Для обнаружения и удаления подобных вредоносных программ существует множество специализированных программных продуктов – антируткитов.
Цель данного теста – проверить способность наиболее популярных антивирусов и антируткитов обнаруживать и удалять широко распространенные в сети вредоносные программы (ITW-образцы), использующие руткит-технологии.
Данное тестирование на распространенных ITW-образцах вредоносных программ дает представление о том, насколько хорошо рассматриваемые решения справляются с уже известными руткитами.
| Отлично 9 из 9 |
Antivir Rootkit 1.0 Beta3 AVG Antirootkit 1.1 Beta Trend Micro RootkitBuster 1.6 Beta |
| Хорошо 8 из 9 |
McAfee Rootkit Detective 1.0 Beta Rootkit Unhooker 3.2 F-Secure BlackLight 2.2 Beta Sophos Anti-Rootkit 1.2 AVZ 4.23 |
| Слабые результаты: | Gmer 1.0 (6 из 9) Bitdefender Antirootkit 1.2 Beta2 (6 из 9) UnHackMe 4.0 (2 из 9) |
В тесте принимали участие 11 специализированных продуктов, предназначенных для детектирования и удаление программ, скрывающих свое присутствии в системе (руткитов), среди них:
- Antivir Rootkit 1.0.1.12 Beta3
- AVG Antirootkit 1.1.0.29 Beta
- Trend Micro RootkitBuster 1.6.0.1055 Beta
- McAfee Rootkit Detective 1.0.0.41 Beta
- Rootkit Unhooker 3.20.130.388
- F-Secure BlackLight 2.2.1055 Beta
- Sophos Anti-Rootkit 1.2.2
- AVZ 4.23
- Gmer 1.0.12.12027
- Bitdefender Antirootkit 1.2.0.0 Beta2
- UnHackMe 4.0
Тест проводился на следующих вредоносных программах, которые были выбраны в соответствии с определенными требованиями:
- Backdoor.Win32.Haxdoor.fd
- Backdoor.Win32.Padodor.ax
- Monitor.Win32.EliteKeylogger.21
- Monitor.Win32.SpyLantern.530
- Trojan-Clicker.Win32.Costrat.af
- Trojan-Proxy.Win32.Agent.lb
- Trojan-Spy.Win32.Goldun.np
- Trojan.Win32.DNSChanger.ih
- Worm.Win32.Feebs.gt
Названия вредоносных программ указаны по классификации Лаборатории Касперского, альтернативные имена по классификации других вендоров можно посмотреть в подробном отчете о тестировании.
Проверка возможности антируткитов по детектированию и лечению вредоносных программ проводилась четко в соответствии с определенной методологией.
Таблица 1: Результаты детектирования и лечения вредоносных программ различными антируткитами
| Название антируткита | Успешно детектировано и удалено | Не обнаружено руткита или лечение невозможно | |
| Удалено полностью | Остались следы заражения * | ||
| Antivir Rootkit 1.0.1.12 Beta3 | 7 | 2 | 0 |
| AVG Antirootkit 1.1.0.29 Beta | 6 | 3 | 0 |
| AVZ 4.23 ** | 4 | 4 | 1 |
| Bitdefender Antirootkit 1.2.0.0 Beta2 | 1 | 5 | 3 |
| F-Secure BlackLight 2.2.1055 Beta | 6 | 2 | 1 |
| Gmer 1.0.12.12027 | 1 | 5 | 3 |
| McAfee Rootkit Detective 1.0.0.41 Beta | 7 | 1 | 1 |
| Rootkit Unhooker 3.20.130.388 | 7 | 1 | 1 |
| Sophos Anti-Rootkit 1.2.2 | 6 | 2 | 1 |
| Trend Micro RootkitBuster 1.6.0.1055 Beta | 5 | 4 | 0 |
| UnHackMe 4.0 | 0 | 2 | 7 |
* - вредоносная программа успешно детектирована и удалена, но остались незначительные следы ее пребывания в системе
** AVZ является утилитой для исследования системы с возможностью обнаруживать и удалять вредоносные программы (не полноценный антивирус). В тесте она использовалась как антивирусный сканер.
Таблица 2: Итоговые результаты тестирования антируткитов
| Отлично 9 из 9 |
Antivir Rootkit 1.0 Beta3 AVG Antirootkit 1.1 Beta Trend Micro RootkitBuster 1.6 Beta |
| Хорошо 8 из 9 |
McAfee Rootkit Detective 1.0 Beta Rootkit Unhooker 3.2 F-Secure BlackLight 2.2 Beta Sophos Anti-Rootkit 1.2 AVZ 4.23 |
| Слабые результаты: | Gmer 1.0 (6 из 9) Bitdefender Antirootkit 1.2 Beta2 (6 из 9) UnHackMe 4.0 (2 из 9) |
Таблица 3: Итоговые результаты тестирования антируткитов (только релизы)
| Хорошо 8 из 9 |
Rootkit Unhooker 3.2 Sophos Anti-Rootkit 1.2 AVZ 4.23 |
| Слабые результаты: | Gmer 1.0 (6 из 9) UnHackMe 4.0 (2 из 9) |
Почти все тестируемые антируткит-программы, кроме Gmer, Bitdefender Antirootkit и UnHackMe, показали отличные или хорошие результаты и могут успешно применяться для обнаружения и обезвреживания вредоносных программ, использующих руткит-технологии скрытия своего присутствия в системе.
Стоит отметить, что у некоторых антируткитов наблюдались проблемы с удалением (переименованием) обнаруженных файлов, а также защитой своего процесса. Прежде всего это связано с тем, что вирусописатели помимо собственно руткит-технологий добавляют во вредоносные программы и другие методы защиты. Например, Worm.Win32.Feebs.gt создает скрытый процесс-приманку. При попытке открытия такого процесса антируткитом червь завершает его процесс. Также широко используется и открытие файлов вредоносной программы с монопольным доступом.
Лучшими же по результатам теста оказались три продукта: Antivir Rootkit, AVG Antirootkit, Trend Micro RootkitBuster, которые еще находятся в стадии бета-тестирования. Если рассматривать только вышедшие в релиз продукты, то в этом случае лучшими будут Rootkit Unhooker, Sophos Anti-Rootkit и AVZ.
Чтобы ознакомиться подробными результатами данного теста по лечению конкретного вируса и убедиться в правильности итоговых расчетов, рекомендуем Вам скачать результаты этого теста в формате Microsoft Excel.
Авторы:
Василий Бердников (vaber)
Сергей Ильин
Если вы являетесь производителем и хотели бы видеть свой продукт в списке протестированных по данной методологии или обновить его результаты, не дожидаясь нового планового теста, вы можете воспользоваться