Методология теста антируткитов на детектирование и лечение вредоносных программ

Выбор вредоносных программ для теста антируткитов

Для проведения данного тестирования антируткитов
экспертной группой Anti-Malware.ru были отобраны 9 вредоносных программ
по следующим критериям:

1. Вредоносная программа должна скрывать свое присутствии в системе по руткит-технологии.
2. Отобранные образцы должны использовать различные способы своего скрытия.
3. Все образцы должны максимально полно отображать существующие технологии скрытия, используемые вирусописателями.
4. Используемые вредоносные программы были собраны во время распространения в Интернет, ITW-образцы (In The Wild).

Все используемые в тесте образцы являются достаточно распространенными ITW-образцами (http://z-oleg.com/secur/virstat/index.php), многократно были обнаружены в ходе очистки ПК (http://virusinfo.info/forumdisplay.php?f=46) и неизбежно вызывали проблемы у пользователей со своим обнаружением и удалением.

Таким образом, для теста были отобраны следующие
вредоносные программы по классификации Лаборатории Касперского
(альтернативные названия по классификации других вендоров можно
посмотреть в полном отчете о тесте):

1. Backdoor.Win32.Haxdoor.fd
2. Backdoor.Win32.Padodor.ax
3. Monitor.Win32.EliteKeylogger.21
4. Monitor.Win32.SpyLantern.530
5. Trojan-Clicker.Win32.Costrat.af
6. Trojan-Proxy.Win32.Agent.lb
7. Trojan-Spy.Win32.Goldun.np
8. Trojan.Win32.DNSChanger.ih
9. Worm.Win32.Feebs.gt

Каждый отобранный экземпляр вредоносной программы проверялся на работоспособность и установку на тестовой системе.

Список отобранных для теста вредоносные программ до
оглашения результатов держался в тайне и не сообщался никому из
вредставителей вендоров, чьи антируткиты принимали в нем участие.

Проведение теста антируткитов

Тест проводился на специально подготовленном стенде под
управлением VMware Workstation версии 5.5.3. Для каждого экземпляра
вредоносной программы клонировалась «чистая» виртуальная машина с
операционной системой Microsoft Windows XP SP2.

В тестировании участвовали следующие антируткит-программы:

1. Antivir Rootkit 1.0.1.12 Beta3
2. AVG Antirootkit 1.1.0.29 Beta
3. AVZ 4.23 *
4. BitDefender Antirootkit Beta2
5. F-Secure BlackLight 2.2.1055 Beta
6. Gmer 1.0.12.12027
7. McAfee Rootkit Detective 1.0.0.41 Beta
8. Rootkit Unhooker 3.20.130.388
9. Sophos Anti-Rootkit 1.2.2
10. Trend Micro RootkitBuster 1.6.0.1055 Beta
11. UnHackMe 4.0

* AVZ не является полноценной антируткит-программой и представляет собой утилиту для комплексного исследования системы.

Требование, предъявляемое к антируткитам – наличие
функционала не только обнаружения присутствия руткита в системе, но и
его обезвреживания (удаление/переименование файлов,
удаление/переименование ключей/разделов реестра).

Шаги проведения тестирования:

1. Заражение (активация) вредоносной программой виртуальной машины;
2. Проверка работоспособности вируса и его успешной установки в системе;
3. Многократная перезагрузка зараженной системы;
4. Установка (запуск) тестируемой антируткит-программы и очистка системы;
5. Фиксирование оставшихся файлов и ключей автозапуска.

Для каждого отобранного семпла вредоносной программы
выделялась своя чистая виртуальная машина – шаг 1. После запуска
(установки) какой-либо антируткит-программы и лечения заражения, машина
откатывалась в первоначальное состояние – шаг 3.