Измерение скорости реакции антивирусов на появление червя Nyxem.e (Nyxem-D, Tearec.A)

Измерение скорости реакции антивирусов на появление червя Nyxem.e (Nyxem-D, Tearec.A)

Измерение скорости реакции антивирусов на появление червя Nyxem.e (Nyxem-D, Tearec.A)

В данном исследовании производится измерение скорости реакции антивирусных вендоров на появление опасного интернет-червя, идентифицированного по различным версиям как Email-Worm.Win32.Nyxem.e, Win32.HLLM.Generic.391, W32/Nyxem-D, W32/Tearec.A.worm. Среди рассматриваемых производителей: AntiVir, Avast!, AVG, BitDefender, CA, ClamAV, Command, Dr Web, eSafe, Ewido, F-Prot, F-Secure, Fortinet, Ikarus, Kaspersky, McAfee, Nod32, Norman, Panda Software, QuickHeal, Sophos, Symantec, Trend Micro, VBA32, VirusBuster.

Специалистами AV-Test (исследовательского проекта Магдебурского Университета) было проведено исследование, в котором измерялась скорость реакции большинства антивирусных вендоров на появление опасной вредоносной программы, идентифицированной как Win32/Blackmal.E (CME-24), имеющей размер 95,690 байт и значение MD5 hash - 0x1c66904ecb846da5b1fb2072f9ea6e0e

Появление этого интернет-червя вызвало большой резонанс в прессе, так как одной из его установленных вредоносных функций было уничтожение всех документов на компьютере жертвы 3-го числа каждого месяца. Этому интернет-червю было присвоено имя Email-Worm.Win32.Nyxem.e по версии Лаборатории Касперского, Win32.HLLM.Generic.391 по версии Доктора Веба, W32/Nyxem-D по версии Sophos, W32/Tearec.A.worm по версии Panda Software и т.д.

В связи с появлением Win32/Blackmal.E в начале февраля интернет-общественность буквально захлестнула истерия, некоторые предрекали наступление апокалипсиса, что, к счастью, не произошло, но что если бы угроза была более серьезной? Какой из антивирусов быстрее бы обеспечил нас защитой?

Чтобы ответить на эти вопросы необходимо посмотреть, какова же была скорость реакции антивирусных производителей на данную угрозу. Рассмотрим теперь, как же происходило детектирование Win32/Blackmal.E в хронологическом порядке.

1. Проактивное детектирование поведенческим блокиратором (сортировка по имени продукта):

  • Internet Security Systems: Proventia-VPS - YES, DETECTED
  • Kaspersky Internet Security 2006 (Beta 2) - YES, DETECTED
  • Panda Software: TruPrevent Personal - YES, DETECTED

 

2. Проактивное детектирование антивирусным сканером - эвристика (сортировка по имени продукта)

Антивирус Название детектированного объекта
eSafe Trojan/Worm [101] (suspicious)
Fortinet Suspicious
McAfee W32/Generic.worm!p2p
Nod32 NewHeur_PE (probably unknown virus)
Panda Software Suspicious file

 

Как видно, проактивно (без обновления антивирусных баз) детектировали Win32/Blackmal.E антивирусы всего семи различных производителей, причем Panda Software сделала это дважды: с помощью эвристики и технологии TruPrevent.

Остальные антивирусы смогли детектировать Win32/Blackmal.E уже с помощью обновления антивирусных баз. Первым сигнатуру на два часа раньше выпустил QuickHeal, за ним в интервале 30 минут – BitDefender и Kaspersky. Далее, на 5-7 часов отстав от лидера, идут AntiVir, Ikarus, Dr Web, F-Secure, VirusBuster и F-Prot.

Trend Micro, eTrust-VET, Norman, ClamAV, Avast!, eTrust-INO и Symantec выпустили соответствующие сигнатуры только на следующий день. Причем, последним, увы, оказался Symantec, отстав от лидера QuickHeal на целых 32 часа.

Время выхода сигнатур для всех рассматриваемых антивирусных продуктов приведены в таблице ниже.

 

3. Детектирование на основании выпущенной сигнатуры (сортировка по времени выхода сигнатуры, время GMT)

Антивирус Дата Время Название
QuickHeal 2006-01-16 09:00 I-Worm.Generic.0875
BitDefender 2006-01-16 11:13 Win32.Worm.P2P.ABM
Kaspersky 2006-01-16 11:44 Email-Worm.Win32.VB.bi
AntiVir 2006-01-16 13:52 TR/KillAV.GR
Ikarus 2006-01-16 14:27 Email-Worm.Win32.VB.BI
Dr Web 2006-01-16 14:56 Win32.HLLM.Generic.391
F-Secure 2006-01-16 15:03 Email-Worm.Win32.VB.bi
VirusBuster 2006-01-16 15:25 Worm.P2P.VB.CIL
F-Prot 2006-01-16 15:31 W32/Kapser.A@mm (exact)
Command 2006-01-16 16:04 W32/Kapser.A@mm (exact)
AVG 2006-01-16 16:05 Worm/Generic.FX
Sophos 2006-01-16 16:25 W32/Nyxem-D
Ewido 2006-01-16 18:08 Worm.VB.bi
VBA32 2006-01-16 19:22 Email-Worm.Win32.VB.bi
Trend Micro 2006-01-17 03:16 WORM_GREW.A
eTrust-VET 2006-01-17 06:39 Win32/Blackmal.F
Norman 2006-01-17 07:49 W32/Small.KI
ClamAV 2006-01-17 08:47 Worm.VB-8
Avast! 2006-01-17 15:31 Win32:VB-CD [Wrm]
eTrust-INO 2006-01-17 16:52 Win32/Cabinet!Worm
Symantec 2006-01-17 17:03 W32.Blackmal.E@mm

 

В дальнейшем некоторые вендоры изменили у себя имена вредоносного кода (сортировка по имени продукта)

Антивирус Дата Время Название
AntiVir 2006-01-19 16:27 Worm/KillAV.GR
BitDefender 2006-01-25 16:16 Win32.Nyxem.E@mm
eSafe 2006-01-16 15:02 Win32.VB.bi
eTrust-INO 2006-01-19 01:06 Win32/Blackmal.F!Worm
Fortinet 2006-01-16 23:43 W32/Kapser.A!mm
Fortinet 2006-01-17 18:26 W32/Grew.A!wm
F-Secure 2006-01-20 08:24 Email-Worm.Win32.Nyxem.e
Kaspersky 2006-01-19 16:01 Email-Worm.Win32.Nyxem.e
McAfee 2006-01-18 17:21 W32/MyWife.d@MM
McAfee 2006-01-25 18:12 W32/MyWife.d@MM!M24
Nod32 2006-01-16 15:15 Win32/VB.NEI worm
Norman 2006-01-25 10:24 Small.KI@mm
Panda Software 2006-01-16 13:55 W32/Tearec.A.worm
QuickHeal 2006-01-16 15:27 I-Worm.VB.bi
QuickHeal 2006-01-24 11:55 I-Worm.Nyxem.e
QuickHeal 2006-01-25 15:46 I-Worm.VB.bi
VirusBuster 2006-01-25 13:54 Worm.P2P.VB.CIL!CME-24

 

Мы будем рады прочитать Ваши комментарии и ответить на все Ваши вопросы по данному сравнению в нашем форуме.

 

Автор: Сергей Ильин

Основатель проекта Anti-Malware.ru

07.02.2006

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru