Статьи

Тест антивірусів на лікування активного зараження (квітень 2015)

  1. Порівняння антивірусів по можливості лікування
  2. Підсумкові результати тесту і нагороди
  3. Аналіз змін в порівнянні з попередніми тестами

Серед загального потоку шкідливих програм, які не вирізняються витонченою функціональністю, знаходяться зразки, в яких використовуються незвичайні або навіть новаторські технологічні прийоми по забезпеченню працездатності шкідливої ​​програми в ураженій системі. Це веде до значного ускладнення процесу видалення таких шкідливих програм. Результати тесту даного тесту дозволяють відповісти на питання: наскільки ефективно популярні антивіруси можуть допомогти в лікуванні ураженої системи?

Незважаючи на той факт, що активна фаза поширення шкідливих програм, що несуть в собі різні техніки свого приховування в інфікованій системі, датується 2012-2013 роками і на зміну їй прийшла хвиля значно менш технологічних сімейств, за минулі два роки було відмічено появу ряду цікавих з точки зору лікування шкідливих програм.

Поява нових технологічних прийомів при розробці шкідливих програм, навіть на рівні концептуальної реалізації, в більшості випадків зводить до нуля ефективність функцій популярних антивірусів в лікуванні активного зараження. Що забезпечує стійку життєздатність шкідливої ​​програми в скомпрометованої системі.

Згодом розробники антивірусів вносять зміни в свої продукти, що дозволяють детектувати активне зараження, тим самим запобігаючи його подальше поширення, пишуть численні статті з змістовним аналізом особливостей нової шкідливої ​​програми. І на цьому зазвичай справа закінчується. Однак при цьому не береться питання - а наскільки ефективно впорається антивірус з нейтралізації нової шкідливою програмою в її активному стані? Бо публікація змістовного аналізу працездатності шкідливої ​​програми - це лише здатність антивіруса до ефективного лікування на папері, але далеко не завжди на практиці.

Інформаційно-аналітичний центр Anti-Malware.ru з 2007 року регулярно проводив тестування на лікування активного зараження, тим самим відстежуючи динаміку можливостей популярних антивірусів по успішної нейтралізації шкідливих програм, що знаходяться в активному стані.

Мета даного тесту - перевірити персональні версії антивірусів на здатність успішно (не порушуючи працездатності операційної систем) виявляти і видаляти вже проникли на комп'ютер шкідливі програми в їх активному стані на практиці.

Методологія проведення тесту

Аналіз результатів тесту і нагороди

Зміст:

- Вступ
- Порівняння антивірусів по можливості лікування
- Підсумкові результати тесту і нагороди
- Аналіз змін в порівнянні з попередніми тестами

Вступ

У тестуванні брали участь релізний версії наступних 15 антивірусних програми, відібрані в ході відкритого обговорення (збірки актуальні на момент початку тесту):

  1. Avast! Internet Security 2015.10.0.2208
  2. AVG Internet Security 2015.0.5646
  3. Avira Internet Security 14.0.7.468
  4. Eset Smart Security 8.0.304.0
  5. Kaspersky Internet Security 15.0.1.415 (b)
  6. BitDefender Internet Security 18.20.0.1429
  7. Emsisoft Internet Security 9.0.0.4799
  8. Dr.Web Security Space Pro 10.0.0.12160
  9. Microsoft Security Essentials 4.6.0305.0
  10. McAfee Internet Security 14.0
  11. Norton Security 22.1.0.9
  12. Qihoo360 Internet Security 5.0.0.5104
  13. TrustPort Internet Security 15.0.0.5420
  14. Panda Internet Security 15.0.4
  15. Trend Micro Titanium Internet Security 8.0.1133

Тестування проводилося на шкідливі програми, які відповідають умовам методології тестування виключно для платформи Microsoft Windows 7 x64:

  1. APT (Uroburos, Turla)
  2. Cidox (Rovnix, Mayachok, Boigy)
  3. Poweliks (Powessere)
  4. Backboot (WinNT / Pitou)
  5. WMIGhost (HTTBot, Syndicasec )
  6. Stoned (Bebloh, Shiptob, Bublik)
  7. Pihar (TDL4, TDSS, Alureon, Tidserv)
  8. SST (PRAGMA, TDSS, Alureon)
  9. Zeroaccess (Sirefef, MAX ++)

Таким чином, для тесту було відібрано 9 концептуальних з технологічної точки зору зразків шкідливих програм, які були помічені в загальному потоці шкідливих програм.

Порівняння антивірусів по можливості лікування

Таблиця 1. Результати тесту на лікування активного зараження 2015 (початок)

Антивірус / Шкідлива програма Avast! Internet Security AVG Internet Security Avira Internet Security Eset Smart Security Kaspersky Internet Security

APT (Uroburos, Turla)

+ + + + +

Cidox (Rovnix, Mayachok, Boigy)

+ - * - - * +

Poweliks (Powessere)

- + - - +

Backboot

+ - * - * - * +

WMIGhost (HTTBot, Syndicasec)

- - - - +

Stoned (Bebloh, Shiptob, Bublik)

+ + - + +

Pihar (TDL4, TDSS, Alureon, Tidserv)

- - - - * +

SST (PRAGMA, TDSS, Alureon)

+ - - - +

Zeroaccess (Sirefef, MAX ++)

+ - - + + вилікувано / Всього 6/9 3/9 1/9 3/9 9/9

Таблиця 2. Результати тесту на лікування активного зараження 2015 (продовження)

Антивірус / Шкідлива програма BitDefender Internet Security Emsisoft Internet Security Dr.Web Security Space Pro Qihoo360 Internet Security Microsoft Security Essentials

APT (Uroburos, Turla)

+ - - + +

Cidox (Rovnix, Mayachok, Boigy)

+ - * + - -

Poweliks (Powessere)

+ - - - +

Backboot

- - + - * - *

WMIGhost (HTTBot, Syndicasec)

- - - - - *

Stoned (Bebloh, Shiptob, Bublik)

+ - + + +

Pihar (TDL4, TDSS, Alureon, Tidserv)

+ - + - -

SST (PRAGMA, TDSS, Alureon)

+ - * + - * -

Zeroaccess (Sirefef, MAX ++)

- - + - +

Вилікувано / Всього

6/9 0/9 6/9 2/9 4/9

Таблиця 3. Результати тесту на лікування активного зараження 2015 (закінчення)

Антивірус / Шкідлива програма McAfee Internet Security Norton Security TrustPort Internet Security Panda Internet Security Trend Micro Titanium Internet Security

APT (Uroburos, Turla)

+ + - + +

Cidox (Rovnix, Mayachok, Boigy)

- * - - - * -

Poweliks (Powessere)

- + - - +

Backboot

- * - * - - * -

WMIGhost (HTTBot, Syndicasec)

- - - - -

Stoned (Bebloh, Shiptob, Bublik)

- + - - -

Pihar (TDL4, TDSS, Alureon, Tidserv)

- - - - -

SST (PRAGMA, TDSS, Alureon)

- * - * - - * -

Zeroaccess (Sirefef, MAX ++)

- + - - - вилікувано / Всього 1/9 4/9 0/9 1/9 2/9

Малюнок 1. Результати тесту на лікування активного зараження 2015

Нагадаємо, що, відповідно до використовуваної схемою аналізу результатів і нагородження , (+) Означає, що антивірус успішно усунув активне зараження системи, при цьому працездатність системи була відновлена ​​(або не порушена). (-) означає, що антивірус не зміг усунути активне зараження або при лікуванні була серйозно порушена працездатність системи (наприклад, BSOD). (- *) означає, що за кілька місяців очікування і багаторазових відправлень зразків на аналіз в антивірусну лабораторію детект так і не був доданий.

Як видно за результатами тесту найскладнішим для лікування виявилася безфайлові шкідлива програма WMIGhost. Виявити і вилікувати її зміг тільки Kaspersky Internet Security. Далі за складністю лікування йдуть шкідливі програми, що використовують технології інфікування завантажувальних секторів диска (Backboot, Pihar, SST і cidox). Проблеми з виявленням та лікуванням виникають навіть незважаючи на те, що беруть участь в тесті шкідливих програм цього класу існують вже не перший рік.

Важливо відзначити нездатність переважної більшості антивірусів виявити і нейтралізувати шкідливий код в оперативній пам'яті, що підтверджується результатами лікування Stoned (він же Bebloh, Shiptob, Bublik).

В цілому для індустрії картина невтішна. Більшість популярних антивірусів не здатне коректно вилікувати уражену систему навіть на тих родинах шкідливих програм, які відомі вже не один рік.

Підсумкові результати тесту і нагороди

Таблиця 4. Результати тесту лікування активного зараження 2015

У цьому році тільки 6 з 15 протестованих антивірусів показали гідні результати по лікуванню активного зараження, що дещо краще рівня останніх років.

Єдиним антивірусом, успішно впорався з лікуванням всіх зразків з тестового набору, є Kaspersky Internet Security, який отримав заслужену нагороду Platinum Malware Treatment Award.

Нагороду Gold Malware Treatment Award в цьому році не отримує жоден з протестованих антивірусів.

Поділяють друге, третє і четверте місця антивіруси Avast! Internet Security, BitDefender Internet Security і Dr.Web Security Space Pro, нейтралізувати шість запропонованих зразків з дев'яти (67%). Вони отримують нагороду Silver Malware Treatment Award.

П'яте і шосте місця розділили Microsoft Security Essentials і Norton Security, успішно вилікували чотири зразки з дев'яти (44%) і отримали нагороду Bronze Malware Treatment Award).

Решта антивіруси провалили тест. Так AVG Internet Security і Eset Smart Security, зуміли нейтралізувати лише три зразка з дев'яти (33,3%). Далі йдуть Qihoo360 Internet Security 5.0.0.5104 і Trend Micro Titanium Internet Security, успішно вилікували тільки два зразки з дев'яти (набравши 22,2%). Серед аутсайдерів тесту виявилися McAfee Internet Security, Panda Internet Security і Avira Internet Security, які змогли впоратися лише з одним зразком з дев'яти (11,1%).

Повністю провалили тест антивіруси Emsisoft Internet Security і TrustPort Internet Security. Вони не змогли вилікувати жодного відібраного для тесту зразка.

Аналіз змін в порівнянні з попередніми тестами

На закінчення проаналізуємо результати всіх наших тестів на лікування активного зараження за 2011-2015 роки. Для цього до результатів тесту були додані результати двох попередніх тестів, які ви можете подивитися тут. Таким чином, можна простежити зміни в ефективності лікування складних випадків зараження для кожного протестованого продукту (див. Малюнки 2 і 3).

Малюнок 2: Динаміка зміни можливостей антивірусів з лікування активного зараження

Малюнок 3: Динаміка зміни можливостей антивірусів з лікування активного зараження

Малюнок 3: Динаміка зміни можливостей антивірусів з лікування активного зараження

Незмінно високі місця займають вітчизняні антивіруси - Kaspersky Internet Security і Dr.Web Security Space Pro, хоча у останнього відзначається тенденція до зниження ефективності лікування.

Avast! Internet Security і BitDefender Internet Security знову показали відносно високі результати, що свідчить про постійну увагу до проблеми лікування складних заражень. На середньому рівні по ефективності лікування балансують Norton Security і Microsoft Security Essentials, що дуже дивно для таких грандів ринку, що володіють усіма необхідними ресурсами.

На тлі триваючої тенденції до загального по індустрії зниження ефективності в лікуванні активного зараження, результати деяких антивірусів покращилися відносно минулого року, серед них: Avast! Internet Security, Eset Smart Security, AVG Internet Security і Norton Security. В цілому ж очевидно, що через великий потік шкідливих програм, що вимагають свого додавання в антивірусні бази, більшість виробників не приділяють уваги питанням лікування активного зараження.

Ілля Шабанов, керівник A M Test Lab:

«У цьому році ми провели тест повністю на системі Windows 7 x64, що звузило можливості відбору підходящих шкідливих програм, але дозволило сконцентруватися тільки на актуальних завданнях лікування активного зараження. В цілому по індустрії результати продовжили знижуватися, що повністю знаходиться в тренді останніх років. У більшості виробників немає ресурсів і фахівців розбиратися зі складними шкідливими програмами. Деякі виробники і зовсім виявилися не в змозі розпізнати окремі шкідливі програми з нашої підбірки і за кілька місяців так і не додали на них детект, незважаючи на багаторазові звернення. З іншого боку частина вендорів зуміла поліпшити результати в порівнянні з 2012 роком. Це дозволяє сподіватися, що проблеми лікування складних зараження не будуть залишені без уваги в майбутньому ».

Олександр Шевцов, інженер по тестуванню A M Test Lab:

«Підводячи підсумки чергового тесту відчуваєш деяке розчарування - вміння лікувати активне зараження як і раніше не є гідністю антивіруса у більшості вендорів. Так, деякі з них все-таки провели роботу над помилками, нові версії їх продуктів показали кращі результати з семплами, які брали участь в минулому тесті, але в більшості своїй результати не змінилися. З новими ж погрозами, в основному, результати просто провальні. Найгірше те, що часто антивірус взагалі не бачить ніяких ознак активного зараження, зовні воно може ніяк себе не проявляти і користувач перебуває в повному невіданні про те, що відбувається. Переходячи до конкретики, хотілося б відзначити Avast, що показав явно позитивну динаміку, і Dr.Web, який здивував низькими результатами в боротьбі з новими загрозами. Стабільно хороші результати показує BitDefender, але спочивати на лаврах рано, ще є куди прагнути. Новачки тесту нічим не порадували, Emsisoft і Trustport тест провалили повністю ».

В'ячеслав Русаков, експерт Anti-Malware.ru:

«Минуло майже 3 роки з останнього тесту на лікування активного зараження від AM Test Lab. Інновації в «руткітостроеніі» заморожені, панове вирусописатели продовжують топтатися на місці і лише зрідка оновлюють свої творіння. Чи то закінчилися думки і ідеї, то чи все вже досліджено вздовж і впоперек, то чи немає ніякого сенсу сидіти над новими способами втриматися в зараженій системі, коли старі способи працюють (див. Результати тесту). Еволюція замість революції? Хіба що стосовно безтілесного шкідливого коду, що живе в просторі користувача. Вищевказаний спосіб не викликає ніяких складнощів з лікуванням зараженої системи, його і новим-то назвати складно, швидше за - добре забуте старе. А адже поле для діяльності досить велика, технології не стоять на місці: Гіпервізор, UEFI, IoT, бум мобільних технологій - є де «розвернутися». Поки що це все доля вільних дослідників і авторів APT.

Кожен мій коментар до тесту на лікування активного зараження я закінчував тим, що вказував на те, що необхідно приділяти належну увагу проблемі лікування, але в цей раз не буду. Чи не про лікування як таке я говорив, а про якість технологій, про те, як важливо стежити за тим, що відбувається в світі вірусів, тримати руку на пульсі і підтримувати власні технології в актуальному стані. За великим рахунком результати не цікаві звичайним користувачам. До першого зараження системи з активним антивірусом, до першої провальною установки антивірусного продукту на заражену систему, до першого синеньке екрану смерті. Після цього провальний антивірус змінюється на більш ефективний ».

Василь Бердников, експерт Anti-Malware.ru:

«Після тривалої паузи майже в 3 роки, AM Test Lab провів черговий тест на лікування активного зараження. Варто відзначити, що аналогічних тестів так ще ніхто і не проводить. Зі зрозумілих причин. Хоча деякі спроби були у відомих тестових лабораторій, правда, спонсорам тестів це не дуже сподобалося і для отримання заповітних «медальок» результати тесту на лікування не стали враховуватися.

Що стосується проведеного тестування. Результати в цілому залишилися, як і раніше, гнітючими для багатьох виробників антивірусних продуктів. Причому, варто відзначити, що складні загрози типу bootkits поступово відходять, і на поточний момент активно поширюються лише два сімейства - Rovnix і Pitou. Причому вже кілька років будь-якого серйозного розвитку цих родин з точки зору протидії виявленню і лікуванню не відбувається. Зате з'явився новий тренд у розвитку malware - безфайловие шкідливі програми. Багато антивірусні вендори виявилися зовсім не готовими до виявлення та лікування таких загроз. Зміна тренда зі складних загроз типу буктіта на безфайловую малваре зрозуміла: простіше розробка, менше проблем з сумісністю і може працювати і на сучасних осях під GPT. При цьому, як виявилося, жити такі шкідливі програми можуть дуже довго і не помітно для штатного антивіруса.

Повторю свої слова трирічної давності: більшість антивірусних вендорів не приділяє належної уваги виявленню складних сучасних загроз і коректному лікуванню заражених систем. Або ж приділяє увагу, але не захист користувачів, а скоріше публікації статей та PR в ЗМІ. Як і раніше, доходить до смішного: white-paper готовий, а виявлення і лікування так і немає ».

Автори тесту:

Олександр Шевцов
Олександр Щербина
Роман Герцвольф

Результати тесту даного тесту дозволяють відповісти на питання: наскільки ефективно популярні антивіруси можуть допомогти в лікуванні ураженої системи?
Однак при цьому не береться питання - а наскільки ефективно впорається антивірус з нейтралізації нової шкідливою програмою в її активному стані?
Еволюція замість революції?

Новости