Методология теста антивирусов на лечение активного заражения (октябрь 2008)

Подготовка теста

Для проведения тестирования антивирусов на лечение активного заражения экспертной группой Anti-Malware.ru были отобраны 15 вредоносных программ по следующим критериям:

  1. детектирование компонентов вредоносной программы всеми участвующими в тесте антивирусами;
  2. отсутствие целенаправленного противодействия работе антивируса;
  3. способность противодействовать обнаружению/удалению со стороны антивируса;
  4. способность восстанавливаться в случае удаления некоторых компонент;
  5. распространенность;
  6. вредоносные программы отбирались таким образом, чтобы максимально полно покрыть используемые ими технологии маскировки, защиты от обнаружения/удаления.

В отборе вредоносных программ для теста отдавался приоритет наиболее сложным видам, которые больше удовлетворяют приведенным выше критериям.

Стоит отметить, что критически важным параметром для отбора вредоносных программ для теста было детектирование их компонентов со стороны всех участвовавших в тесте антивирусов.

Все используемые в тесте вредоносные программы были собраны экспертами Anti-Malware.ru во время распространения в Интернет (In The Wild).

Таким образом, для теста были отобраны следующие вредоносные программы по классификации (Лаборатории Касперского):

  1. Adware. Win32.NewDotNet
  2. Backdoor.Win32.Sinowal.ce
  3. Email-Worm.Win32.Scano.bd
  4. Rootkit.Win32.Agent.ea
  5. Rootkit.Win32.Podnuha.a
  6. Trojan-Dropper.Win32.Agent.vug
  7. Trojan-Dropper.Win32.Mutant.e
  8. Trojan-Proxy.Win32.Saturn.cu
  9. Trojan-Proxy. Win32.Xorpix.dh
  10. Trojan-Spy.Win32.Zbot.bsa
  11. Trojan.Win32.Agent.lkz
  12. Trojan.Win32.Monderb.gen
  13. Trojan.Win32.Pakes.cuh
  14. Trojan.Win32.Small.yc
  15. Virus.Win32.Rustock.a

Каждый отобранный экземпляр вредоносной программы проверялся на работоспособность и установку на тестовой системе. Подробное описание вредоносных программ можно найти в полном отчете о тестировании в формате Excel.

Проведение

Тест проводился на специально подготовленном стенде под управлением VMware Workstation 5.5.3. Для каждого экземпляра вредоносной программы клонировалась «чистая» виртуальная машина с операционной системой Microsoft Windows XP Professional Service Pack 3.

В тестировании участвовали следующие антивирусные программы:

  1. Avast! Professional Edition 4.8.1229
  2. AVG Anti-Virus & Anti-Spyware 8.0.0.2
  3. Avira AntiVir PE Premium 8.1.0.367
  4. BitDefender Antivirus 2009 (12.0.10.1)
  5. Dr.Web Anti-Virus 4.44.5.8080
  6. Eset NOD32 Antivirus 3.0.669.0
  7. F-Secure Anti-Virus 2009
  8. Kaspersky Anti-Virus 2009 (8.0.0.357)
  9. McAfee VirusScan 2008 (12.1.110)
  10. Outpost Antivirus Pro 6.5.2358.316.0607
  11. Panda Antivirus 2009
  12. Sophos Antivirus 7.3.4
  13. Norton AntiVirus 2009
  14. Trend Micro Antivirus plus Antispyware 2008 (16.10.1182)
  15. VBA32 Antivirus 3.12.8.6

При установке на зараженную машину учитывались рекомендуемые производителем настройки по умолчанию и производились все рекомендуемые программой действия (перезагрузка системы, обновление и т.д.).

Если вредоносный код не детектировался автоматически антивирусным монитором, то инициировалась проверка из профилей проверок в интерфейсе антивируса, по требованию каталога (или нескольких каталогов), где должны были быть расположены файлы вредоносной программы.

Шаги проведения тестирования:

  1. заражение виртуальной машины с чистой ОС - активация вредоносной программы (создание снимка системы main_snapshot);
  2. проверка работоспособности вируса и его успешной установки в системе;
  3. перезагрузка зараженной системы;
  4. еще одна проверка работоспособности вируса в системе;
  5. создание снимка системы snapshot_virus, выключение виртуальной машины.
  6. повторение действий 1-5 для всех вредоносных программ.
  7. загрузка одного из снимков snapshot_virus и попытка установки одного тестируемого антивируса и очистки системы;
  8. если удается очистить систему, фиксируем оставшиеся следы заражения системы.
  9. Повторение пунктов 7-8 для всех пятнадцати снимков snapshot_virus и всех пятнадцати антивирусов (в сумме 225 повторений).

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.
Если вы являетесь производителем и хотели бы видеть свой продукт в списке протестированных по данной методологии или обновить его результаты, не дожидаясь нового планового теста, вы можете воспользоваться услугой индивидуального тестирования.