Ngày phát hành: 04 tháng 6 năm 2010
Người nhận diện lỗ hổng: APSA10-01
Số CVE: CVE-2010-1297
Hệ điều hành: Tất cả

  

Agnitum Outpost Security Suite Pro
AhnLab V3 Internet Security
Alwil avast! free antivirus
Arcabit ArcaVir 2010
Authentium Command Anti-Malware
Avanquest Double Anti-Spy Professional
AVG Internet Security Network Edition
Avira AntiVir Personal
Avira AntiVir Professional
BitDefender Antivirus 2010
Bkav Gateway Scan
Bkav Home Edition
Bullguard Antivirus
CA Threat Manager
Central Command Vexira Antivirus Professional
Check Point Zone Alarm Suite
Defenx Security Suite 2010
Digital Defender Antivirus
eEye Digital Security Blink Professional
Emsisoft a-squared Anti-Malware
eScan Internet Security for Windows
ESET NOD32 Antivirus
Filseclab Twister Anti-TrojanVirus
Fortinet FortiClient
Frisk F-PROT
F-Secure Client Security
F-Secure PSB Workstation Security
G DATA Antivirus 2010
Ikarus virus.utilities
iolo System Mechanic Professional
K7 Total Security
Kaspersky Anti-Virus 2010
Kaspersky Anti-Virus 6 for Windows Workstations
Kingsoft Internet Security 2010 Advanced Edition
Kingsoft Internet Security 2010 Standard Edition
Kingsoft Internet Security 2010 Swinstar Edition
Lavasoft Ad-Aware Professional Internet Security
McAfee Total Protection
McAfee VirusScan Enterprise
Microsoft Security Essentials
Nifty Corp. Security 24
Norman Security Suite
Norman Security Suite
PC Tools Internet Security 2010
PC Tools Spyware Doctor
Preventon AntiVirus
Proland Protector Plus Professional
Qihoo 360 Security
Quick Heal AntiVirus 2010
Rising Internet Security 2010
SGA Corp. SGA-VC
Sophos Endpoint Security and Control
SPAMfighter VIRUSfighter Plus
SPAMfighter VIRUSfighter Pro
Sunbelt VIPRE AntiVirus Premium
Symantec Endpoint Protection
Symantec Norton Antivirus
Trustport Antivirus 2010
VirusBuster Professional
Webroot AntiVirus with SpySweeper

Các kết quả thử nghiệm "tuần -1", "tuần -2" và "tuần -3" đã được công bố hồi đầu tháng 4/2010. Dưới đây là kết quả thử nghiệm "tuần +1" của VB100.

Click vào ảnh để xem kích thước lớn

Đồ thị trên biểu diễn tỷ lệ phản ứng (trục tung) so với phát hiện tiên phong (trục hoành).

Các bạn có thể nhận ra ngay rằng hầu hết các điểm biểu diễn tỷ lệ phản ứng/phát hiện tiên phong của các sản phẩm đều nằm phía trên đường thẳng nối góc trái-dưới với góc phải-trên, có nghĩa là chúng để có khả năng phản ứng với các mã độc đang tồn tại tốt hơn so với khả năng nhận diện các mã độc mới, điều này rất dễ hiểu. Xu hướng thứ 2 là hầu hết các sản phẩm đều nằm trên một đường thẳng song song với đường thẳng y=x (nằm ở nửa mặt phẳng phía trên), có nghĩa là tỷ lệ phản ứng/phát hiện tiên phong của các sản phẩm diệt virus biến thiên tuyến tính; nói cách khác, một sản phẩm có khả năng phản ứng với mã độc hiện tại càng nhạy, thì khả năng phần mềm đó phát hiện đón đầu các mã độc mới sẽ càng cao. Điều này có thể được giải thích là do một sản phẩm nhận diện được nhiều mã độc hiện hành, thì cơ sở dữ liệu nhận dạng (hay "signature" - chữ ký) càng lớn và càng hiệu quả, nên khả năng "tóm" được các mã độc cùng chủng loại, cùng họ (hay "family" - gia đình) sẽ càng cao. Tất nhiên là điều này chỉ là tương đối, vì nó còn phụ thuộc vào sự "thông minh" của phép nghiệm suy và sản phẩm đó được trang bị, và cũng phục thuộc vào mẫu thử được sử dụng trong thử nghiệm.

Click vào ảnh để xem kích thước lớn

Xem trên đồ thị, các bạn có thể nhận ra ngay rằng các sản phẩm diệt virus tốt nên nằm trên (thuộc) đường thẳng y=x, tức là nó nhận diện được bao nhiêu mã độc hiện tại, thì cũng có khả năng nghiệm suy được bấy nhiêu mã độc chưa biết trước, đây là tỷ lệ tuyệt đối và không thể đạt được trong thực tế. Đồ thị nằm dưới đường thẳng y=x là điều không thể. Sản phẩm có đồ thị biểu diễn nằm phía trên, càng gần đường y=x thì càng tốt, và nằm càng cao càng tốt.

Như vậy, các sản phẩm nằm ở nhóm trên gồm Emsisoft, Trustport, Kaspersky 2010, Kaspersky 6, Check Point, ESET, Webroot, Sophos, G DATA, McAfee TP, Sunbelt, Ikarus,... Các sản phẩm khá nổi tiếng, nhưng chỉ đạt mức trung bình gồm: Symantec Norton, AVG, BitDefender,... Còn các sản phẩm ở mức thấp như: Bkav Home, Bkav Gateway, Kingsoft Advanced/Standard/Swinstar,...

Đáng chú ý là Kaspersky đạt điểm rất cao trong thử nghiệm này, Zone Alarm sử dụng engine của Kaspersky nên cũng dành được kết quả cao, tiếc là nó không vượt qua thử nghiệm VB100 trên Windows XP SP3 trong khi Kaspersky lại vượt qua (có lẽ là do cơ sở dữ liệu nhận dạng mã độc, hoặc phép nghiệm suy sử dụng cho phiên bản dành cho doanh nghiệp khác với phiên bản dành cho người dùng đơn lẻ đã dẫn đến sai khác này). Năm ngoái Kaspersky 6 đã có kết quả ở mức trung bình, nhưng phiên bản mới ra mắt của Kaspersky Anti-Virus 6 MP4 (phát hành sau Kaspersky 2010) đã làm rất tốt, khi tiến thẳng lên top đầu.

Trustport sử dụng 2 engine của BitDefender và AVG, còn G DATA sử dụng 2 engine của Avast và BitDefender, nên tỷ lệ phát hiện mã độc và nghiệm suy của hai phần mềm này rất cao, nhưng tốc độ quét chậm và hay gây ra các cảnh báo nhầm. Tuy nhiên, trong thử nghiệm của AV-Comparatives năm ngoái, G DATA đã cho thấy tốc độ quét cao, và số lượng cảnh báo nhầm rất thấp, điều này thực sự ấn tượng. Trustport có khả năng phát hiện đón đầu các mã độc chưa được nhận diện cao nhất (~80%), còn sản phẩm a-squared Anti-Malware của Emsisoft có khả năng phản ứng lại mã độc hiện tại cao nhất (98,72%).

McAfee tuy không có những thuận lợi từ công nghệ điện toán đám mây của mình (do những hạn chế trong quy tắc thực hiện thử nghiệm của VB100), nhưng vẫn đạt kết quả rất cao. Trong khi đó, sản phẩm Norton của đại gia Symantec lại có kết quả đáng thất vọng, mặc dù nó đạt được kết quả cao nhất trong thử nghiệm động của AV-Comparatives năm ngoái. Nếu được sử dụng những ưu điểm của công nghệ Insight Protection thì liệu nó có khá hơn? Điều này thì tôi không dám chắc. Còn Panda thì đã từ chối tham gia thử nghiệm ngay từ đầu, do không được phép phát huy tính năng điện toán đám mây.

Microsoft Security Essentials là sản phẩm được mong đợi và đã gây ra rất nhiều bất ngờ thú vị trong các thử nghiệm năm 2009, nhưng các kết quả thử nghiệm năm nay có vẻ không thuận lợi cho Microsoft, khi MSE chỉ đạt thứ hạng trung bình trong các thử nghiệm của cả AV-Comparatives và VB100.

Kingsoft của Trung Quốc và Bkav của Việt Nam là hai sản phẩm châu Á tham gia thử nghiệm, và cả hai đều đạt kết quả rất thấp. Tuy nhiên, theo quan điểm cá nhân, tôi nghĩ rằng đây là bước tiến quan trọng, vì ít nhất thì bước đầu họ cũng đã chứng tỏ rằng phần mềm diệt virus không phải chỉ để diệt virus nội địa, và đây cũng là bước đầu để làm quen chứng tỏ mình trên thị trường quốc tế. Hy vọng họ sẽ làm tốt hơn trong các thử nghiệm sắp tới.

Dưới đây là kết quả thử nghiệm RAP trung bình tính từ tháng 10/2009 tới tháng 4/2010:

Click vào ảnh để xem kích thước lớn

Chỉ những phần mềm có khả năng phát hiện cao mới được tham gia vào các thử nghiệm của AV-Comparatives. Vì thế, bạn đọc phải hiểu rằng ngay cả mức STANDARD (mức chuẩn) cũng đã là một kết quả tốt rồi, vì để đạt được mức này thì sản phẩm phải vượt qua một tỷ lệ phần trăm tối thiểu theo yêu cầu. Nhiều chương trình bảo mật không được tham dự các thử nghiệm của AV-Comparatives là do chúng không vượt qua được yêu cầu tối thiểu này. Vì thế, những phần mềm đã tham gia vào các thử nghiệm đều có chất lượng cao và đều có thể coi là sự lựa chọn rất tốt cho việc bảo vệ hệ thống.

Dưới đây là những mức/giải thưởng mà các phần mềm bảo mật đã đạt được trong những cuộc thử nghiệm chính được thực hiện trong năm 2009

Nếu bạn định mua phần mềm diệt virus, hãy ghé thăm trang chủ của nhà cung cấp và tự mình đánh giá chất lượng của sản phẩm đó bằng cách tải phiên bản thử nghiệm, vì nó có thêm nhiều tính năng phụ (như tường lửa, chặn hành vi, lọc thư rác,…) và nhiều thứ quan trọng khác (như độ tương thích, giao diện, dễ sử dụng, giá cả,…). Như đã giải thích ở trên, không có phần mềm diệt virus nào được coi là hoàn hảo hay tốt nhất cả, vì mỗi hệ thống là khác nhau, mỗi người sử dụng cũng khác nhau. Một phần mềm có thể tốt và chạy trơn chu trên hệ thống này, nhưng nó lại chạy ì ạch và gây nhiều lỗi trên một hệ thống khác. Danh sách những giải thưởng dưới đây chỉ đơn thuần dựa vào việc kiểm tra với những mẫu có trong dữ liệu thử nghiệm, chứ không đánh giá hay xem xét các yếu tố khác, có thể quan trọng với một số người sử dụng nhất định. Một sản phẩm nào đó được chọn là “Sản phẩm tốt nhất năm 2009” không có nghĩa nó là sản phẩm tốt nhất trong mọi trường hợp, cho tất cả mọi người, mà nó chỉ có nghĩa là: sản phẩm đó đã hoàn thành thử nghiệm tốt hơn những sản phẩm khác.

Để đoạt giải “Sản phẩm diệt virus tốt nhất năm 2009” của AV-Comparatives, sản phẩm phải có tỷ lệ phát hiện cao, tỷ lệ phòng tránh cao (đối với các mã độc và các ứng dụng tiềm ẩn nguy cơ không mong muốn), khả năng tự phát hiện trước (phòng chống) cao, tỷ lệ phát hiện nhầm (FP) rất ít, chạy nhanh trên các hệ thống có cấu hình thấp, không gây lỗi hay làm treo hệ thống, loại bỏ tốt các mã độc, bảo vệ hệ thống khỏi các mã độc, các trang web chứa phần mềm độc hại mà không cần dựa quá nhiều vào những quyết định của người sử dụng và không có các lỗi khác gây phiền hà cho người sử dụng.

Dựa trên những giải thưởng đã được trao bởi AV-Comparatives trong suốt năm 2009, nhiều sản phẩm có thứ hạng cao gần bằng nhau, vì thế AV-Comparatives đã quyết định trao ba xếp hạng Vàng, Bạc, Đồng (khác với truyền thống trước đây):

1. GOLD: Symantec (sản phẩm tốt nhất năm 2009)
2. SILVER: Kaspersky
3. BRONZE: ESET

BitDefender và F-Secure có kết quả rất gần nhau và được xếp ở thứ hạng thứ 4. Kaspersky và Symantec cũng có kết quả gần tương đương nhau, nhưng tỷ lệ phát hiện tổng của Symantec cao hơn Kaspersky một chút. Mặt khác, Symantec thường được khuyên dùng cho những người không hiểu biết nhiều về tin học, do sản phẩm này rất ít khi hỏi người sử dụng phải quyết định bất cứ điều gì. Dù sao thì cả ba phần mềm đứng đầu này đều rất xuất sắc, chúng đều đã thể hiện rất tốt trong tất cả các thử nghiệm của năm 2009.

Các sản phẩm tốt nhất trong những năm trước:

• 2009: Symantec
• 2008: AVIRA
• 2007: ESET
• 2006: ESET
• 2005: Kaspersky
• 2004: Kaspersky

Tỷ lệ phát hiện cao các mã độc mà không gây ra các cảnh báo nhầm vẫn là một trong những tính năng quan trọng và mang tính quyết định nhất của một sản phẩm diệt virus.

Những sản phẩm dưới đây nhận giải ADVANCED+ trong cả hai lần thử nghiệm “Phát hiện theo yêu cầu” vào tháng 2 và tháng 8 năm 2009: Symantec (~98,6%, 20 FP) và ESET (~97,4%, 25 FP). McAfee tuy có tỷ lệ phát hiện cao (~98,9%) nhưng chỉ đạt một giải ADVANCED+ do có số ca phát hiện nhầm rất nhiều (54 FP). Vì thế, giải thưởng được trao:

1. GOLD: Symantec
2. SILVER: ESET
3. BRONZE: McAfee

Các cuộc thử nghiệm cho biết khả năng phát hiện trước theo yêu cầu của các phần mềm diệt virus với các thiết đặt ở mức cao nhất (xem khả năng phát hiện các mã độc mới của chúng tốt đến đâu). Tỷ lệ nhận diện cao (các mã độc mới) phải đi kèm với tỷ lệ phát hiện nhầm thấp. Khả năng phòng tránh theo yêu cầu đặc biệt quan trọng với các sản phẩm không có (hoặc chưa có) công nghệ bảo vệ như “Đám mây”, khóa hành vi,…

Những sản phẩm dưới đây đều giành giải ADVANCED+ trong cả hai lần thử nghiệm vào tháng 5 và tháng 11 năm 2009: ESET NOD32 (~58%, 25 FP), Kaspersky (~56%, 22 FP), Microsoft (~58%, 7 FP).

1. GOLD: Microsoft
2. SILVER: ESET
3. BRONZE: Kaspersky

Việc nhận diện nhầm có thể gây ra các vấn đề nguy hiểm giống như bị nhiễm mã độc, vì thế, các sản phẩm diệt virus phải có sự kiểm tra nghiêm ngặt đảm bảo chất lượng trước khi tung ra thị trường (tránh việc phát hiện nhầm). Các sản phẩm được đánh giá cao vì tỷ lệ phát hiện nhầm rất thấp là: Microsoft (7), F-Secure (11) và Symantec (20).

1. GOLD: Microsoft
2. SILVER: F-Secure
3. BRONZE: Symantec

Người sử dụng luôn được khuyên rằng nên định kỳ thực hiện việc quét toàn bộ hệ thống để chắc chắn rằng các dữ liệu được lưu trữ luôn trong tình trạng sạch sẽ.

Những sản phẩm có tốc độ quét theo yêu cầu cao khi được đặt ở cấu hình cho khả năng phát hiện tốt nhất là: Avast (~16,4 MB/s), Kingsoft (~19,2 MB/s) và Symantec (~17,1 MB/s).

1. GOLD: Kingsoft
2. SILVER: Symantec
3. BRONZE: Avast

Sản phẩm an ninh phải luôn được bật trong mọi hoàn cảnh, trong lúc người sử dụng đang thực hiện những công việc bình thường của họ. Một số sản phẩm sử dụng nhiều tài nguyên hệ thống khi chúng thực hiện một số tác vụ của mình.

Những sản phẩm dưới đây đã chứng minh được khả năng ít ảnh hưởng tới năng suất của hệ thống hơn các sản phẩm khác:

1. GOLD: AVIRA
2. SILVER: Kingsoft
3. BRONZE: F-Secure

Trong những năm gần đây, số lượng các phần mềm quảng cáo, phần mềm gián điệp và các phần mềm lừa đảo đã gia tăng đáng kể. Những ứng dụng như vậy không thuộc loại mã độc tiêu biểu, và việc xếp loại chúng đôi khi khá là khó khăn, chúng thường được miêu tả bằng thuật ngữ “potentially unwanted applications” (PUA), tạm gọi là “những ứng dụng tiềm ẩn nguy cơ không mong muốn”.

Các sản phẩm dưới đây đều có khả năng bảo vệ hệ thống rất tốt (trên 98%) chống lại các ứng dụng tiềm ẩn nguy cơ không mong muốn; vì thế rất khó để giới hạn giải thưởng cho 3 sản phẩm.

1. GOLD: TrustPort, G DATA
2. SILVER: McAfee, AVIRA
3. BRONZE: Symantec, F-Secure, BitDefender, eScan

Sản phẩm diệt virus không chỉ có khả năng phát hiện, mà chúng còn cần phải có khả năng loại bỏ (tốt nhất là hoàn toàn) các mã độc đã nhiễm vào hệ thống mà chúng phát hiện ra.

Các sản phẩm dưới đây có khả năng loại bỏ tốt các mã độc đã nhiễm vào hệ thống:

1. GOLD: eScan
2. SILVER: Symantec
3. BRONZE: Microsoft

Các sản phẩm an ninh như gói Internet Security bao gồm nhiều tính năng giúp hệ thống chống lại các mã độc hay lừa đảo trực tuyến. Những tính năng bảo vệ này có thể được đưa vào danh mục những báo cáo thử nghiệm động các sản phẩm toàn diện, những thử nghiệm này diễn ra trong những điều kiện giống hệt như những gì xảy ra trên thực tế. Symantec và Kaspersky đều ngang sức trong cuộc kiểm tra động, nhưng AV-Comparatives quyết định giao ngôi đầu bảng cho Symantec vì nó đưa ra ít cảnh báo hơn Kaspersky, và nó cũng phát hiện nhiều hơn Kaspersky một mối đe dọa.

Các sản phẩm sau có khả năng bảo vệ tốt khỏi sự tấn công của các mã độc:

1. GOLD: Symantec
2. SILVER: Kaspersky
3. BRONZE: AVIRA

Summary of the Annual Awards



Best products of 2009

GOLD: Symantec

SILVER: Kaspersky

BRONZE: ESET

Avast (www.avast.com): năm nay avast! đã cho thấy những cải tiến đáng kể trong khả năng phát hiện mã độc của nó (đặc việt là nửa cuối năm 2009) và số ca phát hiện nhầm cũng giảm. avast! là một trong những sản phẩm có tốc độ quét theo yêu cầu nhanh nhất. Phiên bản mới ra mắt avast! v5 còn có những cải tiến xa hơn nữa (như giao diện đồ họa mới) và những tính năng bảo vệ mới. Avast cũng cung cấp phiên bản miễn phí cho những người sử dụng tại gia đình.

• Tỷ lệ phát hiện mã độc cao
• Tốc độ quét theo yêu cầu cao
• Có sẵn phiên bản miễn phí

AVG (www.avg.com): AVG không đạt được kết quả cao như mong đợi trong năm nay, mặc dù nó vẫn là sản phẩm tốt. Hy vọng trong năm mới sản phẩm này sẽ có thêm nhiều cải tiến. Tất cả các sản phẩm của AVG đều bao gồm AVG LinkScanner, tính năng giúp bảo vệ người sử dụng khi lướt web. AVG cũng cung cấp phiên bản miễn phí cho những người sử dụng gia đình với những chức năng an ninh cơ bản (nghĩa là không có WebShield, bảo vệ nâng cao rootkit,…)

• Dễ sử dụng
• Có phiên bản miễn phí
• LinkScanner

AVIRA (www.avira.com): AVIRA giành giải sản phẩm tốt nhất năm 2009. Nó cũng có tỷ lệ phát hiện mã độc và tỷ lệ phát hiện trước các mối nguy hiểm cao trong năm nay, nhưng đáng tiếc là số ca phát hiện nhầm khá cao. Nhờ tỷ lệ phát hiện cao của AVIRA và tính năng WebShield, nó cũng chứng minh được khả năng bảo vệ tốt trong cuộc kiểm tra động các sản phẩm toàn diện, ngay cả khi hiện nay AVIRA không còn cung cấp những tính năng như khóa hành vi. AVIRA cũng ít ảnh hưởng tới sự hoạt động của hệ thống. Phiên bản mới của AVIRA có tính năng khóa hành vi, phiên bản này sẽ phát hành trong năm 2010.

• Tỷ lệ phát hiện rất cao
• Ít ảnh hưởng tới hiệu năng hệ thống
• Có phiên bản miễn phí

BitDefender (www.bitdefender.com): BitDefender đã được cải tiến trong năm nay, và nó đã cho thấy tỷ lệ phát hiện tốt cũng như khả năng nghiệm suy tốt, với số ca cảnh báo nhầm ít hơn năm ngoái. BitDefender cũng chứng minh khả năng tốt trong việc loại bỏ các mã độc.

• Tỷ lệ phát hiện cao
• Khả năng nghiệm suy tốt
• Khả năng loại bỏ mã độc tốt

eScan (www.mwti.com): eScan là sản phẩm multi-engine (dựa trên bộ máy phát hiện của BitDefender). Giống như BitDefender, nó cũng có tỷ lệ phát hiện cao và khả năng nghiệm suy tốt, số ca phát hiện nhầm ít hơn năm ngoái. eScan rất giỏi trong việc loại bỏ hoàn toàn phần lớn mã độc mà nó phát hiện ra.

• Tỷ lệ phát hiện cao
• Khả năng nghiệm suy tốt
• Khả năng loại bỏ mã độc rất tốt

ESET (www.eset.com): Mỗi năm, ESET lại cho thấy những tính năng mới rất tốt của mình. Khả năng nghiệm suy của nó dẫn đầu tỷ lệ phát hiện và số ca phát hiện nhầm cũng rất thấp. ESET cũng chạy khá nhẹ nhàng trên các hệ thống. Trong kết quả chung, ESET giữ vị trí số ba trong số các sản phẩm an ninh tốt nhất năm 2009.

• Tỷ lệ phát hiện cao
• Khả năng nghiệm suy rất tốt
• Ít ảnh hưởng tới hiệu năng hệ thống

F-Secure (www.f-secure.com): F-Secure sử dụng những cỗ máy khác nhau trong sản phẩm của mình (gồm cả BitDefender). F-Secure đã nâng cao đáng kể, nó ảnh hưởng rất ít tới hiệu năng của hệ thống khi đang chạy nền. Khả năng loại bỏ mã độc cũng khá tốt. Phiên bản mới 2010 ra mắt với giao diện bóng bẩy và dễ sử dụng.

• Tỷ lệ phát hiện cao
• Khả năng loại bỏ mã độc tốt
• Giao diện dễ sử dụng

G DATA (www.gdata.de): G DATA sử dụng bộ máy quét của Avast và BitDefender. Nhờ sự kết hợp này mà G DATA đạt tới tỷ lệ phát hiện rất cao, mặc dù đôi khi điều này cũng đồng nghĩa với sự gia tăng số ca phát hiện nhầm. Trong cuộc kiểm tra phát hiện theo yêu cầu thực hiện vào tháng 8, số ca phát hiện nhầm của G DATA thực sự thấp. Sự ảnh hưởng tới hiệu năng chung của hệ thống cũng đã được cải tiến rất nhiều, nhờ tính năng ghi nhớ trạng thái của những dữ liệu đã quét. Giao diện của G DATA rất trực quan.

• Tỷ lệ phát hiện rất cao
• Kết hợp giữa những bộ máy quét tốt
• Giao diện trực quan

Kaspersky (www.kaspersky.com): Kaspersky cho thấy tỷ lệ phát hiện trước mã độc rất cao và khả năng chống lại mã độc tốt (mặc dù nó còn có thể được cải tiến hơn, như báo cáo trong cuộc thử nghiệm phát hiện theo yêu cầu vào tháng 8). Kaspersky cũng có khả năng loại bỏ tốt các mã độc (gồm cả những tính năng Security+ cho phép khôi phục lại những thiết đặt đã bị mã độc thay đổi). Những ảnh hưởng tới hiệu năng hệ thống và sự sử dụng tài nguyên hệ thống cũng thấp. Kaspersky bao gồm nhiều tính năng an ninh cho những người sử dụng chuyên nghiệp, nhưng cũng cung cấp đầy đủ chế độ bảo vệ tự động cho những người mới sử dụng máy tính. Giao diện và tính năng ghi biên bản có thể được cải tiến hơn nữa. kaspersky nhận giải BẠC (Silver) và là một trong những sản phẩm tốt nhất năm 2009.

• Khả năng nghiệm suy rất tốt
• Tỷ lệ phát hiện cao
• Nhiều tính năng bảo vệ

Kingsoft (www.kingsoftresearch.com): Kingsoft là nhà cung cấp sản phẩm đầu tiên tại Trung Quốc có cơ hội tham gia vào một thử nghiệm các sản phẩm diệt virus tầm cỡ quốc tế và cũng là công ty không tán thành cái quan niệm vớ vẩn cho rằng các chương trình diệt virus Trung Quốc thì chỉ phát hiện chủ yếu các mã độc Trung Quốc, Kingsoft biết rằng Internet không có giới hạn, và phần mềm diệt virus cần phải phát hiện được tất cả các mã độc, không quan trọng là nó bắt nguồn từ đâu. Kingsoft phát hiện lượng mã độc đạt mức chuẩn, nhưng vẫn là quá thấp và có nhiều ca phát hiện nhầm, nên nó không nhận các giải cao. Kingsoft có tốc độ quét cao nhất trong thử nghiệm của AV-Comparatives. Giao diện của nó rất đơn giản và dễ sử dụng.

• Quét rất nhanh
• Ít ảnh hưởng tới hiệu năng hệ thống
• Giao diện rất trực quan

McAfee (www.mcafee.com): Năm nay, McAfee có tỷ lệ phát hiện rất cao đối với các mã độc và các ứng dụng tiềm ẩn nguy cơ không mong muốn, chủ yếu là nhờ vào công nghệ Đám Mây mạnh mẽ của nó. Đáng tiếc là nó có nhiều ca phát hiện nhầm. McAfee cần một vài cải tiến quan trọng và xa hơn nữa, ví dụ như giao diện đồ họa-người dùng, và khả năng phát hiện nghiệm suy khi không có kết nối mạng. McAfee cũng không có chức năng tạo đĩa cứu hộ, một tính năng mà đáng lẽ một công ty nổi tiếng trên toàn cầu như McAfee không thể bỏ qua. McAfee còn có cả SiteAdvisor, công cụ giúp cảnh báo về những trang web tiềm ẩn những mối nguy hiểm.

• Tỷ lệ phát hiện mã độc rất cao
• Tỷ lệ phát hiện các ứng dụng tiềm ẩn nguy cơ không mong muốn rất cao
• SiteAdvisor

Microsoft (www.microsoft.com/security_essentials): Microsoft cho thấy tỷ lệ phát hiện trước rất tốt, với số ca phát hiện nhầm ít, và khả năng loại bỏ các mã độc rất tốt. Trong năm 2009, Microsoft đã cho ra mắt Microsoft Security Essentials, một sản phẩm diệt virus miễn phí với giao diện rất đơn giản. Security Essentials được mong đợi là một giải pháp đơn giản, cung cấp những biện pháp an ninh cần thiết tối thiểu cho những người sử dụng không thể, hoặc không muốn mua một sản phẩm an ninh thương mại.

• Tỷ lệ phát hiện trước rất cao
• Số ca phát hiện nhầm thấp
• Khả năng loại bỏ mã độc rất tốt
• Miễn phí

Norman (www.norman.com): Năm nay không phải là một năm thuận lợi cho Norman, theo kết quả những thử nghiệm của AV-Comparatives. Norman chỉ đạt mức STANDARD ở 4 trong số 8 thử nghiệm, mặc dù trong năm ngoái, Norman đã làm tốt hơn thế. Dù sao đi nữa, Norman vừa mới ra mắt phiên bản mới, với giao diện đồ họa-người dùng tốt hơn, và nhiều cải tiến khác nữa. Chúng ta tin tưởng rằng Norman sẽ làm tốt hơn trong các kết quả kiểm tra trong năm 2010, vì họ đã biết cần phải cải tiến những gì khi muốn đối đầu với các sản phẩm an ninh khác. Norman hỗ trợ cả những HĐH đã cũ như Windows 95. Norman tự động thực hiện việc quét hệ thống khi người sử dụng đang không làm việc (khi chế độ bảo vệ màn hình (screensaver) được kích hoạt).

• Giao diện rõ ràng
• Hỗ trợ HĐH cũ
• Chế độ quét tự động khi screensaver được kích hoạt

Sophos (www.sophos.com): Sophos là công ty an ninh nhắm tới đối tượng là các doanh nghiệp. Trong các thử nghiệm của AV-Comparatives, Sophos chỉ cho thấy kết quả phát hiện ở mức đạt chuẩn. Sophos còn có tính năng HIPS giúp cảnh báo về những thay đổi trong hệ thống mà có tiềm ẩn sự nguy hiểm, nó hữu dụng với những nhà quản trị của một tập đoàn. Giao diện sử dụng rất đơn giản và trực quan. Hãy đọc thêm kết quả kiểm tra của Sophos trong các báo cáo chi tiết, vì những thử nghiệm của AV-Comparatives đã giới hạn một số quy tắc khi kiểm tra các tính năng dành cho người sử dụng gia đình. Trong một vài thử nghiệm, Sophos có kết quả thấp hơn một chút so với các sản phẩm khác, do nhóm thử nghiệm đã áp dụng cùng một tiêu chuẩn cho Sophos, dù nó là sản phẩm cho doanh nghiệp.

• Giao diện rất dễ sử dụng
• Dành cho doanh nghiệp
• HIPS

Symantec (www.symantec.com): Symantec (Norton) đã cải tiến vượt bậc những ảnh hưởng của nó lên hiệu năng của hệ thống. Trong nhiều năm trước, Norton thường nổi tiếng là ngốn rất nhiều tài nguyên hệ thống, còn giờ đây nó ảnh hưởng rất ít tới hiệu năng hệ thống. Tỷ lệ phát hiện mã độc và các ứng dụng tiềm ẩn nguy cơ không mong muốn cũng rất cao, trong khi những ca phát hiện nhầm lại rất thấp. Giao diện đồ họa-người dùng rất phong cách và dễ sử dụng. Khả năng nghiệm suy khi hoạt động ngoại tuyến (không có kết nối internet) vẫn có thể được cải tiến xa hơn. Sản phẩm bao gồm cả công cụ phân tích hành vi và các tính năng bảo vệ mạnh mẽ khác (như công nghệ Đám Mây nhận diện mối nguy cơ dựa trên mức độ phổ biến) cho phép tự thực hiện các hành động thích hợp mà không cần tới quyết định của người sử dụng, rất thích hợp cho những người mới sử dụng máy tính. Với những cải tiến to lớn cho sản phẩm của mình, Symantec đã đạt được nhiều giải thưởng trong phần lớn các thử nghiệm của AV-Comparatives trong năm 2009, và đã giành giải Phần Mềm Tốt Nhất của năm 2009.

• Tỷ lệ phát hiện rất cao
• Ít ảnh hưởng tới hiệu năng hệ thống
• Dễ sử dụng

TrustPort (www.trustport.com): TrustPort kết hợp các bộ máy diệt virus khác nhau trong sản phẩm của mình, và người sử dụng có thể tự mình lựa chọn. Theo mặc định, hiện nay nó đang sử dụng bộ máy của AVG và BitDefender. Nhờ sự kết hợp này mà TrustPort có tỷ lệ phát hiện theo yêu cầu rất cao và kết quả quét các mã độc rất cao, tuy nhiên tốc độ quét của nó tương đối chậm và số ca phát hiện nhầm nhiều hơn so với các sản phẩm khác.

• Tỷ lệ phát hiện mã độc rất cao
• Tỷ lệ phát hiện các ứng dụng tiềm ẩn nguy cơ không mong muốn rất cao
• Có thể lựa chọn các bộ máy quét virus

• Potentially unwanted application (PUA): ứng dụng tiềm ẩn nguy cơ không mong muốn
• False positive/False alarm (FP): phát hiện nhầm, khi một ứng dụng sạch bị phần mềm an ninh phát hiện nhầm và đưa ra các cảnh báo sai
• Heuristic: nghiệm suy
• Engine: bộ máy tìm kiếm và phát hiện mã độc
• Đám mây: in-the-cloud
• HIPS (host-based intrusion-prevention system): tính năng bảo vệ sự xâm nhập thông qua máy chủ
• On-demand detection: Phát hiện theo yêu cầu
• On-demand proactive detection: Phát hiện trước (phòng tránh) theo yêu cầu
• Whole-product dynamic protection: Khả năng bảo vệ động của các sản phẩm toàn diện, nghĩa là những gói sản phẩm an ninh với đầy đủ các tính năng chứ không chỉ là tính năng diệt virus, kiểm tra được thực hiện trong "điều kiện động", là điều kiện giống hệt như những gì xảy ra trên thực tế. "Whole-product dynamic protection test" là bài kiểm tra quan trọng và có ý nghĩa nhất mà AV-Comparatives sẽ tiến hành định kỳ kể từ năm 2009.

• Bảng tổng kết về các phần mềm diệt virus năm 2009 của VB100
• Báo cáo so sánh toàn diện về các phần mềm diệt virus năm 2009
• AV-Comparatives: Kết quả thử nghiệm khả năng phát hiện các PUA
• Kiểm tra động các gói phần mềm bảo mật 12/2009

Trong một số bài viết trước đây, tôi đã giới thiệu đến cho các bạn một số những báo cáo thử nghiệm đáng chú ý của AV-Comparatives và VB100 về khả năng phát hiện/phòng chống virus, cũng như các phần mềm độc hại khác của các phần mềm bảo mật, và đưa ra những đánh giá suy đoán toàn diện về các sản phẩm an ninh có uy tín này trong năm 2009. Như tôi đã lưu ý trong các bài viết đó, những thử nghiệm này chỉ thuần túy dựa vào tỷ lệ phát hiện virus có trong cơ sở dữ liệu của cuộc kiểm tra, còn những tính năng quan trọng khác chưa được cân nhắc trong các báo cáo. Vấn đề là, ghi người sử dụng lựa chọn phần mềm bảo mật, họ không chỉ dựa vào những báo cáo đơn thuần kiểu này, vì đó là dạng số liệu thống kê, không thể dựa vào đó để kết luận mức độ an toàn và hiệu quả của một sản phẩm an ninh. Chính vì thế, việc thực hiện một cuộc kiểm tra động với các gói sản phẩm an ninh toàn diện là rất cần thiết và mang ý nghĩa thực tế cao, nhất là đối với những người sử dụng máy tính cá nhân gia đình, họ không cần quan tâm đến những kết quả thống kê rắc rối, mà chỉ cần so sánh một cách trực quan hiệu quả của các sản phẩm an ninh.

Mặc dù có ý nghĩa quan trọng, nhưng trên thế giới hiện nay không có nhiều các cuộc kiểm tra động có chất lượng cao và đáng tin cậy, do nó rất khó thực hiện để có thể thu được kết quả khách quan. Từ năm 2009, AV-Comparatives sẽ bắt đầu tiến hành việc đánh giá các sản phẩm an ninh theo phương pháp kiểm tra động, đây quả là một tin vui cho những người quan tâm đến vấn đề bảo mật, vì AV-Comparatives là một tổ chức kiểm định độc lập, có uy tín trên thế giới.

Dựa vào báo cáo mới được công bố đầu tháng 12 mới đây của AV-Comparatives, tôi sẽ giới thiệu đến các bạn kết quả của báo cáo này cùng một số những đánh giá riêng.

Mục đích của thử nghiệm này là so sánh khả năng bảo vệ được cung cấp bởi các giải pháp an ninh khác nhau, bằng cách kiểm tra chúng trong điều kiện thực tế. Trong những năm trước, đã có rất nhiều thảo luận về những thử nghiệm như thế này và giá trị của chúng đối với người sử dụng máy tính cá nhân gia đình. Vấn đề là những thử nghiệm kiểu này rất đắt (tốn thời gian thực hiện và cần nhiều nhân viên thực hiện) và khó sao chép. Vì thế, những thử nghiệm này rất quan trọng và nó thể hiện được khả năng bảo vệ của các phần mềm bảo mật khỏi các phần mềm độc hại.

Đây là lần đầu tiên AV-Comparatives thực hiện cuộc kiểm tra động các sản phẩm toàn diện. Mặc dù mục tiêu là kiểm tra với càng nhiều mẫu càng tốt, nhưng do những hạn chế về thời gian, tài nguyên và một số những rắc rối không mong muốn khác, nên AV-Comparatives đã cắt giảm số lượng mẫu xuống con số tương đối nhỏ, khoảng 100 trường hợp thử nghiệm. Dựa vào kinh nghiệm và những vấn đề gặp phải trong cuộc thử nghiệm này, cũng như những phản hồi từ các nhà cung cấp sản phẩm, từ năm 2010, AV-Comparatives sẽ thực hiện thường xuyên những cuộc kiểm tra kiểu này, với số lượng mẫu lớn hơn (để tăng số liệu thống kê), thêm nhiều vật “truyền bệnh” hơn và khả năng sinh sôi được cải tiến hơn, thông qua việc hợp tác với viện Thông tin và Chất lượng kỹ thuật của đại học Innsbruck.

Các sản phẩm được kiểm tra gồm:

• avast! Free 5.0
• AVG Internet Security 9.0
• AVIRA Premium Security Suite 9
• BitDefender Internet Security 2010
• eScan Internet Security 10
• ESET Smart Security 4.0
• F-Secure Internet Security 2010
• G DATA Internet Security 2010
• Kaspersky Internet Security 2010
• Kingsoft Internet Security 2009+
• McAfee Internet Security 2010
• Microsoft Security Essentials 1.0
• Norman Security Suite 7.2
• Symantec Norton Internet Security 2010
• TrustPort PC Security 2010

Trong cuộc kiểm tra động các sản phẩm hoàn chỉnh, AV-Comparatives sử dụng các gói sản phẩm an ninh từ các nhà cung cấp sản phẩm chính hãng. Nếu các gói sản phẩm này chưa có đủ một số tính năng, ví dụ như trường hợp của Avast và Microsoft, thì chúng sẽ không được coi là các ứng cử viên, theo yêu cầu của nhà cung cấp sản phẩm (mặc dù AV-Comparatives không xem xét những tính năng đó, ví dụ như chức năng tường lửa). Sophos quyết định không tham gia thử nghiệm, vì sản phẩm của họ hướng đến các doanh nghiệp, chứ không phải là các khách hàng đơn lẻ như những nhà cung cấp khác. Tất cả các sản phẩm tham gia thử nghiệm đều được đặt ở chế độ mặc định, các sản phẩm có phiên bản mới nhất và đều được cập nhật cơ sở dữ liệu tới thời điểm thực hiện cuộc thử nghiệm.

AV-Comparatives sử dụng 100 ca kiểm tra trong thử nghiệm này. Mỗi ca kiểm tra là một trang web có chứa mã script độc hại và các phần mềm nguy hiểm. Theo thống kê, ngày nay có tới 70% mã độc được phát tán qua các trang web nhờ các mã script độc hại và phần mềm lợi dụng[4] (thông qua việc download), 20% là từ các thủ đoạn dẫn người sử dụng tới các trang web để họ tự tay tải các phần mềm nguy hiểm về máy tính (số phần trăm còn lại thì đến từ các vật thể lây truyền khác). Hơn nữa, phần lớn các trang web lây bệnh hiện nay có tên miền tại Trung Quốc. Các ca thử nghiệm được chọn của AV-Comparatives cũng dựa vào thực tế này, họ sử dụng phần lớn các trang web chứa các phần mềm lợi dụng và các mã script độc hại, chỉ có 15 liên kết nhắm tới các phần mềm thực thi độc hại, và khoảng 30 trang có tên miền tại Trung Quốc. Các địa chỉ trang web mà AV-Comparatives sử dụng được thu thập bằng công cụ riêng của họ. Để khách quan, họ không sử dụng bất cứ dịch vụ có sẵn nào hiện nay trong việc cung cấp nguồn địa chỉ chứa mã độc. Cũng vì lý do này, AV-Comparatives không công bố các địa chỉ đã sử dụng. AV-Comparatives cũng không sử dụng các trang có chứa cùng một loại mã độc, để có thể thu được nhiều hơn các kết quả từ các ca thử nghiệm khác nhau. Mặc dù trong mỗi ngày tiến hành thử nghiệm, AV-Comparatives sử dụng từ 15 – 20 địa chỉ mới, nhưng điều đó không có nghĩa là AV-Comparatives sử dụng các mã độc và phần mềm lợi dụng kiểu “zero-day”[5]. Mục đích của cuộc thử nghiệm không phải là để các sản phẩm an ninh này đương đầu với các mã độc zero-day, mà là để vẽ nên một bức tranh thực tế về các sản phẩm an ninh, dựa vào những thứ mà hầu hết những người sử dụng máy tính gia đình trong thế giới thực phải đối mặt hàng ngày khi sử dụng sản phẩm, lướt web và các hoạt động khác trên Internet.

Để có thể phản ánh được hệ thống phổ biến nhất đối với những người sử dụng máy tính gia đình (và đây cũng là đích ngắm chủ yếu của các mã độc), AV-Comparatives không sử dụng phiên bản mới nhất của các ứng dụng và HĐH. Họ sử dụng HĐH Windows XP Professional SP3 (gói Service Pack cơ bản), sử dụng trình duyệt Internet Explorer 7 (trình duyệt phổ biến thứ 2, chỉ đứng sau IE6) và Adobe Acrobat Reader. AV-Comparatives cho biết, một lượng lớn người sử dụng truy cập các trang web của họ với các sản phẩm đã lỗi thời, thậm chí nhiều người còn liên hệ với AV-Comparatives để hỏi rằng họ không thể đọc được các báo cáo mà AV-Comparatives đã công bố (những báo cáo này cần Adobe Reader phiên bản 8.0 trở lên), và các phiên bản của Flash Player, Java,…cũng không phải là các phiên bản mới nhất. Nói tóm lại, AV-Comparatives sẽ sử dụng các hệ thống lỗi thời khoảng 1 năm, để nó phù hợp với điều kiện thực tế, thậm chí các hệ thống còn có thể lỗi thời hơn, nhưng họ không muốn sử dụng các phần mềm quá cũ. Nói ra điều này, AV-Comparatives muốn nhấn mạnh tầm quan trọng của việc giữ cho các phần mềm trong hệ thống (chứ không chỉ là phần mềm bảo mật) luôn được cập nhật ở phiên bản mới nhất, do nhiều phần mềm lợi dụng không hoạt động được trên các phiên bản đã được nâng cấp/vá lỗi. AV-Comparatives cho biết họ sẽ tiếp tục thống kê trạng thái sử dụng của người dùng, và sẽ cập nhật lên phiên bản mới hơn, như Windows 7, ngay khi nó trở lên phổ biến.

Do báo cáo này hướng tới những người sử dụng máy tính gia đình, nên đây là cơ hội tốt để cung cấp thêm một số thông tin về các tính năng an ninh trong HĐH và trình duyệt.

Trước hết, bạn hãy cập nhật HĐH và trình duyệt lên phiên bản mới nhất, đừng bỏ qua hay tắt tính năng tự động cập nhật! Mặc dù nhiều người cho rằng HĐH có lỗi trong việc khiến họ bị nhiễm mã độc, nhưng thực ra nguyên nhân lại là do chính những người sử dụng, vì họ không cập nhật các phần mềm lên phiên bản mới nhất. Phần lớn trong những lần khởi động một phần mềm mới chưa được biết tới, một hộp thoại xác nhận của Windows đều hiện lên, cảnh báo về mối nguy hiểm khi thực thi các file này. Một thông báo tương tự cũng xuất hiện khi bạn download một file nào đó trên mạng bằng Internet Explorer và chạy nó.

Khi mở file, hệ thống an ninh sẽ cảnh báo:”Nhà phân phối chưa được xác minh, bạn có chắc là mình muốn chạy file đó không? File này không có chữ ký điện tử hợp lệ để chứng thực cho nhà phân phối. Bạn chỉ nên chạy các phần mềm từ các nhà phân phối mà bạn tin tưởng.”

“Bạn có muốn mở file này không? Mặc dù các file trên Internet có thể hữu dụng, file này có thể gây hại cho máy tính của bạn. Chỉ chạy các phần mềm từ các nhà phân phối mà bạn tin tưởng.”

Phần lớn người sử dụng đều bỏ qua các cảnh báo này và tiếp tục chạy các file đó, vì họ đã quá quen với những cảnh báo kiểu như thế rồi. Ngày nay, bằng nhiều thủ đoạn kỹ thuật, người sử dụng dễ bị lừa khởi động các ứng dụng mà không thèm đếm xỉa đến các cảnh báo. Đó là lý do quan trọng khiến các phần mềm bảo mật đưa ra các biện pháp an ninh mà không dựa trên sự quyết định của người dùng, và người dùng cũng mong đợi rằng các phần mềm bảo mật sẽ làm điều đó giúp họ. Một sản phẩm tốt nên đưa ra thông báo rằng file đó có nguy hiểm hay không, và nếu nó cho rằng file đó nguy hiểm, thì nó không nên cho người sử dụng thực thi file đó (hay ít nhất thì nó cũng phải được thiết lập mặc định ở chế độ hành động khóa/bắt nhốt[8]). Còn nếu một phần mềm bảo mật mà lúc nào cũng dựa trên sự quyết định của người dùng xem có nên chạy file đó hay không, thì đó là sản phẩm không nên sử dụng.

Thêm nữa, IE8 có tính năng SmartScreen Filter, giúp khóa rất nhiều mã độc khi duyệt Internet. Google Chrome và Mozilla Firefox thậm chí còn khóa các website nguy hiểm. Nhìn vào những biện pháp an ninh sẵn có đã nêu ở trên, có thể ai đó sẽ tự hỏi: làm thế quái nào mà nhiều người vẫn bị mã độc lây nhiễm vào hệ thống của họ được nhỉ? Vấn đề không phải lúc nào cũng nằm ở phía sản phẩm hay công nghệ, mà phần lớn trường hợp thuộc về lỗi của người dùng.

Kiểm tra động các sản phẩm hoàn chỉnh không phải là một cuộc kiểm tra khả năng phát hiện như bình thường, nó là sự kiểm tra khả năng bảo vệ/ngăn ngừa. Thử nghiệm sẽ bắt chước các mã độc thâm nhập và chạy trên hệ thống của người sử dụng giống như những gì xảy ra trên thực tế (ví dụ như ghé thăm một trang web có chứa mã độc, các phần mềm lợi dụng, bị lừa tải các file nhiễm độc). Điều này có nghĩa là không chỉ chữ ký, khả năng suy đoán, phát hiện được đánh giá, mà cả khả năng chặn URL, các dịch vụ mạng có uy tín, chặn phần mềm lợi dụng, nghiệm suy, HIPS và khả năng phán đoán theo hành vi cũng được xem xét. Nhiệm vụ bảo vệ sẽ bị coi là thất bại nếu phần mềm bảo vệ chỉ đưa ra các cảnh báo của tường lửa khi mã độc đã chạy và cố kết nối với bên ngoài. AV-Comparatives duyệt các trang web có chứa mã độc/phần mềm lợi dụng và cả các trang web có chứa các file nhiễm bệnh đã được tải và chạy. Chỉ tiêu thành công/thất bại phụ thuộc vào công nghệ được sử dụng của từng sử dụng. Điều quan trọng là sản phẩm cung cấp sự bảo vệ đáng tin cậy cho người dùng, theo nghĩa là không cần hỏi ý kiến quyết định của người sử dụng xem một thứ gì đó có phải là mối nguy hiểm hay không.

Trong thử nghiệm kiểm tra động các sản phẩm hoàn chỉnh, AV-Comparatives sử dụng 16 máy tính cá nhân giống hệt nhau về phần cứng (không phải là máy ảo), phần mềm và các thiết đặt HĐH (tài khoản quản trị). Mỗi máy tính được cài một phần mềm bảo vệ, là các gói sản phẩm bảo mật với các tính năng bảo vệ toàn diện. Các sản phẩm được cập nhật mới nhất bằng kết nối Internet trực tiếp, như trong thực tế. Mỗi máy có một địa chỉ IP riêng. AV-Comparatives sử dụng các thiết đặt cấu hình mặc định. Thử nghiệm được tiến hành vào ngày 16/11/2009, mỗi ngày tiến hành 15 – 20 ca thử nghiệm (các URL mới với các mã độc/phần mềm lợi dụng tương ứng, và các URL này không chứa các mã độc giống nhau). Do mỗi máy tính đều phải được kiểm tra, và tất cả các máy đều phải được đưa trở lại trạng thái ban đầu sau mỗi lần kiểm tra (điều này có nghĩa là phải đợi cho đến khi tất cả các máy sẵn sàng cho thử nghiệm tiếp theo), nên phải cần tới 12 tiếng mỗi ngày để 4 người thực hiện việc thử nghiệm (mặc dù họ có phát triển các công cụ giúp tăng tốc một vài quá trình). Mỗi ca thử nghiệm trước hết được xác nhận bằng cách duyệt trên một HĐH chưa được bảo vệ (chưa được cài phần mềm bảo mật) để xem mẫu thử có hợp lệ hay không, và chúng sẽ gây hại gì trên môi trường thử nghiệm. Sau đó, tất cả 15 phần mềm bảo vệ được cập nhật trước khi đưa vào thử nghiệm. AV-Comparatives ghi nhận tất cả các URL có chứa cùng loại mã độc. Tất cả các URL được duyệt cùng lúc, các phản ứng của phần mềm bảo vệ được chụp lại, các phần mềm thực hiện công việc một cách yên lặng (không đưa ra thông báo), hoặc không bảo vệ được hệ thống cũng sẽ được ghi nhận.

Trường hợp các URL phát tán mã độc khác vào hệ thống, hoặc bị lỗi trong quá trình thử nghiệm sẽ bị loại khỏi kết quả kiểm tra. Vì thế, thử nghiệm được tiến hành tới ngày 26/11/2009, và số ca thử nghiệm hợp lệ cho báo cáo giảm xuống còn 100.

Mặc dù AV-Comparatives có lưu lại rất nhiều dữ liệu, nhưng việc tiến hành thử nghiệm này là một công việc khó khăn, đặc biệt là theo cách mà họ sử dụng: trên các hệ thống thật không sử dụng môi trường ảo, và phải trông chừng để không mã độc nào tấn công vào mạng thử nghiệm. Hơn nữa, một vài sản phẩm không cung cấp các ghi nhận[7] cho những tác vụ mà người thử nghiệm đã thực hiện. Mặt khác các sản phẩm dựa trên điện toán đám mây có thể mang lại các kết quả khác nhau nếu được thử nghiệm ở những thời điểm khác nhau (hay thậm chí là ở những quốc gia khác nhau). Trong thử nghiệm, AV-Comparatives đã ghi nhận các vấn đề cần được lưu ý trong những lần thực hiện sau và sẽ được đưa vào danh mục các mẫu tự động trong thử nghiệm động. Hiện tại, AV-Comparatives đang làm việc với đại học Innsbruck để phát triển mẫu này. Họ đã lên kế hoạch hoàn thành nó và sử dụng trong thử nghiệm vào năm 2010, cho phép họ sử dụng một lượng lớn các ca thử nghiệm, tăng cường việc ghi nhận, khả năng tiến hành và cả các đối tượng phát tán phụ khác (như email, chat, P2P, USB,…). Trong một số trường hợp, cũng cần các nhà cung cấp phần mềm thay đổi và cải tiến sản phẩm của họ, để giúp những người tiến hành thử nghiệm có thể áp dụng một số công đoạn tự động trong quy trình.

Trong phần lớn trường hợp, các sản phẩm bảo mật sẽ thực hiện những hành động thích hợp của chúng (tự ra quyết định rằng một thứ gì đó bị lây nhiễm mã độc và có nên bị khóa hay không); trong một số trường hợp, chúng hỏi người dùng quyết định làm gì, nhưng khuyên rằng nên khóa file nhiễm độc đó theo như tùy chọn mặc định. Chúng ta thường thực hiện các hành động mặc định mà phần mềm bảo vệ đã chọn hoặc khuyên nên chọn để hệ thống được bảo vệ an toàn, vì chúng ta tin tưởng một cách mù quáng vào những gì mà sản phẩm an ninh tuyên bố. Nếu như không có lựa chọn mặc định nào được đưa ra, và cảnh báo không khuyên một cách trực tiếp rằng chương trình/hành động/trang web đó có thể nguy hiểm, nhóm thử nghiệm sẽ chọn chọn “khóa” (block); hành động tương tự cũng được áp dụng cho thử nghiệm phát hiện nhầm, nếu cảnh báo đó xuất hiện trong suốt quá trình thử nghiệm mã độc thật. Nếu trường hợp kiểm tra mã độc không đưa ra cảnh báo nào để người sử dụng quyết định (vì không có hành động mặc định nào được đưa ra), thì cảnh báo đó sẽ không bị coi như cảnh báo nhầm với những ứng dụng sạch.

Các cảnh báo/cửa sổ tự bung của Firewall sẽ không được ghi nhận, vì chúng thường chỉ thông báo rằng một chương trình (mà có thể đó là một chương trình sạch sẽ, phổ biến) đang cố kết nối ra bên ngoài, và hỏi người sử dụng quyết định làm gì. Một vài tường lửa, như AVG, AVIRA, Bitdefender, F-Secure và Trustport vẫn khá là lắm mồm, yêu cầu các phản ứng/quyết định của người sử dụng. Kingsoft là một phần mềm phạm lỗi đặc biệt, nó thậm chí còn khuyên rằng nên khóa kết nối của một chương trình quan trọng, phổ biến. Thỉnh thoảng AVIRA đưa ra cảnh báo tường lửa, nhưng khuyên rằng nên cho phép kết nối. Trong trường hợp như vậy, tốt hơn hết, AVIRA nên tự nó thực hiện hành động (cho phép) mà không cần làm phiền đến người sử dụng. Các hệ thống ngăn ngừa sự xâm nhập dựa trên máy chủ (HIPS) của F-Secure và đặc biệt là G DATA đối khi cảnh báo về sự thay đổi cấu hình hệ thống gây ra bởi các ứng dụng khác, nhưng lựa chọn mặc định là "cho phép" chúng (do những thay đổi như vậy thường hay gặp phải thậm chí trong quá trình cài đặt các phần mềm sạch). Quan điểm của nhóm thử nghiệm là các sản phẩm chỉ cần thực hành động mà chúng khuyên (cho phép), chứ đừng nên hỏi người dùng đưa ra ý kiến. Nếu người dùng thường gặp phải những cảnh báo như thế, thậm chí là ở cả quá trình cài đặt các phần mềm phổ biến, an toàn, thì họ sẽ quen với việc cho phép các thay đổi, và có thể làm những việc tương tự như vậy với những mã độc thực sự mà chẳng cần suy nghĩ gì.

Các thông báo của Symantec Norton Download Insight không được ghi nhận trong thử nghiệm. Download Insight sử dụng công nghệ mới của Symantec giúp nhận dạng mức độ uy tín để khóa các file lây nhiễm và cảnh báo với các file mà độ uy tín chưa được xác minh. Nếu tính năng này được xem xét, thì Symantec sẽ ngăn ngừa được thêm một mã độc mà nó đã bỏ sót.

PTN nơi thực hiện thử nghiệm

Để đưa ra cuộc kiểm tra có cân nhắc đến trải nghiệm của người sử dụng, AV-Comparatives có kèm theo cả thử nghiệm cảnh báo nhầm/kiểm tra độ nhiễu[8], để xem tính năng bảo vệ của các sản phẩm bảo mật có quá nhạy cảm hay không, và có hiện cảnh báo khi truy cập các trang web an toàn, khi cài đặt các ứng dụng sạch hay không. AV-Comparatives đã kiểm tra 40 ca thử nghiệm sạch, được chọn ngẫu nhiên từ các cổng tải khác nhau. Họ duyệt các trang web, tải về, giải nén, cài đặt và chạy các ứng dụng đã cài để kiểm tra xem các phần mềm bảo vệ có gây cản trở gì không.

Hầu hết các sản phẩm không cản trở gì, nhưng một số sản phẩm khác (như ESET, F-Secure, Kaspersky và Symantec) lại tự động khóa một ứng dụng sách (chỉ một trường hợp). Ban đầu AV-Comparatives định trừ điểm các sản phẩm này nếu chúng mắc phải một cảnh báo nhầm duy nhất, nhưng sau đó họ nhất trí rằng nếu dựa theo thống kê thì điều này là không đủ để hạ cấp các sản phẩm, và họ chỉ đánh dấu chúng là “quá nhạy cảm”.

Tỷ lệ phát hiện/phòng tránh thành công



So sánh tỷ lệ phát hiện/phòng tránh thành công

Kết quả kiểm tra cho thấy hai "đại gia" lão làng trong lĩnh vực an ninh thông tin là Symantec và Kaspersky vẫn giữ được phong độ của mình, với khả năng phát hiện/ngăn ngừa lên tới 99%. ESET tuy có kết quả kiểm tra retrospective/on-demand rất tốt, nhưng lại yếu hơn trong kiểm tra động. Microsoft tiếp tục gây ngạc nhiên với phần mềm an ninh mới, nhẹ, nhưng rất hiệu quả của mình. Kết quả của McAfee không cao bằng các phần mềm khác, nhưng AV-Comparatives thông báo rằng họ sẽ cập nhật phiên bản mới hơn của phần mềm này. Norman và Kingsoft vẫn đứng cuối bàng như những cuộc thử nghiệm khác.

Kết quả trên cũng cho thấy mặc dù các tính năng bảo vệ hiệu quả được tích hợp bên trong các sản phẩm bảo mật, nhưng người sử dụng đừng bao giờ mong đợi rằng mình sẽ được bảo vệ an toàn 100% chỉ bằng cách phần mềm đó. Hơn nữa, nếu người dùng càng tăng cường mức độ an ninh, thì hiệu quả sử dụng sẽ càng giảm, và độ nhiễu gây ra càng tăng, do tính năng bảo vệ quá nhạy cảm (các sản phẩm lắm mồm thích hỏi người sử dụng quyết định).

Cuối cùng, xin được nhấn mạnh là: bất cứ phần mềm nào đã tham gia thử nghiệm đều là các sản phẩm có chất lượng cao, mức STANDARD (chuẩn) đã là kết quả tốt rồi. Nếu sản phẩm đạt mức ADVANCED là rất tốt, và ADVANCED+ thì là quá xuất sắc.

• Bảng tổng kết về các phần mềm diệt virus năm 2009 của VB100
• AV-Comparatives: Kết quả thử nghiệm khả năng phát hiện các PUA
• Báo cáo so sánh toàn diện về các phần mềm diệt virus năm 2009

• Potentially unwanted application (PUA): ứng dụng tiềm ẩn nguy cơ không mong muốn
• False positive/False alarm (FP): phát hiện nhầm, khi một ứng dụng sạch bị phần mềm an ninh phát hiện nhầm và đưa ra các cảnh báo sai
• Heuristic: nghiệm suy
• Engine: bộ máy tìm kiếm và phát hiện mã độc
• Đám mây: in-the-cloud
• HIPS (host-based intrusion-prevention system): tính năng bảo vệ sự xâm nhập thông qua máy chủ
• On-demand detection: Phát hiện theo yêu cầu
• On-demand proactive detection: Phát hiện trước (phòng tránh) theo yêu cầu
• Whole-product dynamic protection: Khả năng bảo vệ động của các sản phẩm toàn diện, nghĩa là những gói sản phẩm an ninh với đầy đủ các tính năng chứ không chỉ là tính năng diệt virus, kiểm tra được thực hiện trong "điều kiện động", là điều kiện giống hệt như những gì xảy ra trên thực tế. "Whole-product dynamic protection test" là bài kiểm tra quan trọng và có ý nghĩa nhất mà AV-Comparatives sẽ tiến hành định kỳ kể từ năm 2009.

Bảng kết quả thử nghiệm các phần mềm diệt virus trên Windows 7 tháng 12/2009 của VB100

Bảng tổng kết kết quả thử nghiệm các phần mềm diệt virus năm 2009 của VB100

• 5/5: Alwil, AVG (Grisoft), Eset, F-Secure, Kaspersky, McAfee
• 4/5: AEC (Trustport), CA Business, eScan, Fortinet, Kingsoft Advanced, Quick Heal, Sophos, Symantec
• 3/5: Avira, FRISK, K7 Computing, VirusBuster
• 2/5: AhnLab

• 4/4: GDATA
• 3/4: BitDefender (SOFTWIN), Microsoft Forefront
• 2/4: Kingsoft Standard, Norman
• 0/4: Filseclab

• 2/3: Agnitum, Authentium, Nifty
• 1/3: CA Consumer, eEye, PC Tools Internet Security, PC Tools Spyware Doctor

• 2/2: Bullguard, McAfee Total Security, Webroot
• 0/2: Finport, PC Tools AntiVirus, Rising

• 1/1: ArcaBit, Avira Personal, Check Point, F-Secure Protection Services, Kaspersky AntiVirus 2010, Microsoft OneCare, Microsoft Security Essentials, Preventon, Qihoo, Redstone, Sunbelt Vipre
• 0/1: Ikarus, Kingsoft Swinstar, Netgate

Bảng kết quả thử nghiệm Reactive Detection/Proactive Detection của các phần mềm diệt virus từ tháng 6-12/2009 của VB100