Методология теста антивирусов на лечение активного заражения (октябрь 2012)

Подготовка теста

Для проведения тестирования антивирусов на лечение активного заражения экспертной группой Anti-Malware.ru были отобраны вредоносные программы по следующим критериям:

  1. максимально полное покрытие используемых технологий маскировки, защиты от обнаружения/удаления;
  2. степень распространенности (на текущий момент или ранее);
  3. детектирование файлов-компонентов вредоносной программы всеми участвующими в тестировании антивирусами;
  4. способность противодействовать своему обнаружению/удалению со стороны антивируса и/или восстанавливать свои компоненты в случае их удаления антивирусом;
  5. отсутствие целенаправленного противодействия работе любого тестируемого антивируса (удаление файлов, ключей принадлежащих антивирусу, завершение процессов антивируса, блокировка возможности обновления баз антивируса);
  6. отсутствие целенаправленного противодействия полноценной работе пользователя на компьютере.

При отборе вредоносных программ для теста приоритет отдавался наиболее сложным видам, которые наиболее удовлетворяют приведенным выше критериям.

Стоит отметить, что критически важным параметром для отбора вредоносных программ для теста было детектирование их файловых компонентов со стороны всех участвовавших в тесте антивирусов. Если детектирование отсутствовало, то файловые компоненты анонимно (чтобы избежать специальной манипуляции результатами теста) отправлялись производителям.

Если производитель в течение месяца не присылал уведомлений о добавлении детектирования и, при этом, вредоносный компонентов не детектировался, то вредоносная программа шла в тест по принципу AS IS.

Все используемые в тесте вредоносные программы были собраны экспертами Anti-Malware.ru во время распространения в Интернет (In The Wild).

Таким образом, для теста были отобраны следующие вредоносные программы для Windows XP x86:

  1. TDL (TDSS, Alureon, Tidserv)
  2. Koutodoor
  3. Win32/Glaze
  4. Sinowal (Mebroot)
  5. Rootkit.Protector (Cutwail, Pandex)
  6. Worm.Rorpian
  7. Rootkit.Podnuha (Boaxxe)
  8. Virus.Protector (Kobcka, Neprodoor)
  9. Rustock (Bubnix)
  10. Email-Worm.Scano (Areses)
  11. Rloader (WinNT/Simda)
  12. SubSys (Trojan.Okuks)
  13. Rootkit.Pakes (synsenddrv, BlackEnergy)
  14. TDL2 (TDSS, Alureon, Tidserv)
  15. TDL3 (TDSS, Alureon, Tidserv)
  16. Xorpix (Eterok)
  17. Pihar (TDL4,TDSS, Alureon, Tidserv)
  18. SST (PRAGMA, TDSS, Alureon)
  19. Zeroaccess (Sirefef, MAX++)
  20. Cidox (Rovnix, Mayachok, Boigy)
И несколько вредоносных программ для Windows 7 x64:
  1. Pihar (TDL4,TDSS, Alureon, Tidserv)
  2. SST (PRAGMA, TDSS, Alureon)
  3. Zeroaccess (Sirefef, MAX++)
  4. Cidox (Rovnix, Mayachok, Boigy)
 
Таким образом, для тестирования в сумме было отобрано 24 различных образца вредоносных программ для двух видов операционных систем. Каждый отобранный экземпляр вредоносной программы проверялся на работоспособность и установку на тестовой системе. Подробное описание вредоносных программ можно будет найти в полном отчете о тестировании в формате Excel.

 

Проведение

Тест проводился на реальных машинах (в отличие от более ранних тестов) под управлением операционной системы Microsoft Windows XP Professional SP3 x86 и Windows 7 Professional SP1 x64.

В тестировании участвовали следующие антивирусные программы (представленные ниже сборки актуальны на момент начала теста - 26.07.2012):

  1. Avast! Internet Security 7.0.1456
  2. AVG Internet Security 2012 (2012.0.2197)
  3. Avira Internet Security 2012 (12.0.0.1127)
  4. BitDefender Internet Security 2013 (16.16.0.1348)
  5. Comodo Internet Security 5.10.228257.2253
  6. Dr.Web Security Space Pro 7.0.1.07100
  7. Eset Smart Security 5.2.9.1
  8. F-Secure Internet Security 2012 (1.57 build 391) 
  9. Kaspersky Internet Security 2012 (12.0.0.374(i))
  10. McAfee Internet Security 2012 (11.0.678)
  11. Microsoft Security Essentials 4.0.1526.0
  12. Norton Internet Security 2012 (19.8.0.14)
  13. Outpost Security Suite Pro 7.5.3 (3942.608.1810)
  14. Panda Internet Security 2012 (17.01.00)
  15. Trend Micro Titanium Internet Security 2012 (5.0.1280)
 

При установке на зараженную машину использовались рекомендуемые производителем настройки по умолчанию и производились все рекомендуемые программой действия (перезагрузка системы, обновление и т.д.):

  • Процесс установки, по возможности, выполнялся с учетом рекомендованных установщиком действий, в том числе обновление продукта и проверка на вредоносные программы.
  • Если установщик не предложил перезагрузиться, то запускается проверка поиска вредоносных программ без перезагрузки системы после инсталляции. В случае неуспеха проверки (вредоносная программа не была обнаружена или была обнаружена, но не удалена), система перезагружалась и снова запускалась проверка поиска вредоносных программ.
  • Если по ходу инсталляции не было произведено обновление, оно выполнялось вручную перед лечением активного заражения.
  • При лечении активного заражения в первую очередь инициировались проверки из профилей проверок в интерфейсе антивируса (quick scan, startup scan etc). В случае неуспеха первой проверки запускалась проверка каталога из контекстного меню, в котором находятся файлы активной вредоносной программы. В случае не успеха и в этом случае, запускалась проверка всей системы.
  • Если в интерфейсе антивируса имеется возможность запустить отдельную проверку на руткиты, то она производилась первой на всех образцах, содержащих руткит-компоненту.
  • Если при проверке обнаруживался только один из нескольких компонентов вредоносной программы, то поиск остальных компонентов продолжался после перезагрузки.
  • Если предлагалось несколько вариантов действий, действия выбирались в следующей последовательности по порядку в случае не успешности: «лечить», «удалить», «переименовать», «карантин».

 

Шаги проведения тестирования:

  1. Установка на жесткий диск операционной системы и создание полного образа жесткого диска при помощи Acronis True Image.
  2. Заражение машины с чистой операционной системы (активация вредоносной программы).
  3. Проверка работоспособности вредоносной программы и ее успешной установки в системе.
  4. Перезагрузка зараженной системы.
  5. Проверка активности вредоносной программы  в системе.
  6. Установка антивируса и попытка лечения зараженной системы.
  7. Фиксируются показания антивируса, оставшиеся ключи автозагрузки вредоносной программы после успешного лечения. В случае не успешности лечения проверяется активность вредоносной программы или ее компонентов.
  8. Восстановление образа незараженной операционной системы на диске при помощи Acronis True Image (загрузка с CD).
  9. Повторение пунктов 2-8 для всех вредоносных программ и всех антивирусов.

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.
Если вы являетесь производителем и хотели бы видеть свой продукт в списке протестированных по данной методологии или обновить его результаты, не дожидаясь нового планового теста, вы можете воспользоваться услугой индивидуального тестирования.