Анализ эффективности проактивных антивирусных технологий защиты

Не секрет, что количество новых вирусов, троянов, червей и других вредоносных программ растет угрожающими темпами, поэтому сейчас огромное внимание производители антивирусного ПО уделяют так называемым проактивным технологии защиты от еще неизвестных видов вирусов. В данной статье проводится анализ проактивных технологий на примерах детектирования червей Bozari.A, Bozari.B, Drudgebot.B, IRCBot!Var, Zotob.A, Zotob.B., результаты которого указывают на то, что сейчас практически нет ни одного достойного решения на их основе.

Как уже не раз подмечалось специалистами в области антивирусной безопасности, вредоносный код, который все чаще появляется в Интернете, направлен на использование различных уязвимостей. Чаще всего – это уязвимости операционной системы Windows (т.к. их чаще находят), однако были (и скорее всего будут в будущем) случаи использования вредоносным кодом уязвимостей прикладного программного обеспечения. И они не менее опасны, стоит только вспомнить известный червь SQL Slammer, который использовал уязвимость в ПО MS SQL Server.

Конечно, в первую очередь все дело в распространенности данного ПО. Чем она больше и чем больше находят в нем ошибок, тем больше вероятность появления вредоносного кода, который найдет эту брешь в вашей защите. Конечно, здесь актуален вопрос, а почему нельзя закрыть данную уязвимость официальным обновлением? Ведь вредоносный код, использующий ту или иную уязвимость, появляется позже, чем выходит обновление от производителя. Да, это все так, однако как показывает практика, конечные пользователи бояться ставить обновления от производителя на "боевую" систему, т.к. не один раз наступали на грабли – остановка работы системы, после установки обновлений. Большинство сейчас придерживается тактики: подождать месяц-другой, пока все поставят и оттестируют, а производитель к этому времени выпустит "обновление к обновлению", после чего можно будет, не боясь обновить систему (хотя и в этом случае существует риск отказа, хотя и намного меньший).

Бесспорно, такая ситуация благоприятна для разработчиков вредоносного кода, использующего подобные уязвимости в операционных системах или прикладном программном обеспечении.

Но в то же время, возникает вопрос, если мы знаем о наличии уязвимости, неужели мы не в состоянии определить вредоносный код, который эту уязвимость хочет использовать. Производители антивирусов нам подсказывают решение – проактивная технология обнаружения вирусов. Однако в данный момент, как показывает практика, нет практически ни одного достойного решения на основе этой технологии. Так 22 августа на сайте независимого исследователя антивирусных решений http://www.av-test.org/ появился результат исследования антивирусов на предмет реакции и обнаружения червей, использующих для своего распространения уязвимость в операционной системе Windows, описанную в статье MS05-039.

В таблицах ниже, приведены выдержки из исследования AV-Test GmbH, полный отчет можно посмотреть здесь – http://www.av-test.org/down/ms05-039.zip.

Червь Bozari.A

Производитель Время начала детектирования Наименование по базе производителя
1 Nod32 Определен проактивно NewHeur_PE (probably unknown virus)
Panda Определен проактивно Suspect File
BitDefender Определен проактивно Dropped:Exploit.LSASS.C (suspected)
2 Kaspersky 2005-08-16 21:57 Net-Worm.Win32.Small.d
3 Trend Micro 2005-08-17 0:44 WORM_RBOT.CBQ
4 McAfee 2005-08-17 1:34 W32/IRCbot.worm!MS05-039
5 Symantec 2005-08-17 3:05 W32.Zotob.E
6 Dr Web 2005-08-17 7:04 Win32.HLLW.Stamin

 

Червь Bozari.B

Производитель Время начала детектирования Наименование по базе производителя
1 Nod32 Определен проактивно NewHeur_PE (probably unknown virus)
Panda Определен проактивно Suspect File
BitDefender Определен проактивно Dropped:Exploit.LSASS.C (suspected)
2 Kaspersky 2005-08-16 1:06 Net-Worm.Win32.Bozori.b
3 Dr Web 2005-08-17 11:27 Win32.HLLW.Stamin
4 McAfee 2005-08-17 15:29 W32/Bozori.worm.b
5 Symantec 2005-08-17 23:35 W32.Zotob.F
6 Trend Micro 2005-08-18 3:12 WORM_ZOTOB.F

 

Червь Drudgebot.B

Производитель Время начала детектирования Наименование по базе производителя
1 Nod32 Определен проактивно NewHeur_PE (probably unknown virus)
BitDefender Определен проактивно Backdoor.SDBot.C5BE3745
2 Kaspersky 2005-08-16 21:57 Backdoor.Win32.IRCBot.et
3 Trend Micro 2005-08-17 0:44 WORM_ZOTOB.D
4 Symantec 2005-08-17 3:05 W32.Zotob.D
5 Panda 2005-08-17 5:24 W32/Zotob.D.worm
6 Dr Web 2005-08-17 11:27 BackDoor.IRC.Sdbot.127
7 McAfee 2005-08-18 15:29 W32/Sdbot.worm!MS05-039

 

Червь IRCBot!Var

Производитель Время начала детектирования Наименование по базе производителя
1 Panda Определен проактивно Suspect File
BitDefender Определен проактивно BehavesLike:Win32.IRC-Backdoor
2 Dr Web 2005-08-15 15:58 Win32.Legion
3 Kaspersky 2005-08-15 16:11 Backdoor.Win32.IRCBot.es
4 Symantec 2005-08-16 6:02 W32.Esbot.A
5 McAfee 2005-08-16 15:41 W32/IRCbot.gen
6 Nod32 2005-08-16 19:27 Win32/IRCBot.OO trojan (variant)
7 Trend Micro 2005-08-19 3:09 WORM_ESBOT.A

 

Червь Zotob.A

Производитель Время начала детектирования Наименование по базе производителя
1 McAfee Определен проактивно New Malware.n (trojan or variant)
Nod32 Определен проактивно Win32/Mytob worm (variant)
BitDefender Определен проактивно Backdoor.SDBot.F7890ED0 (suspected)
2 Kaspersky 2005-08-14 12:01 Net-Worm.Win32.Mytob.cd
3 Panda 2005-08-14 13:47 W32/Bozor.A.worm
4 Symantec 2005-08-14 20:04 W32.Zotob.A
5 Dr Web 2005-08-14 21:52 Win32.HLLM.MyDoom
6 Trend Micro 2005-08-15 2:56 WORM_ZOTOB.A

 

Червь Zotob.B

Производитель Время начала детектирования Наименование по базе производителя
1 McAfee Определен проактивно New Malware.n (trojan or variant)
Nod32 Определен проактивно Win32/Mytob worm (variant)
BitDefender Определен проактивно Backdoor.SDBot.9F2E137A (suspected)
2 Symantec 2005-08-15 1:05 W32.Zotob.B
3 Kaspersky 2005-08-15 8:26 Net-Worm.Win32.Mytob.cf
4 Trend Micro 2005-08-15 8:50 WORM_ZOTOB.B
5 Panda 2005-08-15 10:52 W32/Zotob.B.worm
6 Dr Web 2005-08-15 10:57 BackDoor.IRC.HellBot

 

Ситуация к сожалению печальная – можно сказать, что ни один из наиболее распространенных антивирусов, приведенных выше, кроме румынского BitDefender, который детектировал все вирусы проактивно, не прошел тест. А ведь используется одна и та же уязвимость! Как мне кажется разговоры здесь о том, что кто-то из антивирусных производителей на час опередил другого в добавлении сигнатур вируса в свою базу – просто не уместны.

Так же проблема еще состоит в том, что домашний пользователь может себе поставить любой из антивирусов, которые успешно прошли тестирование (см. полные результаты анализа), а вот у корпоративного пользователя возникает проблема. Ни одно из решений, подтвердивших качество работы своих проактивных алгоритмов, не претендует на решения по защите большого предприятия. Но это уже совсем другой разговор.

Автор: Николай Терещенко

Эксперт по информационной безопасности Anti-Malware.ru

11.10.2005

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru