Тест антируткитов на детектирование и лечение вредоносных программ (декабрь 2007)

Для обнаружения и удаления подобных вредоносных программ существует множество специализированных программных продуктов – антируткитов.

Цель данного теста – проверить способность наиболее популярных антивирусов и антируткитов обнаруживать и удалять широко распространенные в сети вредоносные программы (ITW-образцы), использующие руткит-технологии.

Данное тестирование на распространенных ITW-образцах вредоносных программ дает представление о том, насколько хорошо рассматриваемые решения справляются с уже известными руткитами.

Методология тестирования »

Результаты тестирования

 

 

Отлично
9 из 9
Antivir Rootkit 1.0 Beta3
AVG Antirootkit 1.1 Beta
Trend Micro RootkitBuster 1.6 Beta
Хорошо
8 из 9
McAfee Rootkit Detective 1.0 Beta
Rootkit Unhooker 3.2
F-Secure BlackLight 2.2 Beta
Sophos Anti-Rootkit 1.2
AVZ 4.23
Слабые результаты: Gmer 1.0 (6 из 9)
Bitdefender Antirootkit 1.2 Beta2 (6 из 9)
UnHackMe 4.0 (2 из 9)

 

 


В тесте принимали участие 11 специализированных продуктов, предназначенных для детектирования и удаление программ, скрывающих свое присутствии в системе (руткитов), среди них:

  1. Antivir Rootkit 1.0.1.12 Beta3
  2. AVG Antirootkit 1.1.0.29 Beta
  3. Trend Micro RootkitBuster 1.6.0.1055 Beta
  4. McAfee Rootkit Detective 1.0.0.41 Beta
  5. Rootkit Unhooker 3.20.130.388
  6. F-Secure BlackLight 2.2.1055 Beta
  7. Sophos Anti-Rootkit 1.2.2
  8. AVZ 4.23
  9. Gmer 1.0.12.12027
  10. Bitdefender Antirootkit 1.2.0.0 Beta2
  11. UnHackMe 4.0

Тест проводился на следующих вредоносных программах, которые были выбраны в соответствии с определенными требованиями:

  1. Backdoor.Win32.Haxdoor.fd
  2. Backdoor.Win32.Padodor.ax
  3. Monitor.Win32.EliteKeylogger.21
  4. Monitor.Win32.SpyLantern.530
  5. Trojan-Clicker.Win32.Costrat.af
  6. Trojan-Proxy.Win32.Agent.lb
  7. Trojan-Spy.Win32.Goldun.np
  8. Trojan.Win32.DNSChanger.ih
  9. Worm.Win32.Feebs.gt

Названия вредоносных программ указаны по классификации Лаборатории Касперского, альтернативные имена по классификации других вендоров можно посмотреть в подробном отчете о тестировании.

Проверка возможности антируткитов по детектированию и лечению вредоносных программ проводилась четко в соответствии с определенной методологией.

 

Таблица 1: Результаты детектирования и лечения вредоносных программ различными антируткитами

Название антируткита Успешно детектировано и удалено Не обнаружено руткита или лечение невозможно
Удалено полностью Остались следы заражения *
Antivir Rootkit 1.0.1.12 Beta3 7 2 0
AVG Antirootkit 1.1.0.29 Beta 6 3 0
AVZ 4.23 ** 4 4 1
Bitdefender Antirootkit 1.2.0.0 Beta2 1 5 3
F-Secure BlackLight 2.2.1055 Beta 6 2 1
Gmer 1.0.12.12027 1 5 3
McAfee Rootkit Detective 1.0.0.41 Beta 7 1 1
Rootkit Unhooker 3.20.130.388 7 1 1
Sophos Anti-Rootkit 1.2.2 6 2 1
Trend Micro RootkitBuster 1.6.0.1055 Beta 5 4 0
UnHackMe 4.0 0 2 7

* - вредоносная программа успешно детектирована и удалена, но остались незначительные следы ее пребывания в системе

** AVZ является утилитой для исследования системы с возможностью обнаруживать и удалять вредоносные программы (не полноценный антивирус). В тесте она использовалась как антивирусный сканер.

 

Таблица 2: Итоговые результаты тестирования антируткитов

Отлично
9 из 9
Antivir Rootkit 1.0 Beta3
AVG Antirootkit 1.1 Beta
Trend Micro RootkitBuster 1.6 Beta
Хорошо
8 из 9
McAfee Rootkit Detective 1.0 Beta
Rootkit Unhooker 3.2
F-Secure BlackLight 2.2 Beta
Sophos Anti-Rootkit 1.2
AVZ 4.23
Слабые результаты: Gmer 1.0 (6 из 9)
Bitdefender Antirootkit 1.2 Beta2 (6 из 9)
UnHackMe 4.0 (2 из 9)

 

Таблица 3: Итоговые результаты тестирования антируткитов (только релизы)

Хорошо
8 из 9
Rootkit Unhooker 3.2
Sophos Anti-Rootkit 1.2
AVZ 4.23
Слабые результаты: Gmer 1.0 (6 из 9)
UnHackMe 4.0 (2 из 9)

 

Почти все тестируемые антируткит-программы, кроме Gmer, Bitdefender Antirootkit и UnHackMe, показали отличные или хорошие результаты и могут успешно применяться для обнаружения и обезвреживания вредоносных программ, использующих руткит-технологии скрытия своего присутствия в системе.

Стоит отметить, что у некоторых антируткитов наблюдались проблемы с удалением (переименованием) обнаруженных файлов, а также защитой своего процесса. Прежде всего это связано с тем, что вирусописатели помимо собственно руткит-технологий добавляют во вредоносные программы и другие методы защиты. Например, Worm.Win32.Feebs.gt создает скрытый процесс-приманку. При попытке открытия такого процесса антируткитом червь завершает его процесс. Также широко используется и открытие файлов вредоносной программы с монопольным доступом.

Лучшими же по результатам теста оказались три продукта: Antivir Rootkit, AVG Antirootkit, Trend Micro RootkitBuster, которые еще находятся в стадии бета-тестирования. Если рассматривать только вышедшие в релиз продукты, то в этом случае лучшими будут Rootkit Unhooker, Sophos Anti-Rootkit и AVZ.

Чтобы ознакомиться подробными результатами данного теста по лечению конкретного вируса и убедиться в правильности итоговых расчетов, рекомендуем Вам скачать результаты этого теста в формате Microsoft Excel.

 

Авторы:
Василий Бердников (vaber)
Сергей Ильин

Присоединяйтесь к нам!

Если вы заметили ошибку, выделите необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редакции    Система Orphus

Если вы являетесь производителем и хотели бы видеть свой продукт в списке протестированных по данной методологии или обновить его результаты, не дожидаясь нового планового теста, вы можете воспользоваться услугой индивидуального тестирования.