AV-Comparatives: Kết quả thử nghiệm khả năng phát hiện các PUA
Báo cáo kết quả kiểm tra khả năng phát hiện các “potentially unwanted applications” của AV-Comparatives tháng 12/2009
Trong những năm gần đây, số lượng các phần mềm quảng cáo, phần mềm gián điệp và các phần mềm lừa đảo đã gia tăng đáng kể. Những ứng dụng như vậy không thuộc loại mã độc tiêu biểu, và việc xếp loại chúng đôi khi khá là khó khăn, chúng thường được miêu tả bằng thuật ngữ “potentially unwanted applications” (PUA), tạm gọi là “những ứng dụng tiềm tàng không mong muốn”. Trong một số trường hợp, PUA có thể được chấp nhận tại một số quốc gia, tùy thuộc vào nền văn hóa và hệ thống luật pháp của họ, bởi hệ thống pháp lý sẽ quyết định xem một chương trình nào đó có bị coi là phần mềm độc hại hay không. Thuật ngữ “potentially unwanted” được sử dụng do nó bao hàm cả các trường hợp không rõ ràng như vậy. Thường thì các thử nghiệm của AV-Comparatives không bao gồm những loại phần mềm này, nhưng nhiều người lại muốn biết phần mềm diệt virus của họ có khả năng ra sao trong việc phát hiện ra những ứng dụng tiềm tàng khả năng không mong muốn đó. Dù sao đi nữa, tỷ lệ phát hiện ra các PUA cũng tương tự như tỷ lệ phát hiện mã độc mà mới đây tôi đã giới thiệu với các bạn trong báo cáo kết quả kiểm tra các phần mềm diệt virus năm 2009 của VB100, và bảng so sánh các phần mềm diệt virus năm 2009 của AV-Comparatives.
Thử nghiệm PUA bao gồm 570.297 mẫu, chỉ chứa các file thực thi chương trình và các adware (phần mềm quảng cáo) chính, như Virtumonde, browser hijackers,…; spyware (phần mềm gián điệp), như các keylogger; và các rogue software (phần mềm lừa đảo), như các phần mềm anti-virus giả mạo, các phần mềm cố ý gây hiểu lầm (giao diện giống phần mềm thật, nhưng có chức năng ngầm khác). AV-Comparatives quyết định không sử dụng các phần mềm quay số (dialer) và các công cụ tiềm tàng khả năng nguy hiểm khác, vì việc phân loại và sử dụng các phần mềm này có thể gây nên nhiều tranh cãi. Một số sản phẩm bảo mật phân loại PUA vào dạng trojan, trong khi một số công ty khác lại không muốn thêm những PUA đó vào danh sách những ứng dụng không mong muốn, do chính sách của công ty họ.
Bộ adware/spyware/rogue (“potentially unwanted applications”, PUA) được niêm phong vào ngày 20/10/2009. Hệ thống và các sản phẩm thử nghiệm được cập nhật vào ngày 6/11/2009. AV-Comparatives kiểm tra các sản phẩm với những thiết đặt an ninh ở chế độ cao nhất (ngoại trừ F-Secure và Sophos, do yêu cầu riêng của họ).
Kết quả những thử nghiệm của AV-Comparatives thường có thể áp dụng cho chế độ on-access (quét nền) nếu được cấu hình như nhau, nhưng không áp dụng cho các công nghệ bảo vệ on-execution, ví dụ như tính năng bảo vệ sự xâm nhập dựa trên máy chủ (HIPS) và khóa hành vi. Khả năng phát hiện tốt vẫn là tính năng quyết định, quan trọng và đáng tin cậy nhất của sản phẩm diệt virus. Thêm nữa, hầu hết sản phẩm phải cung cấp ít nhất một vài kiểu HIPS, sự bảo vệ dựa trên hành vi hoặc tính năng khác để khóa (hay ít nhất là cảnh báo) các hành động có hại. Ví dụ, chúng phải có khả năng khóa (hoặc cảnh báo) khi các phần mềm độc hại thực thi, mặc dù tất cả các bộ máy phát hiện/bảo vệ on-access và on-demand đã bị lỗi.
Đây là thử nghiệm đầu tiên của AV-Comparatives về khả năng phát hiện PUA, vì thế, các giải thưởng này có thể thay đổi trong các lần thử nghiệm sau. Các giải thưởng này còn được phân chia theo số lượng mẫu bị phát hiện nhầm nữa, quy tắc phân chia các bạn xem ở đây.
0 comments: