- Порівняння антивірусів по можливості лікування
- Підсумкові результати тесту і нагороди
- Аналіз змін в порівнянні з попередніми тестами
Серед загального потоку шкідливих програм, які не вирізняються витонченою функціональністю, знаходяться зразки, в яких використовуються незвичайні або навіть новаторські технологічні прийоми по забезпеченню працездатності шкідливої програми в ураженій системі. Це веде до значного ускладнення процесу видалення таких шкідливих програм. Результати тесту даного тесту дозволяють відповісти на питання: наскільки ефективно популярні антивіруси можуть допомогти в лікуванні ураженої системи?
Незважаючи на той факт, що активна фаза поширення шкідливих програм, що несуть в собі різні техніки свого приховування в інфікованій системі, датується 2012-2013 роками і на зміну їй прийшла хвиля значно менш технологічних сімейств, за минулі два роки було відмічено появу ряду цікавих з точки зору лікування шкідливих програм.
Поява нових технологічних прийомів при розробці шкідливих програм, навіть на рівні концептуальної реалізації, в більшості випадків зводить до нуля ефективність функцій популярних антивірусів в лікуванні активного зараження. Що забезпечує стійку життєздатність шкідливої програми в скомпрометованої системі.
Згодом розробники антивірусів вносять зміни в свої продукти, що дозволяють детектувати активне зараження, тим самим запобігаючи його подальше поширення, пишуть численні статті з змістовним аналізом особливостей нової шкідливої програми. І на цьому зазвичай справа закінчується. Однак при цьому не береться питання - а наскільки ефективно впорається антивірус з нейтралізації нової шкідливою програмою в її активному стані? Бо публікація змістовного аналізу працездатності шкідливої програми - це лише здатність антивіруса до ефективного лікування на папері, але далеко не завжди на практиці.
Інформаційно-аналітичний центр Anti-Malware.ru з 2007 року регулярно проводив тестування на лікування активного зараження, тим самим відстежуючи динаміку можливостей популярних антивірусів по успішної нейтралізації шкідливих програм, що знаходяться в активному стані.
Мета даного тесту - перевірити персональні версії антивірусів на здатність успішно (не порушуючи працездатності операційної систем) виявляти і видаляти вже проникли на комп'ютер шкідливі програми в їх активному стані на практиці.
Методологія проведення тесту
Аналіз результатів тесту і нагороди
Зміст:
- Вступ
- Порівняння антивірусів по можливості лікування
- Підсумкові результати тесту і нагороди
- Аналіз змін в порівнянні з попередніми тестами
Вступ
У тестуванні брали участь релізний версії наступних 15 антивірусних програми, відібрані в ході відкритого обговорення (збірки актуальні на момент початку тесту):
- Avast! Internet Security 2015.10.0.2208
- AVG Internet Security 2015.0.5646
- Avira Internet Security 14.0.7.468
- Eset Smart Security 8.0.304.0
- Kaspersky Internet Security 15.0.1.415 (b)
- BitDefender Internet Security 18.20.0.1429
- Emsisoft Internet Security 9.0.0.4799
- Dr.Web Security Space Pro 10.0.0.12160
- Microsoft Security Essentials 4.6.0305.0
- McAfee Internet Security 14.0
- Norton Security 22.1.0.9
- Qihoo360 Internet Security 5.0.0.5104
- TrustPort Internet Security 15.0.0.5420
- Panda Internet Security 15.0.4
- Trend Micro Titanium Internet Security 8.0.1133
Тестування проводилося на шкідливі програми, які відповідають умовам методології тестування виключно для платформи Microsoft Windows 7 x64:
- APT (Uroburos, Turla)
- Cidox (Rovnix, Mayachok, Boigy)
- Poweliks (Powessere)
- Backboot (WinNT / Pitou)
- WMIGhost (HTTBot, Syndicasec )
- Stoned (Bebloh, Shiptob, Bublik)
- Pihar (TDL4, TDSS, Alureon, Tidserv)
- SST (PRAGMA, TDSS, Alureon)
- Zeroaccess (Sirefef, MAX ++)
Таким чином, для тесту було відібрано 9 концептуальних з технологічної точки зору зразків шкідливих програм, які були помічені в загальному потоці шкідливих програм.
Порівняння антивірусів по можливості лікування
Таблиця 1. Результати тесту на лікування активного зараження 2015 (початок)
Антивірус / Шкідлива програма Avast! Internet Security AVG Internet Security Avira Internet Security Eset Smart Security Kaspersky Internet Security
APT (Uroburos, Turla)
+ + + + +
Cidox (Rovnix, Mayachok, Boigy)
+ - * - - * +
Poweliks (Powessere)
- + - - +
Backboot
+ - * - * - * +
WMIGhost (HTTBot, Syndicasec)
- - - - +
Stoned (Bebloh, Shiptob, Bublik)
+ + - + +
Pihar (TDL4, TDSS, Alureon, Tidserv)
- - - - * +
SST (PRAGMA, TDSS, Alureon)
+ - - - +
Zeroaccess (Sirefef, MAX ++)
+ - - + + вилікувано / Всього 6/9 3/9 1/9 3/9 9/9
Таблиця 2. Результати тесту на лікування активного зараження 2015 (продовження)
Антивірус / Шкідлива програма BitDefender Internet Security Emsisoft Internet Security Dr.Web Security Space Pro Qihoo360 Internet Security Microsoft Security Essentials
APT (Uroburos, Turla)
+ - - + +
Cidox (Rovnix, Mayachok, Boigy)
+ - * + - -
Poweliks (Powessere)
+ - - - +
Backboot
- - + - * - *
WMIGhost (HTTBot, Syndicasec)
- - - - - *
Stoned (Bebloh, Shiptob, Bublik)
+ - + + +
Pihar (TDL4, TDSS, Alureon, Tidserv)
+ - + - -
SST (PRAGMA, TDSS, Alureon)
+ - * + - * -
Zeroaccess (Sirefef, MAX ++)
- - + - +
Вилікувано / Всього
6/9 0/9 6/9 2/9 4/9
Таблиця 3. Результати тесту на лікування активного зараження 2015 (закінчення)
Антивірус / Шкідлива програма McAfee Internet Security Norton Security TrustPort Internet Security Panda Internet Security Trend Micro Titanium Internet Security
APT (Uroburos, Turla)
+ + - + +
Cidox (Rovnix, Mayachok, Boigy)
- * - - - * -
Poweliks (Powessere)
- + - - +
Backboot
- * - * - - * -
WMIGhost (HTTBot, Syndicasec)
- - - - -
Stoned (Bebloh, Shiptob, Bublik)
- + - - -
Pihar (TDL4, TDSS, Alureon, Tidserv)
- - - - -
SST (PRAGMA, TDSS, Alureon)
- * - * - - * -
Zeroaccess (Sirefef, MAX ++)
- + - - - вилікувано / Всього 1/9 4/9 0/9 1/9 2/9
Малюнок 1. Результати тесту на лікування активного зараження 2015
Нагадаємо, що, відповідно до використовуваної схемою аналізу результатів і нагородження , (+) Означає, що антивірус успішно усунув активне зараження системи, при цьому працездатність системи була відновлена (або не порушена). (-) означає, що антивірус не зміг усунути активне зараження або при лікуванні була серйозно порушена працездатність системи (наприклад, BSOD). (- *) означає, що за кілька місяців очікування і багаторазових відправлень зразків на аналіз в антивірусну лабораторію детект так і не був доданий.
Як видно за результатами тесту найскладнішим для лікування виявилася безфайлові шкідлива програма WMIGhost. Виявити і вилікувати її зміг тільки Kaspersky Internet Security. Далі за складністю лікування йдуть шкідливі програми, що використовують технології інфікування завантажувальних секторів диска (Backboot, Pihar, SST і cidox). Проблеми з виявленням та лікуванням виникають навіть незважаючи на те, що беруть участь в тесті шкідливих програм цього класу існують вже не перший рік.
Важливо відзначити нездатність переважної більшості антивірусів виявити і нейтралізувати шкідливий код в оперативній пам'яті, що підтверджується результатами лікування Stoned (він же Bebloh, Shiptob, Bublik).
В цілому для індустрії картина невтішна. Більшість популярних антивірусів не здатне коректно вилікувати уражену систему навіть на тих родинах шкідливих програм, які відомі вже не один рік.
Підсумкові результати тесту і нагороди
Таблиця 4. Результати тесту лікування активного зараження 2015
У цьому році тільки 6 з 15 протестованих антивірусів показали гідні результати по лікуванню активного зараження, що дещо краще рівня останніх років.
Єдиним антивірусом, успішно впорався з лікуванням всіх зразків з тестового набору, є Kaspersky Internet Security, який отримав заслужену нагороду Platinum Malware Treatment Award.
Нагороду Gold Malware Treatment Award в цьому році не отримує жоден з протестованих антивірусів.
Поділяють друге, третє і четверте місця антивіруси Avast! Internet Security, BitDefender Internet Security і Dr.Web Security Space Pro, нейтралізувати шість запропонованих зразків з дев'яти (67%). Вони отримують нагороду Silver Malware Treatment Award.
П'яте і шосте місця розділили Microsoft Security Essentials і Norton Security, успішно вилікували чотири зразки з дев'яти (44%) і отримали нагороду Bronze Malware Treatment Award).
Решта антивіруси провалили тест. Так AVG Internet Security і Eset Smart Security, зуміли нейтралізувати лише три зразка з дев'яти (33,3%). Далі йдуть Qihoo360 Internet Security 5.0.0.5104 і Trend Micro Titanium Internet Security, успішно вилікували тільки два зразки з дев'яти (набравши 22,2%). Серед аутсайдерів тесту виявилися McAfee Internet Security, Panda Internet Security і Avira Internet Security, які змогли впоратися лише з одним зразком з дев'яти (11,1%).
Повністю провалили тест антивіруси Emsisoft Internet Security і TrustPort Internet Security. Вони не змогли вилікувати жодного відібраного для тесту зразка.
Аналіз змін в порівнянні з попередніми тестами
На закінчення проаналізуємо результати всіх наших тестів на лікування активного зараження за 2011-2015 роки. Для цього до результатів тесту були додані результати двох попередніх тестів, які ви можете подивитися тут. Таким чином, можна простежити зміни в ефективності лікування складних випадків зараження для кожного протестованого продукту (див. Малюнки 2 і 3).
Малюнок 2: Динаміка зміни можливостей антивірусів з лікування активного зараження
Малюнок 3: Динаміка зміни можливостей антивірусів з лікування активного зараження
Незмінно високі місця займають вітчизняні антивіруси - Kaspersky Internet Security і Dr.Web Security Space Pro, хоча у останнього відзначається тенденція до зниження ефективності лікування.
Avast! Internet Security і BitDefender Internet Security знову показали відносно високі результати, що свідчить про постійну увагу до проблеми лікування складних заражень. На середньому рівні по ефективності лікування балансують Norton Security і Microsoft Security Essentials, що дуже дивно для таких грандів ринку, що володіють усіма необхідними ресурсами.
На тлі триваючої тенденції до загального по індустрії зниження ефективності в лікуванні активного зараження, результати деяких антивірусів покращилися відносно минулого року, серед них: Avast! Internet Security, Eset Smart Security, AVG Internet Security і Norton Security. В цілому ж очевидно, що через великий потік шкідливих програм, що вимагають свого додавання в антивірусні бази, більшість виробників не приділяють уваги питанням лікування активного зараження.
Ілля Шабанов, керівник A M Test Lab:
«У цьому році ми провели тест повністю на системі Windows 7 x64, що звузило можливості відбору підходящих шкідливих програм, але дозволило сконцентруватися тільки на актуальних завданнях лікування активного зараження. В цілому по індустрії результати продовжили знижуватися, що повністю знаходиться в тренді останніх років. У більшості виробників немає ресурсів і фахівців розбиратися зі складними шкідливими програмами. Деякі виробники і зовсім виявилися не в змозі розпізнати окремі шкідливі програми з нашої підбірки і за кілька місяців так і не додали на них детект, незважаючи на багаторазові звернення. З іншого боку частина вендорів зуміла поліпшити результати в порівнянні з 2012 роком. Це дозволяє сподіватися, що проблеми лікування складних зараження не будуть залишені без уваги в майбутньому ».
Олександр Шевцов, інженер по тестуванню A M Test Lab:
«Підводячи підсумки чергового тесту відчуваєш деяке розчарування - вміння лікувати активне зараження як і раніше не є гідністю антивіруса у більшості вендорів. Так, деякі з них все-таки провели роботу над помилками, нові версії їх продуктів показали кращі результати з семплами, які брали участь в минулому тесті, але в більшості своїй результати не змінилися. З новими ж погрозами, в основному, результати просто провальні. Найгірше те, що часто антивірус взагалі не бачить ніяких ознак активного зараження, зовні воно може ніяк себе не проявляти і користувач перебуває в повному невіданні про те, що відбувається. Переходячи до конкретики, хотілося б відзначити Avast, що показав явно позитивну динаміку, і Dr.Web, який здивував низькими результатами в боротьбі з новими загрозами. Стабільно хороші результати показує BitDefender, але спочивати на лаврах рано, ще є куди прагнути. Новачки тесту нічим не порадували, Emsisoft і Trustport тест провалили повністю ».
В'ячеслав Русаков, експерт Anti-Malware.ru:
«Минуло майже 3 роки з останнього тесту на лікування активного зараження від AM Test Lab. Інновації в «руткітостроеніі» заморожені, панове вирусописатели продовжують топтатися на місці і лише зрідка оновлюють свої творіння. Чи то закінчилися думки і ідеї, то чи все вже досліджено вздовж і впоперек, то чи немає ніякого сенсу сидіти над новими способами втриматися в зараженій системі, коли старі способи працюють (див. Результати тесту). Еволюція замість революції? Хіба що стосовно безтілесного шкідливого коду, що живе в просторі користувача. Вищевказаний спосіб не викликає ніяких складнощів з лікуванням зараженої системи, його і новим-то назвати складно, швидше за - добре забуте старе. А адже поле для діяльності досить велика, технології не стоять на місці: Гіпервізор, UEFI, IoT, бум мобільних технологій - є де «розвернутися». Поки що це все доля вільних дослідників і авторів APT.
Кожен мій коментар до тесту на лікування активного зараження я закінчував тим, що вказував на те, що необхідно приділяти належну увагу проблемі лікування, але в цей раз не буду. Чи не про лікування як таке я говорив, а про якість технологій, про те, як важливо стежити за тим, що відбувається в світі вірусів, тримати руку на пульсі і підтримувати власні технології в актуальному стані. За великим рахунком результати не цікаві звичайним користувачам. До першого зараження системи з активним антивірусом, до першої провальною установки антивірусного продукту на заражену систему, до першого синеньке екрану смерті. Після цього провальний антивірус змінюється на більш ефективний ».
Василь Бердников, експерт Anti-Malware.ru:
«Після тривалої паузи майже в 3 роки, AM Test Lab провів черговий тест на лікування активного зараження. Варто відзначити, що аналогічних тестів так ще ніхто і не проводить. Зі зрозумілих причин. Хоча деякі спроби були у відомих тестових лабораторій, правда, спонсорам тестів це не дуже сподобалося і для отримання заповітних «медальок» результати тесту на лікування не стали враховуватися.
Що стосується проведеного тестування. Результати в цілому залишилися, як і раніше, гнітючими для багатьох виробників антивірусних продуктів. Причому, варто відзначити, що складні загрози типу bootkits поступово відходять, і на поточний момент активно поширюються лише два сімейства - Rovnix і Pitou. Причому вже кілька років будь-якого серйозного розвитку цих родин з точки зору протидії виявленню і лікуванню не відбувається. Зате з'явився новий тренд у розвитку malware - безфайловие шкідливі програми. Багато антивірусні вендори виявилися зовсім не готовими до виявлення та лікування таких загроз. Зміна тренда зі складних загроз типу буктіта на безфайловую малваре зрозуміла: простіше розробка, менше проблем з сумісністю і може працювати і на сучасних осях під GPT. При цьому, як виявилося, жити такі шкідливі програми можуть дуже довго і не помітно для штатного антивіруса.
Повторю свої слова трирічної давності: більшість антивірусних вендорів не приділяє належної уваги виявленню складних сучасних загроз і коректному лікуванню заражених систем. Або ж приділяє увагу, але не захист користувачів, а скоріше публікації статей та PR в ЗМІ. Як і раніше, доходить до смішного: white-paper готовий, а виявлення і лікування так і немає ».
Автори тесту:
Олександр Шевцов
Олександр Щербина
Роман Герцвольф
Однак при цьому не береться питання - а наскільки ефективно впорається антивірус з нейтралізації нової шкідливою програмою в її активному стані?
Еволюція замість революції?