Результати тесту антивірусів на лікування активного зараження (лютий 2010), Безпека ПЗ, Security & Hack, статті

Щодня з'являються тисячі нових зразків шкідливих програм. У гонитві за наживою вирусописатели придумують все нові методи протидії виявленню і видаленню свого шкідливого коду з системи антивірусними програмами, наприклад, за допомогою розвитку руткіт-технологій маскування. У таких умовах жоден антивірус не здатний гарантувати 100% захист комп'ютера, тому у простого користувача завжди будуть залишатися ризики зараження навіть з встановленою антивірусним захистом.


У багатьох випадках пропущена на комп'ютер шкідлива програма може дуже довго перебувати непоміченою, навіть при встановленому антивірусі. У цьому випадку користувач буде відчувати помилкове відчуття захищеності – його антивірус не просигналізує про якусь небезпеку, в тому час як зловмисники за допомогою активної шкідливої ​​програми будуть збирати його конфіденційні дані або використовувати потужності комп'ютера в своїх цілях. Також нерідкі випадки, коли шкідлива програма виявляється антивірусом, але видалити її він не може, що змушує користувача звертатися в технічну підтримку або ж самостійно усувати зараження за допомогою додаткових утиліт.


Антивірусні вендори можуть захистити своїх клієнтів, розвиваючи технології виявлення проник на комп'ютер шкідливого коду і його коректного видалення. Але, як показує практика, далеко не всі приділяють цього аспекту захисту належну увагу.


Мета даного тесту – перевірити персональні версії антивірусів на здатність успішно (не порушуючи працездатність операційної систем) виявляти і видаляти шкідливі програми, вже проникли на комп'ютер, що почали діяти і приховують сліди своєї активності.

















Gold Malware Treatment Award


Dr.Web Anti-Virus 5.00 (81%)
Kaspersky Anti-Virus 2010 (81%)


Silver Malware Treatment Award


Avast! Professional Edition 4.8 (63%)
Microsoft Security Essentials 1.0 (63%)


Bronze Malware Treatment Award


Norton AntiVirus 2010 (56%)
F-Secure Anti-Virus 2010 (44%)

Тест провалений


Panda Antivirus 2010 (38%)
AVG Anti-Virus & Anti-Spyware 9.0 (31%)
Avira AntiVir PE Premium 9.0 (31%)
Sophos Anti-Virus 9.0 (31%)
Trend Micro Antivirus plus Antispyware 2010 (31%)
BitDefender Antivirus 2010 (25%)
Eset NOD32 Antivirus 4.0 (25%)
McAfee VirusScan Plus 2010 (19%)
Comodo Antivirus 3.13 (13%)
Outpost Antivirus Pro 2009 (13%)
VBA32 Antivirus 3.12 (6%)


Введення


У тесті брали участь антивірусні продукти 17 виробників, серед яких:



  1. Avast! Professional Edition 4.8.1368

  2. AVG Anti-Virus & Anti-Spyware 8.5.0.40

  3. Avira AntiVir PE Premium 9.0.0.75

  4. BitDefender Antivirus 2010 (13.0.18.345)

  5. Comodo Antivirus 3.13.121240.574

  6. Dr.Web Anti-Virus 5.00.10.11260

  7. Eset NOD32 Antivirus 4.0.474.0

  8. F-Secure Anti-Virus 2010 (10.00 build 246)

  9. Kaspersky Anti-Virus 2010 (9.0.0.736 (a.b))

  10. McAfee VirusScan 2010 (13.15.113)

  11. Microsoft Security Essentials 1.0.1611.0

  12. Outpost Antivirus Pro 2009 (6.7.1 2983.450.0714)

  13. Panda Antivirus 2010 (9.01.00)

  14. Sophos Antivirus 9.0.0

  15. Norton AntiVirus 2010 (17.0.0.136)

  16. Trend Micro Antivirus plus Antispyware 2010 (17.50.1366)

  17. VBA32 Antivirus 3.12.12.0

Тест проводився на наступних шкідливі програми, які були обрані відповідно до певних вимог:



  1. AdWare.Virtumonde (Vundo)

  2. Rustock (NewRest)

  3. Sinowal (Mebroot)

  4. Email-Worm.Scano (Areses)

  5. TDL (TDSS, Alureon, Tidserv)

  6. TDL2 (TDSS, Alureon, Tidserv)

  7. Srizbi

  8. Rootkit.Podnuha (Boaxxe)

  9. Rootkit.Pakes (synsenddrv)

  10. Rootkit.Protector (Cutwail, Pandex, Pushdo)

  11. Virus.Protector (Kobcka, Neprodoor)

  12. Xorpix (Eterok)

  13. Trojan-Spy.Zbot

  14. Win32/Glaze

  15. SubSys (Trojan.Okuks)

  16. TDL3 v.3.17 (TDSS, Alureon, Tidserv)

Перевірка можливості лікування активного зараження антивірусними програмами проводилася чітко відповідно до певної методологією.


Порівняння антивірусів по можливості лікування


Таблиця 1: Результати лікування активного зараження різними антивірусами (початок)


















































































































































Шкідлива програма / Антивірус

Avast! Professional Edition

AVG Anti-Virus & Anti-Spyware

Avira AntiVir PE Premium

BitDefender Antivirus

Comodo Antivirus

Dr.Web Anti-Virus

AdWare.Virtumonde (Vundo)

+

+

+

+

+

+

Rustock (NewRest)

+

+

Sinowal (Mebroot)

Email-Worm.Scano (Areses)

+

TDL (TDSS, Alureon, Tidserv)

+

+

+

TDL2 (TDSS, Alureon, Tidserv)

+

Srizbi

+

+

+

Rootkit.Podnuha (Boaxxe)

+

+

Rootkit.Pakes (synsenddrv)

+

+

+

+

+

Rootkit.Protector (Cutwail, Pandex)

+

+

+

Virus.Protector (Kobcka, Neprodoor)

+

Xorpix (Eterok)

+

+

+

Trojan-Spy.Zbot

+

+

+

+

+

Win32/Glaze

+

+

SubSys (Trojan.Okuks)

+

TDL3 (TDSS, Alureon, Tidserv)

+

Вилікувано / Всього

10/16

5/16

5/16

4/16

2/16

13/16

Таблиця 2: Результати лікування активного зараження різними антивірусами (продовження) 


















































































































































Шкідлива програма / Антивірус

Eset NOD32 Antivirus

F-Secure Anti-Virus

Kaspersky Anti-Virus

McAfee VirusScan Plus

Microsoft Security Essentials

Norton AntiVirus

AdWare.Virtumonde (Vundo)

+

+

+

+

+

+

Rustock (NewRest)

+

+

Sinowal (Mebroot)

Email-Worm.Scano (Areses)

+

+

TDL (TDSS, Alureon, Tidserv)

+

+

+

TDL2 (TDSS, Alureon, Tidserv)

+

+

+

Srizbi

+

Rootkit.Podnuha (Boaxxe)

+

+

Rootkit.Pakes (synsenddrv)

+

+

+

+

+

Rootkit.Protector (Cutwail, Pandex)

+

+

Virus.Protector (Kobcka, Neprodoor)

+

+

Xorpix (Eterok)

+

+

+

+

+

Trojan-Spy.Zbot

+

+

+

+

+

+

Win32/Glaze

+

+

+

+

SubSys (Trojan.Okuks)

 

+

+

TDL3 (TDSS, Alureon, Tidserv)

+

Вилікувано / Всього

4/16

7/16

13/16

3/16

10/16

9″/16

Таблиця 3: Результати лікування активного зараження різними антивірусами (закінчення)
































































































































Шкідлива програма / Антивірус

Outpost Antivirus Pro

Panda Antivirus

Sophos Anti-Virus

Trend Micro Antivirus plus Antispyware

VBA32 Antivirus

AdWare.Virtumonde (Vundo)

+

+

+

+

Rustock (NewRest)

+

Sinowal (Mebroot)

Email-Worm.Scano (Areses)

TDL (TDSS, Alureon, Tidserv)

+

+

TDL2 (TDSS, Alureon, Tidserv)

Srizbi

Rootkit.Podnuha (Boaxxe)

Rootkit.Pakes (synsenddrv)

+

+

+

Rootkit.Protector (Cutwail, Pandex)

Virus.Protector (Kobcka, Neprodoor)

Xorpix (Eterok)

+

Trojan-Spy.Zbot

+

+

+

Win32/Glaze

+

+

+

+

SubSys (Trojan.Okuks)

+

TDL3 (TDSS, Alureon, Tidserv)

Вилікувано / Всього

2/16

6/16

5/16

5/16

1/16

Нагадаємо, що відповідно до використовуваної схемою аналізу результатів і нагородження, (+) означає, що антивірус успішно усунув активне зараження системи, при цьому працездатність системи була відновлена (Або не порушена). (-) Означає, що антивірус не зміг усунути активне зараження або при лікуванні була серйозно порушена працездатність системи.


Як видно з таблиць 1-3 найскладнішим для видалення виявився бекдор-шпигун Sinowal (Mebroot), який не зміг вилікувати жоден з протестованих антивірусів.


Далі за складністю для видалення слід гучна троянська програма TDL3 (TDSS, Alureon, Tidserv), черв'як Worm.Scano (Areses) і вірус Virus.Protector (Kobcka, Neprodoor). З ними впоралися не більше трьох з протестованих антивірусів.


Також досить складними для видалення виявилися шкідливі програми TDL2 (TDSS, Alureon, Tidserv), Srizbi, Rootkit.Podnuha (Boaxxe), SubSys (Trojan.Okuks), Rustock (NewRest) і Rootkit.Protector (Cutwail, Pandex), з ними змогли впоратися не більше п'яти антивірусів.


 


Підсумкові результати тесту і нагороди


Таблиця 4: Підсумкові результати тесту і нагороди
























































Антивірус

Нагорода

% Вилікуваних

Dr.Web Anti-Virus 5.0

 
Gold Malware Treatment Award 

81%

Kaspersky Anti-Virus 2010

Avast! Professional Edition 4.8

 


Silver Malware Treatment Award

63%

Microsoft Security Essentials 1.0

Norton AntiVirus 2010

 
Bronze Malware Treatment Award 

56%

F-Secure Anti-Virus 2010

44%

Panda Antivirus 2010

Тест
провалений

38%

AVG Anti-Virus & Anti-Spyware 9.0

31%

Avira AntiVir PE Premium 8.1

Sophos Anti-Virus 9.0

Trend Micro Antivirus plus Antispyware 2009

BitDefender Antivirus 2009

25%

Eset NOD32 Antivirus 4.0

McAfee VirusScan Plus 2010

19%

Comodo Antivirus 3.13

13%

Outpost Antivirus Pro 2009

VBA32 Antivirus 3.12

6%


У результаті лише 6 із 17 протестованих антивірусів показали гідні результати з лікування активного зараження. Згідно з чинною для всіх подібних тестів системи нагородження, вищу нагороду Platinum Malware Treatment Award цього разу не отримав ніхто.


Кращими за результатами тесту виявилися Dr.Web і Антивірус Касперського, які коректно вилікували систему в 13 з 16 випадків і отримали заслужену нагороду Gold Malware Treatment Award.


Хороші результати також показали антивіруси Avast! Professional Edition і Microsoft Security Essentials, які отримали нагороду Silver Malware Treatment Award, А також Norton AntiVirus і F-Secure Anti-Virus, що отримали Bronze Malware Treatment Award.


Окремо необхідно відзначити несподівано високі результати нового безкоштовного антивірусу Microsoft, який з першого ж разу зумів увійти в призери цього складного тесту. Такий результат свідчить, що корпорація приділяє увагу проблемі усунення активних заражень.


Також необхідно зробити коментар щодо VBA32 Antivirus. Справа в тому, що у складі дистрибутива цього антивіруса йде Microsoft Excel.


Аналіз змін в порівнянні з попередніми тестами


На закінчення хотілося б проаналізувати результати всіх наших тестів на лікування активного зараження за 2007-2010 роки.


Таким чином, можна простежити зміни в ефективності лікування складних випадків зараження для кожного протестованого продукту (за винятком Microsoft, який не брав участі в попередніх тестах) – див. малюнок 1.


Рисунок 1: Динаміка зміни можливостей антивірусів з лікування активного зараження


Малюнок 2: Динаміка зміни можливостей антивірусів з лікування активного зараження


 


Як видно з малюнків 1-2, ніякого прогресу в лікуванні складних видів погроз по індустрії в цілому не спостерігається. Позитивну динаміку в останніх тестах продемонстрував тільки Антивірус Касперського і F-Secure. Відкриття минулого тесту, Outpost, на жаль, здала позиції і не зміг закріпитися в групі найсильніших.


Стабільно кращими антивірусами для лікування активного зараження залишаються чотири продукти: Dr.Web, Антивірус Касперського, Avast і Norton. Результати інших антивірусів або балансують на незадовільному рівні або, що ще гірше, знижуються.

Василь Бердников, керівник тестової лабораторії Anti-Malware.ru і координатор даного тесту, так коментує його результати:


"Важливою характеристикою будь-якого антивіруса є здатність лікувати заражений ПК. Але як видно з результатів тестування, впоратися з цією проблемою можуть далеко не всі. Більше того, у багатьох випадках користувач зараженого ПК навіть не буде знати про те, що є частиною ботнету, маючи при цьому працює антивірус з актуальними оновленнями. Виходячи з постійного вдосконалення технологій, що застосовуються в сучасних шкідливих програмах, антивірусним вендорам варто більше приділяти уваги розвитку технологій виявлення та ефективного лікування зараженої системи. Поточними тенденціями продовжує бути не маскування файлу на диску, а видача помилкового вмісту при читанні файлу антивірусом, що дозволяє від нього ефективно маскуватися ".


Коментарі партнерів Anti-Malware.ru


Антон Білоусов, керівник відділу по роботі з ІТ-спеціалістами та напрямку інформаційної безпеки, Microsoft в Росії:


"Якість сканування і вміння видалити знайдені шкідливі програми є однією з найбільш важливих характеристик сучасного антивіруса. І ми дуже раді, що наш новий продукт Microsoft Security Essentials вже в першій версії показав гарні результати в тесті на лікування активного зараження. Також ми продовжуємо роботу над поліпшенням якості сканування і швидкодією нашого продукту. Але вже зараз можна сказати, що користувачі, що використовують Microsoft Security Essentials, будуть надійно захищені від більшості відомих на даний момент шкідливих програм.


Окремо хочеться відзначити, що останнім часом кількість дійсно складних вірусів зростає, і проблема їх виявлення та вилучення стоїть досить гостро. Саме тому команда співробітників Microsoft, відповідають за створення антивірусних баз зростає і поповнюється висококласними фахівцями ".

Сергій Уласень, начальник відділу розробки антивірусного ядра компанії "ВірусБлокАда":


"У боротьбі з активними зараженнями наша компанія вибрала дещо інший шлях, який відрізняється від логіки роботи, перевіряється в даному тесті. Так минулого року ми почали розробляти спеціалізовану утиліту VBA32 AntiRootkit. До завдань даної утиліти входить пошук і можливість знешкодження активних заражень. Вже на початку березня бета-тестерам компанії буде доступна нова версія VBA32 AntiRootkit 3.12.5.0, функціонал якої значно доопрацьовано, і більшість зазначених у тесті шкідливих програм можна буде виявляти і знешкоджувати з її допомогою.
Дана утиліта вже зараз входить до складу антивірусного комплексу VBA32 і доступна всім користувачам в якості окремого модуля. У майбутньому ми плануємо взяти курс на впровадження технологій, застосованих в VBA32 AntiRootkit, в функціональність комплексу в цілому ".

Коментує В'ячеслав Русаков, провідний розробник "Лабораторії Касперського":


"У першу чергу хотілося б відзначити, що команда тестерів Anti-Malware.ru прислухалися до коментарів вендорів і провели цей тест не на віртуальних машинах, а на справжніх. Таким чином, тест набагато краще відображає реальний стан справ. Разом з тим ситуація з кожним роком стає все гіршими. Заклики до поліпшення компонент протидії активним загрозам у черговий раз не були почуті, що наочно демонструється даними тестом. Більшість антивірусних продуктів здають свої позиції в галузі лікування активного зараження. Каже це, насамперед, про те, що виробники систем захисту не приділяють належної уваги даній проблемі і продовжують нарощувати потужності лише захисних технологій. В результаті користувач залишається один на один зі складною загрозою, а частіше й зовсім не підозрює про її існування на своєму комп'ютері.


У сфері руткітів і складних загроз простежується певний тренд – шкідливий код стає все більш витонченим, використовуються технології зараження системних компонент операційної системи, проникнення на комп'ютер в обхід основних модулів захисту антивіруса. Сучасні шкідливі програми використовують ще більш потужні алгоритми захисту від виявлення і лікування антивірусними продуктами. Рішення "Лабораторії Касперського "в черговий раз підтвердили своє звання не лише як високотехнологічних антивірусних продуктів, здатних запобігти проникненню шкідливого ПЗ на комп'ютер користувача, але також здатних ефективно боротися із зараженням усередині системи. Ми продовжуємо утримувати баланс між інноваційними технологіями та грамотної підтримкою всіх напрямків розвитку ".



Автори тесту:


Григорій Смирнов
Олександр Щербина
Артем Сальников
Олексій Баранов


Координація тестування:

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Метки: , , , , , ,
Рубрики: Безпека ПО

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*