Методология теста антивирусов на лечение активного заражения (июль 2011)

Подготовка теста

Для проведения тестирования антивирусов на лечение активного заражения экспертной группой Anti-Malware.ru были отобраны 16 вредоносных программ по следующим критериям:

  1. чтобы максимально полно покрыть используемые ими технологии маскировки, защиты от обнаружения/удаления;
  2. распространенность (на текущий момент или ранее);
  3. детектирование файлов-компонентов вредоносной программы всеми участвующими в тестировании антивирусами;
  4. способность противодействовать своему обнаружению/удалению со стороны антивируса и/или восстанавливать свои компоненты в случае их удаления антивирусом;
  5. отсутствие целенаправленного противодействия работе любого тестируемого антивируса (удаление файлов, ключей принадлежащих антивирусу, завершение процессов антивируса, блокировка возможности обновления баз антивируса);
  6. отсутствие целенаправленного противодействия полноценной работе пользователя на компьютере.

В отборе вредоносных программ для теста отдавался приоритет наиболее сложным видам, которые больше удовлетворяют приведенным выше критериям.

Стоит отметить, что критически важным параметром для отбора вредоносных программ для теста было детектирование их файловых компонентов со стороны всех участвовавших в тесте антивирусов. Если детектирование отсутствовало, то файловые компоненты анонимно (чтобы избежать специальной манипуляции результатами теста) отправлялись вендорам.

Все используемые в тесте вредоносные программы были собраны экспертами Anti-Malware.ru во время распространения в интернет (In The Wild).

Таким образом, для теста были отобраны следующие вредоносные программы:

  1. TDL (TDSS, Alureon, Tidserv)
  2. Koutodoor
  3. Win32/Glaze
  4. Sinowal (Mebroot)
  5. Rootkit.Protector (Cutwail, Pandex)
  6. Worm.Rorpian
  7. Rootkit.Podnuha (Boaxxe)
  8. Virus.Protector (Kobcka, Neprodoor)
  9. Rustock (Bubnix)
  10. Email-Worm.Scano (Areses)
  11. SST (DNSChanger, FakeAV)
  12. SubSys (Trojan.Okuks)
  13. Rootkit.Pakes (synsenddrv, BlackEnergy)
  14. TDL2 (TDSS, Alureon, Tidserv)
  15. TDL3 (TDSS, Alureon, Tidserv)
  16. TDL4 (TDSS, Alureon, Tidserv)
  17. Xorpix (Eterok)

Каждый отобранный экземпляр вредоносной программы проверялся на работоспособность и установку на тестовой системе. Подробное описание вредоносных программ можно будет найти в полном отчете о тестировании в формате Excel.

 

Проведение

Тест проводился на реальных машинах (в отличие от более ранних тестов) под управлением операционной системы Microsoft Windows XP Professional с интегрированным Service Pack 3.

lkd> !devstack \Device\Harddisk0\DR0
!DevObj   !DrvObj            !DevExt   ObjectName
89bcfe08  \Driver\PartMgr    89bcfec0
> 89bceab8  \Driver\Disk       89bceb70  DR0
89b74f18  \Driver\ACPI       89c0f0e0  00000061
89bd0940  \Driver\atapi      89bd09f8  IdeDeviceP0T0L0-3

Проверка лечения TDL4 (TDSS, Alureon, Tidserv) проводилась не только на Windows XP, но и на Windows 7 x64, чтобы удостовериться в корректности лечения/удаления данной троянской программой.

В тестировании участвовали следующие антивирусные программы:

  1. Avast! Internet Security 6.0.1000
  2. AVG Internet Security 2011 (10.0.1325)
  3. Avira Premium Security Suite 10.0.0.608
  4. BitDefender Internet Security 2011 (14.0.29.354)
  5. Comodo Internet Security 5.3.181415.1237
  6. Dr.Web Security Space 6.0.5.04110
  7. Emsisoft Anti-Malware 5.1.0.0
  8. Eset Smart Security 4.2.71.3
  9. F-Secure Internet Security 2011 (10.51 build 106)
  10. G Data Internet Security 2011 (21.1.1.0)
  11. Kaspersky Internet Security 2011 (11.0.2.556 (b.c.d))
  12. McAfee Internet Security 2011
  13. Microsoft Security Essentials 2.0.657.0
  14. Norton Internet Security 2011 (18.6.0.29)
  15. Outpost Security Suite Pro 7.1
  16. Panda Internet Security 2011 (16.00.00)
  17. PC Tools Internet Security 2011 (8.0.0.0653)
  18. Trend Micro Titanium Internet Security 2011 (3.1.11.09)
  19. ZoneAlarm Internet Security Suite 2011 (9.3.037.000)

Rising Internet Security 2011 (20-й в списке) был исключен из теста по причине отсутствия детекта (и желания его добавлять со стороны вендора) на большую часть вредоносных образцов, используемых в тесте.

При установке на зараженную машину использовались рекомендуемые производителем настройки по умолчанию и производились все рекомендуемые программой действия (перезагрузка системы, обновление и т.д.):

  • Процесс установки по возможности выполнялся с учетом рекомендованных установщиком действий, в том числе обновление продукта и проверка на вредоносные программы.
  • Если установщик не предложил перезагрузиться, то запускается проверка поиска вредоносных программ без перезагрузки системы после инсталляции. В случае неуспеха проверки (вредоносная программа не была обнаружена или была обнаружена, но не удалена), система перезагружалась и снова запускалась проверка поиска вредоносных программ.
  • Если походу инсталляции не было произведено обновление, оно выполнялось вручную перед лечением активного заражения.
  • При лечении активного заражения в первую очередь инициировались проверки из профилей проверок в интерфейсе антивируса (quick scan, startup scan etc). В случае неуспеха первой проверки запускалась проверка каталога из контекстного меню, в котором находятся файлы активной вредоносной программы. В случае не успеха и в этом случае, запускалась проверка всей системы.
  • Если в интерфейсе антивируса имеется возможность запустить отдельную проверку на руткиты, то она производилась первой на всех образцах, содержащих руткит-компоненту.
  • Если при проверке обнаруживался только один из нескольких компонентов вредоносной программы, то поиск остальных компонент продолжался после перезагрузки.
  • Если предлагалось несколько вариантов действий, действия выбирались в следующей последовательности по порядку в случае не успешности: «лечить», «удалить», «переименовать», «карантин».

 

Шаги проведения тестирования:

  1. Установка на жесткий диск операционной системы и создание полного образа жесткого диска при помощи Acronis True Image.
  2. Заражение машины с чистой операционной системой (активация вредоносной программы).
  3. Проверка работоспособности вредоносной программы и ее успешной установки в системе.
  4. Перезагрузка зараженной системы.
  5. Проверка активности вредоносной программы  в системе.
  6. Установка антивируса и попытка лечения зараженной системы.
  7. Фиксируются показания антивируса, оставшиеся ключи автозагрузки вредоносной программы после успешного лечения. В случае не успешности лечения проверяется активность вредоносной программы или ее компонентов.
  8. Восстановление образа незараженной операционной системой на диске при помощи Acronis True Image (загрузка с CD).
  9. Повторение пунктов 2-8 для всех вредоносных программ и всех антивирусов.
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Если вы являетесь производителем и хотели бы видеть свой продукт в списке протестированных по данной методологии или обновить его результаты, не дожидаясь нового планового теста, вы можете воспользоваться услугой индивидуального тестирования.