Тестирование скорости реакции антивирусных лабораторий на новые угрозы

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,427
Реакции
5,442
Предисловие

В течение 2 недель тестировал вирусные лаборатории на предмет скорости и качества обслуживания. Под скоростью здесь понимается добавление заранее вредоносной программы в антивирусные базы, скорость реагирования, под качеством - ответы аналитиков или роботов - их информативность.

Инструменты и описания

В качестве основного субъективного инструмента использовался он-лайн сканер ВирусТотал. Субъективного, поскольку все проверяемые файлы он отсылает в вирлабы и аналитики могли неглядя, добавить файл в базы, если файл определяется, как вредонос, большинством вендоров.

Файлы вредоносов рассылались вендорам через наиболее удобный вариант, а именно: он-лайн формы.

На момент отправки файлы не определялись никем из тестируемых.

Участники


В связи с тем, что семплы подбирались из нашего запасника выпали как получившие преимущество:

  • Dr.Web
  • Kaspersky


Сразу об аутсайдерах

Аутсайдерами стали те, кто не набрал плюсиков ни по одному из заявленных требований, не отвечал на так называемый "тикет" и добавлял вредоноса слишком поздно или не добавлял вообще.

Итак наши проигравшие:

  • F-PROT Antivirus
    • Ответа не получено, образец добавлен в базы более чем через неделю
  • F-Secure
    • Ответа не получено, образец добавлен в базы через 6 дней
  • Microsoft
    • Ответа не получено, образец добавлен в базы более чем через неделю
  • PC Tools
    • Ответа не получено, образец в базы не добавлен

А теперь по порядку

аvast!

К сожалению у известного вендора, с поддержкой прямо-таки не очень.
- Во-первых на сайте поддержки требуется регистрация.
- Во-вторых сам сайт поддержки как-то криво переведен, по-русски тут почти нет полезной информации, или ее мало, а при переходе на английский, бывает, перекидывает на чешскую страницу.
- В-третьих по выходным в центральной Европе не работают, поэтому при отправке образца в пятницу вечером, ответ Вы получите после обеда в понедельник.
- В четвертых ответ малоинформативен, вроде: "Мы обнаружили, что Ваш файл заражен, его определение будет добавлено в следующую сборку антивирусных баз"

Единственным плюсом является просмотр статистики "тикета", по которому можно угадать, на каком этапе проходит анализ:
1. Принято службой поддержки
2. Передано вирусному аналитику
3. Ответ аналитика службе поддержки
4. Ответ службы поддержки Вам
5. Закрыто.​

Итог: Файл добавлен в базу на 1 - 2 день после отправки (если, конечно, не выходные)

Avira Antivir

Сразу видно, что немцы педанты: по отправке тикета, Вам сразу придет письмо от робота, ссылкой на страницу, где можно просмотреть скупую статистику:
1. Идет анализ
2. Файл заражен (чист)​

По выходным немцы тоже не работают и ситуация тут будет, как у вышеописанного Аваста.
По итогу анализа тот же робот пришлет Вам писмо с ссылкой на результат.

Итог: Файл добавлен в базу на 1 - 2 день после отправки (если, конечно, не выходные)

COMODO

А вот американцы, хоть и трудолюбивы, но не снисходят до того, чтобы отправить хоть какой-то ответ, зато файл в базы добавляют очень быстро (даже по выходным).

Итог: Файл добавлен в базу от 1 до 12 часов после отправки.

Emsisoft

Австрийцы оказались похожи в плане ответа на американцев, то есть не ответили никак, но как все европейцы по выходным не работают и в базы ничего не добавляют. Плюсом является то, что все-таки добавленный файл, начинают определять многие другие вендоры - а значит либо базы общие, либо сигнатурами делятся.

Итог: Файл добавлен в базу на 1 - 2 день после отправки (если, конечно, не выходные)

eScan

А вот индусы порадовали, как не странно, и регистрацию тикета быстро подтвердили письмом от робота, и по добавлению в базы прислали письмо с названием вредоноса (а это был троян), и в выходные работают.
Единственный минус не очень понятная форма, извиняюсь за тавталогию, самой формы, где нужно сначала выбрать посылку сэмпла, а потом указать много подробной информации.

Итог: Файл добавлен в базу на в течение суток.

Sophos

Англичане из Софоса, в моем тесте заняли первое место, поскольку минусов всего 2:

1. Не очень удобная форма отправки, с избыточной информацией
2. Английский язык.​

Но в остальном показали себя молодцами, вот 3 коротких, сухих и точных по-английски плюса.
1. Регистрация "тикета" и ответ робота мгновенный
2. Ответ с названием обнаруженного вредоноса.
3. Добавление в базы, в течение нескольких часов, даже по выходным.​

Итог: Файл добавлен в базу от 3 до 6 часов после отправки.

Итоги

Первое место
Sophos и eScan

Второе место
COMODO (за скорость реагирования)

Третье место
Avira

Четвертое место
аvast! и Emsisoft

За сим откланяюсь,
Ваш Severnyj
 
Прекрасны обзор. Только отдели его в отдельную тему. Тест это заслуживает.

Тем более тест можно сделать постоянным.
 
По понятным причинам не участвовали:
Dr.Web
Kaspersky
а можно узнать почему? совсем недавно (дня 3 назад) отослал один и тот же файл в эти вирлабы. в обоих случаях через веб-форму. ответ пришел только от бота..
 
а можно узнать почему? совсем недавно (дня 3 назад) отослал один и тот же файл в эти вирлабы. в обоих случаях через веб-форму. ответ пришел только от бота..

Потому что этим вендорам мы отправляем пойманных в разделе "Лечение персонального компьютера от вирусов" вредоносов. И в их базах данные сигнатуры уже присутствовали.
 
В тест не входил, так как нету у них он-лайн формы, но думаю, что примерно, как Авира с Авастом, день-другой и в базы добавят.
 
В тест не входил, так как нету у них он-лайн формы

Можно сказать "есть". Просто у ESET это реализовано иначе, но всё равно прикреплённый файл со своим описанием или детектом VT отправить можно. При случае проверьте. :)

ESET Contact Technical Support (Submit a Case Online)
http://www.eset.com/support/contact

/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\
А с PC Tools лучше не заморачиваться, а сразу отправлять в Symantec. ;)

Symantec Security Response (см. там Online Threat Submission Form)
http://www.symantec.com/business/security_response/submitsamples.jsp

Прямая ссылка:
https://submit.symantec.com/websubmit/retail.cgi
 
Последнее редактирование:
А с PC Tools лучше не заморачиваться, а сразу отправлять в Symantec.
А лучше и туда, и туда. Можно будет оценить временную задержку при передаче самплов из PC Tools в Symantec. ;)
 
Назад
Сверху Снизу