Retrospektiver / Proaktiver Test Februar 2011
Heuristischer und verhaltensbasierter Schutz vor neuer/unbekannter Schadsoftware
| Datum der Veröffentlichung | 2011-05-22 |
| Datum der Überarbeitung | 2011-05-21 |
| Prüfzeitraum | Februar - März 2011 |
| Anzahl der Testfälle | 9177 |
| Online mit Cloud-Konnektivität |  |
| Update erlaubt | |
| False-Alarm Test inklusive |  |
| Plattform/OS | Microsoft Windows |
Einführung
Anti-Virus-Produkte behaupten oft, dass ihre proaktive Erkennungsleistung weit über den in diesem Test erreichten Werten liegt. Dies ist nicht nur eine Werbeaussage; es ist möglich, dass Produkte die angegebenen Prozentsätze erreichen, aber dies hängt von der Dauer des Testzeitraums, der Größe des Samplesets und den verwendeten Samples ab. Die Daten zeigen, wie gut die proaktiven Erkennungsfähigkeiten der Scan-Ner bei der Erkennung der neuen Bedrohungen in diesem Test waren. Die Benutzer sollten keine Angst haben, wenn Produkte in einem rückwirkenden Test niedrige Prozentsätze aufweisen. Wenn die Antiviren-Software immer auf dem neuesten Stand gehalten wird, kann sie mehr Proben erkennen. Um zu verstehen, wie die Erkennungsraten der Antiviren-Produkte mit aktualisierten Signaturen und Programmen aussehen, werfen Sie einen Blick auf unsere regelmäßigen On-Demand-Erkennungstests. Es wurde nur die heuristische/generische Erkennungsleistung getestet (offline). Einige Produkte sind möglicherweise in der Lage, bestimmte Muster zu erkennen, z. B. bei der Ausführung oder durch andere Überwachungstools, wie Verhaltensblocker, Reputations-/Cloud-Heuristiken usw. Diese Arten von zusätzlichen Schutztechnologien werden von AV-Comparatives z. B. in dynamischen Tests für das gesamte Produkt berücksichtigt, liegen aber außerhalb des Rahmens dieses retrospektiven Tests. Weitere Einzelheiten entnehmen Sie bitte den methodischen Unterlagen sowie den Informationen auf unserer Website.
Dieser Prüfbericht ist der zweite Teil der Prüfung im Februar 2011. Der Bericht wird aufgrund des hohen Arbeitsaufwands, der tieferen Analyse und der Vorbereitung des retrospektiven Testsatzes Ende Mai vorgelegt. Täglich tauchen viele neue Viren und andere Arten von Malware auf. Deshalb ist es wichtig, dass Anti-Virus-Produkte nicht nur so oft und so schnell wie möglich neue Updates bereitstellen, sondern auch in der Lage sind, solche Bedrohungen im Voraus (auch ohne Ausführung oder im Offline-Modus) mit generischen und/oder heuristischen Techniken zu erkennen. Auch wenn die meisten Antivirenprodukte heutzutage tägliche, stündliche oder Cloud-Updates anbieten, gibt es ohne heuristische/generische Methoden immer einen Zeitrahmen, in dem der Benutzer nicht zuverlässig geschützt ist.
Die Produkte verwendeten dieselben Aktualisierungen und Signaturen, die sie in den 22. Februar 2011 und mit den gleichen Erkennungseinstellungen wie im Februar. Dieser Test zeigt die proaktiven Dateierkennungsfähigkeiten, die die Produkte zu diesem Zeitpunkt hatten. Wir haben 1.463 neue Schadprogramme verwendet, die zwischen dem 23. Februar und dem 3. März 2011 erschienen sind. Die folgenden Produkte wurden getestet:
Geprüfte Produkte
Testverfahren
AV-Comparatives zieht es vor, mit den Standardeinstellungen zu testen. Um vergleichbare Ergebnisse zu erhalten, haben wir auch die wenigen verbleibenden Produkte in Übereinstimmung mit den jeweiligen Herstellern auf die höchsten Einstellungen gesetzt (oder sie auf niedrigeren Einstellungen belassen). Wir hoffen, dass alle Hersteller die richtige Balance zwischen Erkennung/Fehlalarmen/Systemauswirkungen finden und bereits standardmäßig höchste Sicherheit bieten und paranoide Einstellungen in der Benutzeroberfläche entfernen, die zu hoch sind, um für normale Benutzer jemals von Nutzen zu sein.
Diesmal haben wir versucht, in den retrospektiven Testsatz nur Malware aufzunehmen, die in der letzten Februarwoche in der Praxis gesehen wurde und weit verbreitet war. Etwa ¼ der Menge wird von uns als "sehr verbreitet" eingestuft. Da Malware, die sich ausbreitet, durch reaktive Maßnahmen schneller entdeckt werden kann, wenn viele Nutzer infiziert sind, können die anfänglichen proaktiven Raten niedriger sein (denn wenn sie proaktiv entdeckt worden wären, würden sie sich nicht ausbreiten, da sie im Voraus blockiert würden).
Testfälle
In die retrospektive Testreihe haben wir nur neue Malware aufgenommen, die kurz nach dem Einfrierdatum in der Praxis sehr verbreitet war. Proben, die von den heuristischen/generischen Erkennungsfunktionen der Produkte nicht erkannt wurden, wurden dann ausgeführt, um zu sehen, ob Verhaltensblocker sie stoppen würden. In mehreren Fällen stellten wir fest, dass Verhaltensblocker nur vor einigen abgelegten Malware-Komponenten oder Systemänderungen warnten, ohne vor allen bösartigen Aktionen der Malware zu schützen; solche Fälle wurden nicht als Blockierung gezählt. Da Verhaltensblocker erst nach der Ausführung der Malware zum Einsatz kommen, bleibt ein gewisses Risiko bestehen, kompromittiert zu werden (selbst wenn das Sicherheitsprodukt behauptet, die Bedrohung blockiert/entfernt zu haben). Daher ist es besser, wenn Malware vor ihrer Ausführung erkannt wird, z. B. durch den On-Access-Scanner, der Heuristiken verwendet. Aus diesem Grund sollten Verhaltensblocker als Ergänzung zu den anderen Funktionen eines Sicherheitsprodukts (mehrschichtiger Schutz) betrachtet werden und nicht als Ersatz.
Ranking-System
Die Auszeichnungen werden von den Testern vergeben, nachdem sie eine Reihe von statistischen Methoden, darunter auch hierarchisches Clustering, herangezogen haben. Wir haben unsere Entscheidungen nach dem folgenden Schema getroffen:
| Keine - Wenige FPs | ||||
| Viele FPs | ||||
| Sehr viele FPs | ||||
| Verrückt viele FPs | ||||
Test-Ergebnisse
Die Ergebnisse zeigen die proaktiven (generischen/heuristischen) Dateierkennungsfähigkeiten der Scan-Engines gegenüber neuer Malware. Die Prozentsätze sind auf die nächste ganze Zahl gerundet. Nehmen Sie die Ergebnisse nicht als absolute Bewertung der Qualität - sie geben nur einen Eindruck davon, wer in diesem speziellen Test mehr und wer weniger erkannt hat. Um zu erfahren, wie diese Antivirenprodukte mit aktualisierten Signaturen abschneiden, sehen Sie sich bitte unsere On-Demand-Tests vom Februar und August an. Wenn Sie wissen möchten, wie hoch die Schutzraten der verschiedenen Produkte sind, schauen Sie sich bitte unsere laufenden dynamischen Ganzprodukttests an. Die Leser sollten sich die Ergebnisse ansehen und sich eine auf ihre Bedürfnisse abgestimmte Meinung bilden. Alle getesteten Produkte sind bereits aus einer Gruppe sehr guter Scanner ausgewählt worden, und wenn sie richtig eingesetzt und auf dem neuesten Stand gehalten werden, können sich die Benutzer mit jedem von ihnen sicher fühlen.
False Positives (False Alarm) Test - Ergebnis
Um die Qualität der Erkennungsfunktionen besser beurteilen zu können, muss auch die Fehlalarmrate berücksichtigt werden. Ein Fehlalarm (oder falsches Positiv) liegt vor, wenn ein Antiviren-Produkt eine harmlose Datei als infiziert kennzeichnet, obwohl sie es nicht ist. Falsche Alarme können manchmal genauso viel Ärger verursachen wie eine echte Infektion.
Die Ergebnisse des Fehlalarmtests waren bereits im Testbericht vom Februar enthalten. Für Details lesen Sie bitte den False Alarm Test February 2011.
| 1. | Microsoft | 1 | sehr wenige FPs (0-3) | ||
| 2. | Bitdefender, eScan, F-Secure | 3 | |||
| 3. | Sophos | 4 | wenige FPs (4-15) | ||
| 4. | Avira | 9 | |||
| 5. | Kaspersky, Trustport | 12 | |||
| 6. | G Data, Panda | 18 | viele FPs (über 15) | ||
| 7. | ESET | 20 | |||
| 8. | Qihoo | 104 | sehr viele FPs (über 100) | ||
Zusammenfassung - Ergebnis
Die folgende Tabelle zeigt die proaktiven On-Demand-Erkennungsfähigkeiten der verschiedenen Produkte, sortiert nach Erkennungsrate. Die vergebenen Auszeichnungen basieren nicht nur auf den Erkennungsraten für neue Malware, sondern berücksichtigen auch die Fehlalarmraten.
Unten sehen Sie die Ergebnisse des proaktiven Schutzes über unseren Satz neuer und verbreiteter Malware-Dateien/Familien, die im Feld auftauchten (9.177 Malware-Samples):
| Blockiert | Kompromitiert | Proaktiv / Schutzrate | False-Positives (FPs) | Cluster | |
| AVIRA | 5414 | 3763 | 59% | wenige | 1 |
| Kaspersky | 5047 | 4130 | 55% | wenige | 1 |
| G Data | 5598 | 3579 | 61% | viele | 2 |
| ESET | 5414 | 3763 | 59% | viele | 2 |
| Panda | 4772 | 4405 | 52% | viele | 2 |
| Trustport | 3487 | 5690 | 38% | wenige | 2 |
| Microsoft | 3304 | 5873 | 36% | sehr wenige | 2 |
| F-secure, Bitdefender | 3212 | 5965 | 35% | sehr wenige | 2 |
| eScan | 3120 | 6057 | 34% | sehr wenige | 2 |
| Sophos | 2111 | 7066 | 23% | wenige | 3 |
| Qihoo | 3120 | 6057 | 34% | sehr viele | – |
In diesem Heuristik-/Verhaltenstest erreichte Punktzahlen
Die folgenden Auszeichnungen beziehen sich auf die Ergebnisse des proaktiven/verhaltensbasierten Tests, wobei nicht nur die Schutzraten vor neuer Malware, sondern auch die Fehlalarmraten berücksichtigt wurden:
* Diese Produkte wurden aufgrund der Fehlalarme schlechter bewertet.
Anmerkungen
Avast, AVG, K7, McAfee, PC Tools, Symantec, Trend Micro und Webroot haben beschlossen, nicht in diesen Bericht aufgenommen zu werden und auf eine Auszeichnung zu verzichten
Fast alle Produkte laufen heutzutage standardmäßig mit den höchsten Schutzeinstellungen (zumindest an den Einstiegspunkten, bei On-Demand-Scans des gesamten Computers oder bei geplanten Scans) oder schalten bei einer erkannten Infektion automatisch auf die höchsten Einstellungen. Um vergleichbare Ergebnisse zu erhalten, haben wir daher alle Produkte mit den höchsten Einstellungen getestet, sofern die Hersteller nicht ausdrücklich etwas anderes empfohlen haben (da wir in allen Tests dieselben Einstellungen verwenden, liegt der Grund dafür in der Regel darin, dass die höchsten Einstellungen entweder zu viele Fehlalarme verursachen, eine zu große Auswirkung auf die Systemleistung haben oder die Einstellungen vom Hersteller in naher Zukunft geändert/entfernt werden sollen). Hier sind einige Hinweise zu den verwendeten Einstellungen (Scannen aller Dateien usw. ist immer aktiviert) einiger Produkte:
- AVIRA, Kaspersky: gebeten, mit einer auf hoch/erweitert eingestellten Heuristik getestet zu werden. Daher empfehlen wir den Nutzern, auch die Heuristik auf hoch/erweitert zu setzen.
- F-Secure, Sophos: gebeten, auf der Grundlage ihrer Standardeinstellungen getestet und ausgezeichnet zu werden (d. h. ohne Verwendung ihrer erweiterten Heuristik-/Verdachtserkennungseinstellungen).
- AVIRA: gebeten, die Informationswarnungen für verdächtige Packer nicht zu aktivieren. Aus diesem Grund haben wir sie nicht als Entdeckungen gezählt (weder im Malware-Set noch im sauberen Set).
Copyright und Haftungsausschluss
Diese Veröffentlichung ist Copyright © 2011 von AV-Comparatives ®. Jegliche Verwendung der Ergebnisse, etc. im Ganzen oder in Teilen, ist NUR nach ausdrücklicher schriftlicher Zustimmung der Geschäftsführung von AV-Comparatives vor einer Veröffentlichung erlaubt. AV-Comparatives und seine Tester können nicht für Schäden oder Verluste haftbar gemacht werden, die sich aus der Verwendung der in diesem Dokument enthaltenen Informationen ergeben könnten. Wir bemühen uns mit aller Sorgfalt um die Richtigkeit der Basisdaten, eine Haftung für die Richtigkeit der Testergebnisse kann jedoch von keinem Vertreter von AV-Comparatives übernommen werden. Wir übernehmen keine Gewähr für die Richtigkeit, Vollständigkeit oder Eignung für einen bestimmten Zweck der zu einem bestimmten Zeitpunkt bereitgestellten Informationen/Inhalte. Niemand, der an der Erstellung, Produktion oder Lieferung von Testergebnissen beteiligt ist, haftet für indirekte, besondere oder Folgeschäden oder entgangenen Gewinn, die sich aus der Nutzung oder der Unmöglichkeit der Nutzung der auf der Website angebotenen Dienste, Testdokumente oder damit zusammenhängenden Daten ergeben oder damit zusammenhängen.
Für weitere Informationen über AV-Comparatives und die Testmethoden besuchen Sie bitte unsere Website.
AV-Comparatives
(Mai 2011)