Jak testujeme blokování malwaru

Každý antivirový produkt a sada zabezpečení by měla zabránit útokům virů a jiného malwaru. Vyzývám takové produkty záměrným pokusem infikovat chráněný testovací systém pomocí známých vzorků malwaru. Poté vypočítám skóre blokování malwaru na základě toho, jak úspěšně produkt detekoval a těmto útokům zabránil. Kontroluji také schopnost antiviru zabránit infekci blokováním adres URL hostujících malware.

Blokování škodlivých adres URL

Téměř veškerý moderní malware se dostane do vašeho systému z internetu. Mnoho antivirových produktů čelí infekci blokováním veškerého přístupu k URL hostujícím malware. Ostatní kontrolují soubory během stahování nebo ihned po jeho stažení. Minulý rok jsem představil test zaměřený konkrétně na měření toho, jak dobře produkt zpracovává blokování škodlivých adres URL.

Začínám zdrojem extrémně nových škodlivých adres URL dodávaných společností MRG-Effitas. Každý den zpracovávají mnoho tisíc adres URL; obvykle ty, které používám, nejsou starší než čtyři hodiny. Seznam filtruji, abych přesně zachytil adresy URL směřující na spustitelný soubor.

Proces testování je poměrně jednoduchý. Pomocí jednoduchého nástroje, který jsem si sám zakódoval, spustím adresy URL v aplikaci Internet Explorer a vypne se vlastní zabezpečení aplikace IE. Pro každou adresu URL existují tři možné výsledky. Bezpečnostní software může blokovat veškerý přístup k adrese URL, může soubor vymazat během stahování nebo ihned po stažení, nebo nemusí nic dělat. Hláším celkové procento blokované, ať už na úrovni adresy URL nebo během stahování.

Tento test provádím od listopadu 2013; Nemám údaje o produktech zkontrolovaných před tímto datem.

Úmyslný útok malwaru

Moje vzorky malwaru se v průběhu času mění, ale kolekce bude obvykle zahrnovat adware, spyware, viry, červy, scareware (podvodný bezpečnostní software), rootkity a trojské koně.

Nainstaluji produkt do čistého testovacího systému a ručně spustím aktualizaci, abych se ujistil, že obsahuje nejnovější definice virů. Pak jednoduše otevřu složku obsahující sbírku vzorků a poznámku, jak produkt reaguje. V mnoha případech postačí minimální přístup, ke kterému dochází, když Průzkumník Windows zobrazí název souboru, stačí ke spuštění ochrany v reálném čase. Také na jeden soubor klikám jedním kliknutím, protože ochrana v reálném čase u některých produktů nenastartuje, dokud neklikne.

Bodování

Produkt přirozeně získává plných deset bodů za každou hrozbu, kterou eliminuje na dohled. V testu pokračuji se vzorky, které přežily počáteční utracení, a všimnu si, jak produkt reaguje. Obvykle spustím tři nebo čtyři z nich a poté spustím vlastní nástroje pro analýzu, abych určil, zda se hrozbám podařilo umístit nějaké soubory do testovacího systému.

• Jak se vyhnout Scareware Jak se vyhnout Scareware
• Viry, spyware a malware: Jaký je rozdíl? Viry, spyware a malware: Jaký je rozdíl?

Pokud hrozba nezasadí žádné spustitelné soubory a nainstaluje se od nuly do 20 procent neproveditelného souboru a nevyžádaná pošta, udělím deset bodů, stejně jako kdyby je antivirus vymazal na dohled. Antivirus, který hrozbě umožnil vložit 20 až 80 procent nevyžádané pošty do testovacího systému, stále získává devět bodů. To klesne na osm bodů, pokud 80 procent nebo více nevyžádané pošty dopadne na testovací systém.

Jakmile antivirus detekuje hrozbu při pokusu o instalaci, měl by skutečně zabránit umístění všech spustitelných souborů. Pokud spustitelný soubor projde, nabídnu pět bodů, nebo poloviční kredit. Pokud se i přes nejlepší úsilí antiviru podaří spustit součást malwaru, klesne to na tři body. Úplné selhání při detekci hrozby přirozeně získá nulové body. Celkové skóre blokování je jednoduše průměrem všech jednotlivých skóre. Také jsem rozdělit samostatné skóre pro blokování rootkitů a scareware.

Konečné hodnocení produktu nemá vzájemnou korelaci se skóre blokování a odebrání malwaru. Do hry se mohou zapojit i další faktory, včetně výsledků nezávislých laboratorních testů, ale dobré skóre při testech blokování malwaru a škodlivých testů URL jistě pomůže získat dobré hodnocení.