PC-Spione dingfest machen: Neun Antispyware-Tools im Test

Das Testsystem war mit einem AMD Athlon 64 3400+ mit 2 GB RAM und Windows 2000 als Host-Betriebssystem ausgestattet, auf dem VMware GSX Server lief. Das für jeden Test verwendete VM-Image bestand aus 512 MB RAM sowie einer mit allen aktuellen Patches versehenen Windows 2000 Professional-Installation. Alle Tests wurden am selben Tag durchgeführt und jedes Programm war mit den aktuellsten Updates und Signaturdateien ausgestattet. Die Tests wurden mit einer Auswahl an Spyware sowie Adware durchgeführt. Zentral verwaltete Systeme wurden, wenn möglich, so eingerichtet, dass sie einen separaten virtuellen Rechner überwachten.

Zu Evaluations- und Testzwecken haben wir aufgeführt, wie viele Signaturen erkannt wurden (wobei man beachten sollte, dass eine Instanz einer Signatur mehrfach Alarme auslösen kann, in einigen Fällen mehrere Hundert Mal für eine einzige Infektion), wie viele individuelle Infektionen die Anwendung registrierte sowie eine Auswertung der Ergebnisse.

Bei den Beurteilungskriterien zählten Cookies nicht als individuelle Infektionen. Damit gehen Fehlalarme (false positives) nicht in die Wertung ein. Außerdem wurde sichergestellt, dass einzelne Bedrohungen nicht mehrfach gezählt wurden. Gelegentlich können leichte Variationen in den Signaturen dazu führen, dass die Software eine Infektion mehrfach registriert.

Test 1.1 – Genauigkeit auf sauberen Rechnern
Für jedes Programm wurde ein sauberes Image erstellt und die Antispyware-Anwendung installiert. Dann wurden die Scans durchgeführt und nachgesehen, ob irgendetwas auf einem neu aufgesetzten, sauberen System mit allen Patches gemeldet wurde. Zweck war, zu sehen, ob die Anwendungen in der Standardeinstellung Fehlalarme produzierten.

Test 1.2 – Genauigkeit auf infizierten Rechnern
Für jedes Programm im Test wurde ein sauberes Image erstellt und der Rechner vor der Installation der Antispyware-Anwendung mit Spyware sowie einigen Adware-Anwendungen infiziert. Sobald die Antispyware-Anwendungen installiert waren, wurden die Standardscans durchgeführt und die Ergebnisse sowie die entdeckten Signaturen und Instanzen aufgezeichnet. Dann wurden diese Ergebnisse ausgewertet (Fehlalarme aussortiert, Cookies von der Zählung individueller Infektionen ausgeschlossen und sichergestellt, dass einzelne Instanzen nicht mehrfach gezählt wurden). Dieser Test zeigt, wie gut die Anwendungen beim Aufspüren von Spyware und Adware auf Rechnern sind, die bereits mit Spyware infiziert sind und Adware installiert haben.

Test 2.1 – Effizienz
Aufgrund der Scan-Ergebnisse aus Test 1.2 mussten die drei besten Anwendungen, welche die meisten Infektionen entdeckt hatten, antreten und alle gefundenen Schädlinge vom PC entfernen. Nach dieser Säuberungsaktion wurde ein erneuter Scan mit derselben Anwendung durchgeführt um sicherzustellen, dass keine Überreste zurückgeblieben sind.

Test 3.1 – Performance, sauberer Rechner
Alle Antispyware-Anwendungen wurden auf einem sauberen Image installiert und es wurde sichergestellt, dass alle automatischen Scans deaktiviert waren und keine der Antispyware-Anwendungen im Speicher verblieb. Damit stand als Vergleichsmaßstab der Ressourcenverbrauch des inaktiven Systems fest. Danach wurden die vom Hersteller empfohlenen Standard-Scans durchgeführt und die dafür benötigte Zeit gemessen. Dieser Test wurde dreimal wiederholt und die Messwerte gemittelt.

Test 3.2 – Performance, infizierter Rechner
Alle Antispyware-Anwendungen wurden auf einem sauberen Image installiert und es wurde sichergestellt, dass alle automatischen Scans deaktiviert waren und keine der Antispyware-Anwendungen im Speicher verblieb. Dann wurde dieselbe Spyware und Adware wie bei Test 1.2 installiert, aber dieses Mal wurden die vom Hersteller empfohlenen Standard-Scans durchgeführt und die dafür benötigte Zeit gemessen. Dieser Test wurde dreimal wiederholt und die Messwerte gemittelt. Die „Auto Clean“-Funktion der Programme wurde deaktiviert, um dafür zu sorgen, dass die Scans wiederholt durchgeführt werden konnten um die Performance zu messen. Außerdem wurde kontrolliert, ob die Antispyware-Anwendungen bei jedem Durchlauf dieselben Ergebnisse lieferten.