image

Grote virusscanner test kent 7 winnaars

maandag 21 september 2009, 10:57 door Redactie, 20 reacties

Het Oostenrijkse testorgaan AV-Comparatives heeft 16 virusscanners op de pijnbank gelegd en er uiteindelijk 7 tot winnaar uitgeroepen. Er werd gekeken naar de on-demand scan eigenschappen, false positives en scansnelheid. G Data en Avira scoorden bij de detectie van 1,6 miljoen malware exemplaren beide boven de 99%, terwijl Kingsoft en Norman niet boven de 90% uitkwamen. Op het gebied van false positives moet Avira met de middenmoot genoegen nemen. BitDefender, eScan en F-Secure weten met elk 4 false positives het best te scoren. Trustport, Norman en Kingsoft sloegen respectievelijk 42, 42 en 47 keer vals alarm en staan daarmee helemaal onderaan.

De laatste test van AV-Comparatives keek naar de scansnelheid en kende wederom een verschillende winnaar. Dit keer zijn het Avast en Symantec die bovenaan de lijst uitkomen, terwijl eScan veruit het traagst is. Andreas Clementi, de man die de test uitvoerde, merkt op dat het verstandig is om de producten eerst zelf te proberen voordat men tot aanschaf overgaat.

Winnaars
Aan de hand van de drie tests werden de volgende awards uitgereikt. "De awards zijn niet alleen gebaseerd op detectie, maar ook op false positives. Een product dat veel malware herkent, maar met veel false positives heeft te maken, is niet per definitie beter dan een product dat minder malware detecteert, maar ook minder false positives geeft", aldus Clementi. Hieronder staan ook het detectiepercentage en aantal false positives vermeld.

Advanced +++
G Data (99,8% - 9)
Symantec (98,4% - 13)
Avast (98% - 5)
F-Secure (97,9% - 4)
BitDefender (97,8% - 4)
eScan (97,7% - 4)
ESET (97,2% - 12)

Advanced ++
Avira (99,4% - 21)
McAfee (98,7% - 41)
TrustPort (97,6% - 42)
Kaspersky (94,7% - 8)
AVG (94% - 8)

Standard
Microsoft (90% - 5)

Tested
Sophos (91,3% - 26)
Kingsoft (86,4% - 47)
Norman (84,4% - 42)

Reacties (20)
21-09-2009, 11:00 door Anoniem
Zo te zien is Avira de beste. Zo lang de fp's maar geen systeembestanden zijn is het prima. G-Data is zwaarder.
21-09-2009, 11:44 door Anoniem
Ik heb zelf norman en heeft altyd alles tegengehouden. 1 keer een verkeerd bestand gedownload die meerdere virussen ging downloaden. Maar hield het allemaal prima tegen. Vroeg wel wat cpu natuurlijk maar verder geen infecties.

Terwijl het zelfde bestandje een xp pc met avg helemaal platgooide.

Volgens mij moet je 3 verschillende virusscanners op je pc tegelijk installeren wil je 99.99999% bestand zijn tegen virussen. Jammer dat dat niet kan....
21-09-2009, 11:54 door Anoniem
G-Data zwaarder? Probeer toch maar ff de versie 2010, want die is echt een pak lichter dan de vorige.
21-09-2009, 11:55 door Anoniem
Vind ook Avira de beste, maar dan niet voor de average user. Detectie primeert vind ik, de false positives die moet je dan maar uitzoeken. Avira is dus beste voor de meer ervaren pc gebruiker.
21-09-2009, 12:19 door Anoniem
De winnaar is dan toch volgens mij Avira . Maak mijn niet uit van mij part houde ze bijna alles tegen, van false meldingen, je moet dit niet met een korreltje sand nemen!
21-09-2009, 12:50 door [Account Verwijderd]
[Verwijderd]
21-09-2009, 13:35 door Anoniem
Door Peter V: Ik ben het niet eens met deze test.

Het is ook van belang hoe een virusscanner een onbekend virus kan stoppen via pro active defence. Heel veel scanners worden door cybercriminelen vooraf getest of de door hen onwikkelde malware wel gedetecteerd wordt. De pro active defensie moet voorkomen dat onbekende malware zich toch in het systeem vreet. Er zijn echter ook scanners, zoals McAfee die grote moeite hebben om gecomprimeerde kwaadaardige bestanden te scannen. Bij verschillende pakketten heb ik gemerkt dat McAfee bijvoorbeeld geen zip files decomprimeerd, waardoor virusschrijvers de vrije hand kunnen hebben om een systeem te besmetten.

Voorts is het van belang of na detectie het virus wel volledig wordt verwijderd. Zo is er eens een test geweest waarbij een bootsectorvirus alleen door Kaspersky kon worden verwijderd. Symantec "vernielde" bij het verwijderen ook de bootsector. De vraag is waarom dat hier niet getest is?

Het stoppen van malware moet een groot pakket van maatregelen omvatten, en niet alleen maar detectie.

Hoe vaak maak je mee dat je een boot sector virus tegenkomt? Boot sector virussen zijn al vele jaren exoten.

Proactieve bescherming is belangrijk, maar waar het uiteindelijk om gaat is just-in-time (JIT) bescherming. Zodra je pro-actief gaat detecteren gaan malware schrijvers malware aanpassen zodat het niet meer wordt gedetecteerd.

Wat betreft het uitpakken van archiefbestanden: dat is meestal instelbaar, ook bij McAfee. Bij het uitpakken zal het bestand op schijf worden geschreven. Op dat moment kan een on-access scanner ingrijpen.
21-09-2009, 13:55 door U4iA
Door Peter V: Er zijn echter ook scanners, zoals McAfee die grote moeite hebben om gecomprimeerde kwaadaardige bestanden te scannen. Bij verschillende pakketten heb ik gemerkt dat McAfee bijvoorbeeld geen zip files decomprimeerd, waardoor virusschrijvers de vrije hand kunnen hebben om een systeem te besmetten.
Moet je het wel aanzetten he? Kwestie van een vinkje in de On-Access Scan properties -> Scan Item -> Scan inside archives (e.g. Zip). Daarnaast scoort McAfee 98,7%, dus lang niet slecht. Wat ik me nu afvraag is wanneer ze eens de Enterprise versie gaan testen, want het zal wel weer die home-meuk zijn...
21-09-2009, 14:29 door Van Hoorne
Door Peter V: Ik ben het niet eens met deze test.

Het is ook van belang hoe een virusscanner een onbekend virus kan stoppen via pro active defence. Heel veel scanners worden door cybercriminelen vooraf getest of de door hen onwikkelde malware wel gedetecteerd wordt. De pro active defensie moet voorkomen dat onbekende malware zich toch in het systeem vreet. Er zijn echter ook scanners, zoals McAfee die grote moeite hebben om gecomprimeerde kwaadaardige bestanden te scannen. Bij verschillende pakketten heb ik gemerkt dat McAfee bijvoorbeeld geen zip files decomprimeerd, waardoor virusschrijvers de vrije hand kunnen hebben om een systeem te besmetten.

Voorts is het van belang of na detectie het virus wel volledig wordt verwijderd. Zo is er eens een test geweest waarbij een bootsectorvirus alleen door Kaspersky kon worden verwijderd. Symantec "vernielde" bij het verwijderen ook de bootsector. De vraag is waarom dat hier niet getest is?

Het stoppen van malware moet een groot pakket van maatregelen omvatten, en niet alleen maar detectie.
Ach, dus jij weet het beter? Vertel eens: hoe deskundig ben jij eigenlijk? Of roep je maar weer eens wat zoals gebruikelijk? Net zo'n oogklepper als Eerde dus.
21-09-2009, 16:43 door [Account Verwijderd]
[Verwijderd]
21-09-2009, 16:56 door Anoniem
"Andreas Clementi, de man die de test uitvoerde, merkt op dat het verstandig is om de producten eerst zelf te proberen voordat men tot aanschaf overgaat."

Vraag me toch af hoe de gemiddelde gebruiker dit gaat doen? Expres virussen downloaden? En ookal kan je dat doen om te testen, denk ik niet dat de gemiddelde gebruiker dit ook echt gaat proberen....
21-09-2009, 18:44 door Eerde
Ik kan *nix met een virusscannert :(
21-09-2009, 18:58 door Anoniem
Ik begrijp dat er een aantal producten zijn die goed zijn qua detectie maar dan wel veel false positives opleveren en een aantal andere die weinig false positives hebben maar dan ook een lage detectie. Maar heo je er in slaagt om een lage detectie én een hoog aantal false positives te combineren (zie bv. Norman en Sophos), dat is me toch wel een compleet raadsel... Dat ze voor dat soort producten geld durven vragen, is echt onverantwoord te noemen!
21-09-2009, 23:01 door [Account Verwijderd]
[Verwijderd]
21-09-2009, 23:04 door [Account Verwijderd]
[Verwijderd]
21-09-2009, 23:37 door Anoniem
Door Peter V:
Het gaat niet om de bootsectorvirus zelf, maar om de desinfectietechnologie. En niet elke virusscanner heeft dit aan boord.

De overgrote meerderheid van de desktop AV producten heeft dit wel. Het is duidelijk dat daarin verschillen zijn, maar met een voorbeeld over boot sector virussen overtuig je niemand.

Cleaning is voor de onnozele gebruiker, dat moet je ook weten. Er gaat niets boven handmatige verwijdering. Er blijft vaak rommel achter na cleaning omdat cleaners malwaregericht i.p.v. context gericht zijn.
21-09-2009, 23:38 door Anoniem
Gewoonte getrouw ontbreken weer een aantal toppers
-Eeye
-A-squared

Zolang deze niet mee worden opgenomen, zeker Eeye dan hoeven dergelijke test van mij niet en zijn die al afgeschreven
22-09-2009, 10:04 door Anoniem
@Peter V: Ik vind eigenlijk dat disinfectie helemaal niet in een virusscanner thuis hoort, het brengt zich te veel risico mee dat gecleande bestanden foutief gerepareerd zijn omdat het een miniscuul variantje van een virus betreft. Hier kom je meestal pas na een tijdje achter omdat je niet meteen elke bestand gaat testen en dus eventueel ook in een backup cyclus meegaan. Na infectie is het meestal verstandiger om het systeem overnieuw te installeren.
R-
22-09-2009, 10:31 door Anoniem
Al dat gezeik over virusscanners - mensen die meer/minder ervaring hebben in 'cybersecurity' - etc. Het gaat uiteindelijk nergens om. Het is een momentopname - gedaan door een bedrijf - die malware hebben gestuurd naar Anti-Virus paketjes, op een bepaalde mannier ingesteld, en met bepaalde signatures-, en heuristics informatie. Niet meer en niet minder. Een momentopnamen - in een lab.

Het heeft dus niets te maken met een realistische situatie. Cybercriminals huren botnets om malware te versturen of malware op te hosten (infectie via browser). Die gaan echt geen malware plaatsen als die malware gedetecteerd gaat worden door een anti-virus software. Slechts een klein percentage gaat de e-mail openen of website openen, dus moet je zeker zijn dat je malware niet wordt gedetecteerd door een anti-virus systeem. Die malware wordt gekocht met een SLA - dat commercieel beschikbare anti-virus software ze niet detecteerd. Een gemiddelde SPAM run met malware duurt 10 minuten, en daarna komt deze malware waarschijnlijk nooit meer terug (of wellicht via een USB stick van een collega).

Als prive persoon - voorzichtig zijn met Web Surfen en openen van e-mail bestanden. Ken je de afzender niet - niet openen. Verwacht je geen e-mail van iemand die je kent, en die vraagt om een bestand te openen - check het even, er is niets eenvoudiger dan het spoofen van een e-mail adres.

Voor bedrijven met een eigen e-mail domain - neem een professionele service die wat verder gaat dan een standaard AV oplossing en die SLA's biedt om ook onbekende malware te stoppen.
22-09-2009, 15:14 door Anoniem
Mooi! Maar gewoon upgraden naar Symantec Internet Security 2010 :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.