Криминальный бизнес в сети все активнее набирает обороты. Растут как темпы появления новых видов и модификаций вредоносных программ, так и их сложность. При их создании используются все более изощренные методы: технологии сокрытия своего присутствия в системе, упаковка, шифрование, а также нарушение работоспособности систем защиты.
Используя методы социальной инженерии, можно без труда добиться от пользователя загрузки и запуска неизвестной для антивируса вредоносной программы. В этом случае для получения полного и длительного контроля над системой вредонос будет целенаправленно искать антивирус, файервол или другую систему защиты, чтобы нарушить ее работу.
В таких условиях современные антивирусные продукты должны уметь надежно себя защищать, т.е. обладать самозащитой. Это позволит им выстоять в случае наиболее сложных атак, когда вредоносные программы пытаются различными методами нарушить их работу, и удалить инфекцию штатными средствами после очередного обновления антивирусных баз.
В данном тесте изучались возможности самозащиты антивирусов от возможных атак под операционной системой Windows XP SP2 с правами локального администратора на следующих уровнях:
- Изменение разрешений на доступ к файлам и ключам реестра.
- Модификация/удаление модулей.
- Удаление антивирусных баз.
- Модификация/удаление значимых ключей реестра.
- Завершение процессов.
- Модификация процессов/кода.
- Выгрузка драйверов.
Методология проведения теста »
Анализ результатов теста самозащиты и награды »
 Gold Self-Protection Award Скачать изображение GIF (500х500px) |
Kaspersky Internet Security 7.0 (97%) |
 Silver Self-Protection Award Скачать изображение GIF (500х500px) |
VBA32 Antivirus 3.11 (71%) Symantec Internet Security 2007 (71%) F-Secure Internet Security 2007 (61%) |
 Bronze Self-Protection Award Скачать изображение GIF (500х500px) |
ZoneAlarm Internet Security 7.0 (58%) Panda Internet Security 2007 (48%) McAfee Internet Security 2007 (47%) Eset Smart Security 3.0 Beta (44%) Trend Micro PC-Cillin 2007 (42%) |
| Тест провален |
Avast! Professional Edition 4.7 (33%) |
В тестировании принимали участие 15 наиболее популярных антивирусных программ, среди которых:
- Avast! Professional Edition 4.7
- Avira Premium Security Suite 7.0
- BitDefender Internet Security 10
- DrWeb 4.44 Beta
- Eset Smart Security 3.0 Beta
- F-Secure Internet Security 2007
- Kaspersky Internet Security 7.0
- McAfee Internet Security 2007
- Microsoft Windows Live OneCare 1.6
- Panda Internet Security 2007
- Sophos Anti-Virus 6.5
- Symantec Internet Security 2007
- Trend Micro PC-Cillin 2007
- VBA32 Antivirus 3.11
- ZoneAlarm Internet Security 7.0
Тест самозащиты антивирусов проводился под операционной системой Windows XP SP2 с правами локального администратора по следующим группам атак:
- Изменение разрешений на доступ к файлам и ключам реестра.
- Модификация/удаление модулей.
- Удаление антивирусных баз.
- Модификация/удаление значимых ключей реестра.
- Завершение процессов.
- Модификация процессов/кода.
- Выгрузка драйверов.
Проверка самозащиты антивирусов по каждому из 33 параметров проводилась четко в соответствии с определенной методологией тестирования.
Таблица 1: Итоговые результаты теста самозащиты антивирусов и полученные награды
| Антивирус | Награда | Всего баллов (максимум 33) |
% от макс. возможного |
| Kaspersky Internet Security 7.0 | Gold Self-Protection Award |
32 | 97% |
| VBA32 Antivirus 3.11 | Silver Self-Protection Award |
23.5 | 71% |
| Symantec Internet Security 2007 | 23.5 | 71% | |
| F-Secure Internet Security 2007 | 20 | 61% | |
| ZoneAlarm Internet Security 7.0 | Bronze Self-Protection Award |
19 | 58% |
| Panda Internet Security 2007 | 16 | 48% | |
| McAfee Internet Security 2007 | 15.5 | 47% | |
| Eset Smart Security 3.0 Beta | 14.5 | 44% | |
| Trend Micro PC-Cillin 2007 | 14 | 42% | |
| Avast! Professional Edition 4.7 | Тест провален | 11 | 33% |
| Avira Premium Security Suite 7.0 | 11 | 33% | |
| Sophos Anti-Virus 6.5 | 11 | 33% | |
| DrWeb 4.44 Beta | 10.5 | 32% | |
| Microsoft Windows Live OneCare 1.6 | 10.5 | 32% | |
| BitDefender Internet Security 10 | 10 | 30% |
Напомним, что согласно используемой схеме награждения, 1 балл (+) начислялся, если по одному из параметров (виду атаки) самозащита продукта сработала полностью успешно.
0.5 балла (или +/-) - если самозащита по данному параметру частично отсутствует, но основной функционал при этом сохранился (автоматически восстановился).
И, наконец, в случае полного отсутствия самозащиты и деактивации основного функционала антивирусу не начислялось баллов вовсе.
Как видно из таблицы 1, абсолютным лидером в самозащите является Kaspersky Internet Security 7.0, получивший награду Gold Self-Protection Award. Этот антивирус отразил 97% атак, набрав 32 из 33 баллов, и недобрав до награды Platinum Self-Protection Award всего 1% (см. aнализ результатов теста и награды).
Очень высокие результаты в самозащите продемонстрировала тройка VBA32 Antivirus 3.11, Symantec Internet Security 2007, F-Secure Internet Security 2007, которые с результатами от 61 до 71% получили награду Silver Self-Protection Award.
Еще 5 продуктов: ZoneAlarm Internet Security 7.0, Panda Internet Security 2007, McAfee Internet Security 2007, Eset Smart Security 3.0 и Trend Micro PC-Cillin 2007 показали удовлетворительный результат и получили награду Bronze Self-Protection Award.
Стоит отметить продукт ZoneAlarm Internet Security, который, пропустив полностью всего 4 атаки, недобрал много баллов по вине незащищенного антиспама от MailFrontier, который убивался почти в 100% случаях.
Все остальные антивирусы, к сожалению, провалил тест, набрав меньше 40% от максимально возможного количества баллов.
В таблице 2 представлен расчет количества баллов для каждого антивирусного продукта по числу отраженных и пропущенных его самозащитой атак в ходе теста.
Таблица 2: Количество успешно отраженных и пропущенных атак, суммарный расчет баллов
| Антивирус | Кол-во отраженных атак | Количество пропущенных атак, отсутствие самозащиты (0 баллов) 3 |
Всего баллов (макс. 33) |
|
| Количество полностью отраженных атак (1 балл) 1 |
Количество частично отраженных атак (0.5 балла) 2 |
|||
| Kaspersky Internet Security 7.0 | 31 | 2 | 0 | 32 |
| VBA32 Antivirus 3.11 | 23 | 1 | 9 | 23.5 |
| Symantec Internet Security 2007 | 19 | 9 | 5 | 23.5 |
| F-Secure Internet Security 2007 | 16 | 8 | 9 | 20 |
| ZoneAlarm Internet Security 7.0 | 9 | 20 | 4 | 19 |
| Panda Internet Security 2007 | 11 | 10 | 12 | 16 |
| McAfee Internet Security 2007 | 6 | 19 | 8 | 15.5 |
| Eset Smart Security 3.0 | 7 | 15 | 11 | 14.5 |
| Trend Micro PC-Cillin 2007 | 7 | 14 | 12 | 14 |
| Avast! Professional Edition 4.7 | 8 | 6 | 19 | 11 |
| Avira Premium Security Suite 7.0 | 4 | 14 | 15 | 11 |
| Sophos Anti-Virus 6.5 | 6 | 10 | 17 | 11 |
| DrWeb 4.44 Beta | 6 | 9 | 18 | 10.5 |
| Microsoft Windows Live OneCare 1.6 | 3 | 15 | 15 | 10.5 |
| BitDefender Internet Security 10 | 4 | 12 | 17 | 10 |
- Самозащита продукта сработала полностью успешно.
- Самозащита от этого вида атаки частично отсутствует, но основной функционал при этом сохранился (автоматически восстановился).
- Самозащита от этого вида атаки полностью отсутствует или есть, но основной функционал выведен из строя.
В качестве дополнения представим отдельные результаты тестирования самозащиты антивирусов по отдельным группам атак.
Таблица 3: Итоговые результаты тестирования (системный уровень)
| Антивирус | Сумма баллов (max 7) |
Оценка результатов |
| Kaspersky Internet Security 7.0 | 6 | Хорошо |
| Symantec Internet Security 2007 | 4 | Удовл. |
| ZoneAlarm Internet Security 7.0 | 3.5 | |
| Trend Micro PC-Cillin 2007 | 2 | Тест провален |
| Panda Internet Security 2007 | 1 | |
| Avast! Professional Edition 4.7 | 0 | |
| Avira Premium Security Suite 7.0 | 0 | |
| BitDefender Internet Security 10 | 0 | |
| DrWeb 4.44 Beta | 0 | |
| Eset Smart Security 3.0 | 0 | |
| F-Secure Internet Security 2007 | 0 | |
| McAfee Internet Security 2007 | 0 | |
| Microsoft Windows Live OneCare 1.6 | 0 | |
| Sophos Anti-Virus 6.5 | 0 | |
| VBA32 Antivirus 3.11 | 0 |
Таблица 4: Итоговые результаты тестирования (завершение процессов)
| Антивирус | Сумма баллов (max 15) |
Оценка результатов |
| Kaspersky Internet Security 7.0 | 15 | Отлично |
| F-Secure Internet Security 2007 | 13 | |
| VBA32 Antivirus 3.11 | 12.5 | |
| Symantec Internet Security 2007 | 11 | Хорошо |
| Panda Internet Security 2007 | 10 | |
| McAfee Internet Security 2007 | 8 | |
| Eset Smart Security 3.0 | 7.5 | Удовл. |
| ZoneAlarm Internet Security 7.0 | 7.5 | |
| Avast! Professional Edition 4.7 | 5.5 | Тест провален |
| Microsoft Windows Live OneCare 1.6 | 5.5 | |
| Trend Micro PC-Cillin 2007 | 5.5 | |
| Avira Premium Security Suite 7.0 | 5 | |
| BitDefender Internet Security 10 | 5 | |
| DrWeb 4.44 Beta | 5 | |
| Sophos Anti-Virus 6.5 | 4.5 |
Таблица 5: Итоговые результаты тестирования (модификация процессов)
| Антивирус | Сумма баллов (max 9) |
Оценка результатов |
| Kaspersky Internet Security 7.0 | 9 | Отлично |
| VBA32 Antivirus 3.11 | 9 | |
| Symantec Internet Security 2007 | 7.5 | |
| McAfee Internet Security 2007 | 6 | Хорошо |
| ZoneAlarm Internet Security 7.0 | 6 | |
| Eset Smart Security 3.0 | 5.5 | Удовл. |
| Avira Premium Security Suite 7.0 | 5 | |
| F-Secure Internet Security 2007 | 5 | |
| Trend Micro PC-Cillin 2007 | 5 | |
| Sophos Anti-Virus 6.5 | 4.5 | |
| Avast! Professional Edition 4.7 | 3.5 | Тест провален |
| BitDefender Internet Security 10 | 3.5 | |
| DrWeb 4.44 Beta | 3.5 | |
| Microsoft Windows Live OneCare 1.6 | 3.5 | |
| Panda Internet Security 2007 | 3.5 |
Таблица 6: Итоговые результаты тестирования (защита драйверов)
| Антивирус | Сумма баллов (max 2) |
Оценка результатов |
| ZoneAlarm Internet Security | 2 | Отлично |
| VBA32 Antivirus 3.11 | 2 | |
| Sophos Anti-Virus 6.5 | 2 | |
| Kaspersky Internet Security 7.0 | 2 | |
| F-Secure Internet Security 2007 | 2 | |
| DrWeb 4.44 Beta | 2 | |
| Avast! Professional Edition 4.7 | 2 | |
| Trend Micro PC-Cillin 2007 | 1.5 | Хорошо |
| Panda Internet Security 2007 | 1.5 | |
| Microsoft Windows Live OneCare 1.6 | 1.5 | |
| McAfee Internet Security 2007 | 1.5 | |
| Eset Smart Security 3.0 | 1.5 | |
| BitDefender Internet Security 10 | 1.5 | |
| Symantec Internet Security 2007 | 1 | Удовл. |
| Avira Premium Security Suite 7.0 | 1 |
Как видно из таблиц 3-6, наиболее ровные результаты самозащиты показаны антивирусами в защите драйверов, а также модификации процессов (его провалили только 5 антивирусов).
Подводя итоги теста, можно констатировать, что только 4 антивирусных продукта (Kaspersky Internet Security 7.0, VBA32 Antivirus 3.11, Symantec Internet Security 2007, F-Secure Internet Security 2007) снабжены необходимой на сегодняшний день самозащитой.
Из них действительно надежно противостоять атакам может только Kaspersky Internet Security 7.0, набравший 97% возможных баллов и получивший награду Gold Self-Protection Award.
Антивирусы Avast! Professional Edition 4.7, Avira Premium Security Suite 7.0, Sophos Anti-Virus 6.0, DrWeb 4.44, Microsoft Windows Live OneCare 1.6 и BitDefender Internet Security 10 провалили тест и практически неспособны противостоять возможным атакам со стороны вредоносных программ.
Чтобы ознакомиться подробными результатами теста самозащиты конкретного антивируса и убедиться в правильности итоговых расчетов, рекомендуем Вам скачать результаты этого теста в формате Microsoft Excel или PDF.
Авторы:
Сергей Ильин
Если вы являетесь производителем и хотели бы видеть свой продукт в списке протестированных по данной методологии или обновить его результаты, не дожидаясь нового планового теста, вы можете воспользоваться