Сравнение возможностей детектирования упакованных вирусов в различных антивирусных продуктах

В статье приводятся результаты сравнительного теста популярных антивирусов по детектированию упакованных 20 различными утилитами одного и того же вируса. В сравнении участвуют антивирусы Symantec, Trend Micro, McAfee, Sophos, Kaspersky, Eset NOD32, CA eTrust, Norman, BitDefender, Panda, AVG, Dr.Web и Hauri.

Большинство ведущих производителей антивирусов в описании своих продуктов заявляют о поддержке основных упаковщиков и архиваторов, таких как ZIP, RAR и так далее. Некоторые из них заявляют о поддержке огромного числа упаковщиков и архиваторов, например, Лаборатория Касперского утверждает о поддержке в общей сложности более 1200 различных версий.

В связи с этим, интересно было бы проверить, как же реально обстоят дела с детектированием упакованных вирусов. Ведь ни для кого не секрет, что почти все вредоносные программы, так или иначе, упакованы. Часто один и тот же вирус упаковывается десятками разных упаковщиков (бывает даже несколькими одновременно), что позволяет ему проникать в корпоративные сети, несмотря на их защищенность антивирусом уже на уровне шлюза.

Представим себе ситуацию, когда уже известный всем вирус упаковывается других упаковщиком. Если новый упаковщик не поддерживается вашим антивирусом, то он легко пройдет сквозь защиту и потребуется время, пока антивирусная компания добавит в базу данных новую сигнатуру, способную детектировать по-новому упакованный вирус. В случае поддержки упаковщика, антивирус его сразу же обнаружит, благодаря чему не потребуется дожидаться реакции антивирусной компании на новую угрозу и соответствующего обновления антивирусных баз.

Подобные возможности антивируса, согласитесь, являются крайне необходимыми при современных темпах роста количества различных вирусов и их версий (одного только червя MyDooom было обнаружено несколько десятков версий). Чтобы проверить какой из антивирусов справляется с задачей детектирования упакованных вирусов, обратимся к результатам недавнего сравнительного теста, опубликованного специалистами IBM Virus CERT в октябре 2005 года.

Кратко о методике проведения сравнительного теста

Для сравнительного теста был взят всем известный нашумевший вирус Nimda.A, который был упакован 20 различными упаковщиками с настройками по умолчанию, среди которых:

  1. ZIP self-extracting archive (SFX)
  2. RAR SFX
  3. ASPack 2.12
  4. ASProtect 1.23 RC4 build 08.07
  5. exe32pack 1.42
  6. EXECryptor 2.0
  7. ExeStealth 3.04
  8. FSG 2.0
  9. MEW11 SE 1.2
  10. MoleBox 2.3.3
  11. Morphine 2.7
  12. Packman 0.0.0.1
  13. PECompact2 2.55
  14. PE-PACK 1.0
  15. Petite 2.3
  16. UPX 1.25W
  17. WWPack32 1.20
  18. yoda’s Crypter 1.3
  19. yoda’s Protector 1.0b
  20. (Win)UPack 0.27 beta

В сравнении участвовали следующие антивирусы для персональных компьютеров и рабочих станций:

  1. Symantec AntiVirus Corporate Edition 10.0.0.359 (SAV) with engine 103.0.2.7
  2. Trend Micro PC-cillin Internet Security 2005 with engine 7.510.1002
  3. McAfee VirusScan Professional 2005 (9.0) with engine 4.4.00
  4. Sophos Anti-Virus 5.0.3 (SAV)
  5. Kaspersky Anti-Virus Personal Pro 5.0.14 (KAV)
  6. Eset NOD32 Antivirus System 2.12.3
  7. CA eTrust EZ Antivirus 6.2.1.1 (CAI) with engine 11.5.0.0
  8. Norman Virus Control 5.80 with engine5.82.01
  9. BitDefender 8 Standard with engine 7.01620
  10. Panda Titanium Antivirus 2005 (4.02.00)
  11. AVG Anti-Virus 7.0 Professional (7.0.323)
  12. Dr.Web Scanner for Windows 95-XP v4.32b
  13. Hauri ViRobot Expert 4.0 with engine 2005-06-05.00

Тест проводится 6 июня 2005 года, все базы антивирусов были обновлены и актуальны на тот момент.

Результаты сравнительного тестирования

В следующих таблицах представлены результаты сканирования упакованных файлов перечисленными выше антивирусами отдельно для антивирусных мониторов (on access scaner) и проверки по требованию (on demand scaner). Первая строка таблицы (неупакованный вирус Nimda) является проверочной, подтвреждающей работу антивируса вообще, поэтому может быть исключена из дальнейших расчетов.

Таблица 1: Проверка антивирусным монитором (on-access scaner)

Упаковщик Sym TrM McA Sop Kas NOD CA Nor Bit Pan AVG DrW Hau
1 Nimda X X X X X X X X X X X X X
2 ZIP SFX                          
3 RAR SFX   X                      
4 ASPack X X X X X   X       X X X
5 ASProtect     X                    
6 exe32pack     X X X                
7 EXECryptor                          
8 ExeStealth   X   X X       X     X  
9 FSG   X X X X       X X X X  
10 MEW11 SE   X   X X     X X X X    
11 MoleBox         X       X        
12 Morphine   X   X X       X     X  
13 Packman         X       X        
14 PECompact2       X X       X X      
15 PE-PACK X X X X X       X     X  
16 Petite     X   X                
17 UPX X X X X X       X   X X  
18 WWPack32 X X X X X             X  
19 yoda’s Crypter   X   X X       X     X  
20 yoda’s Protector         X                
21 (Win)UPack         X       X        
  Всего: 5 11 9 12 17 1 2 2 12 4 5 9 2

 

Таблица 2: Проверка сканером по требованию (on-demand scaner)

Упаковщик Sym TrM McA Sop Kas NOD CA Nor Bit Pan AVG DrW Hau
1 Nimda X X X X X X X X X X X X X
2 ZIP SFX X X X   X   X   X X X X X
3 RAR SFX X X X   X   X   X X X X X
4 ASPack X X X X X   X X X X X X X
5 ASProtect     X                    
6 exe32pack     X X X     X X        
7 EXECryptor               X          
8 ExeStealth   X X X X       X     X  
9 FSG   X X X X     X X X X X  
10 MEW11 SE   X   X X     X X X X    
11 MoleBox         X     X X        
12 Morphine   X X X X       X     X  
13 Packman         X     X X        
14 PECompact2       X X     X X X      
15 PE-PACK X X X X X     X X X   X  
16 Petite     X   X     X          
17 UPX X X X X X     X X X X X  
18 WWPack32 X X X X X     X   X   X  
19 yoda’s Crypter   X   X X     X X X   X  
20 yoda’s Protector         X                
21 (Win)UPack     X   X     X X X      
  Всего: 7 12 14 12 19 1 4 15 16 12 7 11 4

Как видно из таблиц 1 и 2, многие антивирусы показали более чем слабые результаты. При этом ни один из антивирусов не обнаружил все по-разному упакованные вирусы Nimda!

Итоговая таблица результатов, в которой рассчитывается процент эффективности для каждого антивируса, представлена ниже.

Таблица 3: Итоговая таблица

Упаковщик Sym TrM McA Sop Kas NOD CA Nor Bit Pan AVG DrW Hau
Обнаружено монитором 5 11 9 12 17 1 2 2 12 4 5 9 2
% 24% 52% 43% 57% 81% 5% 10% 10% 57% 19% 24% 43% 10%
Обнаружено сканером по требованию 7 12 14 12 19 1 4 15 16 12 7 11 4
% 33% 57% 67% 57% 90% 5% 19% 71% 76% 57% 33% 52% 19%
Всего обнаружено 12 23 23 24 36 2 6 17 28 16 12 20 6
Общий % 29% 55% 55% 57% 86% 5% 14% 40% 67% 38% 29% 48% 14%

 

Лучшая пятерка по результатам этого теста антивирусов выглядит следующим образом:

  1. Kaspersky - 86%
  2. BitDefender - 67%
  3. Sophos - 57%
  4. Trend Micro и McAfee - 55%
  5. Dr.Web - 48%
  6. Norman - 40%

Остальные антивирусы показали очень слабые результаты поддержки упаковщиков, например, Nod32 не взял ни одного упакованного вируса Nimda, а Hauri и CA - только один ASPack антивирусным монитором и еще четыре упаковщика сканером по требованию! От части теперь становится понятным, почему эти антивирусы показали такие хорошие результаты по скорости работы (см. наше предыдущее "Сравнение скорости работы ведущих антивирусов"), ведь ни для кого не секрет, что проверка архивов заметно замедляет антивирусную проверку.

Также необходимо обратить внимание на то, что во время проверки по требованию все антивирусы (за исключением аутсайдера Nod32 и Sophos) показали результаты лучшие, чем при проверке антивирусным монитором. Особенно в этом плане выделяется Norman - 71% детектирования сканером по требованию против 10% детектирования при проверки антивирусным монитором. Видно, что производители антивирусов стараются оптимизировать скорость работы своих продуктов, отключая сканирование некоторых типов упакованных объектов.

Мы будем рады прочитать Ваши комментарии и ответить на все Ваши вопросы по данному сравнению в нашем форуме.

Автор: Сергей Ильин

Основатель проекта Anti-Malware.ru

11.11.2005

Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru