Методология теста антивирусов на лечение активного заражения (февраль 2007)

Выбор вредоносных программ для теста

Для проведения тестирования антивирусов на лечение активного заражения экспертной группой Anti-Malware.ru были отобраны 10 вредоносных программ по следующим критериям:

  1. детектирование родительского файла всеми участвующими в тесте антивирусами;
  2. способность маскировать свое присутствие;
  3. способность мешать установке и противодействовать работе антивируса;
  4. способность восстанавливаться в случае удаления некоторых компонент;
  5. распространенность и известность.

В отборе вредоносных программ для теста отдавался приоритет наиболее сложным семплам, которые больше удовлетворяют приведенным выше критериям.

Стоит отметить, что критически важным параметром для отбора вредоносных программ для теста было детектирование их со стороны всех участвовавших в тесте антивирусов.

Все используемые в тесте вредоносные программы были собраные во время распространения в Интернет (In The Wild).

Таким образом, для теста были отобраны следующие вредоносные программы по классификации (Лаборатории Касперского):

  1. Adware.Win32.Look2me
  2. Adware.Win32.NewDotNet
  3. Backdoor.Win32.Haxdoor
  4. Trojan-Proxy.Win32.Xorpix
  5. Email-Worm.Win32.Scano
  6. Email-Worm.Win32.Bagle
  7. Trojan-PSW.Win32.LdPinch
  8. Worm.Win32.Feebs
  9. Trojan-Clicker.Win32.Costrat
  10. Trojan-Spy.Win32.Goldun

Каждый отобранный экземпляр вредоносной программы проверялся на работоспособность и установку на тестовой системе.

Список отобранных для теста вредоносные программ до оглашения результатов держался в тайне и не сообщался никому из вредставителей вендоров, чьи антивирусы принимали в нем участие.

Проведение теста антивирусов на лечение активного заражения

Тест проводился на специально подготовленном стенде под управлением VMware GSX Server. Для каждого экземпляра вредоносной программы клонировалась «чистая» виртуальная машина с операционной системой Microsoft Windows XP SP2 и всеми установленными патчами на момент проведения теста.

В тестировании участвовали следующие антивирусные программы:

  1. Avast! Professional Edition 4.7
  2. AVG Anti-Virus PE 7.5
  3. Avira AntiVir СE 7.0
  4. AVZ 4.21
  5. BitDefender Antivirus 10
  6. Dr.Web Anti-Virus 4.33
  7. Eset NOD32 Antivirus 2.7
  8. F-Secure Anti-Virus 2007
  9. Kaspersky Anti-Virus 6.0
  10. McAfee VirusScan 2007
  11. Panda Antivirus 2007
  12. Sophos Anti-Virus 6.0
  13. Symantec Norton AntiVirus 2007
  14. Trend Micro PC-Cillin 2007
  15. VBA32 Antivirus 3.11

При установке на зараженную машину учитывались рекомендуемые производителем настройки по умолчанию и производились все рекомендуемые программой действия (перезагрузка системы, обновление и т.д.).

Если вредоносный код не детектировался автоматически антивирусным монитором, то инициировалась проверка по требованию каталога (или нескольких каталогов), где должны были быть расположены файлы вредоносной программы.

Шаги проведения тестирования:

  1. заражение (активация) вредоносной программой виртуальной машины;
  2. проверка роботоспособности вируса и его успешной установки в системе;
  3. многократная перезагрузка зараженной системы;
  4. попытка установки тестируемого антивируса и очистки системы;
  5. если удается очистить систему, фиксируем оставшиеся следы заражения системы.

Для каждого отобранного семпла вредоносной программы выделялась своя чистая виртуальная машина – шаг 1. После попытки установки какого-либо антивируса и лечении заражения, машина откатывалась в первоначальное состояние – шаг 3.

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.
Если вы являетесь производителем и хотели бы видеть свой продукт в списке протестированных по данной методологии или обновить его результаты, не дожидаясь нового планового теста, вы можете воспользоваться услугой индивидуального тестирования.