Die Zeiten, in denen Antivirus-Software mit Hilfe spezifischer Virensignaturen nahezu jeden Schädling identifizieren konnte, sind längst vorbei. Heute wird diese Methode durch verschiedene Techniken ergänzt, die Malware auf Grund allgemeinerer Merkmale als solche erkennen sollen. Das Magdeburger Testlabor AV-Test (www.av-test.de) hat 28 Antivirus-Programme daraufhin untersucht, wie gut sie aktuelle Schädlinge finden, darunter auch aktive Rootkits.
Die klassische Signatur-basierte Erkennung hat AV-Test mit mehr als einer Million Malware-Dateien aus den letzten sechs Monaten geprüft, ältere Schädlinge sind außen vor geblieben. Ein "sehr gut" bekommt, wer 98 Prozent oder mehr Schädlinge gefunden hat, bei 90 Prozent gibt es noch eine gute Note, unter 80 Prozent sind indiskutabel. Die besten Resultate mit jeweils mehr als 99 Prozent haben WebWasher, G Data AVK 2008, Avira AntiVir und Avast erzielt.
So wurde getestet
Beim Test der so genannten proaktiven Techniken haben die Tester nicht nur die generische und heuristische Signaturerkennung geprüft sondern auch die in einigen Produkten enthaltenen "Behaviour-Blocker", also Verhaltens-basierte Analysefunktionen. Beispiele dafür sind Pandas TruPrevent und F-Secures DeepGuard. Hierfür kamen 3500 aktuelle Schädlinge zum Einsatz, weitere 20 durften sich "live" auf einem Testrechner tummeln und mussten so erkannt werden. Um die reine Signaturerkennung auszuschließen, haben die Tester Updates installiert, die bereits eine Woche alt waren.
Rootkits, die nicht aktiv sind, kann ein Virenscanner wie jede andere Malware mit Signaturen erkennen. Anders sieht es aus, wenn ein Rootkit auf einem Rechner installiert ist und seine Tarnkappe aktiviert hat. Mit 12 aktiven Rootkits haben die AV-Test-Prüfer getestet, wie sich aktuelle Antivirusprogramme dabei schlagen. Nur wer alle Rootkits findet, bekommt eine sehr gute Note (F-Secure, Panda, Symantec, Trend Micro), ein übersehenes gibt noch ein "gut", bei drei oder mehr Patzern gibt es eine schlechte Note.
Außerdem haben die Magdeburger mit 65.000 harmlosen Dateien getestet, wie viele Fehlalarme die Virenscanner produzieren. Eine sehr gute Wertung haben die Tester nur vergeben, wenn kein einziger falscher Alarm aufgetreten ist. Das haben nur CA eTrust, McAfee, Microsoft und Symantec hin bekommen. Bereits ab drei Fehlalarmen gibt es eine schlechte Note.
Auch die Reaktionszeiten der Hersteller wurden gemessen
Die Reaktionszeiten der Hersteller auf neu entdeckte Schädlingsvarianten hat AV-Test mit 55 Malware-Dateien getestet, die aus dem Jahr 2007 stammen. AV-Test lädt dazu seit Jahren im Takt weniger Minuten alle neuen Updates aller Produkte herunter und speichert sie. Die Updates können nacheinander installiert werden, um zu prüfen, ob ein bestimmter Schädling damit erkennt wird. Bei einer mittleren Reaktionszeit von weniger als zwei Stunden gibt es ein "sehr gut", bei mehr als sechs Stunden nur eine schlechte Wertung.
Diese Stichprobe konzentriert sich auf die reine Erkennungsleistung der Produkte. Ob gefundene Schädlinge auch entfernt werden können, hat AV-Test in diesem Fall nicht überprüft. Auch weitere wichtige Kriterien, die Sie bei einer Kaufentscheidung berücksichtigen sollten, sind nicht Gegenstand dieses Testlaufs gewesen. Dazu zählen etwa Bedienbarkeit, Ressourcenverbrauch, Zusatzfunktionen oder auch der Preis.
Test-Ergebnis: Signatur-basierte Erkennung von 1 Mio. Schädlingen
|
Produkt |
erkannte Malware |
|
WebWasher |
99,90% |
|
G Data AVK |
99,80% |
|
AntiVir |
99,60% |
|
Avast! |
99,40% |
|
Trend Micro |
98,60% |
|
Symantec |
98,30% |
|
AVG |
98,10% |
|
Bitdefender |
98,00% |
|
Kaspersky |
98,00% |
|
Ikarus |
97,90% |
|
Sophos |
97,80% |
|
F-Secure |
97,60% |
|
Microsoft |
96,90% |
|
F-Prot |
96,30% |
|
Panda |
95,60% |
|
Rising AV |
94,00% |
|
Norman |
93,90% |
|
McAfee |
93,70% |
|
Fortinet |
93,50% |
|
Nod32 |
93,10% |
|
Dr Web |
86,70% |
|
VBA32 |
86,40% |
|
QuickHeal |
84,20% |
|
ClamAV |
77,30% |
|
Command AV |
71,20% |
|
VirusBuster |
67,70% |
|
K7 Computing |
55,80% |
|
eTrust |
55,30% |
Quelle: AV-Test (www.av-test.de), Stand: 22.01.2008
Test-Ergebnis: Gesamtergebnisse und Bewertung
|
Produkt |
Signatur-basiert |
proaktiv |
Rootkits |
Fehlalarme |
Reaktionszeiten |
|
AntiVir |
++ |
+ |
+ |
+ |
++ |
|
Avast! |
++ |
o |
+ |
o |
+ |
|
AVG |
++ |
o |
+ |
+ |
o |
|
G Data AVK |
++ |
+ |
- |
o |
++ |
|
Bitdefender |
++ |
++ |
+ |
o |
+ |
|
ClamAV |
-- |
- |
-- |
- |
++ |
|
Command AV |
-- |
- |
-- |
+ |
o |
|
Dr Web |
o |
+ |
+ |
o |
o |
|
eTrust |
-- |
- |
+ |
++ |
-- |
|
Fortinet |
+ |
++ |
n/a * |
-- |
+ |
|
F-Prot |
+ |
- |
o |
+ |
o |
|
F-Secure |
+ |
++ |
++ |
+ |
+ |
|
Ikarus |
+ |
+ |
o |
- |
+ |
|
K7 Computing |
-- |
- |
-- |
o |
- |
|
Kaspersky |
++ |
+ |
+ |
o |
++ |
|
McAfee |
+ |
+ |
+ |
++ |
- |
|
Microsoft |
+ |
- |
o |
++ |
-- |
|
Nod32 |
+ |
++ |
+ |
+ |
+ |
|
Norman |
+ |
+ |
o |
+ |
o |
|
Panda |
+ |
++ |
++ |
o |
o |
|
QuickHeal |
- |
o |
- |
o |
o |
|
Rising AV |
+ |
o |
o |
o |
o |
|
Sophos |
+ |
++ |
+ |
+ |
+ |
|
Symantec |
++ |
+ |
++ |
++ |
o |
|
Trend Micro |
++ |
+ |
++ |
+ |
+ |
|
VBA32 |
o |
+ |
o |
o |
o |
|
VirusBuster |
-- |
- |
o |
+ |
o |
|
WebWasher |
++ |
++ |
n/a * |
o |
++ |
* nicht anwendbar (Gateway-Scanner)
Quelle: AV-Test (www.av-test.de), Stand: 22.01.2008
Dieser Beitrag stammt von der COMPUTERWOCHE-Schwesterpublikation www.pc-welt.de.