Результаты теста антивирусов и антируткитов на обнаружение и удаление руткитов

[B|!zzard]

Результаты теста антивирусов и антируткитов на обнаружение и удаление современных руткитов

7.GIF

Введение

В последнее время все большей популярностью у вирусописателей пользуются руткит-технологии. Причина этого очевидна – возможность скрытия вредоносной программы и ее компонентов от пользователя ПК и антивирусных программ. В Интернете свободно можно найти исходные тексты готовых руткитов, что неизбежно ведет к широкому применению этой технологии в различных троянских или шпионских программах (spyware/adware, keyloggers и т.д.).

Руткит (от англ. root kit, то есть «набор root'а») - это программа для скрытия следов присутствия злоумышленника или вредоносной программы в системе. Использование руткит-технологий позволяет вредоносной программе скрыть следы своей деятельности на компьютере жертвы путём маскировки файлов, процессов а также самого присутствия в системе.

Для обнаружения и удаления подобных вредоносных программ существует множество специализированных программных продуктов – антируткитов. Кроме того, о наличии в своих продуктах функционала по обнаружению активных руткитов заявляют многие антивирусные производители.

Цель данного теста – проверить способность наиболее популярных антивирусов и антируткитов обнаруживать и удалять широко распространенные в сети вредоносные программы (ITW-образцы), использующие руткит-технологии. Дополнительно в тесте была проверена возможность проактивного обнаружения скрывающих свое присутствие в системе программ. Эта проверка проводилась на концептуальных демо-руткитах, демонстрирующих различные возможности по сокрытию в системе.

Тестирование на распространенных ITW-образцах вредоносных программ дает представление о том, насколько хорошо рассматриваемые решения справляются с уже известными руткитами, тестирование на концептах показывает их возможности по обнаружению новых неизвестных руткитов.

В тесте принимали участие 8 антивирусов и 8 специализированных продуктов-антируткитов, отобранных в соответствии с методологией.

Тестируемые антивирусы:

• BitDefender Antivirus 2008
• Dr.Web 4.44
• F-Secure Anti-Virus 2008
• Kaspersky Anti-Virus 7.0
• McAfee VirusScan Plus 200
• Eset Nod32 Anti-Virus 3.0
• Symantec Anti-Virus 2008
• Trend Micro Antivirus plus Antispyware 2008

Тестируемые антируткиты:

• AVG Anti-Rootkit 1.1
• Avira Rootkit Detection 1.00.01.1
• GMER 1.0.13
• McAfee Rootkit Detective 1.1
• Panda AntiRootkit 1.0
• RkU 3.7
• Sophos Anti-Rootkit 1.3
• Trend Micro RootkitBuster 1.6

Тест проведен на шести вредоносных программах, каждая из которых использует свой метод маскировки в системе, и четырех концептуальных руткитах. Набор самплов сформирован в строгом соответствии с определенными требованиями, главным из которых был охват всех используемых методов маскировки в системе.

Отобранные для теста вредоносные программы:

• Trojan-Spy.Win32.Goldun.hn
• Trojan-Proxy.Win32.Wopla.ag
• SpamTool.Win32.Mailbot.bd
• Monitor.Win32.EliteKeylogger.21
• Rootkit.Win32.Agent.ea
• Rootkit.Win32.Podnuha.a

Отобранные для теста концептуальные руткиты:

• Unreal A (v1.0.1.0)
• RkDemo v1.2
• FuTo
• HideToolz

Тест проводился на машине под операционной системой Windows XP SP2 в период с 15 октября по 10 декабря 2007 года в строгом соответствии с определенной методологией, по которой антивирусы и антируткиты были испытаны на обнаружение установленных в системе вредоносных программ с руткит-маскировкой, а также концептуальных руткитов

[B|!zzard]

Тестирование возможностей обнаружения вредоносных программ, использующих руткит-технологии

В таблицах 1-2 представлены результаты обнаружения вредоносных программ, использующих руткит-технологии, различными антивирусами и специализированными антируткитами.

Напомним, что согласно используемой схеме награждения, 1 балл (или +/+) начислялся если руткит был успешно обнаружен в системе (файл, процесс или перехват функций) и удален.

0.5 балла (или +/-) – если руткит был успешно обаружен в системе, но удалить его оказалось невозможно.

И, наконец, если руткит не был обнаружен в системе (поставлен минус), то баллов не начислалось вовсе.

Таблица 1: Результаты теста антивирусов/антируткитов на обнаружение
вредоносных программ, использующих руткит-технологии (начало)

Таблица 2: Результаты теста антивирусов/антируткитов на обнаружение
вредоносных программ, использующих руткит-технологии (окончание)

Таким образом, лучшими из антивирусов по обнаружению вредосносных программ, использующих руткит-технологии, являются Dr.Web, Kaspersky Anti-Virus и Symantec Anti-Virus, набравшие от 4 до 5 баллов из 6 возможных.

Среди специализированных антируткитов высокую эффективность показали почти все продукты, кроме McAfee Rootkit Detective. Особенно стоит отметить Rootkit Unhooker и GMER, чей результат 5.5 баллов позволил им стать лучшими в нашем тесте по обнаружению вредоносных программ, использующих руткит-технологии.

[B|!zzard]

Тестирование возможностей проактивного обнаружения руткитов

В таблице 3 представлены результаты проактивного обнаружения антивирусами и антируткитами концептуальных руткитов. Так как концепты не представляют реальной угрозы для пользователей, то оценивалась только возможность их обнаружения (0.5 балла за каждый обнаруженный).

Таблица 3: Результаты теста антивирусов/антируткитов на обнаружение концептуальных руткитов

По результатам тестирования на отобранных экземплярах концептуальных руткитов видно, что из антивирусных продуктов проактивное обнаружение активных руткитов (на основании анализа системных событий) реализовано только в Kaspersky Anti-Virus и F-Secure Anti-Virus.

Что касается специализированных программ, то все они в той или иной степени имеют возможности для проактивного обнаружения активных руткитов. Лучшими в этой части теста признаны Kaspersky Anti-Virus и Rootkit Unhooker, обнаружившие все представленные концепты руткитов.

[B|!zzard]

Награждение победителей

В таблице 4 представлены итоговые результаты всех участвовавших в тесте продуктов и присужденные им награды.

Таблица 4: Лучшие антивирусы/антируткиты по результатам теста

Итак, по результатам тестирования специализированные средства для борьбы с руткитами оказались в целом более эффективны, чем антивирусные продукты. Из антивирусных продуктов хорошие результаты показали только Kaspersky Anti-Virus, Dr.Web, Symantec Anti-Virus и F-Secure Anti-Virus (см. таблицу 5).

Из антивирусов высшую награду Gold Anti-Rootkit Protection Award завоевал только Kaspersky Anti-Virus, набравший 6.5 баллов из 8 возможных. Антивирус Dr.Web стал вторым, завоевав награду Silver Anti-Rootkit Protection Award.

Symantec Anti-Virus и F-Secure Anti-Virus были удостоены награды Bronze Anti-Rootkit Protection Award, а остальные продукты (BitDefender Antivirus, McAfee VirusScan Plus, Eset Nod32 Anti-Virus и Trend Micro Antivirus plus Antispyware), к сожалению, провалили тест.

Таблица 5: Лучшие антивирусы по результатам теста Название антируткита

Что касается специализированных антируткит-продуктов, то победителем среди них, как и в целом по результатам теста, оказался Rootkit Unhooker, набравший 7.5 баллов из 8 возможных и получивший награду Gold Anti-Rootkit Protection Award (см.таблицу 6). Такой же награды удостоен также GMER (набравший всего на 0,5 балла меньше лидера) и Avira Rootkit Detection (6,5 баллов из 8).

Обладателями награды Silver Anti-Rootkit Protection Award стали целых четыре антируткита: AVG Anti-Rootkit, Panda AntiRootkit, Sophos Anti-Rootkit и Trend Micro RootkitBuster. При этом первые три – AVG, Panda и Sophos – набрали по 5.5. баллов, а продукт TrendMicro – 5 из 8 возможных.

И, наконец, McAfee Rootkit Detective, набравший 3,5 балла, заслужил награду Bronze Anti-Rootkit Protection Award.

Таким образом, все тестируемые специализированные антируткиты неплохо показали себя в тесте и оправдали свое назначение. Провалившах тест антируткитов не оказалось.

Таблица 6: Лучшие антируткиты по результатам теста