Методология теста антивирусов на обнаружение полиморфных вирусов

Подготовка теста

Для проведения данного тестирования антивирусов экспертной группой Anti-Malware.ru были отобраны вредоносные программы удовлетворяющие следующим критериям:

  1. использование техники полиморфизма для затруднения своего обнаружение антивирусами;
  2. новизна (появление/распространение в 2007 году);
  3. распространение в Интернет, ITW-образцы (In The Wild).

Исходя из имеющейся функциональности, отобранные вредоносные программы были разделены на 11 семейств (в скобках указаны названия входящих в них образцов по классификации некоторых вендоров):

  1. Allaple.1 (Symantec: W32.Rahack.H, W32.Rahack.W; DrWeb: Trojan.Starman; Kaspersky Lab: Net-Worm.Win32.Allaple.a, Net-Worm.Win32.Allaple.d);
  2. Allaple.2 (Symantec: W32.Rahack.W; DrWeb: Trojan.Starman; Kaspersky Lab: Net-Worm.Win32.Allaple.b);
  3. Allaple.3 (Symantec: W32.Rahack.H; DrWeb: Trojan.Starman; Kaspersky Lab: Net-Worm.Win32.Allaple.d, Net-Worm.Win32.Allaple.e);
  4. Allaple.4 (Symantec: W32.Rahack.H, W32.Rahack.W; DrWeb: Trojan.Starman; Kaspersky Lab: Net-Worm.Win32.Allaple.e, Net-Worm.Win32.Allaple.d);
  5. Alman.1 (Symantec: W32.Almanahe.A!inf, W32.Almanahe.B!inf, W32.Fubalka.B …; DrWeb: Win32.Alman.2, Win32.Alman.3; Kaspersky Lab: Virus.Win32.Alman.a);
  6. Alman.2 (Symantec: W32.Almanahe.B!inf, [email protected], W32.Bustoy, W32.SillyDC …; DrWeb: Win32.Alman; Kaspersky Lab: Virus.Win32.Alman.b);
  7. Twido.1 (Avira: W32/Tvido; DrWeb: Win32.Dwee.2887, Win32.Dwee.3029; Kaspersky Lab: Virus.Win32.Tvido.a);
  8. Twido.2 (Avira: W32/Tvido.B; DrWeb: Win32.Dwee.2; Kaspersky Lab: Virus.Win32.Tvido.b);
  9. Virut.2 (Symantec: W32.Virut.B, W32.Virut!gen, W32.Ifbo.A, W32.Virut.H …; DrWeb: Win32.Virut.5; Kaspersky Lab: Virus.Win32.Virut.n, Backdoor.Win32.VanBot.bh, Backdoor.Win32.VanBot.ax …);
  10. Virut.3 (Symantec: W32.Virut.B, W32.Virut!gen, W32.Virut.R, Downloader …; DrWeb: Win32.Virut.5, Trojan.MulDrop.5684, Trojan.DownLoader.24029, Trojan.Fakealert.257 …; Kaspersky Lab: Virus.Win32.Virut.n, Virus.Win32.Virut.m, Virus.Win32.Virut.q, Trojan.Win32.Agent.bnj, Trojan.Win32.Agent.qt …);
  11. Virut.4 (Symantec: W32.Virut.U, Trojan Horse, W32.Virut.R, W32.Virut!gen, Downloader …; DrWeb: Win32.Virut.5; Kaspersky Lab: Virus.Win32.Virut.q, Trojan-Downloader.Win32.VB.awj, Trojan-PSW.Win32.OnLineGames.yn …).

Начальный набор тестовых образцов формировался из числа распространяемых в сети, а также от всех антивирусных вендоров, изъявивших желание содействовать в проведении данного теста.

Важно! Первоначальный отбор, анализ и группировка самплов является главной частью подготовки теста, занявшей большее количество времени.

Чтобы точно убедиться в правильности разработанных алгоритмов обнаружения полиморфных вирусов необходимо иметь как можно больше модификаций отобранных полиморфных вирусов. Поэтому для получения тестовой коллекции производилось размножение начального набора тестовых образцов по следующей схеме:

  1. Клонировалась чистая виртуальная машина под управлением Microsoft Windows XP SP2.
  2. Производилось заражение системы при помощи одного из вредоносных образцов из начального набора.
  3. Фиксировались изменений файловой системы (список зараженных файлов) при помощи специальной утилиты.
  4. Вновь полученные вредоносные объекты копировались с виртуальной машины.
  5. Производился откат к начальному состоянию (пункт 1) и заражение производилось заново.

В итоге была получена коллекция из 30 тыс. экземпляров вредоносных программ (от 500 до 8000 в каждом семействе), которая и была использована для тестирования возможностей антивирусов по обнаружению полиморфных вирусов.

Проведение теста

Тест проводился на специально подготовленном стенде под управлением VMware GSX Server. Для каждого антивирусного продукта клонировалась "чистая" виртуальная машина с операционной системой Microsoft Windows XP SP2.

В тестировании участвовали следующие антивирусные программы:

  1. Agnitum Outpost Seciruty Suite Pro 2008 (VirusBuster)
  2. Avast Professional Edition 4.7
  3. AVG Anti-Virus Professional Edition 7.5
  4. Avira Antivir Personal Edition Classic 7.06
  5. BitDefender Anti-Virus 2008
  6. DrWeb 4.44
  7. Eset Nod32 Antivirus 3.0
  8. F-Secure Anti-Virus 2008
  9. Kaspersky Anti-Virus 7.0
  10. McAfee VirusScan 2008
  11. Microsoft Windows Live OneCare 2.0 Pre-Release
  12. Panda Antivirus 2008
  13. Sophos Anti-Virus 7.0
  14. Symantec Anti-Virus 2008
  15. Trend Micro Antivirus plus Antispyware 2008
  16. VBA32 Workstation 3.12.2

При установке антивирусов производились все рекомендуемые программой действия (перезагрузка системы, обновление и т.д.). Настройки антивирусов не изменялись и оставались установленными по умолчанию. Исключение составляют случаи, когда в настройках сканирования необходимо было активировать опцию "проверка всех файлов".

Шаги проведения тестирования:

  1. Включение виртуальной машины;
  2. Проверка коллекции отобранных вредоносных программ сканером по требованию (настройки на автоматическое удаление/карантин обнаруженных объектов);
  3. Подсчет оставшихся образцов после проверки коллекции.

Для каждой антивирусной программы выделялась отдельная чистая виртуальная машина - шаг 1. Для каждого антивируса создавалась своя копия коллекции вредоносных программ - шаг 2.

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.
Если вы являетесь производителем и хотели бы видеть свой продукт в списке протестированных по данной методологии или обновить его результаты, не дожидаясь нового планового теста, вы можете воспользоваться услугой индивидуального тестирования.