Como testamos a remoção de malware

Para todas as análises de antivírus e conjuntos de segurança, eu realizo testes práticos para ver até que ponto o produto remove vírus e outros malwares. Percebo os problemas causados ​​por malware que resistem à instalação do produto e relato sobre as etapas necessárias para solucionar esses problemas. E uso um sistema de pontuação detalhado para avaliar cada produto e compará-lo com outros produtos testados recentemente.

Sistemas de teste infestados por malware

Começo com uma dúzia ou mais de sistemas de teste de máquinas virtuais, cada um pré-carregado com três ou quatro amostras de malware. Essas amostras incluem vírus, worms, adware, spyware, cavalos de Troia, rootkits e scareware (software de segurança não autorizado). Utilizo um software de análise proprietário para identificar os rastreamentos de arquivos e registros instalados pelas ameaças em cada sistema de teste, para poder verificar posteriormente como os antivírus os limparam.

No passado, avaliei separadamente a capacidade de cada produto para remover keyloggers comerciais. Agora incluo amostras de keylogger apenas se também forem rootkits, cavalos de Troia ou alguma outra forma de malware.

Em cada sistema de teste, instalo o produto e executo manualmente uma atualização, para garantir que as assinaturas de vírus mais recentes sejam usadas. Usando a configuração padrão, inicio uma varredura completa e anoto quais ameaças o produto alega ter removido. Após a conclusão da limpeza, uso outra ferramenta proprietária para medir o êxito da operação de limpeza.

Pontuação

Para cada amostra de malware, atribuo uma pontuação de remoção de zero a dez. Se não detectou a ameaça, naturalmente recebe zero pontos. Detectar uma ameaça, mas não remover todos os arquivos executáveis, ganha meio crédito - cinco pontos. Não uso o produto se o único executável deixado para trás for um desinstalador. No entanto, se algum desses arquivos executáveis ​​ainda estiver em execução, a pontuação será reduzida para três pontos.

• Como evitar Scareware Como evitar Scareware
• Vírus, Spyware e Malware: Qual a Diferença? Vírus, Spyware e Malware: Qual a Diferença?
• Como interpretamos testes de laboratório antivírus Como interpretamos testes de laboratório antivírus
• Como testamos o bloqueio de malware Como testamos o bloqueio de malware

Para obter os dez pontos completos, o antivírus deve remover todos os arquivos executáveis ​​e também remover 80% ou mais do arquivo não executável e dos rastreamentos do Registro. Deixando para trás 20 a 80 por cento dos traços de lixo ganha nove pontos. Um produto que limpa os executáveis, mas deixa 80% ou mais do lixo não-executável, obtém oito pontos.

A pontuação geral de limpeza de malware é simplesmente a média de todas as pontuações das ameaças individuais. Como os rootkits são especialmente difíceis de remover, faço uma pontuação separada que representa o sucesso do produto na remoção do rootkit. Eu também decifro uma pontuação de remoção de scareware separada.

A classificação geral de um produto leva em consideração a pontuação de remoção e a pontuação de bloqueio de malware. Outros fatores, como problemas de instalação e falhas no sistema causadas por remoção incompleta, também afetam a classificação. Também presto atenção nos resultados de testes de laboratório independentes. Ainda assim, as pontuações altas nos meus testes contribuem bastante para obter uma boa classificação.