Методологія тесту антивірусів на лікування активного зараження (лютий 2010)

Підготовка тесту


Для проведення тестування антивірусів на лікування активного зараження експертною групою Anti-Malware.ru були відібрані 16 шкідливих програм за такими критеріями:



  1. щоб максимально повно покрити використовувані ними технології маскування, захисту від виявлення / видалення;

  2. поширеність (на поточний момент або раніше);

  3. детектування файлів-компонентів шкідливої програми усіма що у тестуванні антивірусами;

  4. здатність протидіяти своєму виявлення / видалення з боку антивіруса і / або відновлювати свої компоненти в разі їх видалення антивірусом;

  5. відсутність цілеспрямованого протидії роботі будь-якого тестованого антивіруса (видалення файлів, ключів належать антивірусу, завершення процесів антивіруса, блокування можливості оновлення баз антивіруса);

  6. відсутність цілеспрямованого протидії повноцінної роботи користувача на комп'ютері.

У відборі шкідливих програм для тіста віддавався пріоритет найбільш складних видів, які більше задовольняють наведеним вище критеріям.


Варто відзначити, що критично важливим параметром для відбору шкідливих програм для тесту було детектування їхніх файлових компонентів з боку всіх брали участь у тесті антивірусів.


Всі використовувані в тесті шкідливі програми були зібрані експертами Anti-Malware.ru під час поширення в інтернет (In The Wild).


Таким чином, для тесту були відібрані такі шкідливі програми:



  1. AdWare.Virtumonde (Vundo)

  2. Rustock (NewRest)

  3. Sinowal (Mebroot)

  4. Email-Worm.Scano (Areses)

  5. TDL (TDSS, Alureon, Tidserv)

  6. TDL2 (TDSS, Alureon, Tidserv)

  7. Srizbi

  8. Rootkit.Podnuha (Boaxxe)

  9. Rootkit.Pakes (synsenddrv)

  10. Rootkit.Protector (Cutwail, Pandex, Pushdo)

  11. Virus.Protector (Kobcka, Neprodoor)

  12. Xorpix (Eterok)

  13. Trojan-Spy.Zbot

  14. Win32/Glaze

  15. SubSys (Trojan.Okuks)

  16. TDL3 v.3.17 (TDSS, Alureon, Tidserv)

Кожен відібраний примірник шкідливої програми перевірявся на працездатність і установку на тестовій системі. Детальний опис шкідливих програм можна буде знайти в повному звіті про тестування у форматі Excel.

Проведення


Тест проводився на реальних машинах (на відміну від більш ранніх тестів) під управлінням операційної системи Microsoft Windows XP Professional з інтегрованим Service Pack 3.


lkd> !devstack DeviceHarddisk0DR0
!DevObj   !DrvObj            !DevExt   ObjectName
89bcfe08  DriverPartMgr    89bcfec0
> 89bceab8  DriverDisk       89bceb70  DR0
89b74f18  DriverACPI       89c0f0e0  00000061
89bd0940  Driveratapi      89bd09f8  IdeDeviceP0T0L0-3


У тестуванні брали участь наступні антивірусні програми:



  1. Avast! Professional Edition 4.8.1368

  2. AVG Anti-Virus & Anti-Spyware 8.5.0.40

  3. Avira AntiVir PE Premium 9.0.0.75

  4. BitDefender Antivirus 2010 (13.0.18.345)

  5. Comodo Antivirus 3.13.121240.574

  6. Dr.Web Anti-Virus 5.00.10.11260

  7. Eset NOD32 Antivirus 4.0.474.0

  8. F-Secure Anti-Virus 2010 (10.00 build 246)

  9. Kaspersky Anti-Virus 2010 (9.0.0.736 (a.b))

  10. McAfee VirusScan 2010 (13.15.113)

  11. Microsoft Security Essentials 1.0.1611.0

  12. Outpost Antivirus Pro 2009 (6.7.1 2983.450.0714)

  13. Panda Antivirus 2010 (9.01.00)

  14. Sophos Antivirus 9.0.0

  15. Norton AntiVirus 2010 (17.0.0.136)

  16. Trend Micro Antivirus plus Antispyware 2010 (17.50.1366)

  17. VBA32 Antivirus 3.12.12.0

При установці на заражену машину використовувалися рекомендовані виробником налаштування за замовчуванням і проводилися всі рекомендовані програмою дії (перезавантаження системи, оновлення і т.д.):


Кроки проведення тестування:



  1. Установка на жорсткий диск операційної системи і створення повного образу жорсткого диска за допомогою Acronis True Image.

  2. Зараження машини з чистою операційною системою (активація шкідливої програми).

  3. Перевірка працездатності шкідливої програми і її успішної установки в системі.

  4. Перезавантаження зараженої системи.

  5. Перевірка активності шкідливої програми в системі.

  6. Встановлення антивірусу і спроба лікування зараженої системи.

  7. Фіксуються свідчення антивіруса, що залишилися ключі автозавантаження шкідливої програми після успішного лікування. У разі не успішності лікування перевіряється активність шкідливої програми або її компонентів.

  8. Відновлення образу незараженной операційною системою на диску за допомогою Acronis True Image (завантаження з CD).

  9. Повторення пунктів 2-8 для всіх шкідливих програм і всіх антивірусів.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*