В последнее время все большей популярностью у вирусописателей пользуются руткит-технологии. Причина этого очевидна – возможность скрытия вредоносной программы и ее компонентов от пользователя ПК и антивирусных программ. В Интернете свободно можно найти исходные тексты готовых руткитов, что неизбежно ведет к широкому применению этой технологии в различных троянских или шпионских программах (spyware/adware, keyloggers и т.д.).
Руткит (от англ. root kit, то есть «набор root'а») - это программа для скрытия следов присутствия злоумышленника или вредоносной программы в системе. Использование руткит-технологий позволяет вредоносной программе скрыть следы своей деятельности на компьютере жертвы путём маскировки файлов, процессов а также самого присутствия в системе.
Для обнаружения и удаления подобных вредоносных программ существует множество специализированных программных продуктов – антируткитов. Кроме того, о наличии в своих продуктах функционала по обнаружению активных руткитов заявляют многие антивирусные производители.
Цель данного теста – проверить способность наиболее популярных антивирусов и антируткитов обнаруживать и удалять широко распространенные в сети вредоносные программы (ITW-образцы), использующие руткит-технологии. Дополнительно в тесте была проверена возможность проактивного обнаружения скрывающих свое присутствие в системе программ. Эта проверка проводилась на концептуальных демо-руткитах, демонстрирующих различные возможности по сокрытию в системе.
Тестирование на распространенных ITW-образцах вредоносных программ дает представление о том, насколько хорошо рассматриваемые решения справляются с уже известными руткитами, тестирование на концептах показывает их возможности по обнаружению новых неизвестных руткитов.
Методология проведения теста »
Анализ результатов теста и награды »
Результаты тестирования
 Gold Anti-Rootkit Protection Award Скачать изображение GIF (500х500px) |
Rootkit Unhooker 3.7 (7.5 из 8 баллов) GMER 1.0 (7 из 8 баллов) Kaspersky Anti-Virus 7.0 (6.5 из 8 баллов) Avira Rootkit Detection 1.0 (6.5 из 8 баллов) |
 Silver Anti-Rootkit Protection Award Скачать изображение GIF (500х500px) |
AVG Anti-Rootkit 1.1 (5.5 из 8 баллов) Panda AntiRootkit 1.08 (5.5 из 8 баллов) Sophos Anti-Rootkit 1.3.1 (5.5 из 8 баллов) Dr.Web 4.44 (5 из 8 баллов) Trend Micro RootkitBuster 1.6 (5 из 8 баллов) |
 Bronze Anti-Rootkit Protection Award Скачать изображение GIF (500х500px) |
Symantec Anti-Virus 2008 (4.5 из 8 баллов) F-Secure Anti-Virus 2008 (4 из 8 баллов) McAfee Rootkit Detective 1.1 (3.5 из 8 баллов) |
| Тест провален | BitDefender Antivirus 2008 (3 из 8 баллов) McAfee VirusScan Plus 2008 (1.5 из 8 баллов) Eset Nod32 Anti-Virus 3.0 (1 из 8 баллов) Trend Micro Antivirus plus Antispyware 2008 (1 из 8 баллов) |
В тесте принимали участие 8 антивирусов и 8 специализированных продуктов-антируткитов, отобранных в соответствии с методологией.
Тестируемые антивирусы:
- BitDefender Antivirus 2008
- Dr.Web 4.44
- F-Secure Anti-Virus 2008
- Kaspersky Anti-Virus 7.0
- McAfee VirusScan Plus 200
- Eset Nod32 Anti-Virus 3.0
- Symantec Anti-Virus 2008
- Trend Micro Antivirus plus Antispyware 2008
Тестируемые антируткиты:
- AVG Anti-Rootkit 1.1
- Avira Rootkit Detection 1.00.01.1
- GMER 1.0.13
- McAfee Rootkit Detective 1.1
- Panda AntiRootkit 1.0
- RkU 3.7
- Sophos Anti-Rootkit 1.3
- Trend Micro RootkitBuster 1.6
Тест проведен на шести вредоносных программах, каждая из которых использует свой метод маскировки в системе, и четырех концептуальных руткитах. Набор самплов сформирован в строгом соответствии с определенными требованиями, главным из которых был охват всех используемых методов маскировки в системе.
Отобранные для теста вредоносные программы:
- Trojan-Spy.Win32.Goldun.hn
- Trojan-Proxy.Win32.Wopla.ag
- SpamTool.Win32.Mailbot.bd
- Monitor.Win32.EliteKeylogger.21
- Rootkit.Win32.Agent.ea
- Rootkit.Win32.Podnuha.a
Отобранные для теста концептуальные руткиты:
- Unreal A (v1.0.1.0)
- RkDemo v1.2
- FuTo
- HideToolz
Тест проводился на машине под операционной системой Windows XP SP2 в период с 15 октября по 10 декабря 2007 года в строгом соответствии с определенной методологией, по которой антивирусы и антируткиты были испытаны на обнаружение установленных в системе вредоносных программ с руткит-маскировкой, а также концептуальных руткитов.
Тестирование возможностей обнаружения вредоносных программ, использующих руткит-технологии
В таблицах 1-2 представлены результаты обнаружения вредоносных программ, использующих руткит-технологии, различными антивирусами и специализированными антируткитами.
Напомним, что согласно используемой схеме награждения, 1 балл (или +/+) начислялся если руткит был успешно обнаружен в системе (файл, процесс или перехват функций) и удален.
0.5 балла (или +/-) – если руткит был успешно обнаружен в системе, но удалить его оказалось невозможно.
И, наконец, если руткит не был обнаружен в системе (поставлен минус), то баллов не начислялось вовсе.
Таблица 1: Результаты теста антивирусов/антируткитов на обнаружение вредоносных программ, использующих руткит-технологии (начало)
| Антивирус \ Вредоносная программа |
Trojan-Spy. Win32. Goldun.hn |
Trojan-Proxy. Win32. Wopla.ag |
SpamTool. Win32. Mailbot.bd |
Monitor.Win32. Elite Keylogger.21 |
| BitDefender Antivirus 2008 | +/+ | +/+ | -/- | +/+ |
| Dr.Web 4.44 | +/+ | +/+ | +/+ | -/- |
| F-Secure Anti-Virus 2008 | +/+ | +/- | +/- | +/- |
| Kaspersky Anti-Virus 7.0 | +/+ | +/+ | +/+ | +/+ |
| Eset Nod32 Anti-Virus 3.0 | +/+ | -/- | -/- | -/- |
| McAfee VirusScan Plus 2008 | +/+ | -/- | +/- | -/- |
| Symantec Anti-Virus 2008 | +/+ | +/+ | +/+ | +/+ |
| Trend Micro Antivirus plus Antispyware 2008 | +/+ | -/- | -/- | -/- |
| Антируткит | ||||
| AVG Anti-Rootkit 1.1 | +/+ | +/+ | +/+ | +/+ |
| Avira Rootkit Detection 1.0 | +/+ | +/+ | +/+ | +/+ |
| GMER 1.0.13 | +/- | +/+ | +/+ | +/+ |
| McAfee Rootkit Detective 1.1 | +/+ | +/+ | +/- | +/- |
| Panda AntiRootkit 1.08 | +/+ | +/+ | +/- | +/+ |
| Rootkit Unhooker 3.7.300 | +/+ | +/+ | +/+ | +/+ |
| Sophos Anti-Rootkit 1.3.1 | +/+ | +/+ | +/+ | +/+ |
| TrendMicro RootkitBuster 1.6 | +/+ | +/- | +/+ | +/+ |
Таблица 2: Результаты теста антивирусов/антируткитов на обнаружение вредоносных программ, использующих руткит-технологии (окончание)
| Антивирус \ Вредоносная программа | Rootkit.Win32. Agent.ea |
Rootkit.Win32. Podnuha.a |
Всего баллов |
| BitDefender Antivirus 2008 | -/- | -/- | 3 |
| Dr.Web 4.44 | +/+ | +/+ | 5 |
| F-Secure Anti-Virus 2008 | -/- | -/- | 2.5 |
| Kaspersky Anti-Virus 7.0 | +/- | -/- | 4.5 |
| Eset Nod32 Anti-Virus 3.0 | -/- | -/- | 1 |
| McAfee VirusScan Plus 2008 | -/- | -/- | 1.5 |
| Symantec Anti-Virus 2008 | -/- | -/- | 4 |
| Trend Micro Antivirus plus Antispyware 2008 | -/- | -/- | 1 |
| Антируткит | |||
| AVG Anti-Rootkit 1.1 | -/- | -/- | 4 |
| Avira Rootkit Detection 1.0 | +/+ | -/- | 5 |
| GMER 1.0.13 | +/+ | +/+ | 5.5 |
| McAfee Rootkit Detective 1.1 | -/- | -/- | 3 |
| Panda AntiRootkit 1.08 | +/- | -/- | 4 |
| Rootkit Unhooker 3.7.300 | +/+ | +/- | 5.5 |
| Sophos Anti-Rootkit 1.3.1 | +/- | -/- | 4.5 |
| TrendMicro RootkitBuster 1.6 | +/- | -/- | 4 |
Таким образом, лучшими из антивирусов по обнаружению вредосносных программ, использующих руткит-технологии, являются Dr.Web, Kaspersky Anti-Virus и Symantec Anti-Virus, набравшие от 4 до 5 баллов из 6 возможных.
Среди специализированных антируткитов высокую эффективность показали почти все продукты, кроме McAfee Rootkit Detective. Особенно стоит отметить Rootkit Unhooker и GMER, чей результат 5.5 баллов позволил им стать лучшими в нашем тесте по обнаружению вредоносных программ, использующих руткит-технологии.
Тестирование возможностей проактивного обнаружения руткитов
В таблице 3 представлены результаты проактивного обнаружения антивирусами и антируткитами концептуальных руткитов. Так как концепты не представляют реальной угрозы для пользователей, то оценивалась только возможность их обнаружения (0.5 балла за каждый обнаруженный).
Таблица 3: Результаты теста антивирусов/антируткитов на обнаружение концептуальных руткитов
| Антивирус \ Концептуальный руткит | Unreal A 1.0.1 | RkDemo v1.2 | FuTo | HideToolz | Всего баллов |
| BitDefender Antivirus 2008 | - | - | - | - | 0 |
| Dr.Web 4.44 | - | - | - | - | 0 |
| F-Secure Anti-Virus 2008 | - | + | + | + | 1.5 |
| Kaspersky Anti-Virus 7.0 | + | + | + | + | 2 |
| Eset Nod32 Anti-Virus 3.0 | - | - | - | - | 0 |
| McAfee VirusScan Plus 2008 | - | - | - | - | 0 |
| Symantec Anti-Virus 2008 | + | - | - | - | 0.5 |
| Trend Micro Antivirus plus Antispyware 2008 | - | - | - | - | 0 |
| Антируткит | |
||||
| AVG Anti-Rootkit 1.1 | - | + | + | + | 1.5 |
| Avira Rootkit Detection 1.0 | - | + | + | + | 1.5 |
| GMER 1.0.13 | - | + | + | + | 1.5 |
| McAfee Rootkit Detective 1.1 | - | - | - | + | 0.5 |
| Panda AntiRootkit 1.08 | + | + | - | + | 1.5 |
| Rootkit Unhooker 3.7.300 | + | + | + | + | 2 |
| Sophos Anti-Rootkit 1.3.1 | - | - | + | + | 1 |
| TrendMicro RootkitBuster 1.6 | - | - | + | + | 1 |
Что касается специализированных программ, то все они в той или иной степени имеют возможности для проактивного обнаружения активных руткитов. Лучшими в этой части теста признаны Kaspersky Anti-Virus и Rootkit Unhooker, обнаружившие все представленные концепты руткитов.
Награждение победителей
В таблице 4 представлены итоговые результаты всех участвовавших в тесте продуктов и присужденные им награды.
Таблица 4: Лучшие антивирусы/антируткиты по результатам теста
| Название антивируса/антируткита | Награда | Получено баллов | ||
| Вредоносные программы (6 max) |
Концепты (2 max) |
Всего (max 8) |
||
| Rootkit Unhooker 3.7.300 | Gold Anti-Rootkit Protection Award |
5.5 | 2 | 7.5 |
| GMER 1.0.13 | 5.5 | 1.5 | 7 | |
| Kaspersky Anti-Virus 7.0 | 4.5 | 2 | 6.5 | |
| Avira Rootkit Detection 1.0 | 5 | 1.5 | 6.5 | |
| AVG Anti-Rootkit 1.1 | Silver Anti-Rootkit Protection Award |
4 | 1.5 | 5.5 |
| Panda AntiRootkit 1.08 | 4 | 1.5 | 5.5 | |
| Sophos Anti-Rootkit 1.3.1 | 4.5 | 1 | 5.5 | |
| Dr.Web 4.44 | 5 | 0 | 5 | |
| TrendMicro RootkitBuster 1.6 | 4 | 1 | 5 | |
| Symantec Anti-Virus 2008 | Bronze Anti-Rootkit Protection Award |
4 | 0.5 | 4.5 |
| F-Secure Anti-Virus 2008 | 2.5 | 1.5 | 4 | |
| McAfee Rootkit Detective 1.1 | 3 | 0.5 | 3.5 | |
| BitDefender Antivirus 2008 | Провалили тест | 3 | 0 | 3 |
| McAfee VirusScan Plus 2008 | 1.5 | 0 | 1.5 | |
| Eset Nod32 Anti-Virus 3.0 | 1 | 0 | 1 | |
| Trend Micro Antivirus plus Antispyware 2008 | 1 | 0 | 1 | |
Итак, по результатам тестирования специализированные средства для борьбы с руткитами оказались в целом более эффективны, чем антивирусные продукты. Из антивирусных продуктов хорошие результаты показали только Kaspersky Anti-Virus, Dr.Web, Symantec Anti-Virus и F-Secure Anti-Virus (см. таблицу 5).
Symantec Anti-Virus и F-Secure Anti-Virus были удостоены награды Bronze Anti-Rootkit Protection Award, а остальные продукты (BitDefender Antivirus, McAfee VirusScan Plus, Eset Nod32 Anti-Virus и Trend Micro Antivirus plus Antispyware), к сожалению, провалили тест.
Таблица 5: Лучшие антивирусы по результатам теста
| Название антируткита | Вредоносные программы (6 max) |
Концепты (2 max) |
Всего баллов (max 8) |
| Kaspersky Anti-Virus 7.0 | 4.5 | 2 | 6.5 |
| Dr.Web 4.44 | 5 | 0 | 5 |
| Symantec Anti-Virus 2008 | 4 | 0.5 | 4.5 |
| F-Secure Anti-Virus 2008 | 2.5 | 1.5 | 4 |
| BitDefender Antivirus 2008 | 3 | 0 | 3 |
| McAfee VirusScan Plus 2008 | 1.5 | 0 | 1.5 |
| Eset Nod32 Anti-Virus 3.0 | 1 | 0 | 1 |
| Trend Micro Antivirus plus Antispyware 2008 | 1 | 0 | 1 |
Обладателями награды Silver Anti-Rootkit Protection Award стали целых четыре антируткита: AVG Anti-Rootkit, Panda AntiRootkit, Sophos Anti-Rootkit и Trend Micro RootkitBuster. При этом первые три – AVG, Panda и Sophos – набрали по 5.5. баллов, а продукт TrendMicro – 5 из 8 возможных.
И, наконец, McAfee Rootkit Detective, набравший 3,5 балла, заслужил награду Bronze Anti-Rootkit Protection Award.
Таким образом, все тестируемые специализированные антируткиты неплохо показали себя в тесте и оправдали свое назначение. Провалившах тест антируткитов не оказалось.
Таблица 6: Лучшие антируткиты по результатам теста
|
Название антируткита
|
Вредоносные программы
(6 max) |
Концепты
(2 max) |
Всего баллов
(max 8) |
| Rootkit Unhooker 3.7.300 | 5.5 | 2 | 7.5 |
| GMER 1.0.13 | 5.5 | 1.5 | 7 |
| Avira Rootkit Detection 1.0 | 5 | 1.5 | 6.5 |
| AVG Anti-Rootkit 1.1 | 4 | 1.5 | 5.5 |
| Panda AntiRootkit 1.08 | 4 | 1.5 | 5.5 |
| Sophos Anti-Rootkit 1.3.1 | 4.5 | 1 | 5.5 |
| TrendMicro RootkitBuster 1.6 | 4 | 1 | 5 |
| McAfee Rootkit Detective 1.1 | 3 | 0.5 | 3.5 |
Чтобы ознакомиться подробными результатами данного теста и убедиться в правильности итоговых расчетов, рекомендуем Вам скачать результаты этого теста в формате Microsoft Excel или PDF.
Авторы:
Василий Бердников (vaber)
Сергей Ильин
Если вы являетесь производителем и хотели бы видеть свой продукт в списке протестированных по данной методологии или обновить его результаты, не дожидаясь нового планового теста, вы можете воспользоваться