Результаты теста антивирусов и антируткитов на обнаружение и удаление современных руткитов

Результаты теста антивирусов и антируткитов на обнаружение и удаление современных руткитов

Введение

В последнее время все большей популярностью у вирусописателей пользуются руткит-технологии. Причина этого очевидна – возможность скрытия вредоносной программы и ее компонентов от пользователя ПК и антивирусных программ. В Интернете свободно можно найти исходные тексты готовых руткитов, что неизбежно ведет к широкому применению этой технологии в различных троянских или шпионских программах (spyware/adware, keyloggers и т.д.).

Руткит (от англ. root kit, то есть «набор root'а») - это программа для скрытия следов присутствия злоумышленника или вредоносной программы в системе. Использование руткит-технологий позволяет вредоносной программе скрыть следы своей деятельности на компьютере жертвы путём маскировки файлов, процессов а также самого присутствия в системе.

Для обнаружения и удаления подобных вредоносных программ существует множество специализированных программных продуктов – антируткитов. Кроме того, о наличии в своих продуктах функционала по обнаружению активных руткитов заявляют многие антивирусные производители.

Цель данного теста – проверить способность наиболее популярных антивирусов и антируткитов обнаруживать и удалять широко распространенные в сети вредоносные программы (ITW-образцы), использующие руткит-технологии. Дополнительно в тесте была проверена возможность проактивного обнаружения скрывающих свое присутствие в системе программ. Эта проверка проводилась на концептуальных демо-руткитах, демонстрирующих различные возможности по сокрытию в системе.

Тестирование на распространенных ITW-образцах вредоносных программ дает представление о том, насколько хорошо рассматриваемые решения справляются с уже известными руткитами, тестирование на концептах показывает их возможности по обнаружению новых неизвестных руткитов.

В тесте принимали участие 8 антивирусов и 8 специализированных продуктов-антируткитов, отобранных в соответствии с методологией.

Тестируемые антивирусы:

  1. BitDefender Antivirus 2008
  2. Dr.Web 4.44
  3. F-Secure Anti-Virus 2008
  4. Kaspersky Anti-Virus 7.0
  5. McAfee VirusScan Plus 200
  6. Eset Nod32 Anti-Virus 3.0
  7. Symantec Anti-Virus 2008
  8. Trend Micro Antivirus plus Antispyware 2008

Тестируемые антируткиты:

  1. AVG Anti-Rootkit 1.1
  2. Avira Rootkit Detection 1.00.01.1
  3. GMER 1.0.13
  4. McAfee Rootkit Detective 1.1
  5. Panda AntiRootkit 1.0
  6. RkU 3.7
  7. Sophos Anti-Rootkit 1.3
  8. Trend Micro RootkitBuster 1.6

Тест проведен на шести вредоносных программах, каждая из которых использует свой метод маскировки в системе, и четырех концептуальных руткитах. Набор самплов сформирован в строгом соответствии с определенными требованиями, главным из которых был охват всех используемых методов маскировки в системе.

Отобранные для теста вредоносные программы:

  1. Trojan-Spy.Win32.Goldun.hn
  2. Trojan-Proxy.Win32.Wopla.ag
  3. SpamTool.Win32.Mailbot.bd
  4. Monitor.Win32.EliteKeylogger.21
  5. Rootkit.Win32.Agent.ea
  6. Rootkit.Win32.Podnuha.a

Отобранные для теста концептуальные руткиты:

  1. Unreal A (v1.0.1.0)
  2. RkDemo v1.2
  3. FuTo
  4. HideToolz

Тест проводился на машине под операционной системой Windows XP SP2 в период с 15 октября по 10 декабря 2007 года в строгом соответствии с определенной методологией, по которой антивирусы и антируткиты были испытаны на обнаружение установленных в системе вредоносных программ с руткит-маскировкой, а также концептуальных руткитов.

 

Тестирование возможностей обнаружения вредоносных программ, использующих руткит-технологии

В таблицах 1-2 представлены результаты обнаружения вредоносных программ, использующих руткит-технологии, различными антивирусами и специализированными антируткитами.

Напомним, что согласно используемой схеме награждения, 1 балл (или +/+) начислялся если руткит был успешно обнаружен в системе (файл, процесс или перехват функций) и удален.

0.5 балла (или +/-) – если руткит был успешно обнаружен в системе, но удалить его оказалось невозможно.

И, наконец, если руткит не был обнаружен в системе (поставлен минус), то баллов не начислялось вовсе.

Таблица 1: Результаты теста антивирусов/антируткитов на обнаружение вредоносных программ, использующих руткит-технологии (начало)

Антивирус \ 
Вредоносная программа
Trojan-Spy.
Win32.
Goldun.hn
Trojan-Proxy.
Win32.
Wopla.ag
SpamTool.
Win32.
Mailbot.bd
Monitor.Win32.
Elite
Keylogger.21
BitDefender Antivirus 2008 +/+ +/+ -/- +/+
Dr.Web 4.44 +/+ +/+ +/+ -/-
F-Secure Anti-Virus 2008 +/+ +/- +/- +/-
Kaspersky Anti-Virus 7.0 +/+ +/+ +/+ +/+
Eset Nod32 Anti-Virus 3.0 +/+ -/- -/- -/-
McAfee VirusScan Plus 2008 +/+ -/- +/- -/-
Symantec Anti-Virus 2008 +/+ +/+ +/+ +/+
Trend Micro Antivirus plus Antispyware 2008 +/+ -/- -/- -/-
Антируткит  
AVG Anti-Rootkit 1.1 +/+ +/+ +/+ +/+
Avira Rootkit Detection 1.0 +/+ +/+ +/+ +/+
GMER 1.0.13 +/- +/+ +/+ +/+
McAfee Rootkit Detective 1.1 +/+ +/+ +/- +/-
Panda AntiRootkit 1.08 +/+ +/+ +/- +/+
Rootkit Unhooker 3.7.300 +/+ +/+ +/+ +/+
Sophos Anti-Rootkit 1.3.1 +/+ +/+ +/+ +/+
TrendMicro RootkitBuster 1.6 +/+ +/- +/+ +/+

 

Таблица 2: Результаты теста антивирусов/антируткитов на обнаружение вредоносных программ, использующих руткит-технологии (окончание)

Антивирус \  Вредоносная программа Rootkit.Win32.
Agent.ea
Rootkit.Win32.
Podnuha.a
Всего баллов
BitDefender Antivirus 2008 -/- -/- 3
Dr.Web 4.44 +/+ +/+ 5
F-Secure Anti-Virus 2008 -/- -/- 2.5
Kaspersky Anti-Virus 7.0 +/- -/- 4.5
Eset Nod32 Anti-Virus 3.0 -/- -/- 1
McAfee VirusScan Plus 2008 -/- -/- 1.5
Symantec Anti-Virus 2008 -/- -/- 4
Trend Micro Antivirus plus Antispyware 2008 -/- -/- 1
Антируткит  
AVG Anti-Rootkit 1.1 -/- -/- 4
Avira Rootkit Detection 1.0 +/+ -/- 5
GMER 1.0.13 +/+ +/+ 5.5
McAfee Rootkit Detective 1.1 -/- -/- 3
Panda AntiRootkit 1.08 +/- -/- 4
Rootkit Unhooker 3.7.300 +/+ +/- 5.5
Sophos Anti-Rootkit 1.3.1 +/- -/- 4.5
TrendMicro RootkitBuster 1.6 +/- -/- 4

 

Таким образом, лучшими из антивирусов по обнаружению вредосносных программ, использующих руткит-технологии, являются Dr.Web, Kaspersky Anti-Virus и Symantec Anti-Virus, набравшие от 4 до 5 баллов из 6 возможных.

Среди специализированных антируткитов высокую эффективность показали почти все продукты, кроме McAfee Rootkit Detective. Особенно стоит отметить Rootkit Unhooker и GMER, чей результат 5.5 баллов позволил им стать лучшими в нашем тесте по обнаружению вредоносных программ, использующих руткит-технологии.

 

Тестирование возможностей проактивного обнаружения руткитов

В таблице 3 представлены результаты проактивного обнаружения антивирусами и антируткитами концептуальных руткитов. Так как концепты не представляют реальной угрозы для пользователей, то оценивалась только возможность их обнаружения (0.5 балла за каждый обнаруженный).

Таблица 3: Результаты теста антивирусов/антируткитов на обнаружение концептуальных руткитов

Антивирус \ Концептуальный руткит Unreal A 1.0.1 RkDemo v1.2 FuTo HideToolz Всего баллов
BitDefender Antivirus 2008 - - - - 0
Dr.Web 4.44 - - - - 0
F-Secure Anti-Virus 2008 - + + + 1.5
Kaspersky Anti-Virus 7.0 + + + + 2
Eset Nod32 Anti-Virus 3.0 - - - - 0
McAfee VirusScan Plus 2008 - - - - 0
Symantec Anti-Virus 2008 + - - - 0.5
Trend Micro Antivirus plus Antispyware 2008 - - - - 0
Антируткит  
AVG Anti-Rootkit 1.1 - + + + 1.5
Avira Rootkit Detection 1.0 - + + + 1.5
GMER 1.0.13 - + + + 1.5
McAfee Rootkit Detective 1.1 - - - + 0.5
Panda AntiRootkit 1.08 + + - + 1.5
Rootkit Unhooker 3.7.300 + + + + 2
Sophos Anti-Rootkit 1.3.1 - - + + 1
TrendMicro RootkitBuster 1.6 - - + + 1

 

По результатам тестирования на отобранных экземплярах концептуальных руткитов видно, что из антивирусных продуктов проактивное обнаружение активных руткитов (на основании анализа системных событий) реализовано только в Kaspersky Anti-Virus и F-Secure Anti-Virus.

Что касается специализированных программ, то все они в той или иной степени имеют возможности для проактивного обнаружения активных руткитов. Лучшими в этой части теста признаны Kaspersky Anti-Virus и Rootkit Unhooker, обнаружившие все представленные концепты руткитов.

 

Награждение победителей

В таблице 4 представлены итоговые результаты всех участвовавших в тесте продуктов и присужденные им награды.

Таблица 4: Лучшие антивирусы/антируткиты по результатам теста

Название антивируса/антируткита Награда Получено баллов
Вредоносные программы
(6 max)
Концепты
(2 max)
Всего
(max 8)
Rootkit Unhooker 3.7.300 Gold Anti-Rootkit Protection Award
Gold Anti-Rootkit Protection Award
5.5 2 7.5
GMER 1.0.13 5.5 1.5 7
Kaspersky Anti-Virus 7.0 4.5 2 6.5
Avira Rootkit Detection 1.0 5 1.5 6.5
AVG Anti-Rootkit 1.1 Silver Anti-Rootkit Protection Award
Silver Anti-Rootkit Protection Award
4 1.5 5.5
Panda AntiRootkit 1.08 4 1.5 5.5
Sophos Anti-Rootkit 1.3.1 4.5 1 5.5
Dr.Web 4.44 5 0 5
TrendMicro RootkitBuster 1.6 4 1 5
Symantec Anti-Virus 2008 Bronze Anti-Rootkit Protection Award
Bronze Anti-Rootkit Protection Award
4 0.5 4.5
F-Secure Anti-Virus 2008 2.5 1.5 4
McAfee Rootkit Detective 1.1 3 0.5 3.5
BitDefender Antivirus 2008 Провалили тест 3 0 3
McAfee VirusScan Plus 2008 1.5 0 1.5
Eset Nod32 Anti-Virus 3.0 1 0 1
Trend Micro Antivirus plus Antispyware 2008 1 0 1

 

Итак, по результатам тестирования специализированные средства для борьбы с руткитами оказались в целом более эффективны, чем антивирусные продукты. Из антивирусных продуктов хорошие результаты показали только Kaspersky Anti-Virus, Dr.Web, Symantec Anti-Virus и F-Secure Anti-Virus (см. таблицу 5).

Из антивирусов высшую награду Gold Anti-Rootkit Protection Award завоевал только Kaspersky Anti-Virus, набравший 6.5 баллов из 8 возможных. Антивирус Dr.Web стал вторым, завоевав награду Silver Anti-Rootkit Protection Award.

Symantec Anti-Virus и F-Secure Anti-Virus были удостоены награды Bronze Anti-Rootkit Protection Award, а остальные продукты (BitDefender Antivirus, McAfee VirusScan Plus, Eset Nod32 Anti-Virus и Trend Micro Antivirus plus Antispyware), к сожалению, провалили тест.

 

Таблица 5: Лучшие антивирусы по результатам теста

Название антируткита Вредоносные программы
(6 max)
Концепты
(2 max)
Всего баллов
(max 8)
Kaspersky Anti-Virus 7.0 4.5 2 6.5
Dr.Web 4.44 5 0 5
Symantec Anti-Virus 2008 4 0.5 4.5
F-Secure Anti-Virus 2008 2.5 1.5 4
BitDefender Antivirus 2008 3 0 3
McAfee VirusScan Plus 2008 1.5 0 1.5
Eset Nod32 Anti-Virus 3.0 1 0 1
Trend Micro Antivirus plus Antispyware 2008 1 0 1

 

Что касается специализированных антируткит-продуктов, то победителем среди них, как и в целом по результатам теста, оказался Rootkit Unhooker, набравший 7.5 баллов из 8 возможных и получивший награду Gold Anti-Rootkit Protection Award (см.таблицу 6). Такой же награды удостоен также GMER (набравший всего на 0,5 балла меньше лидера) и Avira Rootkit Detection (6,5 баллов из 8).

Обладателями награды Silver Anti-Rootkit Protection Award стали целых четыре антируткита: AVG Anti-Rootkit, Panda AntiRootkit, Sophos Anti-Rootkit и Trend Micro RootkitBuster. При этом первые три – AVG, Panda и Sophos – набрали по 5.5. баллов, а продукт TrendMicro – 5 из 8 возможных.

И, наконец, McAfee Rootkit Detective, набравший 3,5 балла, заслужил награду Bronze Anti-Rootkit Protection Award.

Таким образом, все тестируемые специализированные антируткиты неплохо показали себя в тесте и оправдали свое назначение. Провалившах тест антируткитов не оказалось.

 

Таблица 6: Лучшие антируткиты по результатам теста

Название антируткита Вредоносные программы
(6 max)
Концепты
(2 max)
Всего баллов
(max 8)
Rootkit Unhooker 3.7.300 5.5 2 7.5
GMER 1.0.13 5.5 1.5 7
Avira Rootkit Detection 1.0 5 1.5 6.5
AVG Anti-Rootkit 1.1 4 1.5 5.5
Panda AntiRootkit 1.08 4 1.5 5.5
Sophos Anti-Rootkit 1.3.1 4.5 1 5.5
TrendMicro RootkitBuster 1.6 4 1 5
McAfee Rootkit Detective 1.1 3 0.5 3.5

 

Чтобы ознакомиться подробными результатами данного теста и убедиться в правильности итоговых расчетов, рекомендуем Вам скачать результаты этого теста в формате Microsoft Excel или PDF.

 

Авторы:
Василий Бердников (vaber)
Сергей Ильин

28.12.2007

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Если вы являетесь производителем и хотели бы видеть свой продукт в списке протестированных по данной методологии или обновить его результаты, не дожидаясь нового планового теста, вы можете воспользоваться услугой индивидуального тестирования.