Majowa edycja Advanced In-The-Wild Malware Test na próbkach z Internetu

Prawie połowa roku już za nami, tym samym kończymy 3. edycję testu Advanced In-The-Wild Malware Test – długoterminowego badania, którego celem jest wyłonić najlepsze, kompleksowe rozwiązania bezpieczeństwa do ochrony systemów Windows. W maju przetestowaliśmy aż 17 rozwiązań pod kątem wykrywania i neutralizowania zagrożeń – adresy URL prowadzące do szkodliwej zawartości pozyskujemy z różnych miejsc. Są to komercyjne i darmowe feedy, komunikatory, fora internetowe, honeypoty.

Nasze testy są zgodne z wytycznymi Anti-Malware Testing Standards Organisation. Szczegóły na temat badania dostępne są na tej stronie, a także w naszej metodologii.

Jakie rozwiązania testowaliśmy w maju 2025?

Jakich używamy ustawień?

Chociaż w naszych testach staramy się unikać próbek typu PUP i PUA (potencjalnie niepożądanych aplikacji), zalecamy włączenie funkcji ochrony przed tego typu zagrożeniami — sami również zawsze ją aktywujemy.

Podczas konfiguracji systemu zabezpieczającego zwracamy uwagę, aby – jeżeli to możliwe – korzystać z dedykowanego rozszerzenia do przeglądarki. Dodatkowo ustawiamy program w taki sposób, by automatycznie reagował na incydenty poprzez ich blokowanie, usuwanie lub naprawianie.

Na podstawie wielu dotychczasowych testów zauważamy, iż ustawienia domyślne są zwykle dobre, ale nie zawsze zapewniają optymalny poziom ochrony. Dlatego dla pełnej przejrzystości informujemy o wszystkich modyfikacjach konfiguracji – zarówno tych, które mają na celu zwiększenie skuteczności, jak i tych wymaganych przez producenta oprogramowania.

Rozwiązania klasy Enterprise

Rozwiązania dla konsumentów i małych firm

Badanie Advanced In-The-Wild Malware Test

Jak oceniamy i jak długo trwa?

​W roku kalendarzowym przeprowadzamy 6 edycji badań, które kończą się wielkim podsumowaniem mającym na celu wyłonić nagrody dla najlepszych rozwiązań antywirusowych.

W każdej edycji oceniamy skuteczność testowanych produktów bezpieczeństwa dla firm i dla konsumentów z uwzględnieniem 3 kluczowych parametrów:

1. PRE_EXECUTION – oceniamy, czy zagrożenie zostało zidentyfikowane i zablokowane na wczesnym etapie, zanim jeszcze doszło do jego uruchomienia. Może to obejmować blokadę strony internetowej, pobieranego pliku lub próbę jego zapisu bądź dostępu do niego.
   
   
2. POST_EXECUTION – sprawdzamy, czy złośliwe oprogramowanie, które zostało pobrane i uruchomione w systemie, zostało rozpoznane i zatrzymane podczas bardziej zaawansowanej analizy. Ten etap symuluje najgroźniejszy scenariusz — atak 0-day, w którym malware zdążyło już rozpocząć działanie.
   
   
3. REMEDIATION TIME – mierzymy czas, jaki upływa od momentu pojawienia się zagrożenia w systemie do jego całkowitego usunięcia oraz naprawy skutków incydentu. Ten parametr ściśle wiąże się z poprzednimi i pozwala ocenić, jak gwałtownie i skutecznie oprogramowanie radzi sobie z eliminacją zagrożeń.

Złośliwe oprogramowanie często wykorzystuje natywne narzędzia i komponenty systemu Windows (tzw. LOLBins – Living off the Land Binaries) do realizacji nieautoryzowanych operacji bez wzbudzania podejrzeń. Na podstawie przeanalizowanych logów zidentyfikowano następującą liczbę przypadków, w których legalne procesy systemowe zostały zaangażowane w działania malware:

1. schtasks.exe, 4974
2. rundll32.exe, 3531
3. certutil.exe, 2154
4. powershell.exe, 1271
5. consent.exe, 881
6. csc.exe, 455
7. wmiprvse.exe, 302
8. ping.exe, 263
9. reg.exe, 181
10. mshta.exe, 145
11. wscript.exe, 127
12. wmic.exe, 122
13. regsvr32.exe, 70
14. control.exe, 42
15. conhost.exe, 31
16. net1.exe, 28
17. vssadmin.exe, 26
18. iexplore.exe, 8
19. cscript.exe, 4

Proces schtasks.exe odnotowano 4974 razy w testowanych systemach, przykładowo:

Proces certutil.exe wystąpił 2154 razy np:

Niektóre rozwiązania zabezpieczające nie wykryły przynajmniej jednej próbki zagrożenia. Choć pojedynczy incydent może wydawać się statystycznie nieistotny, to w rzeczywistości może reprezentować nieznane wcześniej zagrożenie typu 0-day. Tego typu atak jest w stanie ominąć mechanizmy ochronne systemu operacyjnego oraz silniki wykrywania zainstalowanego systemu antywirusowego. W konsekwencji może to skutkować infekcją systemu, zaszyfrowaniem danych, kradzieżą informacji lub innym niepożądanym działaniem.

O badaniu z cyklu Advanced In-The-Wild Malware Test

Badanie realizowane jest cyklicznie sześć razy w roku i koncentruje się na ocenie skuteczności rozwiązań ochronnych w wykrywaniu i blokowaniu złośliwego systemu działającego w środowisku systemu Windows 11. Celem badania jest identyfikacja silnych i słabych stron testowanych rozwiązań w zakresie wykrywania i neutralizacji aktywnie występujących w środowisku zagrożeń. Testowi towarzyszy również gromadzenie danych telemetrycznych, które pozwalają na analizę aktualnego krajobrazu zagrożeń oraz technik najczęściej wykorzystywanych przez cyberprzestępców w atakach ukierunkowanych i masowych.

O AVLab Cybersecurity Foundation

AVLab Cybersecurity Foundation to ceniona organizacja działająca w ramach AMTSO (Anti-Malware Testing Standards Organization) oraz Microsoft Virus Initiative (MVI). Specjalizuje się w podnoszeniu poziomu bezpieczeństwa cyfrowego poprzez szczegółowe testy i analizy rozwiązań zabezpieczających. Eksperci AVLab stosują zaawansowane i realistyczne metody oceny skuteczności systemu ochronnego w rzeczywistych warunkach zagrożeń. Organizacja regularnie aktualizuje swoje protokoły testowe, dzięki czemu dostarcza rzetelne i wartościowe raporty z zakresu cyberbezpieczeństwa, wspierając zarówno użytkowników indywidualnych, jak i przedsiębiorstwa w podejmowaniu świadomych decyzji dotyczących ochrony ich systemów.