1. Вступ
2. Порівняння антивірусів по можливості лікування
3. Підсумкові результати тесту і нагороди
4. Аналіз змін в порівнянні з попередніми тестами
5. Коментарі партнерів Anti-Malware.ru

Щодня з'являються тисячі нових зразків шкідливих програм. У гонитві за наживою вирусописатели придумують все нові методи протидії виявленню і видаленню свого шкідливого коду з системи антивірусними програмами, наприклад, за допомогою розвитку руткит-технологій маскування. В таких умовах жоден антивірус не здатний гарантувати 100% захист комп'ютера, тому у простого користувача завжди будуть залишатися ризики зараження навіть зі встановленою антивірусним захистом.

У багатьох випадках пропущена на комп'ютер шкідлива програма може дуже довго перебувати непоміченою, навіть при встановленому антивірусі. У цьому випадку користувач буде відчувати помилкове відчуття захищеності - його антивірус не просигналізує про будь-якої небезпеки, в той час як зловмисники за допомогою активної шкідливої ​​програми будуть збирати його конфіденційні дані або будь-яким іншим способом використовувати обчислювальні потужності інфікованого комп'ютера в своїх цілях. Також нерідкі випадки, коли шкідлива програма виявляється антивірусом, але видалити її він не може, що змушує користувача звертатися в технічну підтримку або ж самостійно усувати зараження за допомогою додаткових утиліт, часто - сторонніх виробників, або вдаючись, наприклад, до допомоги експертів спеціального сервісу VirusInfo.Info .

Антивірусні виробники можуть захистити своїх клієнтів, розвиваючи технології виявлення проник на комп'ютер шкідливого коду і його коректного видалення. Але, як показує практика, далеко не всі приділяють цьому аспекту захисту належну увагу.

Мета даного тесту - перевірити персональні версії антивірусів на здатність успішно (не порушуючи працездатності операційної систем) виявляти і видаляти вже проникли на комп'ютер шкідливі програми, які вже почали діяти і приховувати сліди своєї активності.

Методологія проведення тесту »
Аналіз результатів тесту і нагороди »

Зміст:

- Вступ
- Порівняння антивірусів по можливості лікування
- Підсумкові результати тесту і нагороди
- Аналіз змін в порівнянні з попередніми тестами
- Коментарі партнерів Anti-Malware.ru

Вступ

У тесті брали участь антивірусні продукти 19 виробників, серед яких:

1. Avast! Internet Security 6.0.1000
2. AVG Internet Security 2011 року (10.0.1325)
3. Avira Premium Security Suite 10.0.0.608
4. BitDefender Internet Security 2011 року (14.0.29.354)
5. Comodo Internet Security 5.3.181415.1237
6. Dr.Web Security Space 6.0.5.04110
7. Emsisoft Anti-Malware 5.1.0.0
8. Eset Smart Security 4.2.71.3
9. F-Secure Internet Security 2011 року (10.51 build 106)
10. G Data Internet Security 2011 року (21.1.1.0)
11. Kaspersky Internet Security 2011 (11.0.2.556 (bcd))
12. McAfee Internet Security 2011
13. Microsoft Security Essentials 2.0.657.0
14. Norton Internet Security 2011 року (18.6.0.29)
15. Outpost Security Suite Pro 7.1
16. Panda Internet Security 2011 року (16.00.00)
17. PC Tools Internet Security 2011 року (8.0.0.0653)
18. Trend Micro Titanium Internet Security 2011 року (3.1.11.09)
19. ZoneAlarm Internet Security Suite 2011 року (9.3.037.000)

Rising Internet Security 2011 року (20-й у списку) був виключений з тіста через відсутність детектив (і бажання його додавати з боку вендора) на більшу частину шкідливих зразків, використовуваних в тесті.

Тест проводився на наступних шкідливі програми, які були обрані відповідно до визначених вимогами :

1. TDL (TDSS, Alureon, Tidserv)
2. Koutodoor
3. Win32 / Glaze
4. Sinowal (Mebroot)
5. Rootkit.Protector (Cutwail, Pandex)
6. Worm.Rorpian
7. Rootkit.Podnuha (Boaxxe)
8. Virus.Protector (Kobcka, Neprodoor)
9. Rustock (Bubnix)
10. Email-Worm.Scano (Areses)
11. SST (DNSChanger, FakeAV)
12. SubSys (Trojan.Okuks)
13. Rootkit.Pakes (synsenddrv, BlackEnergy)
14. TDL2 (TDSS, Alureon, Tidserv)
15. TDL3 (TDSS, Alureon, Tidserv)
16. TDL4 (TDSS, Alureon, Tidserv) *
17. Xorpix (Eterok)

* Перевірка лікування TDL4 (TDSS, Alureon, Tidserv) проводилася нами не тільки на Windows XP, але і на Windows 7 x64, щоб упевнитися в коректності лікування даної троянської програми.

Перевірка можливості лікування активного зараження антивірусними програмами проводилася чітко відповідно до певної методологією .

Порівняння антивірусів по можливості лікування

Таблиця 1: Результати лікування активного зараження різними антивірусами (початок)

Шкідлива програма / Антивірус Avast! Internet Security AVG Internet Security Avira Premium Security Suite BitDefender Internet Security Comodo Internet Security TDL (TDSS, Alureon, Tidserv) + + - - - Koutodoor + - + - - Win32 / Glaze - - + - - Sinowal (Mebroot) - - - - - Rootkit.Protector (Cutwail, Pandex) + - - + - Worm.Rorpian + - - + + Rootkit.Podnuha (Boaxxe) + - + - - Virus.Protector (Kobcka, Neprodoor) - - - + - Rustock (Bubnix) - + - - - Email-Worm.Scano (Areses) + - - + - SST (DNSChanger, FakeAV) - - - - - SubSys (Trojan.Okuks) + - - - - Rootkit.Pakes (synsenddrv, BlackEnergy) + + + + - TDL2 (TDSS, Alureon, Tidserv) - + - - - TDL3 (TDSS, Alureon, Tidserv) - + - - - TDL4 (TDSS, Alureon, Tidserv) - + - - - Xorpix (Eterok) + + + + + вилікувано / Всього 9/17 7/17 5/17 6/17 2/17

Таблиця 2: Результати лікування активного зараження різними антивірусами (продовження)

Шкідлива програма / Антивірус Dr.Web Security Space Emsisoft Anti-Malware Eset Smart Security F-Secure Internet Security G Data Internet Security TDL (TDSS, Alureon, Tidserv) + - - + - Koutodoor + - + + + Win32 / Glaze + + - + - Sinowal (Mebroot) + - - - - Rootkit.Protector (Cutwail, Pandex) + - - - - Worm.Rorpian + + + - - Rootkit.Podnuha (Boaxxe) + - - - - Virus.Protector (Kobcka, Neprodoor ) + - - - - Rustock (Bubnix) - - + - - Email-Worm.Scano (Areses) + + - + - SST (DNSChanger, FakeAV) + - - - - SubSys (Trojan.Okuks) + - - - - Rootkit.Pakes (synsenddrv, BlackEnergy) + - + + + TDL2 (TDSS, Alureon, Tidserv) + - - + - TDL3 (TDSS, Alureon, Tidserv) + - - + - TDL4 (TDSS, Alureon, Tidserv) + - - - - Xorpix (Eterok) + - + + + вилікувано / Всього 16/17 3/17 5/17 8/17 3/17

Таблиця 3: Результати лікування активного зараження різними антивірусами (продовження)

Шкідлива програма / Антивірус Kaspersky Internet Security McAfee Internet Security Microsoft Security Essentials Norton Internet Security Outpost Security Suite Pro TDL (TDSS, Alureon, Tidserv) + - + + + Koutodoor + - - - + Win32 / Glaze + - + + + Sinowal (Mebroot ) + - - - - Rootkit.Protector (Cutwail, Pandex) + - + - - Worm.Rorpian + - - - + Rootkit.Podnuha (Boaxxe) + - + - - Virus.Protector (Kobcka, Neprodoor) + - - - - Rustock (Bubnix) + - + + - Email-Worm.Scano (Areses) + - - + - SST (DNSChanger, FakeAV) + + + - - SubSys (Trojan.Okuks) + - + + - Rootkit.Pakes (synsenddrv , BlackEnergy) + + + + + TDL2 (TDSS, Alureon, Tidserv) + - + + - TDL3 (TDSS, Alureon, Tidserv) + - + - - TDL4 (TDSS, Alureon, Tidserv) + - - - - Xorpix (Eterok ) + + + + + вилікувано / Всього 17/17 3/17 11/17 8/17 6/17

Таблиця 4: Результати лікування активного зараження різними антивірусами (закінчення)

Шкідлива програма / Антивірус Panda Internet Security PC Tools Internet Security Trend Micro Titanium Internet Security ZoneAlarm Internet Security Suite TDL (TDSS, Alureon, Tidserv) - + - - Koutodoor + - - + Win32 / Glaze + + + - Sinowal (Mebroot) - - - - Rootkit.Protector (Cutwail, Pandex) - - - - Worm.Rorpian - + - - Rootkit.Podnuha (Boaxxe) - - - - Virus.Protector (Kobcka, Neprodoor) + - - - Rustock (Bubnix) - - - - Email-Worm.Scano (Areses) - + + - SST (DNSChanger, FakeAV) - - - - SubSys (Trojan.Okuks) - - - - Rootkit.Pakes (synsenddrv, BlackEnergy) + + + + TDL2 (TDSS, Alureon , Tidserv) - - - - TDL3 (TDSS, Alureon, Tidserv) - - - - TDL4 (TDSS, Alureon, Tidserv) - - - - Xorpix (Eterok) + - - + вилікувано / Всього 5/17 5/17 3 / 17 3/17

Нагадаємо, що, відповідно до використовуваної схемою аналізу результатів і нагородження , (+) Означає, що антивірус успішно усунув активне зараження системи, при цьому працездатність системи була відновлена ​​(або не порушена). (-) означає, що антивірус не зміг усунути активне зараження або при лікуванні була серйозно порушена працездатність системи.

Як видно з таблиць 1-4, як і роком раніше, найскладнішим для виявлення і видалення виявився троян Sinowal (Mebroot), що модифікує головний завантажувальний запис (MBR) жорсткого диска. Вилікувати зараження цим буткіта змогли лише два з протестованих антивірусів.

Далі за складністю слід гучні троянські програми TDL4 / TDL3 (TDSS, Alureon, Tidserv) і SST (DNSChanger, FakeAV). З ними впоралися не більше чотирьох з протестованих антивірусів.

Також досить складними для виявлення і видалення виявилися шкідливі програми TDL2 (TDSS, Alureon, Tidserv), Rootkit.Podnuha (Boaxxe), SubSys (Trojan.Okuks), Rustock (Bubnix), Rootkit.Protector (Cutwail, Pandex) і Virus.Protector (Kobcka, Neprodoor), з ними змогли впоратися не більше п'яти антивірусів.

Важливо відзначити, що цілий ряд вендорів, по суті, вважає за краще закривати очі на існування складних видів шкідливих програм, не обтяжуючи себе навіть забезпеченням їх банального детектив. Судячи з часто формальним відписок на анонімні (за умовами методології тесту ) Прохання додати детект, найбільші складності у аналітиків виникли з аналізом Sinowal (Mebroot), TDL3 (TDSS, Alureon, Tidserv) і TDL4 (TDSS, Alureon, Tidserv). Особливо це відноситься до таких вендорам як: Agnitum, Avira, Eset, Panda Security, Trend Micro і Symantec. Подробиці можна знайти в докладному звіті про тестування .

Підсумкові результати тесту і нагороди

Таблиця 4: Підсумкові результати тесту і нагороди

Антивірус

нагорода

% вилікуваних

Kaspersky Internet Security 2011

Platinum Malware Treatment Award

100%

Dr.Web Security Space 6.0

Gold Malware Treatment Award

94%

Microsoft Security Essentials 2.0

Silver Malware Treatment Award

65%

Avast! Internet Security 6.0

53%

F-Secure Internet Security 2011

47%

Norton Internet Security 2011

AVG Internet Security 2011

41%

BitDefender Internet Security 2011

тест
провалений

35%

Outpost Security Suite Pro 7.1

Avira Premium Security Suite 10.0

29%

Eset Smart Security 4.2

Panda Internet Security 2011

PC Tools Internet Security 2011

Emsisoft Anti-Malware 5.1

18%

G Data Internet Security 2011

McAfee Internet Security 2011

Trend Micro Titanium Internet Security 2011

ZoneAlarm Internet Security Suite 2011

Comodo Internet Security 5.3

12%

У підсумку тільки 7 з 19 протестованих антивірусів показали гідні результати по лікуванню активного зараження.

Згідно з чинною для всіх подібних тестів системі нагородження, вищу нагороду Platinum Malware Treatment Award вдалося завоювати антивірусного продукту Kaspersky Internet Security, вилікувати все без винятку складні варіанти зараження. Раніше подібний результат досягався лише одного разу: антивірусом Dr.Web в жовтні 2008 року.

Дуже високий результат показав антивірус Dr.Web Security Space, який успішно вилікував всі складні варіанти зараження в нашому тесті, за винятком одного. Цей антивірус отримує заслужену нагороду Gold Malware Treatment Award. Якби не прикра проблема з видаленням Rustock (Bubnix), він би також отримав найвищу нагороду.

Хороший результат показав антивірус Microsoft Security Essentials, успішно вилікувавши 11 з 17 заражень і отримав нагороду Silver Malware Treatment Award.

Середні результати показали антивіруси Avast! Internet Security, F-Secure Internet Security, Norton Internet Security і AVG Internet Security, які отримали нагороду Bronze Malware Treatment Award.

Що цікаво, проміжну нагороду Silver Malware Treatment Award в цей раз отримав тільки один продукт, що наочно демонструє серйозну перевагу в можливостях лікування складних заражень двох лідерів за цим показником щодо всіх інших.

Підводячи підсумки можна відзначити, що лідерство в лікуванні складні випадком зараження вже не перший рік продовжують утримувати російські антивірусні виробники. Скласти їм по-справжньому серйозну конкуренцію поки що не можуть ні європейські, ні американські конкуренти.

Щоб ознайомитися з докладними результатами тесту і переконатися в правильності підсумкових розрахунків, ви можете завантажити результати тесту в форматі Microsoft Excel .

Аналіз змін в порівнянні з попередніми тестами

На закінчення хотілося б проаналізувати результати всіх наших тестів на лікування активного зараження за 2007-2011 роки. Для цього до результатів цього тесту були додані результати двох попередніх тестів, які ви можете подивитися тут .

Таким чином, можна простежити зміни в ефективності лікування складних випадків зараження для кожного протестованого продукту (за винятком Microsoft, який не брав участі в попередніх тестах) - див. Малюнок 1.

Малюнок 1: Динаміка зміни можливостей антивірусів з лікування активного зараження

Малюнок 2: Динаміка зміни можливостей антивірусів з лікування активного зараження

Як видно з малюнків 1-2, ніякого істотного прогресу в лікуванні складних видів заражень по індустрії в цілому не спостерігається. Очевидно, що багато виробників вважають задачу виявлення складних вредосносних програм і коректного відновлення системи нецікавою для себе завданням, або ж навпаки занадто непідйомною технологічно. Невелику позитивну динаміку в останніх тестах продемонстрували хіба що Microsoft, F-Secure і AVG.

Після відверто провального попереднього тесту почала виправлятися компанія Agnitum, її продукту Outpost не вистачило зовсім трохи для виходу в позитивні показники. Результати інших антивірусів або балансують на незадовільному рівні або, що ще гірше, знижуються.

Стабільно кращими антивірусами для лікування активного зараження протягом усіх останніх років залишаються чотири продукти: Dr.Web, Антивірус Касперського, Avast і Norton. До цієї четвірки варто було б додати також Microsoft, але історія спостережень за цим виробником в подібних тестах ще не накопичена.

За новачкам тестів на лікування, таким як Comodo, Emsisoft, G Data, PC Tools і ZoneAlarm не накопичено достатнього статистики, що дозволяє говорити про динаміку результатів.

Ілля Шабанов, керуючий партнер Anti-Malware.ru:

«Уже сам процес тестування можливостей лікування в цьому році чітко показав, що індустрія за цим показником чітко розділилася на тих, хто здатний розібратися зі складними випадками шкідливих програм, забезпечити їх виявлення і лікування; і на тих, хто нездатний зробити це в принципі. Значна частина виробників фактично відмовилася розбиратися зі складними випадками заражень і навіть додавати детектування відібраних для тесту зразків, і вважаючи за краще не помічати проблеми, ніж розбиратися з нею. У відповідь на наші звернення в тех. підтримку і вірлаби «проблемних вендорів», нам навіть приходили відписки, що надіслані файли чисті! Ймовірно, частина антивірусних компаній керуються принципом, що раз користувач не дізнається про зараження, значить, для нього зараження просто немає. Отже, немає і проблеми написання складних процедур лікування і витрат на технічну підтримку постраждалих клієнтів. Тому я рекомендую всім інтернет-користувачам, чия поточна антивірусний захист провалила даний тест, ретельно перевірити свої комп'ютери за допомогою спеціалізованих утиліт Kaspersky AVPTool або Dr.Web CureIt! ».

Василь Бердников, експерт Anti-Malware.ru:

«У наявності загальна тенденція до ускладнення шкідливих програм. Сучасні шкідливі програми, на основі яких будуються величезні ботсеті, мають при собі різні засоби захисту від виявлення / видалення їх антивірусами. З кожним роком вони все глибше і глибше проникають в систему, інфікуючи завантажувальні записи диска / розділу або ж інфікуючи важливі системні драйвери по вірусному принципом. При цьому вони маскуються і не дають антивірусних програм прочитати даний вміст секторів диска. І якщо в минулому тестуванні, яке проходило рік тому, було п'ять антивірусів, які зуміли пролікувати більше половини з відібраних шкідливий, то в цьому році таких антивірусів вже тільки трі.Несмотря на те, що шкідливі програми стають складніше, антивірусні розробники не підвищують пріоритет розвитку лікування заражених систем в своїх продуктах. Ймовірно, це пов'язано зі складністю розвитку такого напрямку і тим, що успіх продажів антивірусних програм мало залежить від того, наскільки антивірус здатний лікувати заражені системи ».

Михайло Касимов, експерт Anti-Malware.ru:

«Уміння нейтралізувати активне зараження шкідливими програмами часто упускається розробниками антивірусів. Проте, як показує практика на прикладі різних форумів, що надають послуги лікування, здатність антивіруса зцілити систему актуальна не менше, ніж здатність запобігти зараженню - адже часто буває, що рішення про закупівлю антивіруса приймається після деякої колізії, пов'язаної з вірусним зараженням і спричинила за собою той чи інший вид збитку ( «поки грім не вдарить ...»). Крім того, вміння протистояти сучасним шкідливим програмам в їх активному стані вимагає високого технологічного рівня розробки антивірусних сканерів.

На цьому полі традиційно високий рівень демонструють продукти вітчизняних антивірусних виробників - «Лабораторії Касперського» і «Доктор Веб» - їх відрив від інших учасників тестування дуже показовий. На втрату бали у Dr.Web вплинула стара проблема, яка виявилася ще при проведенні попереднього тесту на лікування активного зараження, і з тих пір не була виправлена. Саме ця проблема не дозволила Dr.Web Security Space отримати нагороду Platinum Malware Treatment Award поряд з Kaspersky Internet Security. На жаль, проблема актуальна для всіх версій сканера Dr.Web, аж до 7-ї версії включно на момент написання даного коментаря. В майбутньому тесті хотілося б бачити розширення тестової колекції за рахунок недавно з'явився варіанти буткіта, що заражає Volume Boot Record (VBR), відомого як Cidox або Mayachok. Адже поява цього виду шкідливої ​​програми виявилося, в певному мере, концептуальним з точки зору механізму зараження і, як наслідок цього, лікування ».

В'ячеслав Русаков, експерт Anti-Malware.ru:

«Все заклики після кожного тесту розвивати напрямок лікування заражених комп'ютерів користувачів виявилися марними. Тенденції вирусописательстве - ускладнення технологічної складової. Крім використання різних методик, які дозволяють проникати на комп'ютери користувачів навіть з встановленим антивірусним продуктом, використовуються методики закріплення в системі і приховування самого факту зараження. Заражені комп'ютери об'єднуються в багатомільйонні бот-мережі приносячи величезні доходи вірусописьменниками. Це очевидно кожному, хто хоч трохи знайомий з антивірусної тематикою. Однак, як показують результати тестування, переважна більшість антивірусних компаній просто ігнорують той факт, що заражені комп'ютери необхідно лікувати. Так чим же займаються антивірусні вендори? Роблять ставку на красиві коробки і гучні піар слогани? Що ж отримують користувачі за свої гроші: ефективний захист або брехливу пустушку в красивій упаковці? Варто над цим замислитися, після ознайомлення з результатами таких тестів. Індустрія в імлі ... ».

Валерій Ледовських, експерт Anti-Malware.ru:

«Тест на лікування активних заражень з моменту його появи є родзинкою порталу Anti-Malware.ru, так як є єдиним у своєму роді в тестом, що проводиться за такою цікавою методології.

Тест цікавий в тим, що в ньому не фігурують великі числа, звичні для класичних тестувань антивірусних продуктів. Навпаки, кожної відібраної шкідливій програмі приділяється саме пильну увагу. Кожен з семплів уособлює собою як еволюцію шкідливих програм, так і еволюцію програм, покликаних протидіяти даними шкідливим технологіям. Тому в результатах тестування видно, на якій стадії розвитку зупинилися ті чи інші вендори, а по динаміці тестувань на лікування активних заражень можна бачити, наскільки пріоритетно напрямок лікування активних заражень для того чи іншого виробництва.

Цікаво спостерігати за давнім протистоянням технологій лікування компаній "Доктор Веб" і "Лабораторії Касперського". У актуальних результатах тестування "Лабораторія Касперського" вперше обійшла "Доктор Веб", але розрив, як і раніше, незначний. Є надія, що ця боротьба між двома вітчизняними виробниками продовжиться і далі на благо користувачів продуктів цих вендорів ».

Коментарі партнерів Anti-Malware.ru

Микита Швецов, керівник лабораторії антивірусних досліджень «Лабораторії Касперського»:
«Особливістю персональних продуктів« Лабораторії Касперського »є не тільки високий рівень захисту від проникнення шкідливих програм на комп'ютери користувачів, а й можливість лікування системи в разі потрапляння загроз, які працюють в режимі ядра операційної системи. Ми вважаємо, що це вкрай важливий показник, оскільки в останні роки кількість таких загроз значно збільшилася, і вони стають все більш складними. Ми пишаємося отриманої престижною нагородою, яка стала найкращою оцінкою зусиль наших розробників у цьому напрямку, а також визнанням їх величезного внеску в боротьбу з поширенням шкідливого
коду ».

Андрій Бешков, керівник програми інформаційної безпеки Microsoft в Росії:

«Лікування вже зараженої машини завжди буде проблемним моментом, так як це порушує основний принцип 10 законів безпеки. Якщо на машині працює шкідливий код, значить, це вже не ваша машина. Немає ніякої гарантії, що антивірус, який би просунутий він не був, виявить те, що вже активно в системі. Особливо це стосується руткітів.

Наші офіційні рекомендації: регулярно виконувати оффлайн сканування за допомогою утиліти MSRT, завантажившись з гарантовано чистого носія, а також застосовувати новий інструмент Microsoft Standalone System Sweeper для відновлення системи після зараження ».

Автори тесту:

Олександр Шевцов
Олексій Баранов
В'ячеслав Копейцев