Российский независимый информационно-аналитический портал Anti-Malware.ru опубликовал результаты уникального теста антивирусов и специализированных антируткитов на обнаружение и удаление вредоносных программ, скрывающих свое присутствие в системе (руткитов).
Цель проведенного теста - проверить возможности популярных программных продуктов обнаруживать и удалять распространенные в сети вредоносные программы, использующие руткит-технологии для сокрытия своего присутствия в системе.
Для обнаружения и удаления подобных вредоносных программ существуют специализированные программы – антируткиты. Кроме того, многие антивирусные производители заявляют о наличии в своих продуктах функционала по обнаружению активных руткитов. Поэтому в тест для сравнения были включены обе категории продуктов.
Тест проводился на машине под операционной системой Windows XP SP2 в период с 15 октября по 10 декабря 2007 года в строгом соответствии со специально разработанной методологией, по которой антивирусы и антируткиты были испытаны на обнаружение установленных в системе вредоносных программ с руткит-маскировкой.
Из антивирусов высшую награду Gold Anti-Rootkit Protection Award завоевал только Антивирус Касперского. Антивирус Dr.Web стал вторым, завоевав награду Silver Anti-Rootkit Protection Award.
Symantec Anti-Virus и F-Secure Anti-Virus были удостоены награды Bronze Anti-Rootkit Protection Award. Остальные продукты (BitDefender Antivirus, McAfee VirusScan Plus, Eset Nod32 Anti-Virus и Trend Micro Antivirus plus Antispyware), к сожалению, провалили тест.
Специализированные средства для борьбы с руткитами оказались в целом более эффективны, чем антивирусные продукты. Победителем среди них, как и в целом по результатам теста, оказался Rootkit Unhooker, набравший 7.5 баллов из 8 возможных и получивший награду Gold Anti-Rootkit Protection Award. Такой же награды были удостоены GMER и Avira Rootkit Detection.
Обладателями награды Silver Anti-Rootkit Protection Award стали целых четыре антируткита: AVG Anti-Rootkit, Panda AntiRootkit, Sophos Anti-Rootkit и Trend Micro RootkitBuster.
И, наконец, McAfee Rootkit Detective заслужил награду Bronze Anti-Rootkit Protection Award. Таким образом, все тестируемые специализированные антируткиты неплохо показали себя в тесте и оправдали свое назначение. Провалившах тест среди них не оказалось.
Дополнительно в тесте была проверена возможность проактивного обнаружения скрывающих свое присутствие в системе программ. Эта проверка проводилась на концептуальных демо-руткитах, демонстрирующих различные возможности по сокрытию в системе.
Результаты этой проверки показывают насколько эффективно протестированные решения способны справляться с новыми неизвестными руткитами.
В результате этого исследования было установлено, что проактивное обнаружение активных руткитов (на основании анализа системных событий) реализовано только в Антивирусе Касперского и F-Secure Anti-Virus. Что касается специализированных программ, то все они в той или иной степени имеют возможности для проактивного обнаружения активных руткитов.
Таким образом, лучшими в этой части теста признаны Антивирус Касперского и Rootkit Unhooker, обнаружившие все представленные концепты руткитов.
Сергей Ильин, управляющий партнер Anti-Malware.ru, так прокомментировал результаты теста: "Результаты теста наглядно продемонстрировали, что одинаковые по классу продукты имеют принципиально разные возможности по обнаружению и удалению активных руткитов. Некоторые антивирусы с формально заявленными возможностями по обнаружению руткитов - например, BitDefender, McAfee или Eset - на деле оказываются бесполезными, в то время как небольшие, бесплатно распространяемые программы, оказываются гораздо эффективнее и могут защищать даже от еще неизвестных видов скрытых угроз".
Ознакомиться с полным отчетом о тестировании можно здесь.