image

Beste virusscanners op Windows 7 van dit moment

donderdag 11 april 2013, 06:44 door Redactie, 15 reacties

Geen enkele virusscanner weet alle malware te herkennen, maar in maart wisten verschillende anti-virusprogramma's tijdens een uitgebreide test wel degelijk 100% te scoren. Elke maand test het Oostenrijkse testorgaan AV-Comparatives een groot aantal virusscanners tijdens echte scenario's. Deze 'Real-World Protection Test' wordt als de meest uitgebreide en complexe test beschreven.

De testers laten Windows-computers honderden kwaadaardige websites bezoeken die de machines in real-time proberen te infecteren. Het gaat hier niet om gesimuleerde aanvallen of verzamelde malware-exemplaren, maar websites die op het moment van de test echt gehackt zijn en naar exploits wijzen die misbruik van beveiligingslekken in populaire programma's maken.

Exploits
Vorig jaar werd er nog met Windows XP gewerkt, maar in 2013 besloot AV-Comparatives op Windows 7 Home 64-bit over te stappen. Daarbij waren programma's zoals Adobe Flash Player, Adobe Reader en Java geïnstalleerd en up-to-date. Dit zorgde voor een probleem bij het vinden van werkende exploits die de computer ook daadwerkelijk infecteren.

Uiteindelijk werden 780 geldige kwaadaardige websites gevonden, waarvan er 422 een werkende exploit bevatten. In 358 gevallen wist de exploit het systeem vanwege de geinstalleerde patches niet te infecteren.

Daarnaast werden ook links getest die direct naar een malware-bestand wezen en werd er gewerkt met een aantal kwaadaardige bijlagen in e-mailberichten.

Uitslag
Van de 21 virusscanners wisten Emsisoft, F-Secure, G Data, Kaspersky Lab en Qihoo 360 een 100% score neer te zetten. Microsoft Security Essentials werd als basisbeveiliging niet in de test meegenomen, maar stopte in totaal 90,3% van de aanvallen.

Daarmee zou de scanner onderaan zijn geëindigd. Een beeld dat de afgelopen maanden meerdere keren tijdens andere tests terugkwam.

AV-Comparatives benadrukt dat het hier slechts om een momentopname van maart gaat en producten die 100% wisten te scoren dit niet altijd zullen doen. Daarnaast laat de test zien hoe belangrijk het is om applicaties te patchen zodra een update beschikbaar is.

Reacties (15)
11-04-2013, 09:27 door [Account Verwijderd]
[Verwijderd]
11-04-2013, 09:42 door LightFrame
Goed om te zien dat Emsisoft dit jaar ook wordt getest door AV Comparatives.
11-04-2013, 10:10 door Mysterio
Door AnonymousSecurity: Right en over 5 minuten schrijven ze iets nieuws en niets slaagt. Moment opname..dat kun je wel zeggen
Volgens mij geeft deze test niet echt verrassende resultaten en past het in de lijn die de meeste producten al een tijd neerzetten. Het is mooi om te zien dat een aantal producten consistent goed presteren, het is droevig om te zien dat er ook een aantal consistent matig presteren.

Het enige wat ik jammer vind is dat de producten die meedoen nogal wisselt. Het is begrijpelijk en ik snap ook wel hoe dat ontstaat... Maar voor de vergelijking zou het makkelijker zijn.
11-04-2013, 10:23 door golem
Ik had nog nooit gehoord van Qihoo 360.
Hun website gaat verschrikkelijk traag.
11-04-2013, 12:36 door peanuty
Moment opname inderdaad. Altijd.
Alweer Symantec er niet tussen? Heeft ie misschien iets wrijving met AV comp? Of doen ze definitief niet meer mee met die tests? Ik had Norton er toch graag tussen gezien. Die zou ook redelijk hoge ogen moeten scoren nu.
Leuk dat Avast zo goed uit de bus komt als gratis scanner. Doen het toch al een paar jaar redelijk nu zover ik weet.
Die heeft dus wel alles gedetecteerd zo te zien.

Iedereen hier weet ;..Volgende test weer andere resultaten.
Maar erover kletsen is altijd leuk. ;)
11-04-2013, 12:39 door ben987
hoeveel false positives zijn er binnen die 100%
11-04-2013, 20:19 door Dick99999
Ik heb moeite met 'real world' . Als ik het aangehaalde rapport lees, bedoelen ze malware die zij , de testers, kennen en die nu in de real world aanwezig is. Dus zou de anti-virus fabrikant de malware ook moeten kennen. De waarde van de test is dan dat sommige fabrikanten blijkbaar achter lopen.

Maar is de gedragsanalyse test (Heuristic + Behavioural Protection) niet minstens zo belangrijk? Dat geeft de waade aan tegen nieuwe onbekende malware. En juist daar laat de tester en de real world het afweten: laatse test 3/2012 en 4 fabrikanten doen niet mee "...decided not to take part in this type of test, as their products rely very heavily on the cloud" en dat mag niet?? zie http://www.av-comparatives.org/images/docs/avc_beh_201207_en.pdf

Voorts is een interessant tip dat "....In March we had 780 valid malicious URLs, of which 358 test cases (exploits) were not able to compromise the chosen system/applications because of the patch level.....". Dus patch!
12-04-2013, 03:21 door LightFrame
Door ben987: hoeveel false positives zijn er binnen die 100%

Reageer aub niet wanneer je ook niet weet waar het over gaat. Deze test werd uitgevoerd met alleen maar malware, hoe kan een product dat getest wordt dan een FP genereren?
12-04-2013, 03:26 door LightFrame
Door Dick99999: Ik heb moeite met 'real world' . blablabla.

Maar is de gedragsanalyse test (Heuristic + Behavioural Protection) niet minstens zo belangrijk? blablabla


Dick99999,

Je zegt zelf dat je het rapport hebt gelezen maar je begrijpt er echt helemaal niets van. Als je begreep hoe deze test werd uitgevoerd had je die vragen niet gesteld.
12-04-2013, 08:12 door Dick99999
Misschien kan jeeen tip van de sluier oplichten? Dan weet ik wat ik volgens jou niet begrijp. Zou ik ook niets van de patch tip begrijpen, of is dat deel van mijn reactie toch wel begrepen volgens jou.
12-04-2013, 12:51 door LightFrame
Dick99999,

Deze test was een Real World test waarbij de malware ook daadwerkelijk gestart wordt in een poging het systeem te infecteren. Dan zal de geteste software natuurlijk ook gebruik kunnen maken van alle andere technieken die in de software aanwezig zijn om een infectie van het systeem te voorkomen.

Wanneer het om de File Detection test van AV-Comparatives gaat, dan heb je wel gelijk. Daarbij krijgt de geteste software niet de kans om te laten zien of het d.m.v. ander technieken een infectie kon voorkomen. Alléén het resultaat van een on-demand scan wordt dan getoond. Zo'n test is altijd beter dan helemaal geen test, maar in de praktijk zou het product dat bijvoorbeeld op de 4e plaats eindigde in de File detection test een betere bescherming kunnen bieden dan een product dat op de 1e of 2e plaats eindigde in diezelfde File detection test.
12-04-2013, 20:38 door Dick99999
Dank je LightFrame, duidelijk wat je bedoelt, en ik denk ook te begrijpen waarom je mijn redenering niet kan volgen. Jij neemt de test als uitgangspunt en verdedigt de (om)mogelijkheden met enige bombarie. Ik neem de term real world als uitgangspunt en vraag me af of de vlag de lading dekt.

Mijn punt is dan dat de test geen real world is. In de echte wereld komt namelijkook onbekende malware voor. Evenals overigens valse positieven.

Dat je bekende malware en variaties daarop als laatste redmiddel tegenhoudt door gedragsanalyse is tegenwoordig vanzelfsprekend. En misschien werkt die analyse zelfs wel voor nieuwe malwaren. Maar dat zit niet in de test. En met die veel moeilijker test op nieuwe malware waren ze destijds begonnen. Dat zou m.i. een echte real world test zijn. Maar de laatste test van dat type is volgens mij van begin vorige jaar zoals ik al aangaf.
13-04-2013, 07:27 door LightFrame
In deze test zat ook onbekende malware. Het was in ieder geval onbekend voor enkele van de geteste producten.
Tests met de nieuwste zero hour malware worden uitgevoerd door MRG Effitas. In hun blog zijn veel afzonderlijke testesultaten terug te vinden, eindscore van vorig jaar is hier te zien: http://www.mrg-effitas.com/current-tests/flash-test-results/. Nieuwe tests zijn aangekondigd in hun blog en de resultaten zouden elk moment kunnen verschijnen.

False positves test worden ook uitgevoerd door AV-Comparatives, met daarbij zelfs een mooi overzicht van de false positives en het effect van die false positives. Of een paar honderd mensen er last van hebben of dat honderduizenden of zelfs miljoenen er last van hebben. De schone bestanden die men daarvoor gebruikt zijn gedurende een lange periode verzameld en daar zitten ook vaak bestanden bij de je nooit zult tegenkomen. Er zitten echter ook bestanden bij die zijn voorzien van een geldige digitale handtekening en toch werden gedetecteerd als malware. Zulke false positives wegen veel zwaarder dan een false positive op een onbelangrijk bestand dat slechts door een paar honderd mensen zal worden gedownload. (http://www.av-comparatives.org/images/stories/test/fp/avc_fp_mar2013.pdf)

De enige juiste manier om beveiligingssoftware te testen zal toch een praktijktest zijn waarbij de software is geïnstalleerd en men het systeem probeert te infecteren zoals dat in de praktijk ook gebeurt. Dat is wat AV-Comparatives probeert met de Real World test, MRG met de Flash test en AV-Test met hun tests. Deze manier van testen is erg intensief en daarom wordt er met relatief weinig samples getest. Ook zullen de malware samples die hierbij gebruikt worden niet altijd nieuw zijn en daardoor verschillen de resultaten per test nogal. Omdat de resultaten nogal verschillen per test kun je beter kijken welke producten altijd in de top 5 eindigen en dan je keuze maken uit een van die producten. Of test er een paar en hou het product dat het best werkt voor jou.

Veel richtlijnen voor het op de juiste manier testen van anti-malware software zijn te vinden op de site van AMTSO (http://www.amtso.org
15-04-2013, 17:04 door Dick99999
Bijna zou ik nog een aspect van real world vergeten. Namelijk dat de test van volledig bijgewerkte (gepatchte) systemen uit gaat. In de real wolfd zijn systemen 'niet allemaal' bijgewerkt, helaas,helaas. De test geeft wel aan hoe belanrijk patchen is. Maar real wold is volgens mij dat ze zouden testen op systemen die 6-12 maanden achterop zijn.

Ik heb de term 'onbekende malware' gebruikt, maar zero-day of zero-hour is inderdaad beter. Tot op die ontdekingsdag/uur was de malware niet bekend. En dan vervolgens testen met de anti-virus versie van die dag, inclusief de AV database van die dag, zou een real-world impressie geven. Ja, dat is veel werk. Maar zou dat niet veel betrouwbaardere resultaten geven?

Testen op Day Zero is bijna onmogelijk met AV pakketten die op de cloud vertrouwen voor hun gegevens. Dan zouden de testers de AV cloud van de fabrikant moeten hebben op dat uur/die dag. Is dat misschien de reden dat 4 fabrikanten destijds in 2012 afzagen van verdere deelname?
18-04-2013, 02:14 door LightFrame
Het lijkt mij dat real world tests en andere anti-malware tests eigenlijk alleen interessant zijn voor iedereen die ook bewust bezig is met de beveiliging van zijn/haar computer en dan mag je toch wel verwachten dat die ook volledig up-to-date is wat de geïnstalleerde software betreft.

Een mooi voorbeeld van een test met zero-hour malware en de resultaten 6 en 12 uur later kun je hier zien;
http://www.blog.mrg-effitas.com/mrg-effitas-flash-test-24-10-2012/. Er zijn in dat blog nog veel meer van zulke tests te vinden. Daaruit blijkt dat vooral Microsoft het zeer slecht doet als de malware nog echt vers is.

De Flash tests van MRG Effitas werden gewoon real-time uitgevoerd. Zero-hour malware werd direct getest waarbij de geteste producten volledig functioneerden en mochten proberen om een infectie van het systeem te voorkomen. Een product dat gebruik maakt van informatie uit 'the cloud' kon dat op dat moment ook gebruik maken van de informatie die op dat moment beschikbaar was in 'the cloud'.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.