Sprawdzanie skuteczności tak zwanych skanerów antywirusowych na żądanie pod kątem detekcji zagrożeń to bardzo specyficzny test. We współczesnym świecie, zarówno użytkownik indywidualny jak i korporacyjny bardzo często stosuje przedstawione w tym raporcie aplikacje. Ich rola nadal pozostaje niezmienna — pozwala upewnić się co dostanu bezpieczeństwa urządzenia.

Kluczowym zadaniem skanerów na żądanie jest wykrycie oraz całkowite usunięcie zagrożenia lub pozostałości po nim — a w niektórych przypadkach leczenie zainfekowanego systemu, który może mieć wpływ na bezpieczeństwo i komfort pracy z komputerem.

Wszystkie z przetestowanych przez AVLab skanerów umożliwiają wskazanie lokalizacji, które powinny zostać sprawdzone pod kątem zainfekowanych plików w oparciu o zaimplementowane technologie skanujące danego producenta. W teście nie brano pod uwagę dostępnych skanerów, które oferują jedynie tak zwane szybkie skanowanie, nie uwzględniając preferencji użytkownika co do weryfikowania bezpieczeństwa konkretnej lokalizacji lub partycji.

W wykrywaniu kilku tysięcy zainfekowanych plików najlepszym poziomem detekcji charakteryzowały się aplikacje: Arcabit Skaner Online, Emsisoft Emergency Kit, ESET Online Scanner oraz Trend Micro HouseCall.

Pozostałe programy, chociaż uzyskały certyfikat potwierdzający ich skuteczność, to nie zapewniały detekcji na tak wysokim poziomie, jak te skanery, które otrzymały najwyższe wyróżnienie „BEST+++” wykrywając ponad 99% z 7089 próbek.

W przedziale wykrywalności 98-99 procent z 7089 użytych do testu różnych wirusów znalazły się skanery: Dr.Web CureIt!, Kaspersky Virus Removal Tool, Panda Cloud Cleaner oraz Sophos Clean.

Czas skanowania wszystkich plików przez poszczególne aplikacje był bardzo zróżnicowany i wahał się od kilku minut do kilkudziesięciu, co i tak nie przekładało się na większą ilość detekcji. Najdłuższym czasem skanowania charakteryzowały się programy: Panda Cloud Cleaner, Comodo Cleaning Essentials (niekiedy aplikacja ta żądała ponownego uruchomienia systemu, aby kontynuować skanowanie) oraz Windows Defender.

Emsisoft Emergency Kit, Dr. Web Cureit!, Malwarebytes Anti-Malware i ClamWin Free Antivirus to programy, które najszybciej uporały się ze sprawdzeniem kolekcji próbek. Chociaż należy przyznać, że z różnym skutkiem.

 

Najwyższe wyróżnienie BEST+++ otrzymały programy

Emsisoft Emergency Kit, Trend Micro HouseCall, Arcabit Skaner Online, ESET Online Scanner.

Najwyższe wyróżnienie przyznane przez AVLab. Kliknij, aby powiększyć.

 

Testowane programy

  • Arcabit Skaner Online: 1.0.4
  • ClamWin Free Antivirus *: 0.99.1
  • Comodo with Cleaning Essentials: 2.5.242177.201
  • Dr.Web CureIt!: 11.1.2
  • Emsisoft Emergency Kit: 11.9.0.6508
  • ESET Online Scanner: 2.0.12.0
  • Kaspersky Virus Removal Tool: 15.0.19.0
  • Malwarebytes Antimalware Free: 2.2.1.1043
  • Panda Cloud Cleaner: 1.1.9
  • Sophos Clean (dawniej HitmanPro): 3.7.13.262
  • Trend Micro HouseCall: (1.62)
  • Windows Defender *: 4.10.14393.0

* Clamwin Free Antivirus i Windows Defender zapewniają ochronę w czasie rzeczywistym, jednak nie brano tego po uwagę. Ochrona na czas skanowania została wyłączona.  

Metodologia i wyniki

Skaner antywirusowy na żądanie to specyficzne oprogramowanie, więc zastosowana przez AVLab metodologia testu wykracza poza typowe skanowanie kolekcji próbek. Oprócz badania faktycznej skuteczności detekcji tysięcy próbek złośliwego oprogramowania, w teście brano pod uwagę usuwanie szkodliwych plików i kluczy rejestru po zainfekowaniu systemu operacyjnego.

Aby sprawdzić wykrywalność najpopularniejszych darmowych skanerów antywirusowych oferowanych jako bezpłatne narzędzia od kilku producentów, przygotowano obraz wirtualnego systemu Windows 10 Professional x64 z najnowszymi aktualizacjami. System w każdym dniu testów był przywracany do stanu początkowego. Dzięki takiemu rozwiązaniu, wszystkie produkty zostały przebadane w identycznym środowisku testowym.

Materiał badawczy do pierwszej części testu w łącznej ilości 7089 próbek pozyskano we współpracy z niezależnymi badaczami. Analogicznie — w drugiej części testu — wybrano 6 konkretnych zagrożeń, które nie wchodziły w skład materiału badawczego wykorzystanego do pierwszej części testu.

AVLab pozyskując próbki do testów nie współpracuje z żadnym producentem oprogramowania zabezpieczającego. Dzięki temu nie zachodzi podejrzenie, że testowany program wykrywa zagrożenia dostarczone przez własnego producenta.

W czasie badania wszystkie programy były zainstalowane na domyślnych ustawieniach, mogły korzystać z Internetu, a w przypadku dwóch aplikacji: Dr. Web Cureit i Kaspersky Removal Tool, każdego dnia pobierano nowszą wersję programu (automatyczna aktualizacja zagrożeń nie jest w nich dostępna).

 

cz. 1 (skanowanie kolekcji wirusów)

  • Dla każdego testowanego programu odtwarzano obraz systemu operacyjnego, dzięki czemu wiernie odwzorowano środowisko pracy dla każdej aplikacji.
  • Każdego dnia testu dobierano niepowtarzające się próbki zagrożeń.
  • Przed wskazaniem do skanowania folderu z zainfekowanymi plikami, aktualizowano sygnatury do najnowszej wersji lub pobierano nowe wersje aplikacji (jeśli było to konieczne) z wbudowanymi sygnaturami.
Ilość wykrytych zagrożeń
Powyższe wyniki uwzględniają detekcję kolekcji próbek w każdym dniu testu.
Ilość niewykrytych zagrożeń. Im mniej, tym lepiej.

 

cz. 2 (leczenie zainfekowanego systemu)

  • Do tej części testu dobrano różnego rodzaju zagrożenia oraz poddano ich manualnej analizie, aby sprawdzić, jakie obszary systemowe są infekowane.
  • Na odtworzonym obrazie systemu z pierwszej części testu, każda próbka została sekwencyjnie uruchomiona, po czym wykonywano restart systemu operacyjnego. Jeśli było to wymagane, udzielano zezwolenia na uruchomienie malware z uprawnieniami administratora.
  • Testowane programy miały za zadanie wykryć zainfekowany plik (dropper) lub utworzone w wyniku infekcji zmiany w systemie.
  • Jeśli było to wymagane, zezwalano na restart systemu operacyjnego w czasie pracy skanera antywirusowego na żądanie.
W tej części testu, testowane programy zostały poddane cięższej próbie. 

próbka A:

backdoor Kelihos — powoduje, że zainfekowana stacja robocza może zostać wykorzysta do rozsyłania spamu, wykradania poufnych informacji, pobierania i uruchamia innych zainfekowanych plików, w tym trojanów. Zainfekowany bot, aby komunikować się z innymi komputerami zombie, wykorzystuje połączenie P2P. W zdecentralizowanej sieci, zainfekowana maszyna może działać jako klient lub serwer C2 przyjmując i wysyłając polecenia z serwera kontrolno-zarządzającego.

 

próbka B:

backdoor Careto — obejmuje niezwykle wyrafinowane szkodliwe oprogramowane składające się z rootkita i bootkita. Z zaobserwowanych przez badaczy wariantów wynika, że wszystkie wersje tego malware przeznaczone są dla 32 i 64 bitowych systemów Mac OS X, Linux, Windows oraz (prawdopodobnie) Androida i iOS (z niepotwierdzonych informacji także BlackBerry OS). Backdoor Careto (alias Maska) ze względu na swoje możliwości, najprawdopodobniej powstał na zlecenie jednego z rządów państw.

Backdoor Careto może przechwycić ruch sieciowy, wciskane klawisze, rozmowy Skype, klucze PGP, potrafi analizować ruch WiFi, monitorować wszystkie operacje na plikach, gromadzić listę dokumentów z zainfekowanego systemu, w tym klucze szyfrowania, konfiguracje VPN, klucze SSH i pliki PROW. Backdoor Careto pod względem wyrafinowania jest jednym z najbardziej zaawansowanych zagrożeń APT.

 

próbka C:

keylogger Ardamax — komercyjny spyware, którzy został wykorzystany w jednej ze socjotechnicznych kampanii „na komornika” wycelowanej w obywateli Polski. Za pomocą tego narzędzia możliwe jest automatyczne wysyłanie zebranych logów i danych na dowolny adres e-mail lub konto FTP.

Keylogger Ardamax potrafi: rejestrować naciskane klawisze, zapisywać historię odwiedzanych stron WWW, nagrywać obraz z kamery i dźwięk za pomocą mikrofonu, przechwytywać skopiowany do schowka systemowego tekst, monitorować komunikatory AIM, Windows Live Messenger, ICQ, Skype, Yahoo Messenger, Google Talk, Miranda i QiP. Zapisane w ten sposób informacje mogą zostać wysłane na wskazany adres e-mail lub konto FTP.

 

próbka D:

trojan Emotet — w celu ukrycia się przed programami antywirusowymi przechowuje swoje pliki w rejestrze systemowym. Trojan Emotet o modułowej budowie zawiera: własny instalator, moduł bankowy, moduł bota antyspamowego, moduł do kradzieży kontaktów z popularnych klientów poczty (posiada zdolność auto-dystrybucji, potrafi wykradać adresy z klientów poczty i wysyłać ten sam spam do ofiar z listy kontaktów), moduł do ataków DDoS (Nitol DDoS bot).

Trojan Emotet zawiera listę popularnych adresów bankowych. Jeśli zainfekowany użytkownik odwiedza jeden ze zdefiniowanych adresów URL, Emotet rejestruje wszystkie dane przesyłane pomiędzy użytkownikiem a stroną internetową — nawet, jeśli strona jest szyfrowana protokołem HTTPS.

 

próbka E:

trojan downloader — jak sama nazwa wskazuje, trojan downloader zawiera szkodliwy lub potencjalne niechciane oprogramowanie, które pobiera i instaluje w zaatakowanym systemem. Pobrany w ten sposób dropper instaluje docelowego wirusa, który może być następnie wykorzystany do różnych celów.

Droppery często wykorzystywane są do przenoszenia znanych trojanów, ponieważ znacznie łatwiej jest napisać droppera niż zupełnie nowego trojana, którego program antywirusowy nie będzie w stanie wykryć.

W teście wykorzystano trojana, który tworzy na dysku kilka plików. Jeden z nich pobiera dodatkowe złośliwe oprogramowanie.

 

próbka F:

trojan Poweliks — ​​wykorzystuje podatności w zabezpieczeniach programu Microsoft Word i przy pomocy spreparowanego dokumentu Word, który dystrybuowany jest za pośrednictwem poczty e-mail, instaluje dodatkowy kod, który jest skryptem PowerShell zakodowanym w Base64 wywołując i wykonując niskopoziomowy program (schellcode) napisany w asemblerze. W końcowym etapie, schellcode wykonuje binarny ładunek, który próbuje się połączyć z zakodowanymi adresami IP, aby otrzymać dalsze polecenia z serwera C&C

Trojan Poweliks może być wykorzystany do pobierania i wykonywania plików. Wszystkie swoje działania przechowuje w rejestrze — nie tworzy żadnego pliku na dysku twardym, więc jego wykrycie wymaga detekcji zainfekowanego dokumentu Word lub ochrony / przeskanowania rejestru.

Przyznane nagrody przez AVLab

 

Najwyższe wyróżnienie BEST+++, za doskonałą detekcję zagrożeń otrzymały programy: Emsisoft Emergency Kit, Trend Micro HouseCall, Arcabit Skaner Online i ESET Online Scanner.

 

Wysoką skutecznością detekcji kolekcji próbek charakteryzowały się aplikacje: Kaspersky Virus Removal Tool, Dr.Web CureIt!, Sophos Clean i Panda Cloud Cleaner.

 

Programy, które w teście bezpłatnych skanerów antywirusowych wypadły zupełnie przeciętnie, to: Comodo Cleaning Essentials, Malwarebytes Anti-Malware Free i ClamWin Free Antivirus.

 

Windows Defender to bezpłatny i wbudowany w system Windows antywirus, którego AVLab nie poleca.

 

Komentarz do testu

Z przetestowanych bezpłatnych skanerów antywirusowych polecamy wszystkie te programy, które uzyskały certyfikat potwierdzający ich wysoką skuteczność, a więc BEST+++ oraz BEST++.

Pozostałe aplikacje nie osiągnęły tak wysokiego progu wykrywalności, jak można było się tego po nich spodziewać. Oczywiście nawiązujemy do Malwarebytes Anti-Malware w wersji bezpłatnej jako skanera na żądanie oraz do Comodo Cleaning Essentials — chociaż w przypadku Comodo, jest to nadal bardzo użyteczne narzędzie do weryfikowania bezpieczeństwa komputerów, z którego często korzystamy.

Jeżeli uważacie, że wasze urządzenia powinny zostać przeskanowane pod kątem złośliwego oprogramowania, wykorzystajcie do tego te narzędzia:

Best+++: Emsisoft Emergency Kit, Trend Micro HouseCall, Arcabit Skaner Online i ESET Online Scanner.

Best++: Kaspersky Virus Removal Tool, Dr.Web CureIt!, Sophos Clean i Panda Cloud Cleaner.

Pełny raport PDF w języku polskim lub angielskim.

 

AUTOR:

Adrian Ścibor

Podziel się

Komentarze

Zyga pt., 07-10-2016 - 10:40

Dlaczego brak Zemana Antymalware?
Emsisoft i Eset mnie dziwi.
Trend micro z doświadczenia skanuje tak długo cały komputer (wszystkie partycje) że szybciej na emeryturę się zalapie
A później przez np malwarebytes Eseta czy emsisoft jest wykrywany jako malware.
Już nie wspomnę że zostawia po sobie syf, jak np pliki w C:/Windows/System32
Arcabit nie testowałem ale pewnie to zrobię ;-)
Osobiście polecam jak się ma już dobrego AV przeskanowac od czasu system Hitmanpro i Adwcleaner. To wystarczy ;-)

Zyga pt., 07-10-2016 - 10:48

Pytanie
Hitmanpro strona nadal działa i skaner ich też
Jest również na bieżąco aktualizowany
Więc sophos to to samo czy nie to samo?
Jeśli nie to jaka jest różnica?

Adrian Ścibor pt., 07-10-2016 - 11:20

@#2 HitmanPro jest w taki sam sposób rozwijany co Sophos, bo to już spółka-córka. Prędzej czy później HitmanPro zniknie z runku wchłonięty przez Sophosa. Jednak proces ten zapewne jest podyktowany czasem, jaki potrzebują użytkownicy, aby się "przyzwyczaić". Podobna sytuacja jest z AVG i Avastem, chociaż to dwa różne programy. AVG nie zniknął przecież od razu z rynku.

Zyga pt., 07-10-2016 - 11:26

"Emsisoft i Eset mnie dziwi"
Poprawka
Mnie nie dziwi - tak jest prawidłowo

Zyga pt., 07-10-2016 - 12:22

@#3
Rozumiem. Ale HitMan i Sophos to to samo jako program? Napisałeś przykład AVG i Avast. Wiadomo, wspólna firma ale AVG to coś innego od Avasta jako program.

Co do testu.
Dobra robota!

Czekam teraz na test na ransomware, które zapowiedziałeś na FB Kaspersky ;)

Zyga pt., 07-10-2016 - 13:49

@#6
Ok. Dzięki za wyjaśnienie.

Tylko dlaczego w teście nie było Norton Power Eraser i Zemana AntiMalware?? Jeszcze jest też narzędzie od McAffee (nie pamiętam nazwy) ale to już na marginesie

Adrian Ścibor pt., 07-10-2016 - 15:08

Nie testowalismy programów które oferują jedynie skanowanie najważniejszych części systemu bez wskazania lokalizacji do sprawdzenia. Jest to napisane w metodologii. Przeczytaj od deski do deski.

Natomiast nie pamiętam jak to jest z zemana. Jestem teraz w podróży i nie sprawdzę tego na już. Zemana chyba nie ma darmowego skanera. W każdym razie testu już się nie cofnie i nie powtórzy bo byłoby to na niekorzyść pozostałych programów. Nie będziemy w uprzywilejowanej pozycji stawiać jakiegokolwiek programu.

Zyga sob., 08-10-2016 - 16:55

@#8
Hitman Pro również nie jest darmowy i usuwać można dopiero jak się zarejestrujemy (dostajemy wtedy "licencję" na 30dni)

Zemana z tego co wiem jest płatna ale wersja trial pozwala na skan na żądanie i na usuwanie. Płatna wersja to również skan w czasie rzeczywistym podobnie jak MBAM w wersji płatnej.

Zyga sob., 08-10-2016 - 20:45

Chciałem zobaczyć ten Sophos.
Ale niech się pocałują. Żeby zrobić scan muszę podać dane. Przecież to bez sensu.
Aby HitmanPro był jak najdłużej. Tam przynajmniej po skanie sam muszę zdecydować czy sam usuwam czy ma zrobić za mnie HP. I skana mogę zrobić bez żadnych ale.

zibi ndz., 09-10-2016 - 10:53

Trend Micro HouseCall ; ok 60 GB danych , skan 11 godzin i 62 % postępu. wyłączyłem , bo szkoda prądu. tragedia, chociaż może i jest skuteczny. nie przeczę.

Zyga ndz., 09-10-2016 - 18:49

@#11
:D
Napisałem o tym w pierwszym poście :D
Dlatego omijaj go z daleka bo życia nie starczy :)))
Do tego nowy Eset Online Scanner (ten teraz co wypuśclli) często się wiesza. Sprawdzone u mnie i mojego kolegi.
Emergency Kit Emsisofta zarówno na moim (Windows 7) jak i kolegi (Win10) kompie nie mogłem wywalic po skanie. (jego pozostałości, czyli folder gdzie się wypakowuje). Jeden plik nie chciał sie wywalic. Musiałem się posiłkować unlockerem (który ma tyle dodatków powpychanych przy instalowaniu, że głowa mała. Na szczęście wiem co instaluje)
Brakuje również Avica Pc Cleaner ;)

A najbardziej mi szkoda, że nie ma Zemany. Ale cóż, następnym razem liczę, że nie zapomnisz o nim.

EOT

zubi pon., 10-10-2016 - 13:28

@#12

nie wiem na ile wiarygodne, ale trafiłem na pare testów zemany i niestety traci na skuteczności. chociaz sam mam i używam .

Zyga pon., 10-10-2016 - 18:11

@#13
Nie powiedziałem, że jest skuteczna albo najlepsza. Szkoda po prostu, że nie ma jej w testach. Wiem z doświadczenia, że dość często się myli, podobnie jak Malwarebytes Antimalware Free. Trzeba wiedzieć co się ma na kompie bo można sobie za dużo nimi wywalić

Miałem Eseta od wersji 2.xx (jeszcze jako NOD32), wszystkie po kolei (później Eset Smart) do wersji 7. 8 nie instalowałem, 9 miałem tylko wersję 30 dniową dwa razy.
Eset jest dość skuteczny (zawsze skany online Kaspersky czy Fsecure mi coś na kompie znalazły) ale nie mogłem narzekać aby coś mi do kompa wlazło. Ma też wadę - jest strasznie upierdliwy i często się myli. Problem jest zainstalować jakieś darmowe oprogramowanie, które w sobie zawiera jakiś dodatek (toolbar czy coś w tym stylu) określane jako PUP. Trzeba wyłączyć Eseta żeby np zainstalować ccleaner. Ja jako dość świadomy użytkownik, który wie co klika, miałem już tego dość.
Przed PUP chronią jeszcze Emsisoft i częściowo Gdata. Ale nie należą do najlepszych (opieram się na testach np na AV-test)

Najskuteczniejsze - Kaspersky, Fsecure czy Bitdefender - to znacznie większe kontynery, czyli programy które potrzebują mocniejszej maszyny (optymalnie co najmniej 2GB Ramu) niż Esete ale mają, że są skuteczniejsze.
Wadą ich jest brak reakcji na PUP. Ale to można się pozbyć np MBAM (Malwarebytes Antimalware Free)

Dlatego też na kompie 1) dobry AV (Kaspersky, Fsecure, BitDefender itp) i skan od czasu do czasu np raz na miesiąc 2)AdwCleaner (na PUP) i 3) HitmanPro.
Czasami jak mam czas to jeszcze (w sumie dla sportu bądź większej pewności) skanuje Eset online scanner, MBAM i Zemana. Można jeszcze Emsisoft Emergency Kit (EEK)
Z doświadczenia jak czegoś nie znajdą punkty nr 3 - to inne też nic nie znajdują ;) Najczęściej ma tylko AdwCleaner tylko coś do roboty.

Zyga pon., 10-10-2016 - 19:28

Tak to jest jak się pisze na telefonie i same literówki się zrobiły :(

Zdania poprawione
* Eset jest dość skuteczny (zawsze skany online Kaspersky czy Fsecure mi coś na kompie znalazły) ale nie mogłem narzekać aby coś mi do kompa poważnego lub krytycznego wlazło. No może 2-3 razy przez tyle lat.

*Najskuteczniejsze - Kaspersky, Fsecure czy Bitdefender - to znacznie większe kontynery, czyli programy które potrzebują mocniejszej maszyny (optymalnie co najmniej 2GB Ramu) niż Eset ale mają taką zaletę, że są znacznie skuteczniejsze (najskuteczniejsze na rynku w ogóle)

*Wadą ich jest brak reakcji na PUP. Ale to można się pozbyć np MBAM (Malwarebytes Antimalware Free) lub AdwCleaner (który sam stosuje, bo nie trzeba instalować- wersja portable)

*Z doświadczenia jak czegoś nie znajdą wymienione w punktach 1-3 - to inne też nic nie znajdują ;)

krystian3w czw., 13-04-2017 - 09:39

@#13 Jak dla mnie ma i tak lepszą niż MBAM 3.
@#8 Jest wersja darmowa i darmowa przenośna (potrable).