Методология теста антируткитов на детектирование и лечение вредоносных программ

Выбор вредоносных программ для теста антируткитов

Для проведения данного тестирования антируткитов
экспертной группой Anti-Malware.ru были отобраны 9 вредоносных программ
по следующим критериям:

  1. Вредоносная программа должна скрывать свое присутствии в системе по руткит-технологии.
  2. Отобранные образцы должны использовать различные способы своего скрытия.
  3. Все образцы должны максимально полно отображать существующие технологии скрытия, используемые вирусописателями.
  4. Используемые вредоносные программы были собраны во время распространения в Интернет, ITW-образцы (In The Wild).

Все используемые в тесте образцы являются достаточно распространенными ITW-образцами (http://z-oleg.com/secur/virstat/index.php), многократно были обнаружены в ходе очистки ПК (http://virusinfo.info/forumdisplay.php?f=46) и неизбежно вызывали проблемы у пользователей со своим обнаружением и удалением.

Таким образом, для теста были отобраны следующие
вредоносные программы по классификации Лаборатории Касперского
(альтернативные названия по классификации других вендоров можно
посмотреть в полном отчете о тесте):

  1. Backdoor.Win32.Haxdoor.fd
  2. Backdoor.Win32.Padodor.ax
  3. Monitor.Win32.EliteKeylogger.21
  4. Monitor.Win32.SpyLantern.530
  5. Trojan-Clicker.Win32.Costrat.af
  6. Trojan-Proxy.Win32.Agent.lb
  7. Trojan-Spy.Win32.Goldun.np
  8. Trojan.Win32.DNSChanger.ih
  9. Worm.Win32.Feebs.gt

Каждый отобранный экземпляр вредоносной программы проверялся на работоспособность и установку на тестовой системе.

Список отобранных для теста вредоносные программ до
оглашения результатов держался в тайне и не сообщался никому из
вредставителей вендоров, чьи антируткиты принимали в нем участие.

Проведение теста антируткитов

Тест проводился на специально подготовленном стенде под
управлением VMware Workstation версии 5.5.3. Для каждого экземпляра
вредоносной программы клонировалась «чистая» виртуальная машина с
операционной системой Microsoft Windows XP SP2.

В тестировании участвовали следующие антируткит-программы:

  1. Antivir Rootkit 1.0.1.12 Beta3
  2. AVG Antirootkit 1.1.0.29 Beta
  3. AVZ 4.23 *
  4. BitDefender Antirootkit Beta2
  5. F-Secure BlackLight 2.2.1055 Beta
  6. Gmer 1.0.12.12027
  7. McAfee Rootkit Detective 1.0.0.41 Beta
  8. Rootkit Unhooker 3.20.130.388
  9. Sophos Anti-Rootkit 1.2.2
  10. Trend Micro RootkitBuster 1.6.0.1055 Beta
  11. UnHackMe 4.0

* AVZ не является полноценной антируткит-программой и представляет собой утилиту для комплексного исследования системы.

Требование, предъявляемое к антируткитам – наличие
функционала не только обнаружения присутствия руткита в системе, но и
его обезвреживания (удаление/переименование файлов,
удаление/переименование ключей/разделов реестра).

Шаги проведения тестирования:

  1. Заражение (активация) вредоносной программой виртуальной машины;
  2. Проверка работоспособности вируса и его успешной установки в системе;
  3. Многократная перезагрузка зараженной системы;
  4. Установка (запуск) тестируемой антируткит-программы и очистка системы;
  5. Фиксирование оставшихся файлов и ключей автозапуска.

Для каждого отобранного семпла вредоносной программы
выделялась своя чистая виртуальная машина – шаг 1. После запуска
(установки) какой-либо антируткит-программы и лечения заражения, машина
откатывалась в первоначальное состояние – шаг 3.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Если вы являетесь производителем и хотели бы видеть свой продукт в списке протестированных по данной методологии или обновить его результаты, не дожидаясь нового планового теста, вы можете воспользоваться услугой индивидуального тестирования.