Тестирование пяти антивирусов
10 сентября 2007 года - http://www.computerra.ru/gid/331706

Сравнивать антивирусы - сложнейшее и неблагодарнейшее дело. Уйма подобных материалов публиковалась в одной только "Компьютерре-Онлайн", не говоря уж о других изданиях, и каждый раз выходит, что автор что-то упустил, что-то интерпретировал неверно и вызвал гнев читателей или даже работников антивирусных компаний. В конце концов, некоторые аспекты работы антивирусных программ просто невозможно оценить без дополнительных средств.

На этот раз мы придумали, как избежать подобных недоразумений и предоставить читателям наиболее компетентную информацию. Где её взять? Всё очень просто: достаточно передать дело в руки профессионалов. Оказывается, есть на свете люди, которые занимаются именно тестированием и сравнительным анализом антивирусных программ. Есть такая компания и в нашей стране. Предлагаемый отчёт был составлен в тесном сотрудничестве с экспертами из Anti-Malware.ru.

Для теста были отобраны пять антивирусных продуктов: Антивирус Касперского 7.0, Eset Nod32 2.7, DrWeb 4.4, Norton Anti-Virus 2007 и Avira AntiVir PE Classic 7.0. В предлагавшемся изначально списке присутствовали Panda, McAfee, Sophos и ClamAV, но Panda и McAfee в России распространены значительно меньше остальных, а Sophos не имеет персональной версии. Свободно распространяемый ClamAV было решено заменить на просто бесплатный Avira.

Эксперты Anti-Malware.ru выделили две группы критериев, на которые стоит ориентироваться покупателям, - качество защиты и все прочие. Качество защиты, безусловно, наиболее важная часть, но и остальные пункты тоже могут оказаться значимыми. При прочих равных стоит выбирать наименее требовательное к ресурсам решение, да и устойчивость к сбоям может оказаться критичным параметром.

В качестве общих критериев были выделены: замедление работы системы при использовании антивируса, удобство интерфейса, простота использования, функциональность, устойчивость к сбоям, гибкость настроек, простота установки.

Большинство этих параметров достаточно сложны для оценки и сильно подвержены субъективным решениям, так что за основу экспертная группа взяла отзывы и комментарии пользователей на портале Anti-malware.ru. Скорость сканирования и ресурсоёмкость, впрочем, замерялась самостоятельно (отдельно на исполняемых файлах, архивах и объектах OLE).

При оценки качества защиты учитывались: скорость реакции, качество сигнатурного детектирования, качество эвристического анализатора, качество поведенческого блокиратора, возможность лечения активных заражений, возможность обнаружения активных руткитов, самозащита, поддержка упаковщиков и количество ложных срабатываний.

Для определения скорости реакции оценивалась реакция антивирусной программы при обнаружении новейших видов вредоносных программ. В этих целях использовалось более 200 семплов, собранных за последние две недели, сразу после получения. Здесь выигрывают антивирусы, базы которых пополняются наиболее активно.

Эффективность сигнатурного детектирования проверялась на коллекции ITW, собранных Anti-Malware.ru за последние 6 месяцев, что составляет в сумме около 1000 семплов.

Эффективность работы эвристического анализатора проверяется методом сканирования 200 семплов новых вирусов, собранных за последние две недели. Чтобы исключить возможность определения вирусов по их сигнатурам и дать работу эвристическому анализатору, в этом тесте специально применяются устаревшие антивирусные базы.

Оценивалось и качество поведенческого блокиратора. Многие из протестированных антивирусов его просто не имеют, так что важно хотя бы его наличие.

Чтобы оценить возможности лечения активного заражения экспертами были выбраны 17 семплов наиболее опасных вредоносных программ. Для прохождения этого теста антивирусная программа должна успешно справиться с последствиями работы вируса.

Критерии оценки

Были протестированы возможности обнаружения десяти наиболее сложных вредоносных программ с руткит-маскировкой. Обнаружение активных руткитов предотвращает возможную злоумышленную эксплуатацию ресурсов компьютера извне.

Самозащита - одна из важнейших сторон работы антивируса. Если антивирусная программа уязвима, и вирус может её обезвредить, все прочие достоинства могут оказаться бесполезными. Степень самозащиты уже была оценена экспертами Anti-Malware.ru, здесь использовались готовые результаты. Подробности теста можно найти по адресу.

Большинство исполняемых файлов хранятся в упакованном виде. Перед тем как проверять такой файл на содержание сигнатуры вируса, его следует распаковать. В противном случае, проверка окажется бесполезной, и вирус не будет обнаружен, несмотря на то, что его сигнатура хранится в базе. Тестирование поддержки упаковщиков также уже проводилось Anti-Malware.ru ранее. Результаты этого теста можно найти на странице.
Количество ложных срабатываний не отражается напрямую на степени защиты, но может сильно мешать работе. Сперва пользователь не может запустить ту или иную программу из-за сообщений о наличии несуществующего вируса, затем, узнав о возможности ложных срабатываний, способен не заметить настоящий вирус.
По каждому из критериев антивирусам выставлялись баллы от нуля до пяти. При этом ноль баллов соответствует низшей оценке. В случае критерия из второй группы это означает, что функционал полностью отсутствует. Пять баллов соответствует высшей, отличной оценке.

Результаты тестирования

Интерпретация результатов

Как видно из таблицы, первое место в сравнительном тестировании занял "Антивирус Касперского 7.0", который опередил ближайшего конкурента, Norton Anti-Virus 2007, на целых 15 баллов. Впрочем, суммарный балл - это поверхностный показатель. Когда стоит вопрос о выборе антивирусной программы, рекомендуем поинтересоваться, из чего же суммарный балл, собственно, складывается.

По мнению экспертов Anti-Malware.ru, отрыв "Антивирус Касперского 7.0" от конкурентов обеспечили высокая скорость реакции на новые угрозы, частота обновлений антивирусных баз, отличный поведенческий блокиратор, не имеющий аналогов у конкурентов, возможности эффективного удаления руткитов, самозащита и широкая поддержка упаковщиков.

Укрепила лидерство "Касперского" его широкая функциональность: поиск активных руткитов, проверка трафика HTTP "на лету", возможность отмены изменений, сделанных вредоносными программами, включенное в состав средство аварийного восстановления, автоматическая настройка нагрузки на центральный процессор, организация доверенной зоны и ещё некоторые возможности.

Среди слабых сторон "Антивируса Касперского 7.0" - недостаточная устойчивость к сбоям, уступающее некоторым конкурентам качество эвристического анализатора, не позволяющего пока надежно защищать от неизвестных видов угроз, а также значительное количество ложных срабатываний.

Второе место по праву занял Norton Anti-Virus 2007. К его сильным сторонам причисляют удобство и простоту интерфейса, устойчивость к сбоям, качество сигнатурного детектирования и минимальное количество ложных срабатываний.

Его слабые места: сильное замедление системы, минимальные возможные настройки, очень низкая скорость реакции (это сильно повышает риск заразиться новым вирусом), очень слабые проактивные технологии и ограниченная поддержка упаковщиков.

Третье место занял антивирус Eset Nod32 2.7, активно продвигаемый последнее время в России. Сильными сторонами продукта можно назвать качественный эвристический анализатор и низкое влияние на производительность системы. Слабые места Nod32: морально устаревший интерфейс, низкая скорость реакции на новые угрозы, отсутствие поведенческого блокиратора, а также почти отсутствующие возможности обнаружения активных руткитов и лечения активного заражения системы.

Судя по суммарным баллам, "Доктор Веб" совсем чуть-чуть не дотянул до Nod32 и Norton AV. Как и в Nod32 здесь нет активного блокиратора, средств для борьбы с активным заражением и обнаружения руткитов. Ко всему прочему, до общего уровня не дотягивает эвристический анализатор. Зато "Доктор Веб" может похвастать простотой установки, скоростью реакции и гибкостью настроек.

Последнее место с худшими оценками занял бесплатный продукт Avira AntiVir PE Classic 7.0. С сигнатурным детектированием он справляется хорошо, да и аналитический анализатор у "Авиры" на достойном уровне, но дело портит почти полное отсутствие поддержки упаковщиков и крайне слабые средства защиты системы и лечения заражённых программ.

Большинство протестированных программ стоят примерно одинаково - около 1000 рублей. Бесплатна одна "Авира", и это единственное свойство, делающее программу привлекательной. Качество технической поддержки - естественное преимущество отечественных производителей антивирусов. "Лаборатория Касперского" и "Доктор Веб" в этом плане на высоте.