| [table][tr][td] Методологии тестов антивирусов(часть2)[/td][/tr][/table] [cut=Методология теста антивирусов на лечение активного заражения (сентябрь 2007)] Подготовка теста Для проведения тестирования антивирусов на лечение активного заражения экспертной группой Anti-Malware.ru были отобраны 17 вредоносных программ по следующим критериям: 1. детектирование родительского файла всеми участвующими в тесте антивирусами;
2. способность маскировать свое присутствие;
3. способность противодействовать обнаружению со стороны антивируса;
4. способность восстанавливаться в случае удаления некоторых компонент;
5. распространенность и известность. В отборе вредоносных программ для теста отдавался приоритет наиболее сложным семплам, которые больше удовлетворяют приведенным выше критериям. Стоит отметить, что критически важным параметром для отбора вредоносных программ для теста было детектирование их со стороны всех участвовавших в тесте антивирусов. Все используемые в тесте вредоносные программы были собраные экспертами Anti-Malware.ru во время распространения в Интернет (In The Wild). Таким образом, для теста были отобраны следующие вредоносные программы по классификации (Лаборатории Касперского): 1. Adware.Win32. Look2me.ab
2. Adware. Win32.NewDotNet
3. AdWare.Win32.Virtumonde.bq
4. Backdoor.Win32.Haxdoor.ix
5. Backdoor.Win32.PcClient.ca
6. Email-Worm.Win32.Scano.ac
7. Trojan-Clicker.Win32.Costrat.l
8. Trojan-Downloader.Win32.Agent.brr
9. Trojan-Downloader.Win32.Agent.brk
10. Trojan-Proxy.Win32.Agent.lb
11. Trojan-Proxy.Win32.Wopla.ag
12. Trojan-Proxy. Win32.Xorpix.ba
13. Trojan-Spy.Win32.Bancos.aam
14. Trojan-Spy.Win32.Goldun.ls
15. Virus.Win32.Gpcode.af
16. Rootkit.Win32.Agent.ea
17. SpamTool.Win32.Agent.u Каждый отобранный экземпляр вредоносной программы проверялся на работоспособность и установку на тестовой системе. Проведение Тест проводился на специально подготовленном стенде под управлением VMware GSX Server. Для каждого экземпляра вредоносной программы клонировалась «чистая» виртуальная машина с операционной системой Microsoft Windows XP SP2 и всеми установленными патчами на момент проведения теста. В тестировании участвовали следующие антивирусные программы: 1. Avast! Professional Edition 4.7.1029
2. AVG Anti-Virus 7.5.476
3. Avira AntiVir PE Premium 7.0
4. BitDefender Antivirus 10
5. Dr.Web Anti-Virus 4.33.3
6. Dr.Web Anti-Virus 4.44.0.8030 beta
7. Eset NOD32 Antivirus 2.70.39
8. F-Secure Anti-Virus 2007 7.02.395
9. Kaspersky Anti-Virus 7.0.0.125
10. McAfee VirusScan 2007
11. Panda Antivirus 2008
12. Sophos Anti-Virus 6.5.7 R2
13. Symantec Norton AntiVirus 2007
14. Trend Micro Internet Security 2007
15. VBA32 Antivirus 3.12.2.2 При установке на зараженную машину учитывались рекомендуемые производителем настройки по умолчанию и производились все рекомендуемые программой действия (перезагрузка системы, обновление и т.д.). Если вредоносный код не детектировался автоматически антивирусным монитором, то инициировалась проверка по требованию каталога (или нескольких каталогов), где должны были быть расположены файлы вредоносной программы. Шаги проведения тестирования: 1. заражение (активация) вредоносной программой виртуальной машины;
2. проверка роботоспособности вируса и его успешной установки в системе;
3. многократная перезагрузка зараженной системы;
4. попытка установки тестируемого антивируса и очистки системы;
5. если удается очистить систему, фиксируем оставшиеся следы заражения системы. Для каждого отобранного семпла вредоносной программы выделялась своя чистая виртуальная машина – шаг 1. После попытки установки какого-либо антивируса и лечении заражения, машина откатывалась в первоначальное состояние – шаг 3. [/cut] [cut=Методология теста проактивной антивирусной защиты (декабрь 2007)] Тест проводился на специально подготовленном стенде под управлением VMware GSX Server. Для каждого антивирусного продукта клонировалась «чистая» виртуальная машина с операционной системой Microsoft Windows XP SP2. В тестировании участвовали следующие антивирусные программы: 1. Agnitum Outpost Security Suite 2008
2. Avast! Professional Edition 4.7
3. AVG Anti-Virus Professional Edition 7.5
4. Avira AntiVir Personal Edition Premium 7.0
5. BitDefender Antivirus 2008
6. Dr.Web 4.44
7. Eset Nod32 Anti-Virus 3.0
8. F-Secure Anti-Virus 2008
9. Kaspersky Anti-Virus 7.0
10. McAfee VirusScan Plus 2008
11. Panda Antivirus 2008
12. Sophos Anti-Virus 7.0
13. Symantec Anti-Virus 2008
14. Trend Micro Antivirus plus Antispyware 2008
15. VBA32 Antivirus 3.12 При установке антивирусов производились все рекомендуемые программой действия (перезагрузка системы, обновление и т.д.). Все компоненты защиты активировались, если это не было предусмотрено после установки автоматически. После подготовки тестового стенда создавались специальные условия для проверки эффективности работы эвристика. Для этого у всех антивирусов отключалась функция обновления, т.е. происходило замораживание антивирусных баз данных на дату начала теста. В "дикой природе" (In The Wild, далее ITW: корпоративные шлюзы, поступления в частные коллекции), отбирались ITW-образцы вредоносных программ, поступившие в источники через две недели после заморозки антивирусных баз. Новизна образцов определялась по отсутствию совпадений хешей по общей коллекции Anti-Malware.ru, которая собиралась в течение шести месяцев до начала теста. Таким образом, обеспечивался отбор вредоносных программ, с высокой степенью вероятности еще неизвестных антивирусам на момент прекращения обновлений (заморозки антивирусных баз). Важно! Разрыв в две недели между заморозкой антивирусных баз и началом сбора вредоносных программ был сделан намеренно, чтобы минимизировать возможность попадания в коллекцию образцов, известных какому-либо антивирусу. В результате всех мероприятий моделировалась ситуация, при которой эффективность классических сигнатурных компонент защиты сводилась к нулю. В результате любое детектирование неизвестного по определению образца при простом сканировании по требованию могло осуществляться только проактивной эвристической компонентой, чего мы и хотели. Сканирование по требования производилось с максимально возможными настройками: включение эвристики (максимальный уровень), проверка всех файлов, обнаружение всех типов вредоносных и потенциально опасных программ. В качестве приложения к тесту после его окончания проводилось обновление всех антивирусных программ, и делалась повторная проверка коллекции (через неделю после окончания основного тестирования). В результате фиксировалась эффективность работы классических сигнатурных методов каждого антивируса в дополнение к эвристике. Шаги создания тестовой среды: 1. Установка антивирусной программы на чистую машину;
2. Перезагрузка системы;
3. Проверка успешной установки и работоспособности всех модулей программы;
4. Обновление антивирусной программы;
5. Перезагрузка системы;
6. Выключение функций обновления, отключения от сети Интернет (заморозка баз);
7. Сохранение образа виртуальной машины;
8. Отключение виртуальной машины на 6 недель;
9. Сбор тестовой коллекции вредоносных программ. Шаги проведения тестирования: 1. Включение виртуальной машины;
2. Проверка коллекции отобранных новых вредоносных программ сканером по требованию (настройки на автоматическое удаление обнаруженных объектов);
3. Подсчет оставшихся образцов после проверки коллекции;
4. Обновление антивируса;
5. Повторная проверка оставшихся в пункте 3 образцов.
6. Подсчет оставшихся образцов после повторной проверки коллекции. Для каждой антивирусной программы выделялась отдельная чистая виртуальная машина – шаг 1. Для каждого антивируса создавалась своя копия коллекции вредоносных программ – шаг 9. [/cut] [cut=Методология теста антивирусов на обнаружение полиморфных вирусов (декабрь 2007)] Подготовка теста Для проведения данного тестирования антивирусов экспертной группой Anti-Malware.ru были отобраны вредоносные программы удовлетворяющие следующим критериям: 1. использование техники полиморфизма для затруднения своего обнаружение антивирусами;
2. новизна (появление/распространение в 2007 году);
3. распространение в Интернет, ITW-образцы (In The Wild). Исходя из имеющейся функциональности, отобранные вредоносные программы были разделены на 11 семейств (в скобках указаны названия входящих в них образцов по классификации некоторых вендоров): 1. Allaple.1 (Symantec: W32.Rahack.H, W32.Rahack.W; DrWeb: Trojan.Starman; Kaspersky Lab: Net-Worm.Win32.Allaple.a, Net-Worm.Win32.Allaple.d); 2. Allaple.2 (Symantec: W32.Rahack.W; DrWeb: Trojan.Starman; Kaspersky Lab: Net-Worm.Win32.Allaple.b); 3. Allaple.3 (Symantec: W32.Rahack.H; DrWeb: Trojan.Starman; Kaspersky Lab: Net-Worm.Win32.Allaple.d, Net-Worm.Win32.Allaple.e); 4. Allaple.4 (Symantec: W32.Rahack.H, W32.Rahack.W; DrWeb: Trojan.Starman; Kaspersky Lab: Net-Worm.Win32.Allaple.e, Net-Worm.Win32.Allaple.d); 5. Alman.1 (Symantec: W32.Almanahe.A!inf, W32.Almanahe.B!inf, W32.Fubalka.B …; DrWeb: Win32.Alman.2, Win32.Alman.3; Kaspersky Lab: Virus.Win32.Alman.a); 6. Alman.2 (Symantec: W32.Almanahe.B!inf, W32.HLLW.Oror.B@mm, W32.Bustoy, W32.SillyDC …; DrWeb: Win32.Alman; Kaspersky Lab: Virus.Win32.Alman.b); 7. Twido.1 (Avira: W32/Tvido; DrWeb: Win32.Dwee.2887, Win32.Dwee.3029; Kaspersky Lab: Virus.Win32.Tvido.a); 8. Twido.2 (Avira: W32/Tvido.B; DrWeb: Win32.Dwee.2; Kaspersky Lab: Virus.Win32.Tvido.b); 9. Virut.2 (Symantec: W32.Virut.B, W32.Virut!gen, W32.Ifbo.A, W32.Virut.H …; DrWeb: Win32.Virut.5; Kaspersky Lab: Virus.Win32.Virut.n, Backdoor.Win32.VanBot.bh, Backdoor.Win32.VanBot.ax …); 10. Virut.3 (Symantec: W32.Virut.B, W32.Virut!gen, W32.Virut.R, Downloader …; DrWeb: Win32.Virut.5, Trojan.MulDrop.5684, Trojan.DownLoader.24029, Trojan.Fakealert.257 …; Kaspersky Lab: Virus.Win32.Virut.n, Virus.Win32.Virut.m, Virus.Win32.Virut.q, Trojan.Win32.Agent.bnj, Trojan.Win32.Agent.qt …); 11. Virut.4 (Symantec: W32.Virut.U, Trojan Horse, W32.Virut.R, W32.Virut!gen, Downloader …; DrWeb: Win32.Virut.5; Kaspersky Lab: Virus.Win32.Virut.q, Trojan-Downloader.Win32.VB.awj, Trojan-PSW.Win32.OnLineGames.yn …). Начальный набор тестовых образцов формировался из числа распространяемых в сети, а также от всех антивирусных вендоров, изъявивших желание содействовать в проведении данного теста. Важно! Первоначальный отбор, анализ и группировка самплов является главной частью подготовки теста, занявшей большее количество времени. Чтобы точно убедиться в правильности разработанных алгоритмов обнаружения полиморфных вирусов необходимо иметь как можно больше модификаций отобранных полиморфных вирусов. Поэтому для получения тестовой коллекции производилось размножение начального набора тестовых образцов по следующей схеме: 1. Клонировалась чистая виртуальная машина под управлением Microsoft Windows XP SP2.
2. Производилось заражение системы при помощи одного из вредоносных образцов из начального набора.
3. Фиксировались изменений файловой системы (список зараженных файлов) при помощи специальной утилиты.
4. Вновь полученные вредоносные объекты копировались с виртуальной машины.
5. Производился откат к начальному состоянию (пункт 1) и заражение производилось заново. В итоге была получена коллекция из 30 тыс. экземпляров вредоносных программ (от 500 до 8000 в каждом семействе), которая и была использована для тестирования возможностей антивирусов по обнаружению полиморфных вирусов. Проведение теста Тест проводился на специально подготовленном стенде под управлением VMware GSX Server. Для каждого антивирусного продукта клонировалась "чистая" виртуальная машина с операционной системой Microsoft Windows XP SP2. В тестировании участвовали следующие антивирусные программы: 1. Agnitum Outpost Seciruty Suite Pro 2008 (VirusBuster)
2. Avast Professional Edition 4.7
3. AVG Anti-Virus Professional Edition 7.5
4. Avira Antivir Personal Edition Classic 7.06
5. BitDefender Anti-Virus 2008
6. DrWeb 4.44
7. Eset Nod32 Antivirus 3.0
8. F-Secure Anti-Virus 2008
9. Kaspersky Anti-Virus 7.0
10. McAfee VirusScan 2008
11. Microsoft Windows Live OneCare 2.0 Pre-Release
12. Panda Antivirus 2008
13. Sophos Anti-Virus 7.0
14. Symantec Anti-Virus 2008
15. Trend Micro Antivirus plus Antispyware 2008
16. VBA32 Workstation 3.12.2 При установке антивирусов производились все рекомендуемые программой действия (перезагрузка системы, обновление и т.д.). Настройки антивирусов не изменялись и оставались установленными по умолчанию. Исключение составляют случаи, когда в настройках сканирования необходимо было активировать опцию "проверка всех файлов". Шаги проведения тестирования: 1. Включение виртуальной машины;
2. Проверка коллекции отобранных вредоносных программ сканером по требованию (настройки на автоматическое удаление/карантин обнаруженных объектов);
3. Подсчет оставшихся образцов после проверки коллекции. Для каждой антивирусной программы выделялась отдельная чистая виртуальная машина - шаг 1. Для каждого антивируса создавалась своя копия коллекции вредоносных программ - шаг 2. [/cut] [cut=Методология теста антивирусов и антируткитов на обнаружение и удаление современных руткитов (декабрь 2007)] Подготовка теста Существует два вида руткитов: User Mode (руткиты режима пользователя) и Kernel Mode (руткиты режима ядра). Наибольшую сложность для обнаружения, а значит и интерес для теста, представляют руткиты режима ядра, поскольку их возможности ничем не ограничены, тогда как руткиты режима пользователя ограничены в привилегиях в системе и их возможности сильно ограничены. У современных антивирусов и антируткитов не должно быть особых проблем в обнаружении и удалении скрытых файлов, процессов и т.д. руткитов, работающих в user mode. Руткиты Kernel Mode используют следующие основные способы маскировки: * Маскировка перехватом системных функций путем подмены адреса функций в таблице системных сервисов (KiST). Такие перехваты наиболее широко используются в различных вредоносных программах с руткит-маскировкой, поэтому легко обнаруживаемы и нейтрализуемы.
* Маскировку модификацией машинного кода ядра, т.н. сплайсинг. Перехваты подобного типа сложнее обнаружить и нейтрализовать. Количество вредоносных программ, использующих такой тип перехватов постепенно увеличивается.
* Маскировка перехватом прерывания Int 2Eh и sysenter.
* Использование драйвер-фильтр. Руткиты подобного типа основаны на установке своего драйвера, который подключается к драйверу файловой системы как драйвер-фильтр, что позволяет перехватывать пакеты запросов IRP.
* DKOM или манипуляция с различными структурами ядра. Исходя из выше перечисленных выше способов маскировки, для тестирования набиралась образцы руткитов. Главным критерием при оставлении выборки был принцип охвата всех возможных методом маскировки в системе. Таким образом, для проведения тестирования антивирусов/антируткитов экспертной группой Anti-Malware.ru были отобраны 6 вредоносных программ с руткит-маскировкой и 4 концептуальных руткита. При отборе вредоносных программ дополнительно рассматривались следующие критерии: 1. Образцы должны маскироваться от средств обнаружения (антивирус/антируткит) одним или несколькими описанными выше способами.
2. Каждый образец должен использовать различные способы маскировки.
3. В сумме все образцы должны максимально полно отражать существующие технологии маскировки.
4. Используемые вредоносные программы были собраны во время распространения в Интернет, т.е. являются ITW-образцами (In The Wild).
5. Используемые руткиты не должны иметь функционал целенаправленной борьбы с антивирусами/антируткитами, таких как удаление файлов, завершение процессов и т.п. Исходя из этого, для тестирования были отобраны следующие вредоносные программы: 1. Trojan-Spy.Win32.Goldun.hn
2. Trojan-Proxy.Win32.Wopla.ag
3. SpamTool.Win32.Mailbot.bd
4. Monitor.Win32.EliteKeylogger.21
5. Rootkit.Win32.Agent.ea
6. Rootkit.Win32.Podnuha.a А также концептов руткитов: 1. Unreal A (v1.0.1.0)
2. RkDemo v1.2
3. FuTo
4. HideToolz Как видно, основной упор при составлении коллекции был сделан на вредоносные программы. В добавление к ним было решено добавить несколько концептуальных руткитов, которые дополняют общую картину способов маскировки и позволяют проверить наличие проактивного детекта (обнаружение руткитов на основании анализа системных событий/аномалий, т.е. без наличия специальных сигнатур). Каждый отобранный экземпляр вредоносной программы проверялся на работоспособность и установку на тестовой системе. Для участия в тесте отбирались наиболее популярные антивирусы, в которых заявлен функционал по обнаружению руткитов. Среди специальных утилит (антируткитов) были выбраны только те, которые имеют функционал автоматического обнаружения скрытых файлов. Список отобранных для теста вредоносных программ до оглашения результатов держался в тайне и не сообщался никому из вредставителей вендоров, чьи антивирусы и антируткиты принимали в нем участие. Проведение теста Тест проводился на специально подготовленном стенде под управлением VMware Workstation версии 5.5.3. Для каждого экземпляра вредоносной программы клонировалась «чистая» виртуальная машина с операционной системой Microsoft Windows XP SP2 со всеми обновлениями на момент проведения теста. В тестировании участвовали следующие антивирусы: 1. BitDefender Antivirus 2008
2. Dr.Web 4.44
3. F-Secure Anti-Virus 2008
4. Kaspersky Anti-Virus 7.0
5. McAfee VirusScan Plus 200
6. Eset Nod32 Anti-Virus 3.0
7. Symantec Anti-Virus 2008
8. Trend Micro Antivirus plus Antispyware 2008 А также следующие антируткиты: 1. AVG Anti-Rootkit 1.1
2. Avira Rootkit Detection 1.00.01.1
3. GMER 1.0.13
4. McAfee Rootkit Detective 1.1
5. Panda AntiRootkit version 1.0
6. Rootkit Unhooker 3.7
7. Sophos Anti-Rootkit 1.3
8. TrendMicro RootkitBuster 1.6 При отборе антируткитов для тестирования учитывалось наличие функционала не только для обнаружения присутствия руткита в системе, но и его обезвреживания (удаление/переименование файлов, удаление/переименование ключей/разделов реестра). Руткит считался обнаруженным, если защитная программа находила его файлы, ключи реестра, процессы или следы присутствия в системе (перехваты функций API). Руткит считался обезвреженным в случае, если его активность в системе была полностью пресечена защитной программой. Шаги проведения тестирования на вредоносных программах: 1. Заражение (активация) вредоносной программой виртуальной машины;
2. Проверка работоспособности вредоносной программы и его успешной установки в системе;
3. Многократная перезагрузка зараженной системы;
4. Установка (запуск) тестируемой антивируса/антируткита и очистка системы;
5. Проверка активности руткита после лечения системы антивирусом/антируткитом. Для каждого отобранного образца вредоносной программы выделялась своя чистая виртуальная машина – шаг 1. После запуска (установки) какой-либо антируткит-программы и лечения заражения, машина откатывалась в первоначальное состояние – шаг 3. Шаги проведение тестирования с концептами: 1. Установка антивируса или антируткита и перезагрузка системы.
2. Запуск концепта, выбор объекта для маскировки если нужно. В случае если антивирус или антируткит оснащен HIPS-модулем, то выбиралось разрешающее действие для установки руткита в систему или произведению необходимых для маскировки действий.
3. Сканирование системы предмет обнаружения руткитов.
4. Фиксирование результата работы (только обнаружения скрытого процесса и/или файла). Для каждого антивируса или антируткита выделялась своя чистая виртуальная машина – шаг 1. После установки какого-либо концепта и сканирования, машина откатывалась в первоначальное состояние. [/cut]
[cut=Методология теста антируткитов на детектирование и лечение вредоносных программ (декабрь 2007)] Выбор вредоносных программ для теста антируткитов Для проведения данного тестирования антируткитов экспертной группой Anti-Malware.ru были отобраны 9 вредоносных программ по следующим критериям: 1. Вредоносная программа должна скрывать свое присутствии в системе по руткит-технологии.
2. Отобранные образцы должны использовать различные способы своего скрытия.
3. Все образцы должны максимально полно отображать существующие технологии скрытия, используемые вирусописателями.
4. Используемые вредоносные программы были собраны во время распространения в Интернет, ITW-образцы (In The Wild). Все используемые в тесте образцы являются достаточно распространенными ITW-образцами ( http://z-oleg.com/secur/virstat/index.php ), многократно были обнаружены в ходе очистки ПК ( http://virusinfo.info/forumdisplay.php?f=46 ) и неизбежно вызывали проблемы у пользователей со своим обнаружением и удалением. Таким образом, для теста были отобраны следующие вредоносные программы по классификации Лаборатории Касперского (альтернативные названия по классификации других вендоров можно посмотреть в полном отчете о тесте): 1. Backdoor.Win32.Haxdoor.fd
2. Backdoor.Win32.Padodor.ax
3. Monitor.Win32.EliteKeylogger.21
4. Monitor.Win32.SpyLantern.530
5. Trojan-Clicker.Win32.Costrat.af
6. Trojan-Proxy.Win32.Agent.lb
7. Trojan-Spy.Win32.Goldun.np
8. Trojan.Win32.DNSChanger.ih
9. Worm.Win32.Feebs.gt Каждый отобранный экземпляр вредоносной программы проверялся на работоспособность и установку на тестовой системе. Список отобранных для теста вредоносные программ до оглашения результатов держался в тайне и не сообщался никому из вредставителей вендоров, чьи антируткиты принимали в нем участие. Проведение теста антируткитов Тест проводился на специально подготовленном стенде под управлением VMware Workstation версии 5.5.3. Для каждого экземпляра вредоносной программы клонировалась «чистая» виртуальная машина с операционной системой Microsoft Windows XP SP2. В тестировании участвовали следующие антируткит-программы: 1. Antivir Rootkit 1.0.1.12 Beta3
2. AVG Antirootkit 1.1.0.29 Beta
3. AVZ 4.23 *
4. BitDefender Antirootkit Beta2
5. F-Secure BlackLight 2.2.1055 Beta
6. Gmer 1.0.12.12027
7. McAfee Rootkit Detective 1.0.0.41 Beta
8. Rootkit Unhooker 3.20.130.388
9. Sophos Anti-Rootkit 1.2.2
10. Trend Micro RootkitBuster 1.6.0.1055 Beta
11. UnHackMe 4.0 * AVZ не является полноценной антируткит-программой и представляет собой утилиту для комплексного исследования системы. Требование, предъявляемое к антируткитам – наличие функционала не только обнаружения присутствия руткита в системе, но и его обезвреживания (удаление/переименование файлов, удаление/переименование ключей/разделов реестра). Шаги проведения тестирования: 1. Заражение (активация) вредоносной программой виртуальной машины;
2. Проверка работоспособности вируса и его успешной установки в системе;
3. Многократная перезагрузка зараженной системы;
4. Установка (запуск) тестируемой антируткит-программы и очистка системы;
5. Фиксирование оставшихся файлов и ключей автозапуска. Для каждого отобранного семпла вредоносной программы выделялась своя чистая виртуальная машина – шаг 1. После запуска (установки) какой-либо антируткит-программы и лечения заражения, машина откатывалась в первоначальное состояние – шаг 3. [/cut] [cut=Методология теста антивирусов на лечение активного заражения (февраль 2007)] Выбор вредоносных программ для теста Для проведения тестирования антивирусов на лечение активного заражения экспертной группой Anti-Malware.ru были отобраны 10 вредоносных программ по следующим критериям: 1. детектирование родительского файла всеми участвующими в тесте антивирусами;
2. способность маскировать свое присутствие;
3. способность мешать установке и противодействовать работе антивируса;
4. способность восстанавливаться в случае удаления некоторых компонент;
5. распространенность и известность. В отборе вредоносных программ для теста отдавался приоритет наиболее сложным семплам, которые больше удовлетворяют приведенным выше критериям. Стоит отметить, что критически важным параметром для отбора вредоносных программ для теста было детектирование их со стороны всех участвовавших в тесте антивирусов. Все используемые в тесте вредоносные программы были собраные во время распространения в Интернет (In The Wild). Таким образом, для теста были отобраны следующие вредоносные программы по классификации (Лаборатории Касперского): 1. Adware.Win32.Look2me
2. Adware.Win32.NewDotNet
3. Backdoor.Win32.Haxdoor
4. Trojan-Proxy.Win32.Xorpix
5. Email-Worm.Win32.Scano
6. Email-Worm.Win32.Bagle
7. Trojan-PSW.Win32.LdPinch
8. Worm.Win32.Feebs
9. Trojan-Clicker.Win32.Costrat
10. Trojan-Spy.Win32.Goldun Каждый отобранный экземпляр вредоносной программы проверялся на работоспособность и установку на тестовой системе. Список отобранных для теста вредоносные программ до оглашения результатов держался в тайне и не сообщался никому из вредставителей вендоров, чьи антивирусы принимали в нем участие. Проведение теста антивирусов на лечение активного заражения Тест проводился на специально подготовленном стенде под управлением VMware GSX Server. Для каждого экземпляра вредоносной программы клонировалась «чистая» виртуальная машина с операционной системой Microsoft Windows XP SP2 и всеми установленными патчами на момент проведения теста. В тестировании участвовали следующие антивирусные программы: 1. Avast! Professional Edition 4.7
2. AVG Anti-Virus PE 7.5
3. Avira AntiVir СE 7.0
4. AVZ 4.21
5. BitDefender Antivirus 10
6. Dr.Web Anti-Virus 4.33
7. Eset NOD32 Antivirus 2.7
8. F-Secure Anti-Virus 2007
9. Kaspersky Anti-Virus 6.0
10. McAfee VirusScan 2007
11. Panda Antivirus 2007
12. Sophos Anti-Virus 6.0
13. Symantec Norton AntiVirus 2007
14. Trend Micro PC-Cillin 2007
15. VBA32 Antivirus 3.11 При установке на зараженную машину учитывались рекомендуемые производителем настройки по умолчанию и производились все рекомендуемые программой действия (перезагрузка системы, обновление и т.д.). Если вредоносный код не детектировался автоматически антивирусным монитором, то инициировалась проверка по требованию каталога (или нескольких каталогов), где должны были быть расположены файлы вредоносной программы. Шаги проведения тестирования: 1. заражение (активация) вредоносной программой виртуальной машины;
2. проверка роботоспособности вируса и его успешной установки в системе;
3. многократная перезагрузка зараженной системы;
4. попытка установки тестируемого антивируса и очистки системы;
5. если удается очистить систему, фиксируем оставшиеся следы заражения системы. Для каждого отобранного семпла вредоносной программы выделялась своя чистая виртуальная машина – шаг 1. После попытки установки какого-либо антивируса и лечении заражения, машина откатывалась в первоначальное состояние – шаг 3. [/cut] [cut=Методология проведения теста антивирусов на поддержку упаковщиков (февраль 2007)] Подготовка теста Сколько всего в мире существует универсальных упаковщиков? По нашим скромным подсчетам – более 100 видов, а по некоторым данным их число приближается к 200. Владея таким арсеналом специального программного обеспечения, вирусописатели создают новые модификации одного и того же вируса, не прилагая практически никаких усилий. Как только появился новый вирус, его можно обработать упаковщиком или протектором (это по времени занимает секунды), проверить работоспособность и отправить в свободное плаванье. В итоге в Интернет будет уже две модификации одного и того же вируса. При этом многие антивирусные компании зачастую хитрят. В антивирусные базы вносятся сигнатуры вирусов и их модификаций (в том числе и упакованных), но непосредственно поддержка упаковщиков в антивирусе отсутствует. Это приводит к тому, что при появлении по-новому упакованного вируса таким вендорам приходится вносить в антивирусные базы новые сигнатуры, в то время как при наличии поддержки упаковщика, новая модификация вируса стала бы детектироваться автоматически. Конечно, не все антивирусные компании поступают подобным образом, но ситуация осложняется тем, что упаковщики и протекторы постоянно обновляются и за их новыми версиями необходимо следить так же, как и за появлением новых вирусов. После продолжительных консультаций с антивирусными вендорами и различными независимыми экспертами из всего многообразия упаковщиков для теста мы выбрали 21 тип, основываясь на данных: 1. Популярности упаковщиков у вирусописателей;
2. Нашем собственном анализе упаковщиков и возможности их использования для скрытия вредоносного кода. Для проведения теста были взяты самые последние версии упаковщиков, которые на тот момент были публично доступны в сети Интернет. Проведение теста Тестирование антивирусов на поддержку упаковщиков производится экспертами Anti-Malware.ru на регулярной основе. Мы внимательно следим за появлением в Интернет новых версий различных упаковщиков, проводим анализ популярности применения различных версий и их модификаций. Помимо этого проект Anti-Malware.ru плотно сотрудничает с различными антивирусными компаниями, которые предоставляют нам информацию по применению разработчиками вирусов различных упаковщиков. На основе полученных данных мы готовим список упаковщиков. За неделю до начала теста, мы фиксируем версии упаковщиков, которые будут участвовать в тестировании. Эта информация доступна для разработчиков антивирусов. В это же время отбираются экземпляры вирусов 5-10 штук, среди которых обязательно присутствуют различные типы вредоносного кода (вирусы, черви, трояны, шпионские программы, кейлогеры и т.п.). Основное требование к этим экземплярам – они не упакованы и в данном виде успешно детектируются всем антивирусами, участвующими в тесте. Информация по взятым экземплярам вредоносного кода не доступна разработчикам антивирусов, до окончания теста. Этапы тестирования: 1. Производится запаковка выбранных экземпляров вирусов упаковщиками, т.е. получаем Х модификаций каждого вируса, где Х – это число упаковщиков, участвующих в тестировании.
2. Далее каждый экземпляр проверяется на работоспособность – т.е. полное выполнение своей функциональности после упаковки.
3. Происходит непосредственно сам тест на детектирование упакованных вирусов последними версиями антивирусов с актуальными базами данных. Шаги 1 и 2 выполняются в течение недели до тестирования, но после того, как официально были зафиксированы версии упаковщиков. Если после упаковки вируса каким-либо из пакеров не получается добиться его работоспособности, тогда данная модификация вируса исключается из тестирования. Как уже писалось выше, тестирование проводится актуальными версиями антивирусного программного обеспечения с актуальными обновлениями. Частота проведения тестов определяется проектной командой Anti-Malware.ru, и зависит от появления новых версий упаковщиков, изменения популярности различных упаковщиков и на основе анализа данных антивирусных производителей. Тест проводится не реже четырех раз в год. Пакеры, детектируемые всеми участниками теста, в следующем тестировании не учавствуют, если не изменялась их версия (алгоритмы, методы и т.д.). [/cut]
| 
[
Новые сообщения ·
Поиск ·
Правила форума ·
Участники ·
RSS ·
Новое на форуме ]
[/cut] 
[/cut] 
[/cut] 
[/cut] 
[/cut] 
[/cut] 
[/cut] 
[/cut] 
[/cut] 
[/cut] 
[/cut] 
[/cut] 
[/cut] 
[/cut] 
[/cut] 
[/cut] 
[/cut] 
[/cut] 
[/td][td]Награда Platinum Anti-Polymorphic Protection Award присваивается, если антивирус по результатам теста набрал более 32 баллов (95% от максимального количества).[/td][/tr][tr][td]
А так не знаю...
.
