БИЗНЕС-СЕТЬ KINETICS CRM CALL-ЦЕНТРЫ ERP ECM ITSM PM АБС АБН SEC SAAS
     
IT БЕЗОПАСНОСТЬ НОВОСТИ АНАЛИТИКА СИСТЕМЫ ПОСТАВЩИКИ ФОРУМ Напишите нам!  
СТАТЬИ
АНАЛИТИКА
РЕЙТИНГИ
ОБЗОР ПО
СОВЕТЫ ОТ ГУРУ
     :: ВИДЕООБЗОРЫ
АНТИВИРУСЫ
crm ПОДПИСКА

Чтобы подписаться на рассылку новостей сайта, введите свой e-mail:

 
KINETICS NET: ITSM и ITIL
ITSM (сокращение от IT Service Management) - это концепция управления IТ инфраструктурой компании, сфокусированная на предоставлении услуг и ориентированная на бизнес-потребителя этих сервисов. >>>
ITIL (IT Infrastructure Library) - это обобщение лучшего международного опыта в области организации и управления IT >>>
 
KINETICS NET: CRM СИСТЕМЫ
CRM (Customer Relationship Management) - это концепция управления отношениями с клиентами. В терминах управления бизнесом - это система организации работы front-office с ориентировкой на потребности клиента, на проактивную работу с клиентом.>>>
 
СТАТЬИ

Тест антивирусов на лечение активного заражения


Среди общего потока вредоносных программ, не отличающихся изощрённой функциональностью, находятся образцы, в которых используются необычные или даже новаторские технологические приемы по обеспечению работоспособности вредоносной программы в поражённой системе. Это ведёт к значительному усложнению процесса удаления таких вредоносных программ. Результаты теста данного теста позволяют ответить на вопрос: насколько эффективно популярные антивирусы могут помочь в лечении поражённой системы?

Несмотря на тот факт, что активная фаза распространения вредоносных программ, несущих в себе различные техники своего сокрытия в инфицированной системе, датируется 2012-2013 годами и на смену ей пришла волна значительно менее технологичных семейств, за прошедшие два года было отмечено появление ряда интересных с точки зрения лечения вредоносных программ. Появление новых технологических приемов при разработке вредоносных программ, даже на уровне концептуальной реализации, в большинстве случаев сводит к нулю эффективность функций популярных антивирусов в лечении активного заражения. Что обеспечивает устойчивую жизнеспособность вредоносной программы в скомпрометированной системе.

Со временем разработчики антивирусов вносят изменения в свои продукты, позволяющие детектировать активное заражение, тем самым предотвращая его дальнейшее распространение, пишут многочисленные статьи с содержательным анализом особенностей новой вредоносной программы. И на этом обычно дело заканчивается. Однако при этом упускается вопрос – а насколько эффективно справится антивирус с нейтрализации новой вредоносной программой в её активном состоянии? Ибо публикация содержательного анализа работоспособности вредоносной программы – это лишь способность антивируса к эффективному лечению на бумаге, но далеко не всегда на практике. Информационно-аналитический центр Anti-Malware.ru с 2007 года регулярно проводил тестирования на лечение активного заражения, тем самым отслеживая динамику возможностей популярных антивирусов по успешной нейтрализации вредоносных программ, находящихся в активном состоянии. Цель данного теста - проверить персональные версии антивирусов на способность успешно (не нарушая работоспособности операционной систем) обнаруживать и удалять уже проникшие на компьютер вредоносные программы в их активном состоянии на практике.

Подготовка теста

Для проведения тестирования антивирусов на лечение активного заражения 2015 года экспертной группой Anti-Malware.ru были отобраны вредоносные программы по следующим критериям: максимально полное покрытие используемых технологий маскировки, защиты от обнаружения/удаления; степень распространенности (на текущий момент или ранее); детектирование файлов-компонентов вредоносной программы всеми участвующими в тестировании антивирусами; способность противодействовать своему обнаружению/удалению со стороны антивируса и/или восстанавливать свои компоненты в случае их удаления антивирусом; отсутствие целенаправленного противодействия работе любого тестируемого антивируса (удаление файлов, ключей принадлежащих антивирусу, завершение процессов антивируса, блокировка возможности обновления баз антивируса); отсутствие целенаправленного противодействия полноценной работе пользователя на компьютере. При отборе вредоносных программ для теста приоритет отдавался наиболее сложным видам, которые наиболее удовлетворяют приведенным выше критериям. Стоит отметить, что критически важным параметром для отбора вредоносных программ для теста было детектирование их файловых компонентов со стороны всех участвовавших в тесте антивирусов. Если детектирование отсутствовало, то файловые компоненты анонимно (чтобы избежать специальной манипуляции результатами теста) отправлялись производителям. Если производитель в течение месяца не присылал уведомлений о добавлении детектирования и, при этом, вредоносный компонентов не детектировался, то вредоносная программа шла в тест по принципу «как есть» (as is). Все используемые в тесте вредоносные программы были собраны экспертами Anti-Malware.ru во время распространения в Интернет (In The Wild). Исследования проводились на платформе Microsoft Windows 7 x64.

С учётом того, что за последнее время новые с технологической точки зрения вредоносные программы появлялись достаточно редко, для теста были отобраны следующие вредоносные программы: APT (Uroburos, Turla); Cidox (Rovnix, Mayachok, Boigy); Poweliks (Powessere); Backboot (WinNT/Pitou); WMIGhost (HTTBot, Syndicasec); Stoned (Bebloh, Shiptob, Bublik); Pihar (TDL4,TDSS, Alureon, Tidserv); SST (PRAGMA, TDSS, Alureon); Zeroaccess (Sirefef, MAX++).

Проведение теста

В тестировании участвовали следующие антивирусные программы (представленные ниже сборки актуальны на момент начала теста), релизные версии: Avast! Internet Security 2015.10.0.2208 AVG Internet Security 2015.0.5646 Avira Internet Security 14.0.7.468 Eset Smart Security 8.0.304.0 Kaspersky Internet Security 15.0.1.415(b) BitDefender Internet Security 18.20.0.1429 Emsisoft Internet Security 9.0.0.4799 Dr.Web Security Space Pro 10.0.0.12160 Microsoft Security Essentials 4.6.0305.0 McAfee Internet Security 14.0 Norton Security 22.1.0.9 Qihoo 360 Internet Security 5.0.0.5104 TrustPort Internet Security 15.0.0.5420 Panda Internet Security 15.0.4 Trend Micro Titanium Internet Security 8.0.1133

При установке на зараженную машину использовались рекомендуемые производителем настройки по умолчанию и производились все рекомендуемые программой действия (перезагрузка системы, обновление и т.д.): Процесс установки, по возможности, выполнялся с учетом рекомендованных установщиком действий, в том числе обновление продукта и проверка на вредоносные программы. Если установщик не предложил перезагрузиться, то запускается проверка поиска вредоносных программ без перезагрузки системы после инсталляции. В случае неуспеха проверки (вредоносная программа не была обнаружена или была обнаружена, но не удалена), система перезагружалась и снова запускалась проверка поиска вредоносных программ. Если по ходу инсталляции не было произведено обновление, оно выполнялось вручную перед лечением активного заражения. При лечении активного заражения в первую очередь инициировались проверки из профилей проверок в интерфейсе антивируса (quick scan, startup scan etc). В случае неуспеха первой проверки запускалась проверка каталога из контекстного меню, в котором находятся файлы активной вредоносной программы. В случае неуспеха запускалась проверка всей системы. Если в интерфейсе антивируса имеется возможность запустить отдельную проверку на руткиты, она производилась первой на всех образцах, содержащих руткит-компоненту. Если при проверке обнаруживался только один из нескольких компонентов вредоносной программы, то поиск остальных компонентов продолжался после перезагрузки. Если предлагалось несколько вариантов действий, действия выбирались в следующей последовательности по порядку в случае не успешности: «лечить», «удалить», «переименовать», «карантин». Шаги проведения тестирования: Установка на жесткий диск операционной системы и создание полного образа жесткого диска при помощи Acronis True Image. Заражение машины с чистой операционной системы (активация вредоносной программы). Проверка работоспособности вредоносной программы и ее успешной установки в системе. Перезагрузка зараженной системы. Проверка активности вредоносной программы в системе. Установка антивируса и попытка лечения зараженной системы. Фиксируются показания антивируса, оставшиеся ключи автозагрузки вредоносной программы после успешного лечения. В случае не успешности лечения проверяется активность вредоносной программы или ее компонентов. Восстановление образа незараженной операционной системы на диске при помощи Acronis True Image (загрузка с CD). Повторение пунктов 2-8 для всех вредоносных программ и всех антивирусов.

В этом году только 6 из 15 протестированных антивирусов показали достойные результаты по лечению активного заражения, что несколько лучше уровня последних лет. Единственным антивирусом, успешно справившимся с лечением всех образцов из тестового набора, является Kaspersky Internet Security, получивший заслуженную награду Platinum Malware Treatment Award. Награду Gold Malware Treatment Award в этом году не получает ни один из протестированных антивирусов.

Разделяют второе, третье и четвёртое места антивирусы Avast! Internet Security, BitDefender Internet Security и Dr.Web Security Space Pro, нейтрализовавшие шесть предложенных образцов из девяти (67%). Они получают награду Silver Malware Treatment Award. Пятое и шестое места разделили Microsoft Security Essentials и Norton Security, успешно вылечившие четыре образца из девяти (44%) и получившие награду Bronze Malware Treatment Award).

Остальные антивирусы провалили тест. Так AVG Internet Security и Eset Smart Security, сумели нейтрализовать лишь три образца из девяти (33,3%). Далее следуют Qihoo 360 Internet Security 5.0.0.5104 и Trend Micro Titanium Internet Security, успешно вылечившие только два образца из девяти (набрав 22,2%). Среди аутсайдеров теста оказались McAfee Internet Security, Panda Internet Security и Avira Internet Security, которые смогли справиться лишь с одним образцом из девяти (11,1%).

Полностью провалили тест антивирусы Emsisoft Internet Security и TrustPort Internet Security. Они не смогли вылечить ни одного отобранного для теста образца.

Источник: anti-malware.ru



Обсудить на форуме >>>



 
О портале Конфиденциальность Блог Реклама на портале Карта сайта  
Copyright © 2010-2017 Secutity Online и Бизнес-сеть "Kinetics". All rights reserved.