Методология теста антивирусов на лечение активного заражения (сентябрь 2007)

Подготовка теста

Для проведения тестирования антивирусов на лечение активного заражения экспертной группой Anti-Malware.ru были отобраны 17 вредоносных программ по следующим критериям:

1. детектирование родительского файла всеми участвующими в тесте антивирусами;
2. способность маскировать свое присутствие;
3. способность противодействовать обнаружению со стороны антивируса;
4. способность восстанавливаться в случае удаления некоторых компонент;
5. распространенность и известность.

В отборе вредоносных программ для теста отдавался приоритет наиболее сложным семплам, которые больше удовлетворяют приведенным выше критериям.

Стоит отметить, что критически важным параметром для отбора вредоносных программ для теста было детектирование их со стороны всех участвовавших в тесте антивирусов.

Все используемые в тесте вредоносные программы были собраные экспертами Anti-Malware.ru во время распространения в Интернет (In The Wild).

Таким образом, для теста были отобраны следующие вредоносные программы по классификации (Лаборатории Касперского):

1. Adware.Win32. Look2me.ab
2. Adware. Win32.NewDotNet
3. AdWare.Win32.Virtumonde.bq
4. Backdoor.Win32.Haxdoor.ix
5. Backdoor.Win32.PcClient.ca
6. Email-Worm.Win32.Scano.ac
7. Trojan-Clicker.Win32.Costrat.l
8. Trojan-Downloader.Win32.Agent.brr
9. Trojan-Downloader.Win32.Agent.brk
10. Trojan-Proxy.Win32.Agent.lb
11. Trojan-Proxy.Win32.Wopla.ag
12. Trojan-Proxy. Win32.Xorpix.ba
13. Trojan-Spy.Win32.Bancos.aam
14. Trojan-Spy.Win32.Goldun.ls
15. Virus.Win32.Gpcode.af
16. Rootkit.Win32.Agent.ea
17. SpamTool.Win32.Agent.u

Каждый отобранный экземпляр вредоносной программы проверялся на работоспособность и установку на тестовой системе.

Проведение

Тест проводился на специально подготовленном стенде под управлением VMware GSX Server. Для каждого экземпляра вредоносной программы клонировалась «чистая» виртуальная машина с операционной системой Microsoft Windows XP SP2 и всеми установленными патчами на момент проведения теста.

В тестировании участвовали следующие антивирусные программы:

1. Avast! Professional Edition 4.7.1029
2. AVG Anti-Virus 7.5.476
3. Avira AntiVir PE Premium 7.0
4. BitDefender Antivirus 10
5. Dr.Web Anti-Virus 4.33.3
6. Dr.Web Anti-Virus 4.44.0.8030 beta
7. Eset NOD32 Antivirus 2.70.39
8. F-Secure Anti-Virus 2007 7.02.395
9. Kaspersky Anti-Virus 7.0.0.125
10. McAfee VirusScan 2007
11. Panda Antivirus 2008
12. Sophos Anti-Virus 6.5.7 R2
13. Symantec Norton AntiVirus 2007
14. Trend Micro Internet Security 2007
15. VBA32 Antivirus 3.12.2.2

При установке на зараженную машину учитывались рекомендуемые производителем настройки по умолчанию и производились все рекомендуемые программой действия (перезагрузка системы, обновление и т.д.).

Если вредоносный код не детектировался автоматически антивирусным монитором, то инициировалась проверка по требованию каталога (или нескольких каталогов), где должны были быть расположены файлы вредоносной программы.

Шаги проведения тестирования:

1. заражение (активация) вредоносной программой виртуальной машины;
2. проверка роботоспособности вируса и его успешной установки в системе;
3. многократная перезагрузка зараженной системы;
4. попытка установки тестируемого антивируса и очистки системы;
5. если удается очистить систему, фиксируем оставшиеся следы заражения системы.

Для каждого отобранного семпла вредоносной программы выделялась своя чистая виртуальная машина – шаг 1. После попытки установки какого-либо антивируса и лечении заражения, машина откатывалась в первоначальное состояние – шаг 3.