Diese Website verwendet Cookies, um Ihnen die bestmögliche Nutzung unserer Website zu ermöglichen.
Bitte beachten Sie, dass Sie durch die weitere Nutzung dieser Website den Bedingungen unserer Privacy and Data Protection Policy zustimmen.
Akzeptieren

File Detection Test August 2009

Datum August 2009
Sprache Deutsch
Letzte Revision 19. September 2009

von bösartiger Software, einschließlich Fehlalarm und On-Demand-Scan-Geschwindigkeitstest


Datum der Veröffentlichung 2009-09-20
Datum der Überarbeitung 2009-09-19
Prüfzeitraum August 2009
Anzahl der Testfälle 1562092
Online mit Cloud-Konnektivität checkbox-unchecked
Update erlaubt checkbox-checked
False Alarm Test inklusive checkbox-checked
Plattform/OS Microsoft Windows

Einführung

Der Dateierkennungstest ist einer der aussagekräftigsten Faktoren zur Bewertung der Wirksamkeit einer Antiviren-Engine. Diese Testberichte werden zweimal im Jahr veröffentlicht, einschließlich eines Fehlalarmtests. Weitere Einzelheiten entnehmen Sie bitte den Dokumenten zur Methodik sowie den Informationen auf unserer Website. In diesem Test wurden die folgenden 16 aktuellen Sicherheitsprodukte anhand von 1562092 verbreiteten Malware-Samples getestet.

Geprüfte Produkte

Testverfahren

Jedes Testsystem läuft unter Microsoft Windows XP SP3 mit einem entsprechenden Sicherheitsprodukt, das zuletzt am 10.. vom August 2009. Die Malware-Sets wurden auch am 10.. August 2009. Alle Produkte hatten während des Tests Internet-Zugang und wurden mit den Standardeinstellungen getestet. Um sicherzustellen, dass alle Dateierkennungsfunktionen genutzt werden, haben wir bei allen Produkten die Überprüfung aller Dateien, die Überprüfung von Archiven und die Überprüfung auf PUA aktiviert.

Auf jedem Testsystem wird der Malware-Satz gescannt. Die vom Sicherheitsprodukt gemachten Erkennungen werden notiert und analysiert. Obwohl bei diesem Test keine Proben ausgeführt wurden, haben wir Fälle in Betracht gezogen, in denen Malware beim Zugriff, aber nicht bei Bedarf erkannt wird. Der Test wird daher File Detection Test genannt (im Gegensatz zu den früheren On-Demand-Tests), da On-Access-Scans berücksichtigt werden.

Testfälle

Der Testsatz ist in zwei Teile aufgeteilt. Die nachstehenden Prozentsätze beziehen sich auf SET B, das nur Malware aus den letzten 7 Monaten enthält. SET A wird in der Regel von allen getesteten Produkten sehr gut abgedeckt (>97%) und enthält Malware von Dezember 2007 bis Dezember 2008. SET B enthält fast 1,6 Millionen Malware-Samples.

Ranking-System

Erkennungsrate Cluster/Gruppen
(von den Testern nach Konsultation statistischer Methoden angegeben)
<87%
87 - 93%
93 - 97%
97 - 100%
Wenig (0-15 FPs)
TESTED
STANDARD
ADVANCED
ADVANCED+
Viele (über 15 FPs)
TESTED
TESTED
STANDARD
ADVANCED

Test-Ergebnisse

Der verwendete Testsatz enthielt 1562092 aktuelle/prävalente Stichproben aus den letzten Wochen/Monaten. Wir schätzen die verbleibende Fehlerspanne bei den endgültigen Prozentsätzen auf unter 0,2%.

Gesamtentdeckungsraten (in Gruppen zusammengefasst)

Bitte beachten Sie auch die Falschalarmraten, wenn Sie sich die nachstehenden Dateierkennungsraten ansehen.

1.G Data99.8%
2.Avira99.4%
3.McAfee98.7%
4.Symantec98.4%
5.Avast98.0%
6.F-Secure97.9%
7.Bitdefender97.8%
8.eScan97.7%
9.Trustport97.6%
10.ESET97.2%
11.Kaspersky94.7%
12.AVG94.0%
13.Sophos91.3%
14.Microsoft90.0%
15.Kingsoft86.4%
16.Norman84.8%

Grafik der verpassten Proben (niedriger ist besser)

Die Ergebnisse unserer On-Demand-Tests gelten in der Regel auch für den On-Access-Scanner (wenn dieser gleich konfiguriert ist), nicht aber für Technologien zum Schutz bei der Ausführung (wie HIPS, Verhaltensblocker usw.).

Eine gute Erkennungsrate ist immer noch eine der wichtigsten, deterministischen und zuverlässigen Eigenschaften eines Antivirenprodukts. Zusätzlich bieten die meisten Produkte zumindest eine Art von HIPS, verhaltensbasierte oder andere Funktionen, um bösartige Aktionen zu blockieren (oder zumindest vor der Möglichkeit solcher Aktionen zu warnen), z. B. während der Ausführung von Malware, wenn alle anderen On-Access- und On-Demand-Erkennungs-/Schutzmechanismen versagt haben.

Bitte verpassen Sie nicht den zweiten Teil des Berichts (er wird in einigen Monaten veröffentlicht), der den retrospektiven Test enthält, in dem bewertet wird, wie gut die Produkte neue/unbekannte Malware erkennen. Weitere Testberichte (Reinigungstest, Leistungstest, PUA-Erkennungstest, dynamischer Test usw.), die andere Aspekte der verschiedenen Produkte abdecken, werden bald auf unserer Website veröffentlicht.

Auch wenn wir verschiedene Tests liefern und verschiedene Aspekte der Antiviren-Software aufzeigen, wird den Benutzern empfohlen, die Software selbst zu bewerten und sich eine eigene Meinung darüber zu bilden. Testdaten oder Rezensionen bieten nur Anhaltspunkte zu einigen Aspekten, die der Benutzer nicht selbst beurteilen kann. Wir empfehlen und ermutigen die Leser, auch andere unabhängige Testergebnisse zu recherchieren, die von verschiedenen bekannten und etablierten unabhängigen Prüforganisationen bereitgestellt werden, um einen besseren Überblick über die Erkennungs- und Schutzfähigkeiten der verschiedenen Produkte in verschiedenen Testszenarien und mit verschiedenen Test-Sets zu erhalten.

Test der Scangeschwindigkeit

Antivirenprodukte haben aus verschiedenen Gründen unterschiedliche Scangeschwindigkeiten. Es muss berücksichtigt werden, wie zuverlässig die Erkennungsrate eines Anti-Virus-Produkts ist; ob das Anti-Virus-Produkt Code-Emulation verwendet, ob es in der Lage ist, schwierige polymorphe Viren zu erkennen, ob es eine tiefe heuristische Scan-Analyse und einen aktiven Rootkit-Scan durchführt, wie tief und gründlich die Unterstützung für das Entpacken und Entpacken von Dateien ist, zusätzliche Sicherheitsscans, usw.

Die meisten Produkte verfügen über Technologien zur Verkürzung der Scan-Zeiten bei nachfolgenden Scans, indem sie zuvor gescannte Dateien überspringen. Da wir die Scangeschwindigkeit (wenn Dateien wirklich nach Malware gescannt werden) und nicht die Geschwindigkeit des Überspringens von Dateien untersuchen wollen, werden diese Technologien hier nicht berücksichtigt. Unserer Meinung nach sollten einige Produkte die Benutzer deutlicher über die leistungsoptimierten Scans informieren und sie dann entscheiden lassen, ob sie einen kurzen leistungsoptimierten Scan (bei dem nicht alle Dateien erneut überprüft werden, wodurch das Risiko besteht, dass infizierte Dateien übersehen werden) oder einen vollständigen Sicherheitsscan bevorzugen.

Das folgende Diagramm zeigt die Durchsatzrate in MB/s (je höher, desto schneller) der verschiedenen Antivirenprodukte beim Scannen (bei Bedarf) mit den höchsten Einstellungen und einem ganzen Satz sauberer Dateien (für die Fehlalarmtests). Die Durchsatzrate beim Scannen hängt von der Menge der sauberen Dateien5, den Einstellungen und der verwendeten Hardware ab.

Die durchschnittliche Scandurchsatzrate (Scangeschwindigkeit) errechnet sich aus der Größe der bereinigten Datei in MB geteilt durch die für den Abschluss des Scans benötigte Zeit in Sekunden. Die Durchsatzrate dieses Tests kann nicht mit zukünftigen Tests oder mit anderen Tests verglichen werden, da sie von der Menge der Dateien, der verwendeten Hardware usw. abhängt.

Die Geschwindigkeitstests wurden unter Windows XP SP3 auf identischen Intel Core 2 Duo E8300/2.83GHz, 2GB RAM und SATA II Festplatten durchgeführt.

False Positives (False Alarm) Test - Ergebnis

Um die Qualität der Erkennungsleistung von Antivirenprodukten besser beurteilen zu können, bieten wir auch einen Fehlalarmtest an. Falsche Alarme können manchmal genauso viele Probleme verursachen wie eine echte Infektion. Bitte berücksichtigen Sie die Fehlalarmrate bei der Betrachtung der Erkennungsraten, da ein Produkt, das dazu neigt, Fehlalarme zu verursachen, leichter eine höhere Punktzahl erreicht.

1.Bitdefender, eScan, F-Secure4wenige FPs
2.Avast, Microsoft5
3.AVG, Kaspersky8
4.G Data9
5.ESET12
6.Symantec13
7.Avira21 viele FPs
8.Sophos26
9.McAfee41
10.Norman, Trustport42
11.Kingsoft47

McAfee ohne In-the-Cloud hatte 26 Fehlalarme.

Einzelheiten zu den entdeckten Fehlalarmen (einschließlich ihrer vermuteten Häufigkeit) sind in einem separaten Bericht zu finden, der unter folgender Adresse abrufbar ist: http://www.av-comparatives.org/wp-content/uploads/2012/04/avc_fps_200908_en.pdf

Zusammenfassung - Ergebnis

Ein Produkt, das einen hohen Prozentsatz bösartiger Dateien erkennt, aber unter Fehlalarmen leidet, ist nicht unbedingt besser als ein Produkt, das weniger bösartige Dateien erkennt, aber weniger Fehlalarme erzeugt.

Das folgende Diagramm zeigt die kombinierten Dateierkennungsraten und Fehlalarme.

In diesem Dateierkennungstest erreichte Auszeichnungsstufen

AV-Comparatives bietet ein 3-stufiges Bewertungssystem (STANDARD, ADVANCED und ADVANCED+). Da dieser Bericht auch die rohen Erkennungsraten und nicht nur die Auszeichnungen enthält, können sich Benutzer, die sich nicht um Fehlalarme kümmern, auf diese Punktzahl allein verlassen, wenn sie dies möchten.

Die Auszeichnungen basieren nicht nur auf den Erkennungsraten, sondern auch auf den False Positives, die in unseren sauberen Dateien gefunden wurden. Ein Produkt, das einen hohen Prozentsatz an Malware erkennt, aber unter Fehlalarmen leidet, ist nicht unbedingt besser als ein Produkt, das weniger Malware erkennt, aber weniger FPs erzeugt.

* Diese Produkte wurden aufgrund der Fehlalarme schlechter bewertet.

Anmerkungen

Da fast alle Produkte heutzutage in der Praxis standardmäßig mit den höchsten Schutzeinstellungen laufen oder im Falle einer erkannten Infektion automatisch auf die höchsten Einstellungen umschalten, wir haben alle Produkte mit den höchsten Einstellungen getestet (außer Sophos und F-Secure).

Im Folgenden finden Sie einige Hinweise zu den verwendeten Einstellungen (die Überprüfung aller Dateien usw. ist immer aktiviert) und zu einigen Technologien, die erläutert werden müssen:

  • AVG, BitDefender, eScan, ESET, Kingsoft, Microsoft, Norman: Läuft standardmäßig mit den höchsten Einstellungen.
  • avast: Läuft (im Falle einer Infektion) standardmäßig automatisch mit den höchsten Einstellungen.
  • G DATA: Läuft (abhängig von der Hardware) standardmäßig mit den höchsten Einstellungen.
  • AVIRA, Kaspersky, Symantec, TrustPort: Es wurde darum gebeten, alle erweiterten Kategorien zu aktivieren und die Heuristik auf hoch/erweitert zu setzen. Aus diesem Grund empfehlen wir den Nutzern, auch die Heuristik auf hoch/erweitert einzustellen, da diese Produkte standardmäßig nicht die höchsten Einstellungen verwenden.
  • F-Secure, Sophos: Aufgefordert, getestet und ausgezeichnet zu werden, basierend auf seinen Standardeinstellungen (ohne tiefe heuristische / verdächtige Erkennungen). Aus diesem Grund empfehlen wir den Nutzern, die Einstellungen nicht zu hoch zu wählen (außer im Falle einer bestehenden Infektion).
  • McAfee: Verwendet eine In-the-Cloud-Technologie (Artemis / Active Protection), die standardmäßig aktiviert ist und funktioniert, solange eine Internetverbindung verfügbar ist. Artemis wurde zur gleichen Zeit getestet, als andere Produkte aktualisiert wurden, so dass es keinen Zeitvorteil gegenüber anderen Produkten hatte. Zu Informationszwecken haben wir auch die Ergebnisse ohne die In-the-Cloud-Technologie (offline) aufgeführt.

Bei McAfee VirusScan Plus 2009 und höher ist die "In-the-Cloud"-Technologie von Artemis standardmäßig aktiviert. Für Unternehmensanwender oder Privatanwender, die ältere McAfee-Produkte ohne "Active Protection" verwenden - sowie für alle anderen Anwender - kann es wichtig sein zu wissen, wie hoch die minimale Erkennungsrate von McAfee ist, wenn die Internetverbindung nicht verfügbar ist. Die McAfee-Erkennungsrate ohne Internetverbindung betrug 92,6%.

Copyright und Haftungsausschluss

Diese Veröffentlichung ist Copyright © 2009 von AV-Comparatives ®. Jegliche Verwendung der Ergebnisse, etc. im Ganzen oder in Teilen, ist NUR nach ausdrücklicher schriftlicher Zustimmung der Geschäftsführung von AV-Comparatives vor einer Veröffentlichung erlaubt. AV-Comparatives und seine Tester können nicht für Schäden oder Verluste haftbar gemacht werden, die sich aus der Verwendung der in diesem Dokument enthaltenen Informationen ergeben könnten. Wir bemühen uns mit aller Sorgfalt um die Richtigkeit der Basisdaten, eine Haftung für die Richtigkeit der Testergebnisse kann jedoch von keinem Vertreter von AV-Comparatives übernommen werden. Wir übernehmen keine Gewähr für die Richtigkeit, Vollständigkeit oder Eignung für einen bestimmten Zweck der zu einem bestimmten Zeitpunkt bereitgestellten Informationen/Inhalte. Niemand, der an der Erstellung, Produktion oder Lieferung von Testergebnissen beteiligt ist, haftet für indirekte, besondere oder Folgeschäden oder entgangenen Gewinn, die sich aus der Nutzung oder der Unmöglichkeit der Nutzung der auf der Website angebotenen Dienste, Testdokumente oder damit zusammenhängenden Daten ergeben oder damit zusammenhängen.

Für weitere Informationen über AV-Comparatives und die Testmethoden besuchen Sie bitte unsere Website.

AV-Comparatives
(September 2009)