Методология теста антивирусов на лечение активного заражения (апрель 2015)

Подготовка теста

Для проведения тестирования антивирусов на лечение активного заражения 2015 года экспертной группой Anti-Malware.ru были отобраны вредоносные программы по следующим критериям:

  1. максимально полное покрытие используемых технологий маскировки, защиты от обнаружения/удаления;
  2. степень распространенности (на текущий момент или ранее);
  3. детектирование файлов-компонентов вредоносной программы всеми участвующими в тестировании антивирусами;
  4. способность противодействовать своему обнаружению/удалению со стороны антивируса и/или восстанавливать свои компоненты в случае их удаления антивирусом;
  5. отсутствие целенаправленного противодействия работе любого тестируемого антивируса (удаление файлов, ключей принадлежащих антивирусу, завершение процессов антивируса, блокировка возможности обновления баз антивируса);
  6. отсутствие целенаправленного противодействия полноценной работе пользователя на компьютере.

При отборе вредоносных программ для теста приоритет отдавался наиболее сложным видам, которые наиболее удовлетворяют приведенным выше критериям.

Стоит отметить, что критически важным параметром для отбора вредоносных программ для теста было детектирование их файловых компонентов со стороны всех участвовавших в тесте антивирусов. Если детектирование отсутствовало, то файловые компоненты анонимно (чтобы избежать специальной манипуляции результатами теста) отправлялись производителям.

Если производитель в течение месяца не присылал уведомлений о добавлении детектирования и, при этом, вредоносный компонентов не детектировался, то вредоносная программа шла в тест по принципу «как есть» (as is).

Все используемые в тесте вредоносные программы были собраны экспертами Anti-Malware.ru во время распространения в Интернет (In The Wild).

Исследования проводились на платформе Microsoft Windows 7 x64.

С учётом того, что за последнее время новые с технологической точки зрения вредоносные программы появлялись достаточно редко, для теста были отобраны следующие вредоносные программы:

  1. APT (Uroburos, Turla) - md5: a86ac0ad1f8928e8d4e1b728448f54f9
  2. Cidox (Rovnix, Mayachok, Boigy) - md5: 951ed97afcbb33ad0ac932823193dd66
  3. Poweliks (Powessere) - md5: 735295a0d9d22e6e212034741312b02f
  4. Backboot (WinNT/Pitou) - md5: 2afb72c2162756c24b055d6227348e88
  5. WMIGhost (HTTBot, Syndicasec) - md5: 0df40b226a4913a57668b83b7c7b443c
  6. Stoned (Bebloh, Shiptob, Bublik) - md5: 0b01450cc58583a0baea99e27b9317a7
  7. Pihar (TDL4,TDSS, Alureon, Tidserv) - md5: 15201d321848bf9b3b211887394e9fa2
  8. SST (PRAGMA, TDSS, Alureon) - md5: e748f65e21e88555c854d79bad714491
  9. Zeroaccess (Sirefef, MAX++) - md5: d2d312277f7577a1d1f9db5e8fb1ad32

 

Проведение теста

В тестировании участвовали следующие антивирусные программы (представленные ниже сборки актуальны на момент начала теста), релизные версии:

  1. Avast! Internet Security        2015.10.0.2208
  2. AVG Internet Security          2015.0.5646
  3. Avira Internet Security          14.0.7.468
  4. Eset Smart Security   8.0.304.0
  5. Kaspersky Internet Security  15.0.1.415(b)
  6. BitDefender Internet Security           18.20.0.1429
  7. Emsisoft Internet Security    9.0.0.4799
  8. Dr.Web Security Space Pro  10.0.0.12160
  9. Microsoft Security Essentials           4.6.0305.0
  10. McAfee Internet Security      14.0
  11. Norton Security         22.1.0.9
  12. Qihoo 360 Internet Security 5.0.0.5104
  13. TrustPort Internet Security   15.0.0.5420
  14. Panda Internet Security         15.0.4
  15. Trend Micro Titanium Internet Security      8.0.1133

При установке на зараженную машину использовались рекомендуемые производителем настройки по умолчанию и производились все рекомендуемые программой действия (перезагрузка системы, обновление и т.д.):

  • Процесс установки, по возможности, выполнялся с учетом рекомендованных установщиком действий, в том числе обновление продукта и проверка на вредоносные программы.
  • Если установщик не предложил перезагрузиться, то запускается проверка поиска вредоносных программ без перезагрузки системы после инсталляции. В случае неуспеха проверки (вредоносная программа не была обнаружена или была обнаружена, но не удалена), система перезагружалась и снова запускалась проверка поиска вредоносных программ.
  • Если по ходу инсталляции не было произведено обновление, оно выполнялось вручную перед лечением активного заражения.
  • При лечении активного заражения в первую очередь инициировались проверки из профилей проверок в интерфейсе антивируса (quick scan, startup scan etc). В случае неуспеха первой проверки запускалась проверка каталога из контекстного меню, в котором находятся файлы активной вредоносной программы. В случае неуспеха запускалась проверка всей системы.
  • Если в интерфейсе антивируса имеется возможность запустить отдельную проверку на руткиты, она производилась первой на всех образцах, содержащих руткит-компоненту.
  • Если при проверке обнаруживался только один из нескольких компонентов вредоносной программы, то поиск остальных компонентов продолжался после перезагрузки.
  • Если предлагалось несколько вариантов действий, действия выбирались в следующей последовательности по порядку в случае не успешности: «лечить», «удалить», «переименовать», «карантин».

Шаги проведения тестирования:

  1. Установка на жесткий диск операционной системы и создание полного образа жесткого диска при помощи Acronis True Image.
  2. Заражение машины с чистой операционной системы (активация вредоносной программы).
  3. Проверка работоспособности вредоносной программы и ее успешной установки в системе.
  4. Перезагрузка зараженной системы.
  5. Проверка активности вредоносной программы в системе.
  6. Установка антивируса и попытка лечения зараженной системы.
  7. Фиксируются показания антивируса, оставшиеся ключи автозагрузки вредоносной программы после успешного лечения. В случае не успешности лечения проверяется активность вредоносной программы или ее компонентов.
  8. Восстановление образа незараженной операционной системы на диске при помощи Acronis True Image (загрузка с CD).
  9. Повторение пунктов 2-8 для всех вредоносных программ и всех антивирусов.
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Если вы являетесь производителем и хотели бы видеть свой продукт в списке протестированных по данной методологии или обновить его результаты, не дожидаясь нового планового теста, вы можете воспользоваться услугой индивидуального тестирования.