Тестирование AntiSpyware-программ
CA PestPatrol Corporate Edition
Общие недостатки протестированных специализированных продуктов
Тестирование антивирусов, поддерживающих удаление AdWare/SpyWare
В настоящее время шпионские, а также AdWare-, SpyWare- и Dialer-программы доставляют пользователям не меньше беспокойства, чем компьютерные вирусы и трояны. Как следствие, в последние годы появилось множество программ, предназначенных для поиска и уничтожения SpyWare и AdWare. Цель данной статьи — сравнение ряда популярных продуктов в идентичных условиях на довольно большом числе вредоносных объектов.
Методика тестирования
ля сравнения продуктов был подготовлен набор из 4479 образцов, скомпонованный из ITW, то есть из образцов, найденных на компьютерах пользователей в ходе их лечения за период с апреля по июнь сего года. Группировка файлов была проведена по классификации «Лаборатории Касперского», процентный состав показан на рис. 1.
Рис. 1
Как следует из диаграммы, 38% от количества образцов составляют AdWare и SpyWare (нужно отметить, что в классификации ЛК отсутствует SpyWare — в эту категорию я вынес наиболее вредоносные из представителей AdWare). Подавляющее количество образцов Trojan-Downloader данной коллекции являются программами для скрытной загрузки и установки представленных в коллекции вредоносных программ. Trojan-Spy — это шпионское программное обеспечение в чистом виде, передающее важные сведения о пользователе: пароли, номера кредитных карт, вводимый с клавиатуры текст. В категории Trojan отобраны программы следующих разновидностей: Trojan-Dialer (программы для скрытной модификации параметров набора телефонного номера или дозвона по платным телефонам), Trojan.StartPage (модифицирующие стартовую страницу и параметры поиска Internet Explorer, эти программы также известны как Hijacker), Trojan.LowZones (модифицирующие параметры безопасности Internet Explorer). В категорию «Прочее» попали вредоносные программы других классов — здесь представлено около 50 сетевых и почтовых червей распространенных типов, 12 эксплоитов для Internet Explorer (применяемых для запуска инсталляторов SpyWare) и 70 специализированных троянских программ (TrojanPSW и Trojan-Proxy).
В качестве полигона для тестирования выступил специально подготовленный компьютер с русской версией Windows XP SP2 Professional. Для чистоты эксперимента тестирование каждого из продуктов производилось после восстановления системы из образа. Если у исследуемого продукта предусмотрено обновление баз, то оно в обязательном порядке производилось перед началом теста. В случае обнаружения вредоносной программы эвристикой и при выдаче подозрения это подозрение засчитывалось как детектирование.
В тестировании не участвовал ряд продуктов: в частности в тесте нет антивируса AVP (он детектирует 100% данной коллекции, так как коллекция классифицирована по его протоколу), VBA, UNA, Stop! (с разработчиками данных антивирусов автор ведет обмен ITW-образцами, поэтому их тестирование не может быть корректным); нет в тесте и авторской утилиты AVZ. Не тестировались продукты типа Spybot — Search & Destroy и его аналогов: у них отсутствует файловый сканер как таковой и принципы их работы основаны на изучении реестра и «иммунизации» ПК. Кроме того, с тестирования был снят ряд продуктов, в частности Disspy от H-Desk Software и CounterSpy от Sunbelt Software. Причина проста: эти продукты ищут файлы на диске и процессы в памяти по именам, а вердикт о вредоносности выносится только на основании имени файла, что, естественно, некорректно и весьма опасно, так как случайное совпадение имени приведет к обнаружению якобы вредоносной программы где угодно.
 |
|
Ad-Aware SE Personal
анная программа входит в число лидеров по распространенности и известности. Скачать программу можно с http://www.lavasoft.ru/, ее размер 2,5 Мбайт, а распространяется она бесплатно, хотя есть и платные варианты с расширенными возможностями. Установка программы и обновление баз прошли без проблем, сканирование производилось достаточно быстро. Ложные срабатывания на эталонной системе не обнаружены.
Рис. 2
Результаты тестов (рис. 2) вызвали некоторое разочарование: из категории AdvWare было обнаружено только 25%, из SpyWare — 29%, к тому же программа практически бесполезна для борьбы с Dialer и Trojan.Dialer. Анализ пропущенных вредоносных программ показал наличие множества пропусков по распространенным AdvWare различных разновидностей: AdultIt, AdURL, Altnet, Look2Me, MagicControl, MediaTickets, Midadle, NaviPromo, RideMark, SaveNow, Searcher, ShopNav, Sidesearch, WebEx,WebHancer, WinShow, Wintol. Для распространенного AdvWare.WinAd было обнаружено всего 5 образцов из 30.
|
|
Microsoft AntiSpyware
http://comparite.ch/remove-spyware. Распространяется она бесплатно (имеет статус beta-версии). Установка и настройка не вызывают проблем, к тому же имеется мастер обновления программы через Интернет.
Рис. 3
По качеству обнаружения (рис. 3) данный продукт несколько проигрывает Ad-Aware SE, при этом Microsoft AntiSpyware немного лучше обнаруживает троянские программы и хуже — AdWare и SpyWare, хотя показатели сопоставимы: оба эти продукта детектируют не более 1/3 образцов в любой из данных категорий.
|
|
CA PestPatrol Corporate Edition
estPatrol является весьма известным продуктом на рынке, к тому же у него наличествуют корпоративная версия и сайт с описанием вредоносных программ. Для установки PestPatrol необходимо также установить Microsoft .NET Framework (размер самого продукта — 13 Мбайт, Microsoft .NET Framework — около 23 Мбайт). На момент тестирования продукт стоил 40 долл. (информация на сайте: http://store.ca.com/).
Рис. 4
По суммарному количеству найденных вредоносных программ (рис. 4) PestPatrol опережает Ad-Aware и Microsoft AntiSpyware, но разрыв не очень велик. Явный минус — данный продукт практически не обнаруживает программ категории Dialer.
|
|
McAfee AntiSpyware
ена продукта — 30 долл., размер дистрибутива — 7 Мбайт. Установка и настройка проблем не вызвали.
График тестирования (рис. 5) не требует особых комментариев: продукт обнаружил всего 115 образцов наиболее распространенных типов, поэтому рассматривать его как серьезное средство от шпионских программ невозможно.
Рис. 5
|
|
Spy Sweeper
анный продукт стоит 30 долл., а скачать его можно с сайта разработчиков по адресу: http://www.webroot.com/products/spysweeper-indepth/, размер — 3,8 Мбайт.
рис. 6
По результатам тестов (рис. 6) было обнаружено, что Spy Sweeper детектировал в два раза больше вредоносных программ, чем Ad-Aware. Положительным моментом является хорошее детектирование Trojan-Downloader и Dialer (хотя в сумме данный продукт детектировал около 30% образцов). По профилирующей категории AdWare и SpyWare он детектирует более 40% образцов.
|
|
A2 (a-squared Personal)
анный продукт можно найти на сайте разработчика http://www.emsisoft.com/en/; тестировалась версия 1.6, размер дистрибутива — 2 Мбайт. Стоит A2 40 долл. (на сайте есть полнофункциональная триальная 30-дневная версия).
рис. 7
Продукт удивил размером базы — 126 210 сигнатур. Изучение продукта показало, что данный размер базы плохо сочетается с качеством детектирования, хотя в целом продукт показал неплохие результаты (рис. 7) — хорошо детектируются продукты всех категорий, за исключением эксплоитов.
|
|
Spy Emergency 2005
айт разработчика — http://www.spy-emergency.com, тестировалась версия 2.0.296. Размер — 7,5 Мбайт, цена — 24 долл. Согласно отображаемой продуктом информации, в базе имеется 81 805 сигнатур. Собственно, столь большой объем и внушительный список возможностей послужили причиной тестирования данного продукта.
рис. 8
Как видно из тестов (рис. 8), эффективность данного продукта близка к нулю — детектировано всего 148 образцов из 4479.
|
|
Spyware Nuker 2005
естировалась версия 3.04.24.1 данного продукта; сайт разработчика http://www.nuker.com/, цена — 40 долл.
Из результатов теста следует, что качество сканирования на невысоком уровне (рис. 9). Кроме того, было обнаружено, что Spyware Nuker ищет файлы по именам. Например, если положить в папку Windows\System32 файл с именем toolbar.dll с любым содержимым, то произойдет однозначное детектирование ее как iSearchToolbar с предложением удалить.
рис. 9
|
|
TauScan
auScan разработан компанией Agnitum (http://www.agnitum.ru/products/tauscan/index.php), которая знаменита своим продуктом Outpost Firewall. Размер — 1,85 Мбайт, цена — около 10 долл. В описании сказано: «Tauscan — мощная система для обнаружения и обезвреживания всех известных типов троянских коней, которые могут угрожать вашей системе». В тестовой базе более 500 опаснейших Trojan-Spy, поэтому автор и решил протестировать этот продукт.
рис. 10
Результаты тестов удивили и разочаровали (рис. 10): из категории Trojan-Spy на максимальной эвристике было выловлено около 23%, в категориях Trojan-PSW и Trojan детектировался один образец из десяти. Кроме того, тесты показали очень высокий уровень ложных срабатываний.
|
|
Общие недостатки протестированных специализированных продуктов
- Большинство протестированных продуктов проводят поиск SpyWare в реестре и при этом сообщают о найденных ключах как о вредоносных продуктах. Сообщение звучит как: «В реестре обнаружен SpyWare.Gator ...», хотя никакого SpyWare в реестре, конечно, нет, а есть ключ, который сам по себе не опасен.
- В некоторых продуктах поиск SpyWare сookies доведен до абсурда. По идее, пользователь может удалить cookies, запретить их прием, а IE6+ содержит мощные средства их блокировки, так что опасность cookies явно завышена. К тому же охота на cookies является хорошим маркетинговым ходом, ибо почти всегда на любом ПК можно найти около сотни cookies разных счетчиков/рейтингов.
- Как ни странно, но несколько протестированных продуктов осуществляют поиск файлов по именам. Мало того, что данная методика совершенно неэффективна (многие вредоносные программы меняют свои имена), но она к тому же потенциально опасна, ибо по мере роста базы растет вероятность ложных срабатываний. Самое же неприятное в том, что если бы выдавалось сообщение «Возможно ...» или «Подозрение на ...», то это было бы еще терпимо, но ведь исследованные продукты сообщают однозначно: «троянская программа», «вирус», «шпион», а потом, естественно, предлагают их удалить. На данный момент единственным надежным методом определения вредоносной программы является сигнатура — начиная от полной MD5 суммы и заканчивая некими выборочными сигнатурами достаточно большого размера внутри файла.
- В описании многих продуктов гордо заявлено, что у них есть эвристические методики поиска шпионов. Если они и есть, то надежно замаскированы, поскольку в ходе тестов срабатываний эвристики практически не отмечалось.
- Большинство исследованных продуктов плохо детектируют Trojan-Downloader и Trojan-Dropper. Это большое упущение, так как установка большинства SpyWare происходит именно при помощи программ класса Trojan-Downloader, и если в ходе лечения не удалить загрузчик, то толку от лечения не будет — загрузчик восстановит удаленные программы.
- Сканеры беспомощны перед RootKit-технологиями, причем под RootKit в данном контексте имеются в виду простейшие методики, например перехват API в UserMode. Элементарный перехватчик делает процессы и файлы невидимыми, а SpyWare с встроенным руткитом становится все больше — известны уже десятки разновидностей.
- Как показывает практика, цифры, описывающие размеры базы, не являются показателем качества поиска. Хотя и не хочется заострять внимание на конкретных продуктах, но общая тенденция ясна: поразить пользователя огромным количеством чего-то в базе (цифры зачастую внушительные — не менее 30-40 тыс., а подчас порядка 100-120 тыс.).
- У большинства продуктов отсутствует поддержка проверки архивов и упаковщиков/криптеров, даже самых распространенных, типа UPX.
|
|
Тестирование антивирусов, поддерживающих удаление AdWare/SpyWare
осле специализированных продуктов было проведено тестирование нескольких антивирусов. Как известно, почти все антивирусные компании стали включать в базы детектирование SpyWare и AdWare.
|
|
avast! 4 Home
естировалась русская версия, размер — около 9 Мбайт, сайт разработчика — http://www.avast.com/.
Тесты показали (рис. 11), что по суммарному количеству обнаруженных вредоносных программ avast4 опередил все специализированные продукты, хотя и отстал от них в области детектирования AdWare и SpyWare.
рис. 11
|
|
Eset NOD32
анный антивирус довольно популярен в нашей стране. Сайт разработчика — http://www.nod32russia.com/, размер — около 12 Мбайт. У продукта имеется продуманный инсталлятор, задающий ряд вопросов по ходу установки (причем вопросы в понятной для пользователя форме). Тесты проводились на максимуме: были включены все опции, проверки архивов, упаковщиков и т.п., максимальная эвристика.
Сразу можно отметить, что сканирует Eset NOD32 сравнительно быстро, но при включении всех опций на максимум, естественно, имеет место замедление скорости сканирования. Эвристика реально срабатывает: лично я насчитал десятка два срабатываний. Как видно из графика (рис. 12), NOD32 детектировал 60% AdvWare и SpyWare, а Dialer — более 50%. В сумме NOD32 детектировал 3053 образца из 4479 предложенных.
рис. 12
|
|
BitDefender
айт разработчиков — http://www.bitdefender. ru/, размер тестируемой версии — 13 Мбайт.
рис. 13
Тестирование показало (рис. 13), что хотя AdWare/SpyWare данный продукт и ловит почти в два раза хуже, чем NOD32, но не хуже специализированных продуктов. Особенностью BitDefender является то, что он лучше остальных участников теста ловит экслоиты.
|
|
DrWEB CureIT
ureIT — это бесплатная утилита, по сути являющаяся несколько урезанным сканером антивируса DrWEB и не требующая инсталляции. Продукт поставляется в самораспаковывающемся архиве вместе с базами, скачать его можно по адресу ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe, размер — около 3,5 Мбайт. В ходе тестов в состав CureIT были добавлены базы risky.vdb и nasty.vdb, которые содержат сигнатуры для поиска Malware.
рис. 14
Утилита CureIT по суммарному количеству найденных вредоносных программ опередила все остальные протестированные продукты, обнаружив 3208 образца, что составило 71,6% (рис. 14). На графике видно, что AdWare и Trojan-Downloader CureIt ловит лучше NOD32, но зато несколько проигрывает в отлове SpyWare.
|
|
Выводы
ак показало исследование, лидерами тестов оказались, как и предполагалось, антивирусы, оснащенные специализированными базами. Они обладают мощными средствами анализа файлов, поддерживают проверку архивов, упаковщиков, инсталляторов. В качестве итога на рис. 15 представлено качество детектирования всех протестированных продуктов.
рис. 15
