Diese Website verwendet Cookies, um Ihnen die bestmögliche Nutzung unserer Website zu ermöglichen.
Bitte beachten Sie, dass Sie sich durch die weitere Nutzung dieser Website mit den Bedingungen unserer Politik zum Schutz der Privatsphäre und des Datenschutzes .
Einige unserer Partnerdienste befinden sich in den USA. Nach Rechtsprechung des Europäischen Gerichtshofs existiert derzeit in den USA kein angemessener Datenschutz. Es besteht das Risiko, dass Ihre Daten durch US-Behörden kontrolliert und überwacht werden. Dagegen können Sie keine wirksamen Rechtsmittel vorbringen.
Akzeptieren

Retrospektiver / Proaktiver Test August 2010

Datum August 2010
Sprache English
Letzte Revision 6. Dezember 2010

Heuristischer und verhaltensbasierter Schutz vor neuer/unbekannter Schadsoftware


Datum der Veröffentlichung 2010-12-07
Datum der Überarbeitung 2010-12-06
Prüfzeitraum August 2010
Anzahl der Testfälle 23237
Online mit Cloud-Konnektivität checkbox-unchecked
Update erlaubt checkbox-unchecked
False-Alarm Test inklusive checkbox-checked
Plattform/OS Microsoft Windows

Einführung

Anti-Virus-Produkte behaupten oft, eine hohe proaktive Erkennungsleistung zu haben - weit höher als die in diesem Test erreichten Werte. Dies ist nicht nur eine Werbeaussage; es ist möglich, dass Produkte die angegebenen Prozentsätze erreichen, aber dies hängt von der Dauer des Testzeitraums, der Größe der Stichprobenmenge und den verwendeten Stichproben ab. Die Daten zeigen, wie gut die proaktiven Erkennungsfähigkeiten der Scan-Ner bei der Erkennung neuer Bedrohungen waren. Die Benutzer sollten sich nicht fürchten, wenn Produkte in einem rückwirkenden Test niedrige Prozentsätze aufweisen. Wenn die Antiviren-Software immer auf dem neuesten Stand gehalten wird, kann sie mehr Proben erkennen. Um zu verstehen, wie die Erkennungsraten der Antivirenprodukte mit aktualisierten Signaturen und Programmen aussehen, werfen Sie einen Blick auf unsere regelmäßigen On-Demand-Erkennungstests. Es wurde nur die heu-ristische/generische Erkennungsleistung getestet (offline). Einige Produkte verfügen möglicherweise über die Fähigkeit, einige Samples z. B. bei der Ausführung oder durch andere Überwachungstools wie Verhaltensblocker, Reputations-/Cloud-Heuristiken usw. zu erkennen. Diese Arten von zusätzlichen Schutztechnologien werden von AV-Comparatives z. B. in dynamischen Tests für das gesamte Produkt berücksichtigt, liegen aber außerhalb des Rahmens dieses retrospektiven Tests. Weitere Einzelheiten entnehmen Sie bitte den Methodikdokumenten sowie den Informationen auf unserer Website.

Dieser Prüfbericht ist der zweite Teil der Prüfung im August 2010. Der Bericht wird Anfang Dezember vorgelegt, da er viel Arbeit, tiefere Analysen und die Vorbereitung des retrospektiven Testsatzes erfordert. Täglich tauchen viele neue Viren und andere Arten von Malware auf. Deshalb ist es wichtig, dass Anti-Virus-Produkte nicht nur so oft und so schnell wie möglich neue Updates bereitstellen, sondern auch in der Lage sind, solche Bedrohungen im Voraus (auch ohne sie auszuführen oder während sie offline sind) mit generischen und/oder heuristischen Techniken zu erkennen. Auch wenn die meisten Antivirenprodukte heutzutage tägliche, stündliche oder Cloud-Updates anbieten, gibt es ohne heuristische/generische Methoden immer einen Zeitrahmen, in dem der Benutzer nicht zuverlässig geschützt ist.

Die Produkte verwendeten dieselben Aktualisierungen und Signaturen, die sie in den 16. August, und zwar mit den gleichen Erkennungseinstellungen wie im August (siehe Seite 6 dieses Berichts). Dieser Test zeigt die proaktiven Erkennungsfähigkeiten, die die Produkte zu diesem Zeitpunkt hatten. Wir haben neue Malware verwendet, die zwischen dem 17.. und 24. August 2010. Die folgenden Produkte wurden getestet:

Geprüfte Produkte

Testverfahren

AV-Comparatives zieht es vor, mit den Standardeinstellungen zu testen. Da die meisten Produkte standardmäßig mit den höchsten Einstellungen laufen (oder automatisch auf die höchsten Einstellungen umschalten, wenn Malware gefunden wird, was es unmöglich macht, mit den "Standard"-Einstellungen gegen verschiedene Malware zu testen), haben wir, um vergleichbare Ergebnisse zu erhalten, auch die wenigen verbleibenden Produkte in Übereinstimmung mit den jeweiligen Anbietern auf die höchsten Einstellungen gesetzt (oder sie auf niedrigeren Einstellungen belassen). Wir hoffen, dass alle Hersteller ein angemessenes Gleichgewicht zwischen Erkennung/Fehlalarmen/Systemauswirkungen finden und bereits standardmäßig die höchste Sicherheit bieten und paranoide Einstellungen in der Benutzeroberfläche entfernen, die zu hoch sind, um für normale Benutzer jemals von Nutzen zu sein.

Testfälle

In die retrospektive Testreihe haben wir nur neue Malware aufgenommen, die kurz nach dem Einfrierdatum in der Praxis sehr verbreitet war. Proben, die von den heuristischen/generischen Erkennungsfunktionen der Produkte nicht erkannt wurden, wurden dann ausgeführt, um zu sehen, ob Verhaltensblocker sie stoppen würden. In mehreren Fällen stellten wir fest, dass Verhaltensblocker nur vor einigen abgelegten Malware-Komponenten oder Systemänderungen warnten, ohne vor allen bösartigen Aktionen der Malware zu schützen; solche Fälle wurden nicht als Blockierung gezählt. Da Verhaltensblocker erst nach der Ausführung der Malware zum Einsatz kommen, bleibt ein gewisses Risiko bestehen, kompromittiert zu werden (selbst wenn das Sicherheitsprodukt behauptet, die Bedrohung blockiert/entfernt zu haben). Daher ist es besser, wenn Malware vor ihrer Ausführung erkannt wird, z. B. durch den On-Access-Scanner, der Heuristiken verwendet. Aus diesem Grund sollten Verhaltensblocker als Ergänzung zu den anderen Funktionen eines Sicherheitsprodukts (mehrschichtiger Schutz) betrachtet werden und nicht als Ersatz.

Ranking-System

Die Auszeichnungen werden von den Testern vergeben, nachdem sie eine Reihe von statistischen Methoden, darunter auch hierarchisches Clustering, herangezogen haben. Wir haben unsere Entscheidungen nach dem folgenden Schema getroffen:

Proaktiver Schutz Tarife
Unter 50%
3
2
1
Keine - Wenige FPs
TESTED
STANDARD
ADVANCED
ADVANCED+
Viele FPs
TESTED
TESTED
STANDARD
ADVANCED
Sehr viele FPs
TESTED
TESTED
TESTED
STANDARD
Verrückt viele FPs
TESTED
TESTED
TESTED
TESTED

Test-Ergebnisse

Die Ergebnisse zeigen die proaktiven (generischen/heuristischen) Erkennungsfähigkeiten der Scan-Engines gegenüber neuer Malware. Dieser Test wird offline und auf Abruf durchgeführt. Es handelt sich NICHT um einen On-Execution-/Behavioral-/Cloud-Test. Die Prozentsätze sind auf die nächste ganze Zahl gerundet. Nehmen Sie die Ergebnisse nicht als absolute Bewertung der Qualität - sie geben nur einen Eindruck davon, wer in diesem speziellen Test mehr und wer weniger erkannt hat. Um zu erfahren, wie diese Antivirenprodukte mit aktualisierten Signaturen abschneiden, sehen Sie sich bitte unsere On-Demand-Tests vom Februar und August an. Die Leser sollten sich die Ergebnisse ansehen und sich eine Meinung bilden, die ihren Bedürfnissen entspricht. Alle getesteten Produkte sind bereits aus einer Gruppe sehr guter Scanner ausgewählt worden, und wenn sie richtig eingesetzt und auf dem neuesten Stand gehalten werden, können sich die Benutzer mit jedem von ihnen sicher fühlen.

False Positives (False Alarm) Test - Ergebnis

Um die Qualität der Erkennungsfunktionen besser beurteilen zu können, muss auch die Fehlalarmrate berücksichtigt werden. Ein Fehlalarm (oder falsches Positiv) liegt vor, wenn ein Antiviren-Produkt eine harmlose Datei als infiziert kennzeichnet, obwohl sie es nicht ist. Falsche Alarme können manchmal genauso viel Ärger verursachen wie eine echte Infektion.

Die Ergebnisse des Fehlalarmtests waren bereits im Testbericht vom August enthalten. Für Details lesen Sie bitte den False Alarm Test August 2009.

1.F-Secure2sehr wenige FPs (0-3)
2.Microsoft3
3.Bitdefender4 wenige FPs (4-15)
4.eScan5
5.ESET6
6.PC-Werkzeuge7
7.Avast, Symantec9
8.Avira10
9.Sophos13
10.G Data15
11.Trustport19 viele FPs (über 15)
12.Kaspersky46
13.K750
14.Panda98

Zusammenfassung - Ergebnis

Die folgende Tabelle zeigt die proaktiven On-Demand-Erkennungsfähigkeiten der verschiedenen Produkte, sortiert nach Erkennungsrate. Die vergebenen Auszeichnungen basieren nicht nur auf den Erkennungsraten für neue Malware, sondern berücksichtigen auch die Fehlalarmraten.

Unten sehen Sie die Ergebnisse des proaktiven Schutzes über unseren Satz neuer und verbreiteter Malware-Dateien/Familien, die im Feld auftauchten (23.237 Malware-Samples):

  Blockiert Kompromitiert Proaktiv / Schutzrate False-Positives (FPs) Cluster
G Data
14407 8830 62% wenige 1
AVIRA 13710 9527 59% wenige 1
Sophos 13477 9760 58% wenige 1
ESET 13013 10224 56% wenige 1
F-Secure 13013 10224 56% sehr wenige 1
BitDefender, eScan 12548 10689 54% wenige 1
Microsoft 12083 11154 52% sehr wenige 1
Symantec 11851 11386 51% wenige 1
 
Panda 14175 9062 61% viele 2
Kaspersky 13710 9527 59% viele 2
TrustPort 13477 9760 58% viele 2
K7 11619 11619 50% viele 2
Avast 9992 13245 43% wenige 2
PC-Werkzeuge
8598 14639 37% wenige 2

In diesem Heuristik-/Verhaltenstest erreichte Punktzahlen

Wir bieten ein 3-Stufen-Ranking-System (STANDARD, ADVANCED und ADVANCED+). Die folgenden Zertifizierungsstufen beziehen sich auf die im retrospektiven Test erzielten Ergebnisse:

* Diese Produkte wurden aufgrund der Fehlalarme schlechter bewertet.

Anmerkungen

AVG, Kingsoft, McAfee, Norman und Trend Micro haben beschlossen, nicht in diesen Bericht aufgenommen zu werden und auf eine Auszeichnung zu verzichten.

Fast alle Produkte laufen heutzutage standardmäßig mit den höchsten Schutzeinstellungen (zumindest an den Einstiegspunkten, bei On-Demand-Scans des gesamten Computers oder bei geplanten Scans) oder schalten bei einer erkannten Infektion automatisch auf die höchsten Einstellungen. Um vergleichbare Ergebnisse zu erhalten, haben wir daher alle Produkte mit den höchsten Einstellungen getestet, sofern von den Herstellern nicht ausdrücklich etwas anderes empfohlen wurde (da wir bei allen Tests dieselben Einstellungen verwenden, liegt der Grund dafür in der Regel darin, dass die höchsten Einstellungen entweder zu viele Fehlalarme verursachen, eine zu große Auswirkung auf die Systemleistung haben oder die Einstellungen vom Hersteller in naher Zukunft geändert/entfernt werden sollen). Um einige häufige Fragen zu vermeiden, finden Sie im Folgenden einige Hinweise zu den verwendeten Einstellungen (Scannen aller Dateien usw. ist immer aktiviert) einiger Produkte:

  • AVIRA, Kaspersky, Symantec, TrustPort: gebeten, mit einer auf hoch/erweitert eingestellten Heuristik getestet zu werden. Aus diesem Grund empfehlen wir den Nutzern, auch die Heuristik auf hoch/erweitert einzustellen.
  • F-Secure, Sophos: gebeten, auf der Grundlage ihrer Standardeinstellungen getestet und ausgezeichnet zu werden (d. h. ohne Verwendung ihrer erweiterten Heuristik-/Verdachtserkennungseinstellungen).
  • AVIRA: gebeten, die Informationswarnungen von Packern nicht zu aktivieren/als Erkennungen zu betrachten. Aus diesem Grund haben wir sie nicht als Entdeckungen gezählt (weder im Malware-Set noch im Clean-Set).

Copyright und Haftungsausschluss

Diese Veröffentlichung ist Copyright © 2010 von AV-Comparatives ®. Jegliche Verwendung der Ergebnisse, etc. im Ganzen oder in Teilen, ist NUR nach ausdrücklicher schriftlicher Zustimmung der Geschäftsführung von AV-Comparatives vor einer Veröffentlichung erlaubt. AV-Comparatives und seine Tester können nicht für Schäden oder Verluste haftbar gemacht werden, die sich aus der Verwendung der in diesem Dokument enthaltenen Informationen ergeben könnten. Wir bemühen uns mit aller Sorgfalt um die Richtigkeit der Basisdaten, eine Haftung für die Richtigkeit der Testergebnisse kann jedoch von keinem Vertreter von AV-Comparatives übernommen werden. Wir übernehmen keine Gewähr für die Richtigkeit, Vollständigkeit oder Eignung für einen bestimmten Zweck der zu einem bestimmten Zeitpunkt bereitgestellten Informationen/Inhalte. Niemand, der an der Erstellung, Produktion oder Lieferung von Testergebnissen beteiligt ist, haftet für indirekte, besondere oder Folgeschäden oder entgangenen Gewinn, die sich aus der Nutzung oder der Unmöglichkeit der Nutzung der auf der Website angebotenen Dienste, Testdokumente oder damit zusammenhängenden Daten ergeben oder damit zusammenhängen.

Für weitere Informationen über AV-Comparatives und die Testmethoden besuchen Sie bitte unsere Website.

AV-Comparatives
(Dezember 2010)