Методология проведения теста антивирусов и антируткитов на обнаружение и удаление современных руткитов

Тест проводился на специально подготовленном стенде под управлением VMware Workstation версии 5.5.3. Для каждого экземпляра вредоносной программы клонировалась «чистая» виртуальная машина с операционной системой Microsoft Windows XP SP2 со всеми обновлениями на момент проведения теста.

В тестировании участвовали следующие антивирусы:
BitDefender Antivirus 2008
Dr.Web 4.44
F-Secure Anti-Virus 2008
Kaspersky Anti-Virus 7.0
McAfee VirusScan Plus 200
Eset Nod32 Anti-Virus 3.0
Symantec Anti-Virus 2008
Trend Micro Antivirus plus Antispyware 2008

А также следующие антируткиты:
AVG Anti-Rootkit 1.1
Avira Rootkit Detection 1.00.01.1
GMER 1.0.13
McAfee Rootkit Detective 1.1
Panda AntiRootkit version 1.0
Rootkit Unhooker 3.7
Sophos Anti-Rootkit 1.3
TrendMicro RootkitBuster 1.6

При отборе антируткитов для тестирования учитывалось наличие функционала не только для обнаружения присутствия руткита в системе, но и его обезвреживания (удаление/переименование файлов, удаление/переименование ключей/разделов реестра).

Руткит считался обнаруженным, если защитная программа находила его файлы, ключи реестра, процессы или следы присутствия в системе (перехваты функций API). Руткит считался обезвреженным в случае, если его активность в системе была полностью пресечена защитной программой.

Шаги проведения тестирования на вредоносных программах:
Заражение (активация) вредоносной программой виртуальной машины;
Проверка работоспособности вредоносной программы и его успешной установки в системе;
Многократная перезагрузка зараженной системы;
Установка (запуск) тестируемой антивируса/антируткита и очистка системы;
Проверка активности руткита после лечения системы антивирусом/антируткитом.

Для каждого отобранного образца вредоносной программы выделялась своя чистая виртуальная машина – шаг 1. После запуска (установки) какой-либо антируткит-программы и лечения заражения, машина откатывалась в первоначальное состояние – шаг 3.

Шаги проведение тестирования с концептами:
Установка антивируса или антируткита и перезагрузка системы.
Запуск концепта, выбор объекта для маскировки если нужно. В случае если антивирус или антируткит оснащен HIPS-модулем, то выбиралось разрешающее действие для установки руткита в систему или произведению необходимых для маскировки действий.
Сканирование системы предмет обнаружения руткитов.
Фиксирование результата работы (только обнаружения скрытого процесса и/или файла).

Для каждого антивируса или антируткита выделялась своя чистая виртуальная машина – шаг 1. После установки какого-либо концепта и сканирования, машина откатывалась в первоначальное состояние.

Тестирование возможностей обнаружения вредоносных программ, использующих руткит-технологии

В таблицах 1-2 представлены результаты обнаружения вредоносных программ, использующих руткит-технологии, различными антивирусами и специализированными антируткитами.

Напомним, что согласно используемой схеме награждения, 1 балл (или +/+) начислялся если руткит был успешно обнаружен в системе (файл, процесс или перехват функций) и удален.

0.5 балла (или +/-) – если руткит был успешно обаружен в системе, но удалить его оказалось невозможно.

И, наконец, если руткит не был обнаружен в системе (поставлен минус), то баллов не начислалось вовсе.

KIS 8.0 включаю, если начинаю играть с вирусами, т.к. там проактивка и т.д. - т.е. 99.8% надежности

а 8ая версия пока что сырая, т.к. бета