Результаты теста антивирусов и антируткитов на обнаружение и удаление современных руткитов
Введение
В последнее время все большей популярностью у вирусописателей пользуются руткит-технологии. Причина этого очевидна – возможность скрытия вредоносной программы и ее компонентов от пользователя ПК и антивирусных программ. В Интернете свободно можно найти исходные тексты готовых руткитов, что неизбежно ведет к широкому применению этой технологии в различных троянских или шпионских программах (spyware/adware, keyloggers и т.д.).
Руткит (от англ. root kit, то есть «набор root'а») - это программа для скрытия следов присутствия злоумышленника или вредоносной программы в системе. Использование руткит-технологий позволяет вредоносной программе скрыть следы своей деятельности на компьютере жертвы путём маскировки файлов, процессов а также самого присутствия в системе.
Для обнаружения и удаления подобных вредоносных программ существует множество специализированных программных продуктов – антируткитов. Кроме того, о наличии в своих продуктах функционала по обнаружению активных руткитов заявляют многие антивирусные производители.
Цель данного теста – проверить способность наиболее популярных антивирусов и антируткитов обнаруживать и удалять широко распространенные в сети вредоносные программы (ITW-образцы), использующие руткит-технологии. Дополнительно в тесте была проверена возможность проактивного обнаружения скрывающих свое присутствие в системе программ. Эта проверка проводилась на концептуальных демо-руткитах, демонстрирующих различные возможности по сокрытию в системе.
Тестирование на распространенных ITW-образцах вредоносных программ дает представление о том, насколько хорошо рассматриваемые решения справляются с уже известными руткитами, тестирование на концептах показывает их возможности по обнаружению новых неизвестных руткитов.
В тесте принимали участие 8 антивирусов и 8 специализированных продуктов-антируткитов, отобранных в соответствии с методологией.
Тестируемые антивирусы:Тестируемые антируткиты:
- BitDefender Antivirus 2008
- Dr.Web 4.44
- F-Secure Anti-Virus 2008
- Kaspersky Anti-Virus 7.0
- McAfee VirusScan Plus 200
- Eset Nod32 Anti-Virus 3.0
- Symantec Anti-Virus 2008
- Trend Micro Antivirus plus Antispyware 2008
Тест проведен на шести вредоносных программах, каждая из которых использует свой метод маскировки в системе, и четырех концептуальных руткитах. Набор самплов сформирован в строгом соответствии с определенными требованиями, главным из которых был охват всех используемых методов маскировки в системе.
- AVG Anti-Rootkit 1.1
- Avira Rootkit Detection 1.00.01.1
- GMER 1.0.13
- McAfee Rootkit Detective 1.1
- Panda AntiRootkit 1.0
- RkU 3.7
- Sophos Anti-Rootkit 1.3
- Trend Micro RootkitBuster 1.6
Отобранные для теста вредоносные программы:Отобранные для теста концептуальные руткиты:
- Trojan-Spy.Win32.Goldun.hn
- Trojan-Proxy.Win32.Wopla.ag
- SpamTool.Win32.Mailbot.bd
- Monitor.Win32.EliteKeylogger.21
- Rootkit.Win32.Agent.ea
- Rootkit.Win32.Podnuha.a
Тест проводился на машине под операционной системой Windows XP SP2 в период с 15 октября по 10 декабря 2007 года в строгом соответствии с определенной методологией, по которой антивирусы и антируткиты были испытаны на обнаружение установленных в системе вредоносных программ с руткит-маскировкой, а также концептуальных руткитов
- Unreal A (v1.0.1.0)
- RkDemo v1.2
- FuTo
- HideToolz