Retrospektiver / Proaktiver Test August 2010
Heuristischer und verhaltensbasierter Schutz vor neuer/unbekannter Schadsoftware
Datum der Veröffentlichung | 2010-12-07 |
Datum der Überarbeitung | 2010-12-06 |
Prüfzeitraum | August 2010 |
Anzahl der Testfälle | 23237 |
Online mit Cloud-Konnektivität | |
Update erlaubt | |
False-Alarm Test inklusive | |
Plattform/OS | Microsoft Windows |
Einführung
Anti-Virus-Produkte behaupten oft, eine hohe proaktive Erkennungsleistung zu haben - weit höher als die in diesem Test erreichten Werte. Dies ist nicht nur eine Werbeaussage; es ist möglich, dass Produkte die angegebenen Prozentsätze erreichen, aber dies hängt von der Dauer des Testzeitraums, der Größe der Stichprobenmenge und den verwendeten Stichproben ab. Die Daten zeigen, wie gut die proaktiven Erkennungsfähigkeiten der Scan-Ner bei der Erkennung neuer Bedrohungen waren. Die Benutzer sollten sich nicht fürchten, wenn Produkte in einem rückwirkenden Test niedrige Prozentsätze aufweisen. Wenn die Antiviren-Software immer auf dem neuesten Stand gehalten wird, kann sie mehr Proben erkennen. Um zu verstehen, wie die Erkennungsraten der Antivirenprodukte mit aktualisierten Signaturen und Programmen aussehen, werfen Sie einen Blick auf unsere regelmäßigen On-Demand-Erkennungstests. Es wurde nur die heu-ristische/generische Erkennungsleistung getestet (offline). Einige Produkte verfügen möglicherweise über die Fähigkeit, einige Samples z. B. bei der Ausführung oder durch andere Überwachungstools wie Verhaltensblocker, Reputations-/Cloud-Heuristiken usw. zu erkennen. Diese Arten von zusätzlichen Schutztechnologien werden von AV-Comparatives z. B. in dynamischen Tests für das gesamte Produkt berücksichtigt, liegen aber außerhalb des Rahmens dieses retrospektiven Tests. Weitere Einzelheiten entnehmen Sie bitte den Methodikdokumenten sowie den Informationen auf unserer Website.
Dieser Prüfbericht ist der zweite Teil der Prüfung im August 2010. Der Bericht wird Anfang Dezember vorgelegt, da er viel Arbeit, tiefere Analysen und die Vorbereitung des retrospektiven Testsatzes erfordert. Täglich tauchen viele neue Viren und andere Arten von Malware auf. Deshalb ist es wichtig, dass Anti-Virus-Produkte nicht nur so oft und so schnell wie möglich neue Updates bereitstellen, sondern auch in der Lage sind, solche Bedrohungen im Voraus (auch ohne sie auszuführen oder während sie offline sind) mit generischen und/oder heuristischen Techniken zu erkennen. Auch wenn die meisten Antivirenprodukte heutzutage tägliche, stündliche oder Cloud-Updates anbieten, gibt es ohne heuristische/generische Methoden immer einen Zeitrahmen, in dem der Benutzer nicht zuverlässig geschützt ist.
Die Produkte verwendeten dieselben Aktualisierungen und Signaturen, die sie in den 16. August, und zwar mit den gleichen Erkennungseinstellungen wie im August (siehe Seite 6 dieses Berichts). Dieser Test zeigt die proaktiven Erkennungsfähigkeiten, die die Produkte zu diesem Zeitpunkt hatten. Wir haben neue Malware verwendet, die zwischen dem 17.. und 24. August 2010. Die folgenden Produkte wurden getestet:
Geprüfte Produkte
- PC Tools Spyware Doctor with AV 8.0
Testverfahren
AV-Comparatives zieht es vor, mit den Standardeinstellungen zu testen. Da die meisten Produkte standardmäßig mit den höchsten Einstellungen laufen (oder automatisch auf die höchsten Einstellungen umschalten, wenn Malware gefunden wird, was es unmöglich macht, mit den "Standard"-Einstellungen gegen verschiedene Malware zu testen), haben wir, um vergleichbare Ergebnisse zu erhalten, auch die wenigen verbleibenden Produkte in Übereinstimmung mit den jeweiligen Anbietern auf die höchsten Einstellungen gesetzt (oder sie auf niedrigeren Einstellungen belassen). Wir hoffen, dass alle Hersteller ein angemessenes Gleichgewicht zwischen Erkennung/Fehlalarmen/Systemauswirkungen finden und bereits standardmäßig die höchste Sicherheit bieten und paranoide Einstellungen in der Benutzeroberfläche entfernen, die zu hoch sind, um für normale Benutzer jemals von Nutzen zu sein.
Testfälle
In die retrospektive Testreihe haben wir nur neue Malware aufgenommen, die kurz nach dem Einfrierdatum in der Praxis sehr verbreitet war. Proben, die von den heuristischen/generischen Erkennungsfunktionen der Produkte nicht erkannt wurden, wurden dann ausgeführt, um zu sehen, ob Verhaltensblocker sie stoppen würden. In mehreren Fällen stellten wir fest, dass Verhaltensblocker nur vor einigen abgelegten Malware-Komponenten oder Systemänderungen warnten, ohne vor allen bösartigen Aktionen der Malware zu schützen; solche Fälle wurden nicht als Blockierung gezählt. Da Verhaltensblocker erst nach der Ausführung der Malware zum Einsatz kommen, bleibt ein gewisses Risiko bestehen, kompromittiert zu werden (selbst wenn das Sicherheitsprodukt behauptet, die Bedrohung blockiert/entfernt zu haben). Daher ist es besser, wenn Malware vor ihrer Ausführung erkannt wird, z. B. durch den On-Access-Scanner, der Heuristiken verwendet. Aus diesem Grund sollten Verhaltensblocker als Ergänzung zu den anderen Funktionen eines Sicherheitsprodukts (mehrschichtiger Schutz) betrachtet werden und nicht als Ersatz.
Ranking-System
Die Auszeichnungen werden von den Testern vergeben, nachdem sie eine Reihe von statistischen Methoden, darunter auch hierarchisches Clustering, herangezogen haben. Wir haben unsere Entscheidungen nach dem folgenden Schema getroffen:
Keine - Wenige FPs | ||||
Viele FPs | ||||
Sehr viele FPs | ||||
Verrückt viele FPs |
Test-Ergebnisse
Die Ergebnisse zeigen die proaktiven (generischen/heuristischen) Erkennungsfähigkeiten der Scan-Engines gegenüber neuer Malware. Dieser Test wird offline und auf Abruf durchgeführt. Es handelt sich NICHT um einen On-Execution-/Behavioral-/Cloud-Test. Die Prozentsätze sind auf die nächste ganze Zahl gerundet. Nehmen Sie die Ergebnisse nicht als absolute Bewertung der Qualität - sie geben nur einen Eindruck davon, wer in diesem speziellen Test mehr und wer weniger erkannt hat. Um zu erfahren, wie diese Antivirenprodukte mit aktualisierten Signaturen abschneiden, sehen Sie sich bitte unsere On-Demand-Tests vom Februar und August an. Die Leser sollten sich die Ergebnisse ansehen und sich eine Meinung bilden, die ihren Bedürfnissen entspricht. Alle getesteten Produkte sind bereits aus einer Gruppe sehr guter Scanner ausgewählt worden, und wenn sie richtig eingesetzt und auf dem neuesten Stand gehalten werden, können sich die Benutzer mit jedem von ihnen sicher fühlen.
False Positives (False Alarm) Test - Ergebnis
Um die Qualität der Erkennungsfunktionen besser beurteilen zu können, muss auch die Fehlalarmrate berücksichtigt werden. Ein Fehlalarm (oder falsches Positiv) liegt vor, wenn ein Antiviren-Produkt eine harmlose Datei als infiziert kennzeichnet, obwohl sie es nicht ist. Falsche Alarme können manchmal genauso viel Ärger verursachen wie eine echte Infektion.
Die Ergebnisse des Fehlalarmtests waren bereits im Testbericht vom August enthalten. Für Details lesen Sie bitte den False Alarm Test August 2009.
1. | F-Secure | 2 | sehr wenige FPs (0-3) | |
2. | Microsoft | 3 | ||
3. | Bitdefender | 4 | wenige FPs (4-15) | |
4. | eScan | 5 | ||
5. | ESET | 6 | ||
6. | PC-Werkzeuge | 7 | ||
7. | Avast, Symantec | 9 | ||
8. | Avira | 10 | ||
9. | Sophos | 13 | ||
10. | G Data | 15 | ||
11. | Trustport | 19 | viele FPs (über 15) | |
12. | Kaspersky | 46 | ||
13. | K7 | 50 | ||
14. | Panda | 98 |
Zusammenfassung - Ergebnis
Die folgende Tabelle zeigt die proaktiven On-Demand-Erkennungsfähigkeiten der verschiedenen Produkte, sortiert nach Erkennungsrate. Die vergebenen Auszeichnungen basieren nicht nur auf den Erkennungsraten für neue Malware, sondern berücksichtigen auch die Fehlalarmraten.
Unten sehen Sie die Ergebnisse des proaktiven Schutzes über unseren Satz neuer und verbreiteter Malware-Dateien/Familien, die im Feld auftauchten (23.237 Malware-Samples):
Blockiert | Kompromitiert | Proaktiv / Schutzrate | False-Positives (FPs) | Cluster | |
G Data |
14407 | 8830 | 62% | wenige | 1 |
AVIRA | 13710 | 9527 | 59% | wenige | 1 |
Sophos | 13477 | 9760 | 58% | wenige | 1 |
ESET | 13013 | 10224 | 56% | wenige | 1 |
F-Secure | 13013 | 10224 | 56% | sehr wenige | 1 |
BitDefender, eScan | 12548 | 10689 | 54% | wenige | 1 |
Microsoft | 12083 | 11154 | 52% | sehr wenige | 1 |
Symantec | 11851 | 11386 | 51% | wenige | 1 |
Panda | 14175 | 9062 | 61% | viele | 2 |
Kaspersky | 13710 | 9527 | 59% | viele | 2 |
TrustPort | 13477 | 9760 | 58% | viele | 2 |
K7 | 11619 | 11619 | 50% | viele | 2 |
Avast | 9992 | 13245 | 43% | wenige | 2 |
PC-Werkzeuge |
8598 | 14639 | 37% | wenige | 2 |
In diesem Heuristik-/Verhaltenstest erreichte Punktzahlen
Wir bieten ein 3-Stufen-Ranking-System (STANDARD, ADVANCED und ADVANCED+). Die folgenden Zertifizierungsstufen beziehen sich auf die im retrospektiven Test erzielten Ergebnisse:
* Diese Produkte wurden aufgrund der Fehlalarme schlechter bewertet.
Anmerkungen
AVG, Kingsoft, McAfee, Norman und Trend Micro haben beschlossen, nicht in diesen Bericht aufgenommen zu werden und auf eine Auszeichnung zu verzichten.
Fast alle Produkte laufen heutzutage standardmäßig mit den höchsten Schutzeinstellungen (zumindest an den Einstiegspunkten, bei On-Demand-Scans des gesamten Computers oder bei geplanten Scans) oder schalten bei einer erkannten Infektion automatisch auf die höchsten Einstellungen. Um vergleichbare Ergebnisse zu erhalten, haben wir daher alle Produkte mit den höchsten Einstellungen getestet, sofern von den Herstellern nicht ausdrücklich etwas anderes empfohlen wurde (da wir bei allen Tests dieselben Einstellungen verwenden, liegt der Grund dafür in der Regel darin, dass die höchsten Einstellungen entweder zu viele Fehlalarme verursachen, eine zu große Auswirkung auf die Systemleistung haben oder die Einstellungen vom Hersteller in naher Zukunft geändert/entfernt werden sollen). Um einige häufige Fragen zu vermeiden, finden Sie im Folgenden einige Hinweise zu den verwendeten Einstellungen (Scannen aller Dateien usw. ist immer aktiviert) einiger Produkte:
- AVIRA, Kaspersky, Symantec, TrustPort: gebeten, mit einer auf hoch/erweitert eingestellten Heuristik getestet zu werden. Aus diesem Grund empfehlen wir den Nutzern, auch die Heuristik auf hoch/erweitert einzustellen.
- F-Secure, Sophos: gebeten, auf der Grundlage ihrer Standardeinstellungen getestet und ausgezeichnet zu werden (d. h. ohne Verwendung ihrer erweiterten Heuristik-/Verdachtserkennungseinstellungen).
- AVIRA: gebeten, die Informationswarnungen von Packern nicht zu aktivieren/als Erkennungen zu betrachten. Aus diesem Grund haben wir sie nicht als Entdeckungen gezählt (weder im Malware-Set noch im Clean-Set).
Copyright und Haftungsausschluss
Diese Veröffentlichung ist Copyright © 2010 von AV-Comparatives ®. Jegliche Verwendung der Ergebnisse, etc. im Ganzen oder in Teilen, ist NUR nach ausdrücklicher schriftlicher Zustimmung der Geschäftsführung von AV-Comparatives vor einer Veröffentlichung erlaubt. AV-Comparatives und seine Tester können nicht für Schäden oder Verluste haftbar gemacht werden, die sich aus der Verwendung der in diesem Dokument enthaltenen Informationen ergeben könnten. Wir bemühen uns mit aller Sorgfalt um die Richtigkeit der Basisdaten, eine Haftung für die Richtigkeit der Testergebnisse kann jedoch von keinem Vertreter von AV-Comparatives übernommen werden. Wir übernehmen keine Gewähr für die Richtigkeit, Vollständigkeit oder Eignung für einen bestimmten Zweck der zu einem bestimmten Zeitpunkt bereitgestellten Informationen/Inhalte. Niemand, der an der Erstellung, Produktion oder Lieferung von Testergebnissen beteiligt ist, haftet für indirekte, besondere oder Folgeschäden oder entgangenen Gewinn, die sich aus der Nutzung oder der Unmöglichkeit der Nutzung der auf der Website angebotenen Dienste, Testdokumente oder damit zusammenhängenden Daten ergeben oder damit zusammenhängen.
Für weitere Informationen über AV-Comparatives und die Testmethoden besuchen Sie bitte unsere Website.
AV-Comparatives
(Dezember 2010)