На проактивных методах антивирусной защиты, которые позволяют антивирусу противостоять еще неизвестным видам и модификациям вредоносных программ, продолжают фокусироваться серьезные усилия всей антивирусной индустрии. Данное направление развития является наиболее перспективным на рынке, и почти каждый производитель пытается подчеркнуть, что именно его проактивная защита лучшая.

Сразу оговоримся, что проактивные технологии – довольно обширное понятие, включающее в себя множество направлений и составляющих, охватить их все в рамках одного теста не представляется возможным. В этом тесте мы будем сравнивать только эвристические компоненты антивирусной защиты (эвристики + generic-детект, т.е. расширенные сигнатуры), не принимая во внимание анализ системных событий (поведенческие блокираторы, HIPS).

Результаты этого теста дают возможность ответить на вопросы: "Насколько эффективна эвристика? В каком антивирусе этот компонент защиты работает лучше?"

В качестве приложения к тесту производилось финальное измерение уровня детектирования на собранной коллекции на обновленных антивирусах через неделю после завершения основного теста. В результате фиксировалось качество обнаружения новых вирусов, а также эффективность работы классических сигнатурных методов каждого антивируса в дополнение к эвристике.

» Методология проведения теста
» Анализ результатов теста и награды

Итоговые результаты тестирования и награды:
«Антивирус»: «Процент обнаруженных вирусов» - «Процент ложных срабатываний»

Награда Gold Proactive Protection Award

Kaspersky Anti-Virus 2009 (61% - 0.01%)
Eset Nod32 Anti-Virus 3.0 (61% - 0.02%)
BitDefender Antivirus 2009 (60% - 0.04%)

Награда Silver Proactive Protection Award

Avira AntiVir Premium 8.2 (71% - 0.13%)
Dr.Web 5.0 (61% - 0.2%)
AVG Anti-Virus 8.0 (58% - 0.02%)
Avast! Professional Edition 4.8 (53% - 0.03%)
Norton Anti-Virus 2009 (52% - 0%)
VBA32 Antivirus 3.12 (45% - 0.07%)
F-Secure Anti-Virus 2009 (44% - 0.03%)

Награда Bronze Proactive Protection Award

Panda Antivirus 2009 (38% - 0.02%)
Trend Micro Internet Security 2009 (37% - 0.04%)
Agnitum Outpost Anti-Virus Pro 2009 (33% - 0.07%)

Провалили тест:

Sophos Anti-Virus 7.0 (61% - 2.24%)

По результатам теста производится награждение лучших антивирусов, которые получают соответствующие награды при выполнении определенных условий:

»» Награда Platinum Proactive Protection Award присваивается, если антивирус обнаружил свыше 80% неизвестных вредоносных программ при нулевом уровне ложных срабатываний.

»» Награда Gold Proactive Protection Award присваивается, если антивирус обнаружил свыше 60% неизвестных вредоносных программ при уровне ложных срабатываний до 0.1% (1/1000).

»» Награда Silver Proactive Protection Award присваивается, если антивирус обнаружил свыше 40% неизвестных вредоносных программ при уровне ложных срабатываний до 0.5% (5/1000).

»» Награда Bronze Proactive Protection Award присваивается, если антивирус обнаружил свыше 20% неизвестных вредоносных программ при уровне ложных срабатываний до 1% (1/100).

Если антивирус обнаружил менее 20% неизвестных вредоносных программ или количество ложных срабатываний составило более 1%, то он считается провалившим тест, а его эвристическая компонента слабой или фактически отсутствующей.

Тест проводился на специально подготовленном стенде под управлением VMware GSX Server. Для каждого антивирусного продукта клонировалась «чистая» виртуальная машина с операционной системой Microsoft Windows XP SP3.

В тестировании участвовали следующие антивирусные программы*:
* Тестирование McAfee VirusScan Plus 2009 не завершено из-за технического сбоя.

1. Agnitum Outpost Antivirus Pro 2009
2. Avast! Professional Edition 4.8
3. AVG Anti-Virus 8.0
4. Avira AntiVir Premium 8.2
5. BitDefender Antivirus 2009
6. Dr.Web 5.0
7. Eset Nod32 Anti-Virus 3.0
8. F-Secure Anti-Virus 2009
9. Kaspersky Anti-Virus 2009
10. Panda Antivirus 2009
11. Sophos Anti-Virus 7.6
12. Symantec Anti-Virus 2009
13. Trend Micro Internet Security 2009
14. VBA32 Antivirus 3.12

При установке антивирусов производились все рекомендуемые программой действия (перезагрузка системы, обновление и т.д.). Все компоненты защиты активировались, если это не было предусмотрено после установки автоматически.

После подготовки тестового стенда создавались специальные условия для проверки эффективности работы эвристика. Для этого у всех антивирусов отключалась функция обновления, т.е. происходило замораживание антивирусных баз данных на дату начала теста (03.12.2008).

Через две недели после заморозки антивирусных баз (начиная с 18.12.2008) в "дикой природе" (In The Wild, далее ITW: корпоративные шлюзы, поступления в частные коллекции) начался отбор ITW-образцов вредоносных программ, который проходил ровно месяц. Новизна образцов определялась по отсутствию совпадений хешей по общей коллекции Anti-Malware.ru.

Таким образом, обеспечивался отбор вредоносных программ, с высокой степенью вероятности еще неизвестных антивирусам на момент прекращения обновлений (заморозки антивирусных баз). В итоге была собрана коллекция из 5166 уникальных самплов вредоносных программ.