Lar Rever Como testamos o bloqueio de malware

Como testamos o bloqueio de malware

Vídeo: Aula 07 - Eliminação TRIPLA de malwares | Windows RÁPIDO e SEGURO (Novembro 2024)

Vídeo: Aula 07 - Eliminação TRIPLA de malwares | Windows RÁPIDO e SEGURO (Novembro 2024)
Anonim

Todo produto antivírus e pacote de segurança deve impedir ataques de vírus e outros malwares. Desafio esses produtos tentando deliberadamente infectar um sistema de teste protegido usando amostras de malware conhecidas. Em seguida, calculo uma pontuação de bloqueio de malware com base no quão bem-sucedido o produto detectou e impediu esses ataques. Também verifico a capacidade do antivírus de impedir a infecção, bloqueando URLs de hospedagem de malware.

Bloqueando URLs maliciosos

Quase todos os malwares modernos chegam ao seu sistema pela Internet. Muitos produtos antivírus evitam a infecção ao bloquear todo o acesso a URLs de hospedagem de malware. Outros verificam arquivos durante ou imediatamente após o download. No ano passado, introduzi um teste especificamente destinado a medir como um produto lida com o bloqueio de URLs maliciosos.

Começo com um feed de URLs maliciosos extremamente novos, fornecidos pela MRG-Effitas. Eles processam muitos milhares de URLs todos os dias; normalmente os que eu uso não têm mais de quatro horas. Eu filtro a lista para capturar URLs especificamente apontando para um arquivo executável.

O processo de teste é bastante simples. Usando um utilitário simples que eu mesmo codifiquei, inicio os URLs no Internet Explorer, com a segurança do IE desativada. Para cada URL, há três resultados possíveis. O software de segurança pode bloquear todo o acesso ao URL, pode apagar o arquivo durante ou logo após o download ou pode não fazer nada. Relato a porcentagem geral bloqueada, seja no nível do URL ou durante o download.

Faço esse teste desde novembro de 2013; Não tenho dados para produtos revisados ​​antes dessa data.

Ataque deliberado de malware

Minhas amostras de malware mudam com o tempo, mas a coleção normalmente inclui adware, spyware, vírus, worms, scareware (software de segurança não autorizado), rootkits e cavalos de Troia.

Eu instalo o produto em um sistema de teste limpo e executo manualmente uma atualização, para garantir que ele tenha as definições de vírus mais recentes. Depois, simplesmente abro uma pasta contendo a coleta de amostras e observe como o produto reage. Em muitos casos, o acesso mínimo que ocorre quando o Windows Explorer exibe o nome do arquivo é suficiente para acionar a proteção em tempo real. Também clico em cada arquivo, pois a proteção em tempo real de alguns produtos não é acionada até um clique.

Pontuação

Naturalmente, o produto recebe dez pontos por cada ameaça que elimina à vista. Continuando o teste, lancei todas as amostras que sobreviveram ao descarte inicial e observe como o produto reage. Normalmente, lançarei três ou quatro deles e executarei minhas ferramentas de análise proprietárias para determinar se as ameaças conseguiram colocar arquivos no sistema de teste.

  • Como evitar Scareware Como evitar Scareware
  • Vírus, Spyware e Malware: Qual a Diferença? Vírus, Spyware e Malware: Qual a Diferença?

Se a ameaça não plantou nenhum arquivo executável e instalou de zero a 20% de seu arquivo não executável e o lixo eletrônico do Registro concedo dez pontos, o mesmo que se o antivírus o apagasse à vista. Um antivírus que permitiu à ameaça colocar de 20 a 80% de seu lixo no sistema de teste ainda recebe nove pontos. Isso cai para oito pontos se 80% ou mais do lixo chegar ao sistema de teste.

Uma vez que o antivírus detecte uma ameaça na tentativa de instalação, ele realmente deve impedir o posicionamento de qualquer arquivo executável. Se um arquivo executável chegar, eu ofereço cinco pontos, ou meio crédito. Se, apesar dos melhores esforços do antivírus, um componente de malware conseguir executar, isso diminui para três pontos. Naturalmente, uma falha total na detecção da ameaça ganha zero pontos. A pontuação geral de bloqueio é simplesmente a média de todas as pontuações individuais. Também divido pontuações separadas para bloquear rootkits e scareware.

A classificação final do produto não tem uma correlação individual com as pontuações de bloqueio e remoção de malware. Outros fatores podem entrar em jogo, incluindo os resultados de testes de laboratório independentes, mas pontuar bem nos meus testes de bloqueio de malware e bloqueio de URL malicioso certamente ajuda a obter uma boa classificação.

Como testamos o bloqueio de malware