Тестирование AntiSpyware-программ

Олег Зайцев

Методика тестирования

Ad-Aware SE Personal

Microsoft AntiSpyware

CA PestPatrol Corporate Edition

McAfee AntiSpyware

Spy Sweeper

A2 (a-squared Personal)

Spy Emergency 2005

Spyware Nuker 2005

TauScan

Общие недостатки протестированных специализированных продуктов

Тестирование антивирусов, поддерживающих удаление AdWare/SpyWare

avast! 4 Home

Eset NOD32

BitDefender

DrWEB CureIT

Выводы

 

В настоящее время шпионские, а также AdWare-, SpyWare- и Dialer-программы доставляют пользователям не меньше беспокойства, чем компьютерные вирусы и трояны. Как следствие, в последние годы появилось множество программ, предназначенных для поиска и уничтожения SpyWare и AdWare. Цель данной статьи — сравнение ряда популярных продуктов в идентичных условиях на довольно большом числе вредоносных объектов.

Методика тестирования

Для сравнения продуктов был подготовлен набор из 4479 образцов, скомпонованный из ITW, то есть из образцов, найденных на компьютерах пользователей в ходе их лечения за период с апреля по июнь сего года. Группировка файлов была проведена по классификации «Лаборатории Касперского», процентный состав показан на рис. 1.

 

Рис. 1

Рис. 1

Как следует из диаграммы, 38% от количества образцов составляют AdWare и SpyWare (нужно отметить, что в классификации ЛК отсутствует SpyWare — в эту категорию я вынес наиболее вредоносные из представителей AdWare). Подавляющее количество образцов Trojan-Downloader данной коллекции являются программами для скрытной загрузки и установки представленных в коллекции вредоносных программ. Trojan-Spy — это шпионское программное обеспечение в чистом виде, передающее важные сведения о пользователе: пароли, номера кредитных карт, вводимый с клавиатуры текст. В категории Trojan отобраны программы следующих разновидностей: Trojan-Dialer (программы для скрытной модификации параметров набора телефонного номера или дозвона по платным телефонам), Trojan.StartPage (модифицирующие стартовую страницу и параметры поиска Internet Explorer, эти программы также известны как Hijacker), Trojan.LowZones (модифицирующие параметры безопасности Internet Explorer). В категорию «Прочее» попали вредоносные программы других классов — здесь представлено около 50 сетевых и почтовых червей распространенных типов, 12 эксплоитов для Internet Explorer (применяемых для запуска инсталляторов SpyWare) и 70 специализированных троянских программ (TrojanPSW и Trojan-Proxy).

В качестве полигона для тестирования выступил специально подготовленный компьютер с русской версией Windows XP SP2 Professional. Для чистоты эксперимента тестирование каждого из продуктов производилось после восстановления системы из образа. Если у исследуемого продукта предусмотрено обновление баз, то оно в обязательном порядке производилось перед началом теста. В случае обнаружения вредоносной программы эвристикой и при выдаче подозрения это подозрение засчитывалось как детектирование.

В тестировании не участвовал ряд продуктов: в частности в тесте нет антивируса AVP (он детектирует 100% данной коллекции, так как коллекция классифицирована по его протоколу), VBA, UNA, Stop! (с разработчиками данных антивирусов автор ведет обмен ITW-образцами, поэтому их тестирование не может быть корректным); нет в тесте и авторской утилиты AVZ. Не тестировались продукты типа Spybot — Search & Destroy и его аналогов: у них отсутствует файловый сканер как таковой и принципы их работы основаны на изучении реестра и «иммунизации» ПК. Кроме того, с тестирования был снят ряд продуктов, в частности Disspy от H-Desk Software и CounterSpy от Sunbelt Software. Причина проста: эти продукты ищут файлы на диске и процессы в памяти по именам, а вердикт о вредоносности выносится только на основании имени файла, что, естественно, некорректно и весьма опасно, так как случайное совпадение имени приведет к обнаружению якобы вредоносной программы где угодно.

В начало В начало

Ad-Aware SE Personal

Данная программа входит в число лидеров по распространенности и известности. Скачать программу можно с http://www.lavasoft.ru/, ее размер 2,5 Мбайт, а распространяется она бесплатно, хотя есть и платные варианты с расширенными возможностями. Установка программы и обновление баз прошли без проблем, сканирование производилось достаточно быстро. Ложные срабатывания на эталонной системе не обнаружены.

 

Рис. 2

Рис. 2

Результаты тестов (рис. 2) вызвали некоторое разочарование: из категории AdvWare было обнаружено только 25%, из SpyWare — 29%, к тому же программа практически бесполезна для борьбы с Dialer и Trojan.Dialer. Анализ пропущенных вредоносных программ показал наличие множества пропусков по распространенным AdvWare различных разновидностей: AdultIt, AdURL, Altnet, Look2Me, MagicControl, MediaTickets, Midadle, NaviPromo, RideMark, SaveNow, Searcher, ShopNav, Sidesearch, WebEx,WebHancer, WinShow, Wintol. Для распространенного AdvWare.WinAd было обнаружено всего 5 образцов из 30.

В начало В начало

Microsoft AntiSpyware

Скачать эту программу размером 6,5 Мбайт можно по адресу http://www.microsoft.com/athome/security/spyware/. Распространяется она бесплатно (имеет статус beta-версии). Установка и настройка не вызывают проблем, к тому же имеется мастер обновления программы через Интернет.

 

Рис. 3

Рис. 3

По качеству обнаружения (рис. 3) данный продукт несколько проигрывает Ad-Aware SE, при этом Microsoft AntiSpyware немного лучше обнаруживает троянские программы и хуже — AdWare и SpyWare, хотя показатели сопоставимы: оба эти продукта детектируют не более 1/3 образцов в любой из данных категорий.

В начало В начало

CA PestPatrol Corporate Edition

РestPatrol является весьма известным продуктом на рынке, к тому же у него наличествуют корпоративная версия и сайт с описанием вредоносных программ. Для установки PestPatrol необходимо также установить Microsoft .NET Framework (размер самого продукта — 13 Мбайт, Microsoft .NET Framework — около 23 Мбайт). На момент тестирования продукт стоил 40 долл. (информация на сайте: http://store.ca.com/).

 

Рис. 4

Рис. 4

По суммарному количеству найденных вредоносных программ (рис. 4) PestPatrol опережает Ad-Aware и Microsoft AntiSpyware, но разрыв не очень велик. Явный минус — данный продукт практически не обнаруживает программ категории Dialer.

В начало В начало

McAfee AntiSpyware

Цена продукта — 30 долл., размер дистрибутива — 7 Мбайт. Установка и настройка проблем не вызвали.

График тестирования (рис. 5) не требует особых комментариев: продукт обнаружил всего 115 образцов наиболее распространенных типов, поэтому рассматривать его как серьезное средство от шпионских программ невозможно.

 

Рис. 3

Рис. 5

В начало В начало

Spy Sweeper

Данный продукт стоит 30 долл., а скачать его можно с сайта разработчиков по адресу: http://www.webroot.com/products/spysweeper-indepth/, размер — 3,8 Мбайт.

 

рис. 6

рис. 6

По результатам тестов (рис. 6) было обнаружено, что Spy Sweeper детектировал в два раза больше вредоносных программ, чем Ad-Aware. Положительным моментом является хорошее детектирование Trojan-Downloader и Dialer (хотя в сумме данный продукт детектировал около 30% образцов). По профилирующей категории AdWare и SpyWare он детектирует более 40% образцов.

В начало В начало

A2 (a-squared Personal)

Данный продукт можно найти на сайте разработчика http://www.emsisoft.com/en/; тестировалась версия 1.6, размер дистрибутива — 2 Мбайт. Стоит A2 40 долл. (на сайте есть полнофункциональная триальная 30-дневная версия).

 

рис. 7

рис. 7

Продукт удивил размером базы — 126 210 сигнатур. Изучение продукта показало, что данный размер базы плохо сочетается с качеством детектирования, хотя в целом продукт показал неплохие результаты (рис. 7) — хорошо детектируются продукты всех категорий, за исключением эксплоитов.

В начало В начало

Spy Emergency 2005

Сайт разработчика — http://www.spy-emergency.com, тестировалась версия 2.0.296. Размер — 7,5 Мбайт, цена — 24 долл. Согласно отображаемой продуктом информации, в базе имеется 81 805 сигнатур. Собственно, столь большой объем и внушительный список возможностей послужили причиной тестирования данного продукта.

 

рис. 8

рис. 8

Как видно из тестов (рис. 8), эффективность данного продукта близка к нулю — детектировано всего 148 образцов из 4479.

В начало В начало

Spyware Nuker 2005

Тестировалась версия 3.04.24.1 данного продукта; сайт разработчика http://www.nuker.com/, цена — 40 долл.

Из результатов теста следует, что качество сканирования на невысоком уровне (рис. 9). Кроме того, было обнаружено, что Spyware Nuker ищет файлы по именам. Например, если положить в папку Windows\System32 файл с именем toolbar.dll с любым содержимым, то произойдет однозначное детектирование ее как iSearchToolbar с предложением удалить.

 

рис. 9

рис. 9

В начало В начало

TauScan

ТauScan разработан компанией Agnitum (http://www.agnitum.ru/products/tauscan/index.php), которая знаменита своим продуктом Outpost Firewall. Размер — 1,85 Мбайт, цена — около 10 долл. В описании сказано: «Tauscan — мощная система для обнаружения и обезвреживания всех известных типов троянских коней, которые могут угрожать вашей системе». В тестовой базе более 500 опаснейших Trojan-Spy, поэтому автор и решил протестировать этот продукт.

 

рис. 10

рис. 10

Результаты тестов удивили и разочаровали (рис. 10): из категории Trojan-Spy на максимальной эвристике было выловлено около 23%, в категориях Trojan-PSW и Trojan детектировался один образец из десяти. Кроме того, тесты показали очень высокий уровень ложных срабатываний.

В начало В начало

Общие недостатки протестированных специализированных продуктов

  1. Большинство протестированных продуктов проводят поиск SpyWare в реестре и при этом сообщают о найденных ключах как о вредоносных продуктах. Сообщение звучит как: «В реестре обнаружен SpyWare.Gator ...», хотя никакого SpyWare в реестре, конечно, нет, а есть ключ, который сам по себе не опасен.
  2. В некоторых продуктах поиск SpyWare сookies доведен до абсурда. По идее, пользователь может удалить cookies, запретить их прием, а IE6+ содержит мощные средства их блокировки, так что опасность cookies явно завышена. К тому же охота на cookies является хорошим маркетинговым ходом, ибо почти всегда на любом ПК можно найти около сотни cookies разных счетчиков/рейтингов.
  3. Как ни странно, но несколько протестированных продуктов осуществляют поиск файлов по именам. Мало того, что данная методика совершенно неэффективна (многие вредоносные программы меняют свои имена), но она к тому же потенциально опасна, ибо по мере роста базы растет вероятность ложных срабатываний. Самое же неприятное в том, что если бы выдавалось сообщение «Возможно ...» или «Подозрение на ...», то это было бы еще терпимо, но ведь исследованные продукты сообщают однозначно: «троянская программа», «вирус», «шпион», а потом, естественно, предлагают их удалить. На данный момент единственным надежным методом определения вредоносной программы является сигнатура — начиная от полной MD5 суммы и заканчивая некими выборочными сигнатурами достаточно большого размера внутри файла.
  4. В описании многих продуктов гордо заявлено, что у них есть эвристические методики поиска шпионов. Если они и есть, то надежно замаскированы, поскольку в ходе тестов срабатываний эвристики практически не отмечалось.
  5. Большинство исследованных продуктов плохо детектируют Trojan-Downloader и Trojan-Dropper. Это большое упущение, так как установка большинства SpyWare происходит именно при помощи программ класса Trojan-Downloader, и если в ходе лечения не удалить загрузчик, то толку от лечения не будет — загрузчик восстановит удаленные программы.
  6. Сканеры беспомощны перед RootKit-технологиями, причем под RootKit в данном контексте имеются в виду простейшие методики, например перехват API в UserMode. Элементарный перехватчик делает процессы и файлы невидимыми, а SpyWare с встроенным руткитом становится все больше — известны уже десятки разновидностей.
  7. Как показывает практика, цифры, описывающие размеры базы, не являются показателем качества поиска. Хотя и не хочется заострять внимание на конкретных продуктах, но общая тенденция ясна: поразить пользователя огромным количеством чего-то в базе (цифры зачастую внушительные — не менее 30-40 тыс., а подчас порядка 100-120 тыс.).
  8. У большинства продуктов отсутствует поддержка проверки архивов и упаковщиков/криптеров, даже самых распространенных, типа UPX.
В начало В начало

Тестирование антивирусов, поддерживающих удаление AdWare/SpyWare

После специализированных продуктов было проведено тестирование нескольких антивирусов. Как известно, почти все антивирусные компании стали включать в базы детектирование SpyWare и AdWare.

В начало В начало

avast! 4 Home

Тестировалась русская версия, размер — около 9 Мбайт, сайт разработчика — http://www.avast.com/.

Тесты показали (рис. 11), что по суммарному количеству обнаруженных вредоносных программ avast4 опередил все специализированные продукты, хотя и отстал от них в области детектирования AdWare и SpyWare.

 

рис. 11

рис. 11

В начало В начало

Eset NOD32

Данный антивирус довольно популярен в нашей стране. Сайт разработчика — http://www.nod32russia.com/, размер — около 12 Мбайт. У продукта имеется продуманный инсталлятор, задающий ряд вопросов по ходу установки (причем вопросы в понятной для пользователя форме). Тесты проводились на максимуме: были включены все опции, проверки архивов, упаковщиков и т.п., максимальная эвристика.

Сразу можно отметить, что сканирует Eset NOD32 сравнительно быстро, но при включении всех опций на максимум, естественно, имеет место замедление скорости сканирования. Эвристика реально срабатывает: лично я насчитал десятка два срабатываний. Как видно из графика (рис. 12), NOD32 детектировал 60% AdvWare и SpyWare, а Dialer — более 50%. В сумме NOD32 детектировал 3053 образца из 4479 предложенных.

 

рис. 12

рис. 12

В начало В начало

BitDefender

Сайт разработчиков — http://www.bitdefender. ru/, размер тестируемой версии — 13 Мбайт.

 

рис. 13

рис. 13

Тестирование показало (рис. 13), что хотя AdWare/SpyWare данный продукт и ловит почти в два раза хуже, чем NOD32, но не хуже специализированных продуктов. Особенностью BitDefender является то, что он лучше остальных участников теста ловит экслоиты.

В начало В начало

DrWEB CureIT

СureIT — это бесплатная утилита, по сути являющаяся несколько урезанным сканером антивируса DrWEB и не требующая инсталляции. Продукт поставляется в самораспаковывающемся архиве вместе с базами, скачать его можно по адресу ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe, размер — около 3,5 Мбайт. В ходе тестов в состав CureIT были добавлены базы risky.vdb и nasty.vdb, которые содержат сигнатуры для поиска Malware.

 

рис. 14

рис. 14

Утилита CureIT по суммарному количеству найденных вредоносных программ опередила все остальные протестированные продукты, обнаружив 3208 образца, что составило 71,6% (рис. 14). На графике видно, что AdWare и Trojan-Downloader CureIt ловит лучше NOD32, но зато несколько проигрывает в отлове SpyWare.

В начало В начало

Выводы

Как показало исследование, лидерами тестов оказались, как и предполагалось, антивирусы, оснащенные специализированными базами. Они обладают мощными средствами анализа файлов, поддерживают проверку архивов, упаковщиков, инсталляторов. В качестве итога на рис. 15 представлено качество детектирования всех протестированных продуктов.

 

рис. 15

рис. 15

КомпьютерПресс 10'2005

Наш канал на Youtube

1999 1 2 3 4 5 6 7 8 9 10 11 12
2000 1 2 3 4 5 6 7 8 9 10 11 12
2001 1 2 3 4 5 6 7 8 9 10 11 12
2002 1 2 3 4 5 6 7 8 9 10 11 12
2003 1 2 3 4 5 6 7 8 9 10 11 12
2004 1 2 3 4 5 6 7 8 9 10 11 12
2005 1 2 3 4 5 6 7 8 9 10 11 12
2006 1 2 3 4 5 6 7 8 9 10 11 12
2007 1 2 3 4 5 6 7 8 9 10 11 12
2008 1 2 3 4 5 6 7 8 9 10 11 12
2009 1 2 3 4 5 6 7 8 9 10 11 12
2010 1 2 3 4 5 6 7 8 9 10 11 12
2011 1 2 3 4 5 6 7 8 9 10 11 12
2012 1 2 3 4 5 6 7 8 9 10 11 12
2013 1 2 3 4 5 6 7 8 9 10 11 12
Популярные статьи
КомпьютерПресс использует