В данном исследовании производится измерение скорости реакции антивирусных вендоров на появление опасного интернет-червя, идентифицированного по различным версиям как Email-Worm.Win32.Nyxem.e, Win32.HLLM.Generic.391, W32/Nyxem-D, W32/Tearec.A.worm. Среди рассматриваемых производителей: AntiVir, Avast!, AVG, BitDefender, CA, ClamAV, Command, Dr Web, eSafe, Ewido, F-Prot, F-Secure, Fortinet, Ikarus, Kaspersky, McAfee, Nod32, Norman, Panda Software, QuickHeal, Sophos, Symantec, Trend Micro, VBA32, VirusBuster.
Специалистами AV-Test (исследовательского проекта Магдебурского Университета) было проведено исследование, в котором измерялась скорость реакции большинства антивирусных вендоров на появление опасной вредоносной программы, идентифицированной как Win32/Blackmal.E (CME-24), имеющей размер 95,690 байт и значение MD5 hash - 0x1c66904ecb846da5b1fb2072f9ea6e0e
Появление этого интернет-червя вызвало большой резонанс в прессе, так как одной из его установленных вредоносных функций было уничтожение всех документов на компьютере жертвы 3-го числа каждого месяца. Этому интернет-червю было присвоено имя Email-Worm.Win32.Nyxem.e по версии Лаборатории Касперского, Win32.HLLM.Generic.391 по версии Доктора Веба, W32/Nyxem-D по версии Sophos, W32/Tearec.A.worm по версии Panda Software и т.д.
В связи с появлением Win32/Blackmal.E в начале февраля интернет-общественность буквально захлестнула истерия, некоторые предрекали наступление апокалипсиса, что, к счастью, не произошло, но что если бы угроза была более серьезной? Какой из антивирусов быстрее бы обеспечил нас защитой?
Чтобы ответить на эти вопросы необходимо посмотреть, какова же была скорость реакции антивирусных производителей на данную угрозу. Рассмотрим теперь, как же происходило детектирование Win32/Blackmal.E в хронологическом порядке.
1. Проактивное детектирование поведенческим блокиратором (сортировка по имени продукта):
- Internet Security Systems: Proventia-VPS - YES, DETECTED
- Kaspersky Internet Security 2006 (Beta 2) - YES, DETECTED
- Panda Software: TruPrevent Personal - YES, DETECTED
2. Проактивное детектирование антивирусным сканером - эвристика (сортировка по имени продукта)
|
Как видно, проактивно (без обновления антивирусных баз) детектировали Win32/Blackmal.E антивирусы всего семи различных производителей, причем Panda Software сделала это дважды: с помощью эвристики и технологии TruPrevent.
Остальные антивирусы смогли детектировать Win32/Blackmal.E уже с помощью обновления антивирусных баз. Первым сигнатуру на два часа раньше выпустил QuickHeal, за ним в интервале 30 минут – BitDefender и Kaspersky. Далее, на 5-7 часов отстав от лидера, идут AntiVir, Ikarus, Dr Web, F-Secure, VirusBuster и F-Prot.
Trend Micro, eTrust-VET, Norman, ClamAV, Avast!, eTrust-INO и Symantec выпустили соответствующие сигнатуры только на следующий день. Причем, последним, увы, оказался Symantec, отстав от лидера QuickHeal на целых 32 часа.
Время выхода сигнатур для всех рассматриваемых антивирусных продуктов приведены в таблице ниже.
3. Детектирование на основании выпущенной сигнатуры (сортировка по времени выхода сигнатуры, время GMT)
|
В дальнейшем некоторые вендоры изменили у себя имена вредоносного кода (сортировка по имени продукта)
|
Мы будем рады прочитать Ваши комментарии и ответить на все Ваши вопросы по данному сравнению в нашем форуме.
Автор: Сергей Ильин
Основатель проекта Anti-Malware.ru
07.02.2006