Тестирование современных антивирусов

Олег Зайцев

Введение

ITW-тест

Тест проверки архивов

Тест поддержки упаковщиков

Выводы

Введение

Задачей настоящего тестирования является попытка комплексной сравнительной оценки 24 антивирусных продуктов. Поставленную задачу можно выполнить при помощи сервисов типа http://www.virustotal.com, позволяющих произвести одновременную проверку образца всеми антивирусными продуктами. Тестирование предусматривает использование трех независимых подтестов: теста качества детектирования образцов ITW (in-the-Wild), теста проверки архивов различного типа и теста детектирования вредоносной программы после ее обработки распространенными упаковщиками и криптерами.

В начало В начало

ITW-тест

IITW-тест позволяет оценить качество работы системы сигнатурного поиска и эвристики изучаемых антивирусов. Условия теста:

  1. В тесте принимали участие 50 образцов ITW, собранных в течение рабочей недели с 5 по 10 февраля.
  2. Ежедневно отбиралось 10 образцов — по два для категории EmailWorm, TrojanSpy, TrojanPSW, Trojan и Backdoor.
  3. При отборе образцов производился их анализ, позволяющий однозначно утверждать о вредоносности образца и о том, к какой категории он принадлежит.
  4. При отборе учитывалась статистика — выбирались наиболее распространенные вредоносные объекты.
  5. Образец считался детектированным в случае его детектирования при помощи эвристики антивируса.
  6. ITW-образцы участвовали в тестах именно в том виде, в каком они были обнаружены на зараженных машинах.

В ходе ITW-теста были получены интересные результаты. Оказалось, что некоторые антивирусы практически идеально детектируют вирусы в одной из категорий, но при этом почти не детектируют объекты из другой категории. Лидерами теста оказались AVP (98%), DrWeb (96%), Nod32 (92%), VBA (90%) и BitDefender (84%). Наихудшие результаты показал ClamAV. Интересно, что ClamAV хорошо детектировал почтовые черви (8/10) и очень плохо — вредоносные программы остальных типов. Интересные результаты были у NOD32v2 — не менее 30% участвовавших в тесте ITW были детектированы его эвристиком (табл. 1).

 

Таблица 1

Таблица 1

В целом можно отметить, что большинство тестируемых антивирусов детектировало не менее 80% предложенных образцов. Средний процент детектирования для всех изученных антивирусов составил 68%, для десятки лидеров — 85%. Также следует отметить, что 100% ITW-вирусов не детектировал ни один из тестировавшихся антивирусов.

В начало В начало

Тест проверки архивов

В качестве образца для тестирования выбран распространенный почтовый червь Bagle, детектируемый всеми исследуемыми антивирусными продуктами. Далее были подготовлены архивы, содержащие данный образец. Результаты тестирования сведены в табл. 2.

 

Таблица 2

Таблица 2

Тест показал, что подавляющее большинство антивирусов может проверять все основные типы архивов. Аутсайдерами в этом тесте оказались Avira (4 типа архивов из 12) и Symantec, который поддерживает проверку только ZIP-архивов. Хуже всего поддерживаются архивы типов 7ZIP и ACE, однако они пока не особенно распространены. ZIP-архивы проверялись абсолютно всеми антивирусами, участвовавшими в тесте. Некоторую тревогу вызывает весьма прохладное отношение ряда антивирусных компаний к проверке CHM-файлов, хотя практика показывает, что этот формат часто применяется для транспортировки троянских программ и программ класса Trojan-Downloader. Это обусловлено в первую очередь тем, что объекты внутри CHM-файла подвергаются архивации (что уменьшает размер файла и затрудняет анализ CHM-файла), извлечение объектов производится средствами операционной системы, а имеющиеся в CHM-файле HTML-страницы могут содержать вредоносные скрипты и эксплоиты.

В начало В начало

Тест поддержки упаковщиков

Тест поддержки упаковщиков производился по следующей методике:

  1. Были отобраны неупакованные образцы вредоносных программ, детектируемые всеми изучаемыми антивирусными продуктами.
  2. Образцы обрабатывались упаковщиками и криптерами (при этом не рассматривался вариант одновременной упаковки одного образца несколькими упаковщиками поверх друг друга).
  3. Изучалась реакция антивирусов на упакованный объект.

Результаты представлены в табл. 3.

 

Примечание: + — детектируется; +/- — детектируются не все образцы или детектирование производится эвристиком; P — детектирован упаковщик.

Примечание: + — детектируется; +/- — детектируются не все образцы или детектирование производится эвристиком; P — детектирован упаковщик.

Как видно из полученных данных, TheHacker, ClamAV и Symantec не поддерживают исследование упакованных объектов. Лидерами оказались Антивирус Касперского, NOD32, DrWeb, BitDefender и Panda.

Следует отметить, что в данном тестировании рассмотрено всего восемь распространенных продуктов, в то время как известны сотни упаковщиков и криптеров. Многие из них распространяются вместе с исходными текстами, что позволяет всем желающим модифицировать их алгоритмы или разработать собственный упаковщик/криптер. Противодействовать подобному методу можно: например, эмулировать запуск проверяемого файла.

В начало В начало

Выводы

Результаты тестирования довольно хорошо согласуются с данными, полученными в ходе эксплуатации исследуемых антивирусных продуктов. Следует отметить, что результаты ITW-теста являются своего рода срезом, произведенным в достаточно короткий период. Тем не менее некоторые выводы сделать можно:

  1. Ни один из изученных антивирусов в ходе ITW-теста не смог обнаружить 100% образцов. Следовательно, в случае применения любого антивируса остается вероятность, что он пропустит вирус. При этом есть шанс, что не замеченный сканером вирус будет остановлен монитором или некими системами проактивной защиты антивируса.
  2. Исходя из данных ITW-теста хуже всего дела обстоят с детектированием вредоносных программ категории TrojanPSW и TrojanSpy. Это в первую очередь связано с тем, что в ходе подготовки подобных программ к рассылке или к иному способу внедрения на компьютеры пользователей злоумышленники, как правило, принимают меры, затрудняющие детектирование подобной троянской программы. В случае проникновения такой программы на компьютер пользователя ее следующими шагами будут маскировка в системе, сбор конфиденциальной информации и передача ее злоумышленнику. Поэтому при применении Firewall совместно со сканером систем проактивной защиты также вероятность утечки конфиденциальной информации существенно снижается. Аналогично дело обстоит и с почтовыми/сетевыми червями и backdoor-программами: подобным приложениям необходима работа с сетью, а имеющийся на компьютере Firewall позволит блокировать данную сетевую активность и своевременно обнаружить подозрительные процессы или подозрительную активность.

КомпьютерПресс 3'2006


Наш канал на Youtube

1999 1 2 3 4 5 6 7 8 9 10 11 12
2000 1 2 3 4 5 6 7 8 9 10 11 12
2001 1 2 3 4 5 6 7 8 9 10 11 12
2002 1 2 3 4 5 6 7 8 9 10 11 12
2003 1 2 3 4 5 6 7 8 9 10 11 12
2004 1 2 3 4 5 6 7 8 9 10 11 12
2005 1 2 3 4 5 6 7 8 9 10 11 12
2006 1 2 3 4 5 6 7 8 9 10 11 12
2007 1 2 3 4 5 6 7 8 9 10 11 12
2008 1 2 3 4 5 6 7 8 9 10 11 12
2009 1 2 3 4 5 6 7 8 9 10 11 12
2010 1 2 3 4 5 6 7 8 9 10 11 12
2011 1 2 3 4 5 6 7 8 9 10 11 12
2012 1 2 3 4 5 6 7 8 9 10 11 12
2013 1 2 3 4 5 6 7 8 9 10 11 12
Популярные статьи
КомпьютерПресс использует