Методология проведения теста антивирусов на поддержку упаковщиков


Подготовка теста

Сколько всего в мире существует универсальных упаковщиков? По нашим скромным подсчетам – более 100 видов, а по некоторым данным их число приближается к 200. Владея таким арсеналом специального программного обеспечения, вирусописатели создают новые модификации одного и того же вируса, не прилагая практически никаких усилий.

Как только появился новый вирус, его можно обработать упаковщиком или протектором (это по времени занимает секунды), проверить работоспособность и отправить в свободное плаванье. В итоге в Интернет будет уже две модификации одного и того же вируса.

При этом многие антивирусные компании зачастую хитрят. В антивирусные базы вносятся сигнатуры вирусов и их модификаций (в том числе и упакованных), но непосредственно поддержка упаковщиков в антивирусе отсутствует. Это приводит к тому, что при появлении по-новому упакованного вируса таким вендорам приходится вносить в антивирусные базы новые сигнатуры, в то время как при наличии поддержки упаковщика, новая модификация вируса стала бы детектироваться автоматически.

Конечно, не все антивирусные компании поступают подобным образом, но ситуация осложняется тем, что упаковщики и протекторы постоянно обновляются и за их новыми версиями необходимо следить так же, как и за появлением новых вирусов.

После продолжительных консультаций с антивирусными вендорами и различными независимыми экспертами из всего многообразия упаковщиков для теста мы выбрали 21 тип, основываясь на данных:

  1. Популярности упаковщиков у вирусописателей;
  2. Нашем собственном анализе упаковщиков и возможности их использования для скрытия вредоносного кода.

Для проведения теста были взяты самые последние версии упаковщиков, которые на тот момент были публично доступны в сети Интернет.

Проведение теста

Тестирование антивирусов на поддержку упаковщиков производится экспертами Anti-Malware.ru на регулярной основе. Мы внимательно следим за появлением в Интернет новых версий различных упаковщиков, проводим анализ популярности применения различных версий и их модификаций.

Помимо этого проект Anti-Malware.ru плотно сотрудничает с различными антивирусными компаниями, которые предоставляют нам информацию по применению разработчиками вирусов различных упаковщиков.

На основе полученных данных мы готовим список упаковщиков. За неделю до начала теста, мы фиксируем версии упаковщиков, которые будут участвовать в тестировании. Эта информация доступна для разработчиков антивирусов.

В это же время отбираются экземпляры вирусов 5-10 штук, среди которых обязательно присутствуют различные типы вредоносного кода (вирусы, черви, трояны, шпионские программы, кейлогеры и т.п.). Основное требование к этим экземплярам – они не упакованы и в данном виде успешно детектируются всем антивирусами, участвующими в тесте. Информация по взятым экземплярам вредоносного кода не доступна разработчикам антивирусов, до окончания теста.

Этапы тестирования:

  1. Производится запаковка выбранных экземпляров вирусов упаковщиками, т.е. получаем Х модификаций каждого вируса, где Х – это число упаковщиков, участвующих в тестировании.
  2. Далее каждый экземпляр проверяется на работоспособность – т.е. полное выполнение своей функциональности после упаковки.
  3. Происходит непосредственно сам тест на детектирование упакованных вирусов последними версиями антивирусов с актуальными базами данных.

Шаги 1 и 2 выполняются в течение недели до тестирования, но после того, как официально были зафиксированы версии упаковщиков. Если после упаковки вируса каким-либо из пакеров не получается добиться его работоспособности, тогда данная модификация вируса исключается из тестирования.

Как уже писалось выше, тестирование проводится актуальными версиями антивирусного программного обеспечения с актуальными обновлениями.

Частота проведения тестов определяется проектной командой Anti-Malware.ru, и зависит от появления новых версий упаковщиков, изменения популярности различных упаковщиков и на основе анализа данных антивирусных производителей. Тест проводится не реже четырех раз в год.

Пакеры, детектируемые всеми участниками теста, в следующем тестировании не учавствуют, если не изменялась их версия (алгоритмы, методы и т.д.).

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.
Если вы являетесь производителем и хотели бы видеть свой продукт в списке протестированных по данной методологии или обновить его результаты, не дожидаясь нового планового теста, вы можете воспользоваться услугой индивидуального тестирования.