Результаты теста антивирусов на лечение активного заражения
Каждый день появляются тысячи новых образцов вредоносных программ. В погоне за наживой вирусописатели придумывают все новые методы противодействия обнаружению и удалению своего вредоносного кода из системы антивирусными программами, например, при помощи развития руткит-технологий маскировки. В таких условиях ни один антивирус не способен гарантировать 100% защиту компьютера, поэтому у простого пользователя всегда будут оставаться риски заражения даже с установленной антивирусной защитой.
Во многих случаях пропущенная на компьютер вредоносная программа может очень долго находиться незамеченной, даже при установленном антивирусе. В этом случае пользователь будет испытывать ложное чувство защищенности - его антивирус не просигнализирует о какой-либо опасности, в том время как злоумышленники при помощи активной вредоносной программы будут собирать его конфиденциальные данные или использовать мощности компьютера в своих целях. Также нередки случаи, когда вредоносная программа обнаруживается антивирусом, но удалить ее он не может, что вынуждает пользователя обращаться в техническую поддержку или же самостоятельно устранять заражение при помощи дополнительных утилит.
Антивирусные вендоры могут защитить своих клиентов, развивая технологии обнаружения проникшего на компьютер вредоносного кода и его корректного удаления. Но, как показывает практика, далеко не все уделяют этому аспекту защиты должное внимание.
Цель данного теста - проверить персональные версии антивирусов на способность успешно (не нарушая работоспособность операционной систем) обнаруживать и удалять вредоносные программы, уже проникшие на компьютер, начавшие действовать и скрывающие следы своей активности.
Таблица 1: Итоговые результаты лечения
|
Gold Malware Treatment Award |
Dr.Web Anti-Virus 5.00 (81%) |
|
Silver Malware Treatment Award |
Avast! Professional Edition 4.8 (63%) |
|
Bronze Malware Treatment Award |
Norton AntiVirus 2010 (56%) |
|
Тест провален |
Panda Antivirus 2010 (38%) |
Таблица 2a: Результаты лечения активного заражения различными антивирусными продуктами
|
Вредоносная программа / Антивирус |
Avast! Professional Edition |
AVG Anti-Virus & Anti-Spyware |
Avira AntiVir PE Premium |
BitDefender Antivirus |
Comodo Antivirus |
Dr.Web Anti-Virus |
|
AdWare.Virtumonde (Vundo) |
+ |
+ |
+ |
+ |
+ |
+ |
|
Rustock (NewRest) |
+ |
- |
- |
- |
- |
+ |
|
Sinowal (Mebroot) |
- |
- |
- |
- |
- |
- |
|
Email-Worm.Scano (Areses) |
- |
- |
- |
- |
- |
+ |
|
TDL (TDSS, Alureon, Tidserv) |
+ |
+ |
- |
- |
- |
+ |
|
TDL2 (TDSS, Alureon, Tidserv) |
- |
+ |
- |
- |
- |
- |
|
Srizbi |
+ |
- |
- |
+ |
- |
+ |
|
Rootkit.Podnuha (Boaxxe) |
+ |
- |
- |
- |
- |
+ |
|
Rootkit.Pakes (synsenddrv) |
+ |
+ |
+ |
- |
+ |
+ |
|
Rootkit.Protector (Cutwail, Pandex) |
+ |
- |
+ |
- |
- |
+ |
|
Virus.Protector (Kobcka, Neprodoor) |
- |
- |
- |
- |
- |
+ |
|
Xorpix (Eterok) |
+ |
- |
+ |
- |
- |
+ |
|
Trojan-Spy.Zbot |
+ |
+ |
+ |
+ |
- |
+ |
|
Win32/Glaze |
+ |
- |
- |
+ |
- |
- |
|
SubSys (Trojan.Okuks) |
- |
- |
- |
- |
- |
+ |
|
TDL3 (TDSS, Alureon, Tidserv) |
- |
- |
- |
- |
- |
+ |
|
Вылечено/Всего |
10/16 |
5/16 |
5/16 |
4/16 |
2/16 |
13/16 |
Таблица 2б: Результаты лечения активного заражения различными антивирусными продуктами
|
Вредоносная программа / Антивирус |
Eset NOD32 Antivirus |
F-Secure Anti-Virus |
Kaspersky Anti-Virus |
McAfee VirusScan Plus |
Microsoft Security Essentials |
Norton AntiVirus |
|
AdWare.Virtumonde (Vundo) |
+ |
+ |
+ |
+ |
+ |
+ |
|
Rustock (NewRest) |
- |
- |
- |
- |
+ |
+ |
|
Sinowal (Mebroot) |
- |
- |
- |
- |
- |
- |
|
Email-Worm.Scano (Areses) |
- |
+ |
- |
- |
- |
+ |
|
TDL (TDSS, Alureon, Tidserv) |
- |
+ |
+ |
- |
- |
+ |
|
TDL2 (TDSS, Alureon, Tidserv) |
- |
- |
+ |
- |
+ |
+ |
|
Srizbi |
- |
- |
+ |
- |
- |
- |
|
Rootkit.Podnuha (Boaxxe) |
- |
- |
+ |
- |
+ |
- |
|
Rootkit.Pakes (synsenddrv) |
+ |
+ |
+ |
- |
+ |
+ |
|
Rootkit.Protector (Cutwail, Pandex) |
- |
- |
+ |
- |
+ |
- |
|
Virus.Protector (Kobcka, Neprodoor) |
- |
- |
+ |
- |
+ |
- |
|
Xorpix (Eterok) |
+ |
+ |
+ |
- |
+ |
+ |
|
Trojan-Spy.Zbot |
+ |
+ |
+ |
+ |
+ |
+ |
|
Win32/Glaze |
- |
+ |
+ |
- |
+ |
+ |
|
SubSys (Trojan.Okuks) |
|
- |
+ |
+ |
- |
- |
|
TDL3 (TDSS, Alureon, Tidserv) |
- |
- |
+ |
- |
- |
- |
|
Вылечено/Всего |
4/16 |
7/16 |
13/16 |
3/16 |
10/16 |
9'/16 |
Таблица 2в: Результаты лечения активного заражения различными антивирусными продуктами
|
Вредоносная программа / Антивирус |
Outpost Antivirus Pro |
Panda Antivirus |
Sophos Anti-Virus |
Trend Micro Antivirus plus Antispyware |
VBA32 Antivirus |
|
AdWare.Virtumonde (Vundo) |
+ |
+ |
+ |
+ |
- |
|
Rustock (NewRest) |
- |
+ |
- |
- |
- |
|
Sinowal (Mebroot) |
- |
- |
- |
- |
- |
|
Email-Worm.Scano (Areses) |
- |
- |
- |
- |
- |
|
TDL (TDSS, Alureon, Tidserv) |
- |
- |
+ |
+ |
- |
|
TDL2 (TDSS, Alureon, Tidserv) |
- |
- |
- |
- |
- |
|
Srizbi |
- |
- |
- |
- |
- |
|
Rootkit.Podnuha (Boaxxe) |
- |
- |
- |
- |
- |
|
Rootkit.Pakes (synsenddrv) |
- |
+ |
+ |
+ |
- |
|
Rootkit.Protector (Cutwail, Pandex) |
- |
- |
- |
- |
- |
|
Virus.Protector (Kobcka, Neprodoor) |
- |
- |
- |
- |
- |
|
Xorpix (Eterok) |
- |
+ |
- |
- |
- |
|
Trojan-Spy.Zbot |
- |
+ |
+ |
+ |
- |
|
Win32/Glaze |
+ |
+ |
- |
+ |
+ |
|
SubSys (Trojan.Okuks) |
- |
- |
+ |
- |
- |
|
TDL3 (TDSS, Alureon, Tidserv) |
- |
- |
- |
- |
- |
|
Вылечено/Всего |
2/16 |
6/16 |
5/16 |
5/16 |
1/16 |
(+) - антивирус успешно устранил активное заражение, работоспособность системы восстановлена (не нарушена).
(-) - антивирус не смог устранить активное заражение или была серьезно нарушена работоспособность системы.
Как видно из таблиц 2а-2в самым сложным для удаления оказался бэкдор-шпион Sinowal (Mebroot), который не смог вылечить ни один из протестированных антивирусов.
Далее по сложности для удаления следует нашумевшая троянская программа TDL3 (TDSS, Alureon, Tidserv), червь Worm.Scano (Areses) и вирус Virus.Protector (Kobcka, Neprodoor). С ними справились не более трех из протестированных антивирусов.
Также достаточно сложными для удаления оказались вредоносные программы TDL2 (TDSS, Alureon, Tidserv), Srizbi, Rootkit.Podnuha (Boaxxe), SubSys (Trojan.Okuks), Rustock (NewRest) и Rootkit.Protector (Cutwail, Pandex), с ними смогли справиться не более пяти антивирусов.
Таблица 3: Описания вредоносных программ, используемых в тесте
|
Полное имя вируса по классификации Лаборатории Касперского |
Краткое описание |
Способ противодействия своему обнаружению/удалению |
Алиасы |
|
AdWare.Win32.Virtumonde.nmz |
Троянская программа. Является библиотекой. При инсталляции регистрирует себя в системном реестре - Winlogon\Notify, Explorer\ShellExecuteHooks, Explorer\Browser Helper Objects. Данные ключи постоянно перепроверяются и в случае отсутствия - восстанавливаются. Библиотека расположена в системном каталоге с произвольным именем. Файл постоянно открыт, что не позволяет его удалить/переименоваать. Вредоносный код мониторит создания ключа отложенного перемещения/переименования и, в случае обнаружения имени своей библиотеки в значении параметра этого ключа, удаляет его. |
Файл постоянно держится открытым, пересоздание своих ключей автозагрузки и удаление ключа PendingFileRenameOperations, который используют антивирусы для удаления вредоносных программ. |
AdWare.Virtumonde (Vundo) |
|
Backdoor.Win32.NewRest.z |
Троянская программа-спамбот. Является KernelMode руткитом. При инсталляции создает драйвер в каталоге Drivers с произвольным именем. Блокирует доступ к своему файлу перехватом IRP обработчиков драйвера файловой системы, постоянно пересоздает свой файл. Блокирует свой ключ реестра от чтения и удаления перехватами в ядре. |
KernelMode |
Rustock (NewRest) |
|
Backdoor.Win32.Sinowal.fkp |
Троянская программа-шпион. При запуске модифицирует главную загрузочную запись (MBR) жесткого диска с целью загрузки своего драйвера еще до старта ОС. Драйвер хранится в неразмеченной области диска. Перехватывает IRP обработчики драйвера, распологающегося в стеке вслед за устройством \Device\Harddiskx\DRx с целью блокировки чтения/изменения антивирусными продуктами главной загрузочной записи. |
KernelMode |
Sinowal (Mebroot) |
|
Email-Worm.Win32.Scano.ao |
Почтовый червь. При инсталляции создает свою копию в \WINDOWS\csrss.exe и регистрирует в системном реестре отладчиком explorer.exe (Image File Execution Options\explorer.exe\ параметр - Debugger). Создает в системных процессах троянские потоки, которые восстанавливают файл и ключ автозагрузки в случае их удаления. Если антивирус удаляет тело червя, но не удаляет ключ его автозагрузки, то при старте системы не загрузится Explorer.exe, что не позволит работать с ПК. |
Регистрация в реестре как отладчик системного процесса. Пересоздание своих ключей и файлов в случае их удаления |
Email-Worm.Scano (Areses) |
|
Packed.Win32.TDSS.z |
Троянская программа. Является KernelMode руткитом. При инсталляции создает драйвер в \WINDOWS\system32\drivers с именем aliserv3.sys и библиотеку alil.dll в системном каталоге. Драйвер руткита является фильтром драйвера файловой системы, чем и достигается маскировка на диске. Блокирует открытие тома. Маскируется в реестре перехватами в ядре и в памяти DKOM-методом. Использует функцию LockFile с целью блокировки чтения своих файлов. |
KernelMode |
TDL (TDSS, Alureon, Tidserv) |
|
Packed.Win32.TDSS.z |
Троянская программа. Является KernelMode руткитом. При инсталляции создает драйвер в \WINDOWS\system32\drivers\gasfky*.sys и две dll в системном каталоге. Вредоносная программа маскируется на диске, в реестре и памяти. Блокирует открытие диска, чтение тома, пересоздает свои ключи автозагрузки и файлы в случае удаления. Снимает права доступа к своим ключам. Переустанавливает свои перехваты в случае их снятия. |
KernelMode |
TDL2 (TDSS, Alureon, Tidserv) |
|
Trojan.Win32.Srizbi.cb |
Троянская программа. Является KernelMode руткитом. При инсталляции создает драйвер в \WINDOWS\system32\drivers с произвольным именем. Троян маскирует свой ключ автозагрузки перехватом функций с помощью модификации машинного кода ядра, а так же маскирует себя на диске перехватом IRP-обработчиков драйвера файловой системы. Драйвер загружается непосредственно после ядра и его зависимостей. |
KernelMode |
Srizbi |
|
Rootkit.Win32.Podnuha.a |
Троянская программа. Является KernelMode руткитом. При инсталляции создает драйвер в \WINDOWS\system32\drivers и библиотеку в \Windows\system32\ с произвольным именем. Dll зарегистрирована как расширение Winlogon (Winlogon\Notify), как BHO (Explorer\Browser Helper Objects) и как сервис (Name_service\Parameters\ServiceDll). Доступ к драйверу заблокирован, так же как и возможность удалять ключи автозагрузки в реестре. Библиотека защищена от переименования/удаления. |
KernelMode |
Rootkit.Podnuha (Boaxxe) |
|
Rootkit.Win32.Pakes.zp |
Троянская программа. Является KernelMode руткитом. Инсталлирует драйвер в \WINDOWS\system32\drivers с произвольным именем. Маскирует себя на диске перехватом IofCompleteRequest модификацией машинного кода ядра, в реестре и в памяти. |
KernelMode |
Rootkit.Pakes (synsenddrv) |
|
Rootkit.Win32.Protector.cd |
Троянская программа-спамбот. Является KernelMode руткитом. При инсталляции создает драйвер в \Windows\system32\drivers\Ati*.sys. Драйвер руткита блокирует к себе доступ перехватом IRP обработчиков драйвера файловой системы и защищает свой ключ от удаления установкой колбеков на работу с реестром. Спамбот переустанавливает свои IRP-перехваты в случае их снятия. |
KernelMode |
Rootkit.Protector (Cutwail, Pandex) |
|
Virus.Win32.Protector.b |
Троянская программа-спамбот. Является KernelMode руткитом. При инсталляции заражает системный драйвер ndis.sys и хуком на IofCallDriver маскируется от обнаружения, подсовывая при чтении зараженного файла оригинальное его содержимое. Инфектор создает свою копию в системном каталоге с именем reader_s.exe, прописывается в ключе Run, инжектится в создаваемый процесс svchost сцелью рассылки спама. Рутикит компонента также инжектится в svchost и рассылает спам. |
KernelMode |
Virus.Protector (Kobcka, Neprodoor) |
|
Trojan.Win32.Agent.xlg |
Троянская программа. Является библиотекой - \documents and settings\all users\Documents\settings\abc32.dll, открытой с монопольным доступом. Имеет атрибут "скрытый" вместе с каталогом в котором находится. Библиотека зарегистрирована для автоматического запуска в системном реестре - Winlogon\Notify. На ключа Notify права на чтение оставляет только у группы System. В случае удаления ключа автозагрузки, он моментально пересоздается. |
Монопольное открытие файла и пересоздание своего ключа автозагрузки |
Xorpix (Eterok) |
|
Trojan-Spy.Win32.Zbot.gen |
Троянская программа-шпион. Перехватывает множество функций в UserMode с целью маскировки и шпионажа (перехват методом подмены адресов). При инсталляции создает файл sdra64.exe в системном каталоге и регистрирует в реестре (Winlogon\ параметр Userinit), с целью загрузки его при каждом старте системы. В случае удаления пути к своему файлу в значении параметра Userinit, он тут же дописывает путь к себе (восстанавливает свой ключ автозагрузки). Троян блокирует доступ к себе монопольным открытием и маскируется на диске перехватом ntdll.dll:NtQueryDirectoryFile. |
UserMode (подмена адреса) |
Zbot |
|
Trojan-PSW.Win32.Ambera.n |
Троянская программа-шпион. При запуске создает файл xas32.dll в системной директории и регистрирует его в реестре для автоматической загрузки как Winsock Providers. В случае отсутствия файла xas32.dll (удаление его антивирусом), но наличия ключей Winsock - будет отсутствовать доступ в Интернет. |
Регистирация в системном реестре как Winsock Providers |
Win32/Glaze |
|
Trojan.Win32.Small.yc |
Троянская программа. При инсталляции создает base*32.dll (* - произвольные символы) в системном каталоге и изменяет значение параметра Windows в Session Manager\SubSystems таким образом, чтобы csrss.exe загружал dll вредоносной программы, а не системную basesrv.dll. Если в ходе лечения системы удаляется файл вредоносной программы, а ключ windows не восстанавливается в первоначальное состоянии, то система будет постоянно падать в BSOD при загрузке. Загрузка с последней удачной конфигурации не поможет сделать систему рабочей, т.к. вредоносная программа изменяет параметр Windows во всех кустах ControlSet. |
Регистрация в автозапуске изменением ключа windows |
SubSys (Trojan.Okuks) |
|
Trojan.Win32.Cosmu.cyq |
Троянская программа. Является KernelMode руткитом. При инсталляции заражает системный порт или мини-порт драйвер (например, atapi.sys) таким образом, что его размер не изменяется и позволяет загрузить в память драйвер, расположенный в последних секторах жесткого диска на виртуальной шифрованной файловой системе. При чтении зараженного файла руткит подсовывает оригинальное содержимое файла до заражения. |
|
TDL3 (TDSS, Alureon, Tidserv) |
Подробные результаты по каждому антивирусу:
Trend Micro Antivirus plus Antispyware