de gedragsanalyse test (Heuristic + Behavioural Protection) niet minstens zo belangrijk? Dat geeft de waade aan tegen nieuwe onbekende malware. En juist daar laat de tester en de real world het afweten: laatse test 3/2012 en 4 fabrikanten doen niet mee "...decided not to take part in this type of test, as their products rely very heavily on the cloud" en dat mag niet?? zie http://www.av-comparatives.org/images/docs/avc_beh_201207_en.pdf
Voorts is een interessant tip dat "....In March we had 780 valid malicious URLs, of which 358 test cases (exploits) were not able to compromise the chosen system/applications because of the patch level.....". Dus patch!
Reageer aub niet wanneer je ook niet weet waar het over gaat. Deze test werd uitgevoerd met alleen maar malware, hoe kan een product dat getest wordt dan een FP genereren?
Maar is de gedragsanalyse test (Heuristic + Behavioural Protection) niet minstens zo belangrijk? blablabla
Dick99999,
Je zegt zelf dat je het rapport hebt gelezen maar je begrijpt er echt helemaal niets van. Als je begreep hoe deze test werd uitgevoerd had je die vragen niet gesteld.
Deze test was een Real World test waarbij de malware ook daadwerkelijk gestart wordt in een poging het systeem te infecteren. Dan zal de geteste software natuurlijk ook gebruik kunnen maken van alle andere technieken die in de software aanwezig zijn om een infectie van het systeem te voorkomen.
Wanneer het om de File Detection test van AV-Comparatives gaat, dan heb je wel gelijk. Daarbij krijgt de geteste software niet de kans om te laten zien of het d.m.v. ander technieken een infectie kon voorkomen. Alléén het resultaat van een on-demand scan wordt dan getoond. Zo'n test is altijd beter dan helemaal geen test, maar in de praktijk zou het product dat bijvoorbeeld op de 4e plaats eindigde in de File detection test een betere bescherming kunnen bieden dan een product dat op de 1e of 2e plaats eindigde in diezelfde File detection test.
Mijn punt is dan dat de test geen real world is. In de echte wereld komt namelijkook onbekende malware voor. Evenals overigens valse positieven.
Dat je bekende malware en variaties daarop als laatste redmiddel tegenhoudt door gedragsanalyse is tegenwoordig vanzelfsprekend. En misschien werkt die analyse zelfs wel voor nieuwe malwaren. Maar dat zit niet in de test. En met die veel moeilijker test op nieuwe malware waren ze destijds begonnen. Dat zou m.i. een echte real world test zijn. Maar de laatste test van dat type is volgens mij van begin vorige jaar zoals ik al aangaf.
Tests met de nieuwste zero hour malware worden uitgevoerd door MRG Effitas. In hun blog zijn veel afzonderlijke testesultaten terug te vinden, eindscore van vorig jaar is hier te zien: http://www.mrg-effitas.com/current-tests/flash-test-results/. Nieuwe tests zijn aangekondigd in hun blog en de resultaten zouden elk moment kunnen verschijnen.
False positves test worden ook uitgevoerd door AV-Comparatives, met daarbij zelfs een mooi overzicht van de false positives en het effect van die false positives. Of een paar honderd mensen er last van hebben of dat honderduizenden of zelfs miljoenen er last van hebben. De schone bestanden die men daarvoor gebruikt zijn gedurende een lange periode verzameld en daar zitten ook vaak bestanden bij de je nooit zult tegenkomen. Er zitten echter ook bestanden bij die zijn voorzien van een geldige digitale handtekening en toch werden gedetecteerd als malware. Zulke false positives wegen veel zwaarder dan een false positive op een onbelangrijk bestand dat slechts door een paar honderd mensen zal worden gedownload. (http://www.av-comparatives.org/images/stories/test/fp/avc_fp_mar2013.pdf)
De enige juiste manier om beveiligingssoftware te testen zal toch een praktijktest zijn waarbij de software is geïnstalleerd en men het systeem probeert te infecteren zoals dat in de praktijk ook gebeurt. Dat is wat AV-Comparatives probeert met de Real World test, MRG met de Flash test en AV-Test met hun tests. Deze manier van testen is erg intensief en daarom wordt er met relatief weinig samples getest. Ook zullen de malware samples die hierbij gebruikt worden niet altijd nieuw zijn en daardoor verschillen de resultaten per test nogal. Omdat de resultaten nogal verschillen per test kun je beter kijken welke producten altijd in de top 5 eindigen en dan je keuze maken uit een van die producten. Of test er een paar en hou het product dat het best werkt voor jou.
Veel richtlijnen voor het op de juiste manier testen van anti-malware software zijn te vinden op de site van AMTSO (http://www.amtso.org
Ik heb de term 'onbekende malware' gebruikt, maar zero-day of zero-hour is inderdaad beter. Tot op die ontdekingsdag/uur was de malware niet bekend. En dan vervolgens testen met de anti-virus versie van die dag, inclusief de AV database van die dag, zou een real-world impressie geven. Ja, dat is veel werk. Maar zou dat niet veel betrouwbaardere resultaten geven?
Testen op Day Zero is bijna onmogelijk met AV pakketten die op de cloud vertrouwen voor hun gegevens. Dan zouden de testers de AV cloud van de fabrikant moeten hebben op dat uur/die dag. Is dat misschien de reden dat 4 fabrikanten destijds in 2012 afzagen van verdere deelname?
Een mooi voorbeeld van een test met zero-hour malware en de resultaten 6 en 12 uur later kun je hier zien;
http://www.blog.mrg-effitas.com/mrg-effitas-flash-test-24-10-2012/. Er zijn in dat blog nog veel meer van zulke tests te vinden. Daaruit blijkt dat vooral Microsoft het zeer slecht doet als de malware nog echt vers is.
De Flash tests van MRG Effitas werden gewoon real-time uitgevoerd. Zero-hour malware werd direct getest waarbij de geteste producten volledig functioneerden en mochten proberen om een infectie van het systeem te voorkomen. Een product dat gebruik maakt van informatie uit 'the cloud' kon dat op dat moment ook gebruik maken van de informatie die op dat moment beschikbaar was in 'the cloud'.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
