Методология теста антивирусов на лечение активного заражения (февраль 2010)

Подготовка теста

Для проведения тестирования антивирусов на лечение активного заражения экспертной группой Anti-Malware.ru были отобраны 16 вредоносных программ по следующим критериям:

1. чтобы максимально полно покрыть используемые ими технологии маскировки, защиты от обнаружения/удаления;
2. распространенность (на текущий момент или ранее);
3. детектирование файлов-компонентов вредоносной программы всеми участвующими в тестировании антивирусами;
4. способность противодействовать своему обнаружению/удалению со стороны антивируса и/или восстанавливать свои компоненты в случае их удаления антивирусом;
5. отсутствие целенаправленного противодействия работе любого тестируемого антивируса (удаление файлов, ключей принадлежащих антивирусу, завершение процессов антивируса, блокировка возможности обновления баз антивируса);
6. отсутствие целенаправленного противодействия полноценной работе пользователя на компьютере.

В отборе вредоносных программ для теста отдавался приоритет наиболее сложным видам, которые больше удовлетворяют приведенным выше критериям.

Стоит отметить, что критически важным параметром для отбора вредоносных программ для теста было детектирование их файловых компонентов со стороны всех участвовавших в тесте антивирусов.

Все используемые в тесте вредоносные программы были собраны экспертами Anti-Malware.ru во время распространения в интернет (In The Wild).

Таким образом, для теста были отобраны следующие вредоносные программы:

1. AdWare.Virtumonde (Vundo)
2. Rustock (NewRest)
3. Sinowal (Mebroot)
4. Email-Worm.Scano (Areses)
5. TDL (TDSS, Alureon, Tidserv)
6. TDL2 (TDSS, Alureon, Tidserv)
7. Srizbi
8. Rootkit.Podnuha (Boaxxe)
9. Rootkit.Pakes (synsenddrv)
10. Rootkit.Protector (Cutwail, Pandex, Pushdo)
11. Virus.Protector (Kobcka, Neprodoor)
12. Xorpix (Eterok)
13. Trojan-Spy.Zbot
14. Win32/Glaze
15. SubSys (Trojan.Okuks)
16. TDL3 v.3.17 (TDSS, Alureon, Tidserv)

Каждый отобранный экземпляр вредоносной программы проверялся на работоспособность и установку на тестовой системе. Подробное описание вредоносных программ можно будет найти в полном отчете о тестировании в формате Excel.

Проведение

Тест проводился на реальных машинах (в отличие от более ранних тестов) под управлением операционной системы Microsoft Windows XP Professional с интегрированным Service Pack 3.

lkd> !devstack \Device\Harddisk0\DR0
!DevObj   !DrvObj            !DevExt   ObjectName
89bcfe08  \Driver\PartMgr    89bcfec0
> 89bceab8  \Driver\Disk       89bceb70  DR0
89b74f18  \Driver\ACPI       89c0f0e0  00000061
89bd0940  \Driver\atapi      89bd09f8  IdeDeviceP0T0L0-3

В тестировании участвовали следующие антивирусные программы:

1. Avast! Professional Edition 4.8.1368
2. AVG Anti-Virus & Anti-Spyware 8.5.0.40
3. Avira AntiVir PE Premium 9.0.0.75
4. BitDefender Antivirus 2010 (13.0.18.345)
5. Comodo Antivirus 3.13.121240.574
6. Dr.Web Anti-Virus 5.00.10.11260
7. Eset NOD32 Antivirus 4.0.474.0
8. F-Secure Anti-Virus 2010 (10.00 build 246)
9. Kaspersky Anti-Virus 2010 (9.0.0.736 (a.b))
10. McAfee VirusScan 2010 (13.15.113)
11. Microsoft Security Essentials 1.0.1611.0
12. Outpost Antivirus Pro 2009 (6.7.1 2983.450.0714)
13. Panda Antivirus 2010 (9.01.00)
14. Sophos Antivirus 9.0.0
15. Norton AntiVirus 2010 (17.0.0.136)
16. Trend Micro Antivirus plus Antispyware 2010 (17.50.1366)
17. VBA32 Antivirus 3.12.12.0

При установке на зараженную машину использовались рекомендуемые производителем настройки по умолчанию и производились все рекомендуемые программой действия (перезагрузка системы, обновление и т.д.):

• Процесс установки по возможности выполнялся с учетом рекомендованных установщиком действий, в том числе обновление продукта и проверка на вредоносные программы.
• Если установщик не предложил перезагрузиться, то запускается проверка поиска вредоносных программ без перезагрузки системы после инсталляции. В случае неуспеха проверки (вредоносная программа не была обнаружена или была обнаружена, но не удалена), система перезагружалась и снова запускалась проверка поиска вредоносных программ.
• Если походу инсталляции не было произведено обновление, оно выполнялось вручную перед лечением активного заражения.
• При лечении активного заражения в первую очередь инициировались проверки из профилей проверок в интерфейсе антивируса (quick scan, startup scan etc). В случае неуспеха первой проверки запускалась проверка каталога из контекстного меню, в котором находятся файлы активной вредоносной программы. В случае не успеха и в этом случае, запускалась проверка всей системы.
• Если в интерфейсе антивируса имеется возможность запустить отдельную проверку на руткиты, то она производилась первой на всех образцах, содержащих руткит-компоненту.
• Если при проверке обнаруживался только один из нескольких компонентов вредоносной программы, то поиск остальных компонент продолжался после перезагрузки.
• Если предлагалось несколько вариантов действий, действия выбирались в следующей последовательности по порядку в случае не успешности: "лечить", "удалить", "переименовать", "карантин".

Шаги проведения тестирования:

1. Установка на жесткий диск операционной системы и создание полного образа жесткого диска при помощи Acronis True Image.
2. Заражение машины с чистой операционной системой (активация вредоносной программы).
3. Проверка работоспособности вредоносной программы и ее успешной установки в системе.
4. Перезагрузка зараженной системы.
5. Проверка активности вредоносной программы  в системе.
6. Установка антивируса и попытка лечения зараженной системы.
7. Фиксируются показания антивируса, оставшиеся ключи автозагрузки вредоносной программы после успешного лечения. В случае не успешности лечения проверяется активность вредоносной программы или ее компонентов.
8. Восстановление образа незараженной операционной системой на диске при помощи Acronis True Image (загрузка с CD).
9. Повторение пунктов 2-8 для всех вредоносных программ и всех антивирусов.

Ссылки по теме

• Купить продукты Eset в интернет-магазине ITSHhop.ru
• Купить продукты Symantec в интернет-магазине ITShop.ru
• Купить продукты Trend-Micro в ITShop.ru
• Купить продукты Лаборатории Касперского в интернет-магазине ITShop.ru
• Подписаться на рассылку "Безопасность компьютерных сетей и защита информации"