Газета InfoSecurity

Последний номер

Архив номеров

На главную 

   
Число
подписчиков


 Рассылка 'Информационная Безопасность: Проблемы, Методы, Решения'
 Сетевая газета InfoSecurity.ru  

Результаты теста антируткитов на обнаружение и удаление современных руткитов (Anti-Malware, апрель 2010)


  В последнее время все большей популярностью у вирусописателей пользуются руткит-технологии. Причина этого очевидна – возможность скрытия вредоносной программы и ее компонентов от пользователя ПК и антивирусных программ. В Интернете свободно можно найти исходные тексты готовых руткитов, что неизбежно ведет к широкому применению этой технологии в различных троянских или шпионских программах (spyware/adware, keyloggers и т.д.).

  Руткит (от англ. root kit, то есть «набор root'а») - это программа для скрытия следов присутствия злоумышленника или вредоносной программы в системе. Использование руткит-технологий позволяет вредоносной программе скрыть следы своей деятельности на компьютере жертвы путём маскировки файлов, процессов, а также самого присутствия в системе.

  Для обнаружения и удаления подобных вредоносных программ существует множество специализированных программных продуктов – антируткитов.

  Цель данного теста – проверить способность наиболее известных антируткитов обнаруживать и удалять широко распространенные в сети вредоносные программы (ITW-образцы), использующие руткит-технологии.

  Тестирование на распространенных ITW-образцах вредоносных программ дает представление о том, насколько хорошо рассматриваемые решения справляются с уже известными руткитами.

  Краткое содержание:


  Основные результаты тестирования:

Введение

  В тесте принимали участие 12 специализированных продуктов-антируткитов, отобранных в соответствии с методологией:

  • Eset SysInspector 1.2.012.0
  • GMER 1.0.15.15281
  • KernelDetective 1.3.1
  • Online Solutions Autorun Manager 5.0.11922.0
  • Panda Anti-Rootkit 1.0.8.0
  • Sophos Anti-Rootkit 1.5.0
  • SysReveal 1.0.0.27
  • Rootkit Unhooker 3.8.386.589
  • RootRepeal 1.3.5
  • Trend Micro RootkitBuster 2.80
  • VBA32 Antirootkit 3.12 (beta)
  • XueTr 1.0.2.0

  Тест проведен на 12 вредоносных программах, каждая из которых использует свой метод маскировки в системе. Набор самплов сформирован в строгом соответствии с определенными требованиями, главным из которых был охват всех используемых методов маскировки в системе.

  Отобранные для теста вредоносные программы:

  • TDL (TDSS, Alureon, Tidserv)
  • Sinowal (Mebroot)
  • Pandex (Rootkit.Protector, Cutwail)
  • Rootkit.Podnuha (Boaxxe)
  • Rustock (NewRest)
  • Srizbi
  • Synsenddrv (Rootkit.Pakes, BlackEnergy)
  • TDL2 (TDSS, Alureon, Tidserv)
  • Max++ (Zero Access)
  • Virus.Protector (Kobcka, Neprodoor)
  • TDL3 (TDSS, Alureon, Tidserv)
  • z00clicker

  Тест проводился на машине под операционной системой Windows XP SP3 со всеми установленными обновлениями в период с 5 марта по 20 марта 2010 года в строгом соответствии с определенной методологией.


Тестирование возможностей обнаружения вредоносных программ, использующих руткит-технологии

  В таблицах 1-2 представлены результаты обнаружения вредоносных программ, использующих руткит-технологии, специализированными антируткитами.

  Напомним, что согласно используемой схеме награждения, за каждый положительный результат (+, +/+, +/- или -/+ в таблице) начислялось 0,5 балла.

  Из таблицы 1 хорошо видно, очень большие сложности у протестированных продуктов возникли с буткитом Sinowal (Mebroot). Обнаружили его только четыре из протестированных антируткитов, а восстановить MBR смог только один RootRepeal. Наиболее беспомощным на этом сете из трех руткитов оказался Panda Anti-Rootkit, который не набрал ни одного балла.

  Из таблицы 2 напрашиваются несколько выводов. Первый из них в практически полной «неубиваемости» руткита Rustock (NewRest), который смог обезвредить только Online Solutions Autorun Manager (OSAM). В целом с обнаружением этого сета руткитов особых проблем не возникло, за исключением аутсайдеров Panda Anti-Rootkit и Trend Micro RootkitBuster, которые набрали всего по 0,5 балла за обнаружение Srizbi.

  Synsenddrv (Rootkit.Pakes, BlackEnergy) оказался наиболее простым для обнаружения и удаления из всего набора отобранных вредоносных программ – его обнаружили все протестированные антируткиты, а не обезвредили только Eset SysInspector и SysReveal. Наибольшие затруднения из этого сета вызвал Max++ (ZeroAcess), который обнаружили только четыре продукта (еще два смогли скопировать зараженный драйвер).

  Как видно из таблицы 4, именно с этим сетом руткитов у испытуемых продуктов возникли самые большие проблемы, особенно на TDL3 (TDSS, Alureon, Tidserv) и z00clicker. Заметно лучше других здесь себя проявили GMER и VBA32 Antirootkit, остальные потеряли очень много баллов. Eset SysInspector, Trend Micro RootkitBuster и Panda Anti-Rootkit не обнаружили ничего из этого сета.


Итоговые результаты теста и награды

  Суммируя все данные, представленные в таблицах 1-4, мы получаем итоговые результаты эффективности протестированных антируткитов (из расчета максимальных 12 баллов), см. рисунок 1 и таблицу 5.

  Лучшими антируткитами по результатам теста признаны GMER и VBA32 Antirootkit, которые по праву получают награду Gold Anti-Rootkit Protection Award. Их превосходство над остальными хорошо видно на последних трех образцах руткитов в таблице 4.

  Очень хорошие результаты показали RootRepeal, Online Solutions Autorun Manager (OSAM), XueTr и Rootkit Unhooker (к сожалению, последний аткивно не развивается и сложил с себя лидерство по результат наших тестов). Это продукты получают награду Silver Anti-Rootkit Protection Award.

  Удовлетворительные результаты показали SysReveal, KernelDetective и Sophos Anti-Rootkit, получившие награду Bronze Anti-Rootkit Protection Award. Если последний продукт компании Sophos активно не развивается, то первые два могут имеют шансы улучшить свои результаты в будущих тестах.

Источник: Anti-Malware.ru  


      Рейтинг@Mail.ru       Rambler's Top100 Rambler's Top100