「新鮮な」悪意のあるコードのアンチウイルス製品検出評価

かつて、どのタイプのウイルス対策が新しいタイプのウイルスを検出するのに最適であるかについて、当社で再度話し合った後、この問題に関する調査を自分で行ってみたいと思いました。 私は主張しません、質問は新しいものではなく、多くの独立したグループが独自の試験を実施しています（たとえば、このような評価の優れた選択はAnti-Malware.ruグループフォーラムで利用できます。 しかし、特にインターネット上でこのテーマに関する情報の準備がほぼ整っている素晴らしいVirusTotalサービスがあるので、そのような分析を自分で行うことを強く望んでいました。

それがどのように作られたのか、それが何をもたらしたのか

私の最初のアイデアは、VirusTotal自体の統計ページにある非常に興味深いプレート「Top10 file submissions（Yesterday）」を使用することでした。 たとえば、この表の毎日の調査の3か月間の統計は、説明された目的には実際には十分でしょう。 しかし、残念ながら、テーブルは意図的または意図的に機能しません。 独自の内部ロジックに従って月に約1回だけ変化する値を表示します。 VirusTotalの代表者との1週間の通信は、「問題」の存在が認識されたという事実で終わりましたが、無料の翻訳では、「他のより差し迫った問題の背景に対する修正の優先度は非常に低いです」。 実際、このような素晴らしいサービスはこのために許される可能性がありますが、それらがその場所に固定されるまで、統計ページから示されたブロックを単に非表示にしていたでしょう。

Google、wget、grep、およびインターネットからのいくつかの自家製スクリプトの助けを借りて（大部分-「診断」または「治療方法を尋ねる」フォーラムから）3630リンクが収集され、1.1から実際に実行されました。 .2010 VirusTotal分析。

これらのリンクは何ですか？ インターネットフォーラムに対するウイルスの問題に対処するための詳細は、基本的に、分析されたサンプルが最近拡散し始めているようなものです。 ほとんどの場合、これはウイルス対策会社による処理の最初の3分の1またはアクティブフェーズの中間です。 現時点で同じインスタンスを分析すると、応答品質は間違いなく向上します-80-90％近くに近いと思います-しかし、私はリンク（実際には、ハッシュの合計）のみを持ち、ウイルスインスタンス自体はないことを思い出します。

まあ、ウイルスのライフサイクルの中間も、目標のフレームワーク内で分析するのに悪い時間ではありません。 非常に高速なフィードバックまたは優れたヒューリスティックアルゴリズムを備えた製品は、このインスタンスを検出するウイルス対策製品のリストに含まれます。 両方に満足しています。 サンプルのインスタンスを検出したアンチウイルスの数は、その時点でのヒストグラムに表示されます（X軸はトリガーされたアンチウイルスエンジンの数、Y軸はウイルスインスタンスの数です）。



このグラフは、ウイルス検索プロセスの次の不可欠な問題である誤検知につながります。 間違いなく、ゼロに近いグラフの領域には、現時点ではほとんど知られていないが、まだウイルスがあるため、多くの誤検知（誤検知）があります。

• ヒューリスティックアルゴリズムからの不当な疑い、
• パッケージ化された実行可能ファイル（gjf habrayuzerが正しく指摘したように ）
• その他の意図しないウイルス対策プログラムのエラー。

入手可能なデータに基づいて、何が何であるかを区別する可能性がないため、誤検知のしきい値を設定する最も明確な方法を選択しました。 具体的には、8つの操作から開始して、確率が高いインスタンスを悪意があると見なします（グラフでは、これらのインスタンスは赤で強調表示されています）。 約2,600件のレコードがこの基準に該当しました。

さて、実際には、これらすべての予備的なアクションが実行されたためです。 説明された2600の非常に可能性の高い「フレッシュ」ウイルスのサンプルに基づいて、VirusTotalに参加しているアンチウイルスエンジンによる検出の平均頻度が計算されました。

免責事項。 上記の統計は、インターネットで自由に利用できる情報に基づいて作成されたランダムな実装の1つです。 相関と条件付き確率を排除するために取られた対策にもかかわらず、1.0の信頼性で、インターネットからサンプルを取得するための詳細のために、素材にそれらが存在しないことを保証することは不可能です。 統計は、拡散の開始段階の任意の時点でのウイルスインスタンスの検出の割合を反映しており、各特定の製品によるウイルス検出の最終的な品質を明らかにすることはできません 。

アンチウイルス製品	検出率	注釈
Gdata	80.0％
イカルス	75.4％
Emsisoft	74.8％	以前の「a 2 」
McAfee-GW-Edition	70.6％	以前の「SecureWeb-Gateway」。 伝えられるところによると、Aviraを利用したフォーラムで
パンダ	69.7％	個人使用のための無料版があります
ビットディフェンダー	69.5％
AntiVir（AVIRA GmbH）	67.9％	個人使用のための無料版があります
マカフィー	67.9％
Fセキュア	66.1％
NOD32（ESET）	63.6％
VIPRE（GFIソフトウェア）	63.2％	元サンベルト
Drweb	56.5％
ノーマン	52.8％
ソフォス	52.5％
カスペルスキー	52.2％
平均	51.8％	個人使用のための無料版があります
アバスト	50.8％	個人使用のための無料版があります
Ahnlab-v3	48.5％
シマンテック	48.0％
マイクロソフト	41.4％	個人使用および組織で最大10台のワークステーションに無料
コモド	40.7％	Comodo Internet Security製品に含まれ、個人および商用での使用は無料（ Duron700 ）
トレンドマイクロ	40.2％
PCTools	40.0％
nProtect	39.2％
K7AntiVirus	37.9％
TrendMicro-HouseCall	37.6％
Prevx	36.6％
Vba32	31.4％
F-prot	28.7％
ライジング	28.2％
フォーティネット	26.9％
ウイルスバスター	26.6％
コムタッチ	26.6％
eSafe	26.1％
SUPERAntiSpyware	24.0％
CAT-QuickHeal	22.5％
クラマフ	22.2％
eTrust-Vet	21.4％
Antiy-avl	20.9％
江民	20.9％
ハッカー	20.2％
Virobot	15.3％

HolyWarsを使用せずに、この出版物を冷静に受け取り、単にアンチウイルス製品の別の「代替」格付けとして受け取ることを大きな要望としています。 これらの（最初に内部使用のために取得された）結果を公開する決定は、Q＆AでのHabréの小規模な調査の後に行われました。 建設的な批判と表の「メモ」列への追加の準備ができています。