Лечение активного заражения касперский зависло

Обновлено: 04.07.2024

Каждый день появляются тысячи новых образцов вредоносных программ. В погоне за наживой вирусописатели придумывают все новые методы противодействия обнаружению и удалению своего вредоносного кода из системы антивирусными программами, например, при помощи развития руткит-технологий маскировки. В таких условиях ни один антивирус не способен гарантировать 100% защиту компьютера, поэтому у простого пользователя всегда будут оставаться риски заражения даже с установленной антивирусной защитой.

Во многих случаях пропущенная на компьютер вредоносная программа может очень долго находиться незамеченной, даже при установленном антивирусе. В этом случае пользователь будет испытывать ложное чувство защищенности - его антивирус не просигнализирует о какой-либо опасности, в том время как злоумышленники при помощи активной вредоносной программы будут собирать его конфиденциальные данные или использовать мощности компьютера в своих целях. Также нередки случаи, когда вредоносная программа обнаруживается антивирусом, но удалить ее он не может, что вынуждает пользователя обращаться в техническую поддержку или же самостоятельно устранять заражение при помощи дополнительных утилит.

Антивирусные вендоры могут защитить своих клиентов, развивая технологии обнаружения проникшего на компьютер вредоносного кода и его корректного удаления. Но, как показывает практика, далеко не все уделяют этому аспекту защиты должное внимание.

Цель данного теста - проверить персональные версии антивирусов на способность успешно (не нарушая работоспособность операционной систем) обнаруживать и удалять вредоносные программы, уже проникшие на компьютер, начавшие действовать и скрывающие следы своей активности.

Gold Malware Treatment Award

Dr.Web Anti-Virus 5.00 (81%)
Kaspersky Anti-Virus 2010 (81%)

Silver Malware Treatment Award

Avast! Professional Edition 4.8 (63%)
Microsoft Security Essentials 1.0 (63%)

Bronze Malware Treatment Award

Norton AntiVirus 2010 (56%)
F-Secure Anti-Virus 2010 (44%)

Panda Antivirus 2010 (38%)
AVG Anti-Virus & Anti-Spyware 9.0 (31%)
Avira AntiVir PE Premium 9.0 (31%)
Sophos Anti-Virus 9.0 (31%)
Trend Micro Antivirus plus Antispyware 2010 (31%)
BitDefender Antivirus 2010 (25%)
Eset NOD32 Antivirus 4.0 (25%)
McAfee VirusScan Plus 2010 (19%)
Comodo Antivirus 3.13 (13%)
Outpost Antivirus Pro 2009 (13%)
VBA32 Antivirus 3.12 (6%)

Введение

В тесте принимали участие антивирусные продукты 17 производителей, среди которых:

  1. Avast! Professional Edition 4.8.1368
  2. AVG Anti-Virus & Anti-Spyware 8.5.0.40
  3. Avira AntiVir PE Premium 9.0.0.75
  4. BitDefender Antivirus 2010 (13.0.18.345)
  5. Comodo Antivirus 3.13.121240.574
  6. Dr.Web Anti-Virus 5.00.10.11260
  7. Eset NOD32 Antivirus 4.0.474.0
  8. F-Secure Anti-Virus 2010 (10.00 build 246)
  9. Kaspersky Anti-Virus 2010 (9.0.0.736 (a.b))
  10. McAfee VirusScan 2010 (13.15.113)
  11. Microsoft Security Essentials 1.0.1611.0
  12. Outpost Antivirus Pro 2009 (6.7.1 2983.450.0714)
  13. Panda Antivirus 2010 (9.01.00)
  14. Sophos Antivirus 9.0.0
  15. Norton AntiVirus 2010 (17.0.0.136)
  16. Trend Micro Antivirus plus Antispyware 2010 (17.50.1366)
  17. VBA32 Antivirus 3.12.12.0

Тест проводился на следующих вредоносных программах, которые были выбраны в соответствии с определенными требованиями:

  1. AdWare.Virtumonde (Vundo)
  2. Rustock (NewRest)
  3. Sinowal (Mebroot)
  4. Email-Worm.Scano (Areses)
  5. TDL (TDSS, Alureon, Tidserv)
  6. TDL2 (TDSS, Alureon, Tidserv)
  7. Srizbi
  8. Rootkit.Podnuha (Boaxxe)
  9. Rootkit.Pakes (synsenddrv)
  10. Rootkit.Protector (Cutwail, Pandex, Pushdo)
  11. Virus.Protector (Kobcka, Neprodoor)
  12. Xorpix (Eterok)
  13. Trojan-Spy.Zbot
  14. Win32/Glaze
  15. SubSys (Trojan.Okuks)
  16. TDL3 v.3.17 (TDSS, Alureon, Tidserv)

Проверка возможности лечения активного заражения антивирусными программами проводилась четко в соответствии с определенной методологией.

Сравнение антивирусов по возможности лечения

Таблица 1: Результаты лечения активного заражения различными антивирусами (начало)

Вредоносная программа / Антивирус

Avast! Professional Edition

AVG Anti-Virus & Anti-Spyware

Avira AntiVir PE Premium

TDL (TDSS, Alureon, Tidserv)

TDL2 (TDSS, Alureon, Tidserv)

Rootkit.Protector (Cutwail, Pandex)

Virus.Protector (Kobcka, Neprodoor)

TDL3 (TDSS, Alureon, Tidserv)

Таблица 2: Результаты лечения активного заражения различными антивирусами (продолжение)

Вредоносная программа / Антивирус

Eset NOD32 Antivirus

McAfee VirusScan Plus

Microsoft Security Essentials

TDL (TDSS, Alureon, Tidserv)

TDL2 (TDSS, Alureon, Tidserv)

Rootkit.Protector (Cutwail, Pandex)

Virus.Protector (Kobcka, Neprodoor)

TDL3 (TDSS, Alureon, Tidserv)

Таблица 3: Результаты лечения активного заражения различными антивирусами (окончание)

Вредоносная программа / Антивирус

Outpost Antivirus Pro

Trend Micro Antivirus plus Antispyware

TDL (TDSS, Alureon, Tidserv)

TDL2 (TDSS, Alureon, Tidserv)

Rootkit.Protector (Cutwail, Pandex)

Virus.Protector (Kobcka, Neprodoor)

TDL3 (TDSS, Alureon, Tidserv)

Напомним, что в соответствии с используемой схемой анализа результатов и награждения, (+) означает, что антивирус успешно устранил активное заражение системы, при этом работоспособность системы была восстановлена (или не нарушена). (-) означает, что антивирус не смог устранить активное заражение или при лечении была серьезно нарушена работоспособность системы.

Как видно из таблиц 1-3 самым сложным для удаления оказался бэкдор-шпион Sinowal (Mebroot), который не смог вылечить ни один из протестированных антивирусов.

Далее по сложности для удаления следует нашумевшая троянская программа TDL3 (TDSS, Alureon, Tidserv), червь Worm.Scano (Areses) и вирус Virus.Protector (Kobcka, Neprodoor). С ними справились не более трех из протестированных антивирусов.

Итоговые результаты теста и награды

Таблица 4: Итоговые результаты теста и награды

Dr.Web Anti-Virus 5.0

Kaspersky Anti-Virus 2010

Avast! Professional Edition 4.8

Silver Malware Treatment Award

Microsoft Security Essentials 1.0

Norton AntiVirus 2010

F-Secure Anti-Virus 2010

Panda Antivirus 2010

AVG Anti-Virus & Anti-Spyware 9.0

Avira AntiVir PE Premium 8.1

Sophos Anti-Virus 9.0

Trend Micro Antivirus plus Antispyware 2009

BitDefender Antivirus 2009

Eset NOD32 Antivirus 4.0

McAfee VirusScan Plus 2010

Comodo Antivirus 3.13

Outpost Antivirus Pro 2009

VBA32 Antivirus 3.12

В итоге только 6 из 17 протестированных антивирусов показали достойные результаты по лечению активного заражения. Согласно действующей для всех подобных тестов системы награждения, высшую награду Platinum Malware Treatment Award в этот раз не получил никто.

Лучшими по результатам теста оказались Dr.Web и Антивирус Касперского, которые корректно вылечили систему в 13 из 16 случаев и получили заслуженную награду Gold Malware Treatment Award .

Хорошие результаты также показали антивирусы Avast! Professional Edition и Microsoft Security Essentials, получившие награду Silver Malware Treatment Award , а также Norton AntiVirus и F-Secure Anti-Virus, получившие Bronze Malware Treatment Award .

Отдельно необходимо отметить неожиданно высокие результаты нового бесплатного антивируса Microsoft, который с первого же раза сумел войти в призеры этого сложного теста. Такой результат свидетельствует, что корпорация уделяет внимание проблеме устранения активных заражений.

Также необходимо сделать комментарий относительно VBA32 Antivirus. Дело в том, что в составе дистрибутива этого антивируса идет Vba32 AntiRootkit, который необходимо запускать отдельно (в интерфейсе нет информации о нем) и производить удаление вредоносных программ из системы в ручном режиме. Тоже самое касается и утилиты Eset SysInspector. Согласно методологии теста мы не могли их учитывать, но эффективность этих программ (также как и других антируткитов и утилит для лечения системы) мы проверим в самом ближайшем будущем отдельном тесте.

Чтобы ознакомиться с подробными результатами теста и убедиться в правильности итоговых расчетов, вы можете скачать результаты теста в формате Microsoft Excel.

Анализ изменений в сравнении с предыдущими тестами

В заключение хотелось бы проанализировать результаты всех наших тестов на лечение активного заражения за 2007-2010 годы.

Таким образом, можно проследить изменения в эффективности лечения сложных случаев заражения для каждого протестированного продукта (за исключением Microsoft, который не участвовал в предыдущих тестах) - см. рисунок 1.

Рисунок 1: Динамика изменения возможностей антивирусов по лечению активного заражения

Рисунок 2: Динамика изменения возможностей антивирусов по лечению активного заражения

Как видно из рисунков 1-2, никакого прогресса в лечении сложных видов угроз по индустрии в целом не наблюдается. Положительную динамику в последних тестах продемонстрировал только Антивирус Касперского и F-Secure. Открытие прошлого теста, Outpost, к сожалению, сдал позиции и не смог закрепиться в группе сильнейших.

Стабильно лучшими антивирусами для лечения активного заражения остаются четыре продукта: Dr.Web, Антивирус Касперского, Avast и Norton. Результаты других антивирусов или балансируют на неудовлетворительном уровне или, что еще хуже, снижаются.

Антон Белоусов, руководитель отдела по работе с ИТ-специалистами и направлению информационной безопасности, Microsoft в России:

"Качество сканирования и умение удалить найденные вредоносные программы является одной из наиболее важных характеристик современного антивируса. И мы очень рады, что наш новый продукт Microsoft Security Essentials уже в первой версии показал хорошие результаты в тесте на лечение активного заражения. Также мы продолжаем работу над улучшением качества сканирования и быстродействием нашего продукта. Но уже сейчас можно сказать, что пользователи, использующие Microsoft Security Essentials, будут надежно защищены от большинства известных на данный момент вредоносных программ.

Отдельно хочется отметить, что в последнее время количество действительно сложных вирусов растет, и проблема их обнаружения и удаления стоит довольно остро. Именно поэтому команда сотрудников Microsoft, отвечающих за создание антивирусных баз растет и пополняется высококлассными специалистами".

Сергей Уласень, начальник отдела разработки антивирусного ядра компании "ВирусБлокАда":

"В борьбе с активными заражениями наша компания выбрала несколько иной путь, который отличается от логики работы, проверяемой в данном тесте. Так в прошлом году мы начали разрабатывать специализированную утилиту VBA32 AntiRootkit. В задачи данной утилиты входит поиск и возможность обезвреживания активных заражений. Уже в начале марта бета-тестерам компании будет доступна новая версия VBA32 AntiRootkit 3.12.5.0, функционал которой значительно доработан, и большинство указанных в тесте вредоносных программ можно будет обнаруживать и обезвреживать с ее помощью.
Данная утилита уже сейчас входит в состав антивирусного комплекса VBA32 и доступна всем пользователям в качестве отдельного модуля. В будущем мы планируем взять курс на внедрение технологий, примененных в VBA32 AntiRootkit, в функциональность комплекса в целом".

Комментирует Вячеслав Русаков, ведущий разработчик "Лаборатории Касперского":

В сфере руткитов и сложных угроз прослеживается определенный тренд - вредоносный код становится все более изощренным, используются технологии заражения системных компонент операционной системы, проникновение на компьютер в обход основных модулей защиты антивируса. Современные вредоносные программы используют еще более мощные алгоритмы защиты от обнаружения и лечения антивирусными продуктами. Решения "Лаборатории Касперского" в очередной раз подтвердили свое звание не только как высокотехнологичных антивирусных продуктов, способных предотвратить проникновение вредоносного ПО на компьютер пользователя, но также способных эффективно бороться с заражением внутри системы. Мы продолжаем удерживать баланс между инновационными технологиями и грамотной поддержкой всех направлений развития".

Григорий Смирнов
Александр Щербина
Артем Сальников
Алексей Баранов

background image

У К О В О Д С Т В О П О Л Ь З О В А Т Е Л Я

В блоке Самозащита установите флажок

Отключить возможность внешнего управления

системной службой, чтобы заблокировать любую попытку удаленного управления сервисами
программы.

При попытке выполнить какое-либо из перечисленных действий над значком программы в области
уведомлений панели задач Microsoft Windows будет открыто уведомление (если сервис уведомлений не
отключен пользователем).

ЕХНОЛОГИЯ ЛЕЧЕНИЯ АКТИВНОГО ЗАРАЖЕНИЯ

Современные вредоносные программы могут внедряться на самые низкие уровни операционной системы, что
делает их удаление практически невозможным. При обнаружении вредоносной активности в системе Антивирус
Касперского предлагает провести специальную расширенную процедуру лечения, в результате которой угроза
будет обезврежена и удалена с компьютера.

По окончании процедуры будет произведена обязательная перезагрузка компьютера. После перезагрузки
компьютера рекомендуется запустить полную проверку на вирусы.

Чтобы применить процедуру расширенного лечения, выполните следующие действия:

Откройте главное окно программы и нажмите на ссылку Настройка в верхней части окна.

В открывшемся окне выберите раздел Параметры.

В блоке Совместимость установите флажок Применять технологию активного лечения.

АСПЕРСКОГО НА ПОРТАТИВНОМ

В целях экономии питания аккумулятора портативного компьютера вы можете отложить выполнение задач
проверки на вирусы.

Поскольку проверка на вирусы и обновление подчас требуют немалого количества ресурсов и занимают
некоторое время, рекомендуем отключать запуск таких задач по расписанию. Это позволит вам сэкономить заряд
аккумулятора. По мере необходимости вы можете самостоятельно обновлять Антивирус Касперского или
запускать проверку на вирусы.

Чтобы воспользоваться сервисом экономии заряда аккумулятора, выполните следующие действия:

Откройте главное окно программы и нажмите на ссылку Настройка в верхней части окна.

В открывшемся окне выберите раздел Параметры.

В блоке Совместимость установите флажок

Не запускать задачи проверки по расписанию при

работе от аккумуляторов.

РОИЗВОДИТЕЛЬНОСТЬ КОМПЬЮТЕРА ПРИ ВЫПОЛНЕНИИ ЗАДАЧ

Для ограничения нагрузки на центральный процессор и дисковые подсистемы вы можете отложить выполнение
задач проверки на вирусы.

Выполнение задач проверки увеличивает нагрузку на центральный процессор и дисковые подсистемы, тем
самым замедляя работу других программ. По умолчанию при возникновении такой ситуации Антивирус
Касперского приостанавливает выполнение задач проверки и высвобождает ресурсы системы для программ
пользователя.

Тестирование антивирусов: Лечение активного заражения - AV-Comparatives Ноябрь 2014

Тестирование AV-Comparatives на лечение активного заражения проверяет только возможности антивирусов удалять вредоносные программы / лечить систему от заражения, поэтому выбранные вредоносные образцы обнаруживаются всеми тестируемыми антивирусами.

Хотя тест не проверяет возможность обнаружения вредоносного ПО, если антивирус пропустил угрозу, он также не в состоянии удалить ее.

Главная цель данного испытания антивирусов - проверить возможность удаления угроз на уже зараженной системе. Протокол испытания предназначен для обычных домашних пользователей, а не для администраторов и опытных пользователей ПК, которые могут вручную удалить активные вредоносные программы. Чаще всего пользователи обращаются за помощью с зараженным компьютером без или уже с устаревшим антивирусом. Используемая методика предполагает такую ситуацию: система уже заражена и должна быть очищена.

Тест проводился в марте-октябре 2014 года на операционной системе Microsoft Windows 8.1 64-Bit (English). Только антивирусы, разработчики которых подписались на серию тестов AV-Comparatives 2014 и не отказались от тестирования на лечение, включены в тест на удаление вредоносного ПО.

Тестируемые антивирусы

AhnLab V3 Internet Security
AVG Internet Security
avast! Free Antivirus
AVIRA Internet Security
Bitdefender Internet Security
BullGuard Internet Security
Emsisoft Anti-Malware
eScan Internet Security
ESET Smart Security 		F-Secure Internet Security
Fortinet FortiClient
Kaspersky Internet Security
Lavasoft Ad-Aware Free Antivirus+
Microsoft Windows Defender
Panda Cloud Antivirus Free
Sophos Endpoint Protection
ThreatTrack Vipre Internet Security

Используемые вредоносные образцы

Образец 1 (5860): очень старый широко распространенный интернет-червь.
Образец 2 (81с9): широко распространенный троян-винлокер, который блокирует систему. Это общий тип вредоносных программ, который показывает важность спасательных дисков для домашних пользователей.
Образец 3 (98bc), 4 (8ecf), 5 (ee44): широко распространенные троянцы.
Образец 6 (7f91): широко распространенный троянец, который блокирует экран.
Образец 7 (9с13): широко распространенный троянец, который шифрует файлы.
Образец 8 (74cl), 9 (53b1): широко распространенные бэкдоры.
Образец 10 (3d35): широко распространенный троянец.
Образец 11 (37е2): широко распространенный бэкдор.
Образец 12 (ef6e), 13 (7c8a), 14 (е636), 15 (b0c0), 16 (a2e7), 17 (ea5e), 18 (2d00), 19 (d135): широко распространенные троянцы.
Образец 20 (cOaa): широко распространенный бэкдор.
Образец 21 (769а): очень распространенный бэкдор.
Образец 22 (712e): широко распространенный троянец.
Образец 23 (5a4c): широко распространенный бэкдор.
Образец 24 (6d54): широко распространенный троянец, крадущий пароли.
Образец 25 (dd7c), 26 (b4a2): широко распространенные бэкдоры.
Образец 27 (719c): широко распространенный троянец.
Образец 28 (8a23): широко распространенные бэкдоры.
Образец 29 (efe7): широко распространенный троян-вымогатель.
Образец 30 (ed5e): широко распространенный троянец, который блокирует экран.

Процедура тестирования

• Тщательный анализ вредоносных программ, чтобы знать на что обращать внимание.
• Заражение тестового компьютера одной угрозой, перезагрузка компьютера и проверка полной работы вредоносной программы.
• Установка и обновление антивируса.
• Если установка не возможна, осуществляется загрузка системы в безопасном режиме. Если невозможно установить в безопасном режиме, используется аварийный загрузочный диск соответствующего антивируса, если такой доступен, для полной проверки системы перед установкой.
• Запуск глубокого / полного сканирования системы и следование инструкциям антивирусной программы для удаления угрозы, так как это будет делать типичный домашний пользователь.
• Перезагрузка тестового компьютера.
• Ручная проверка / анализ компьютера на наличие остатков удаляемого вредоносного ПО.

Выбор вредоносных образцов

Вредоносные образцы были отобраны по следующим критериям:

• Все антивирусы должны обнаруживать вредоносный образец в его неактивном состоянии.

• Образцы должны быть распространены (в соответствии с метаданными) и / или встречались по крайней мере на двух компьютерах локальных клиентов AV-Comparatives в 2014 году.

• Вредоносные программы должны поддаваться лечению антивирусами без замены системных файлов Windows.

Были выбраны случайные 30 образцов вредоносных программ в соответствии с указанными выше критериями. Кроме того, был выбран один старый образец, который использовался еще в прошлом году, чтобы посмотреть, есть ли улучшения и/или изменились возможности удаления угроз.

Система оценки

Оценка антивирусов определялась следующим образом:

a) Удаление вредоносного ПО:

b) Удобство процесса удаления:

• Удаление можно сделать легко в обычном режиме (A);
• Удаление требует загрузки в Безопасном режиме или использования встроенных утилит и руководство к действию (B);
• Удаление требует аварийный диск восстановления (Rescue Disk) (C);
• Удаление требует обращения в службу поддержки / Удаление не удалось (D).

Система начисления баллов

Баллы начисляются для каждого антивируса по двум параметрам системы рейтинга:

Результаты тестирования

Результаты тестирования: Лечение активного заражения - AV-Comparatives Ноябрь 2014


нажмите на изображение, чтобы увеличить

Хороший уровень обнаружения вредоносных программ очень важен, чтобы найти вредоносное ПО, которое уже в системе. Тем не менее, высокий уровень защиты или обнаружения не обязательно означает, что продукт имеет хорошие способности удаления. С другой стороны, продукт с низким уровнем обнаружения не может даже найти заражение, а, следовательно, не сможет удалить его.

Некоторые пользователи могут ошибочно полагать, что антивирусные продукты просто удаляют исполняемые файлы и не исправляют что-нибудь еще, например, реестр. Этот отчет представляет собой маленький информационный документ, который объясняет, что профессиональные антивирусные продукты могут сделать гораздо больше, чем просто удаление вредоносных файлов.

Пользователям рекомендуется регулярно делать резервные копии своих важных данных и использовать, например, ПО для создания образа системы, чтобы была возможность восстановить ее, если это необходимо.

Среди общего потока вредоносных программ, не отличающихся изощрённой функциональностью, находятся образцы, в которых используются необычные или даже новаторские технологические приемы по обеспечению работоспособности вредоносной программы в поражённой системе. Это ведёт к значительному усложнению процесса удаления таких вредоносных программ. Результаты теста данного теста позволяют ответить на вопрос: насколько эффективно популярные антивирусы могут помочь в лечении поражённой системы?

Несмотря на тот факт, что активная фаза распространения вредоносных программ, несущих в себе различные техники своего сокрытия в инфицированной системе, датируется 2012-2013 годами и на смену ей пришла волна значительно менее технологичных семейств, за прошедшие два года было отмечено появление ряда интересных с точки зрения лечения вредоносных программ.

Появление новых технологических приемов при разработке вредоносных программ, даже на уровне концептуальной реализации, в большинстве случаев сводит к нулю эффективность функций популярных антивирусов в лечении активного заражения. Что обеспечивает устойчивую жизнеспособность вредоносной программы в скомпрометированной системе.

Цель данного теста - проверить персональные версии антивирусов на способность успешно (не нарушая работоспособности операционной систем) обнаруживать и удалять уже проникшие на компьютер вредоносные программы в их активном состоянии на практике.

В тестировании участвовали релизные версии следующих 15 антивирусных программы, отобранные в ходе открытого обсуждения (сборки актуальны на момент начала теста):

  • Avast! Internet Security 2015.10.0.2208
  • AVG Internet Security 2015.0.5646
  • Avira Internet Security 14.0.7.468
  • Eset Smart Security 8.0.304.0
  • Kaspersky Internet Security 15.0.1.415(b)
  • BitDefender Internet Security 18.20.0.1429
  • Emsisoft Internet Security 9.0.0.4799
  • Dr.Web Security Space Pro 10.0.0.12160
  • Microsoft Security Essentials 4.6.0305.0
  • McAfee Internet Security 14.0
  • Norton Security 22.1.0.9
  • Qihoo 360 Internet Security 5.0.0.5104
  • TrustPort Internet Security 15.0.0.5420
  • Panda Internet Security 15.0.4
  • Trend Micro Titanium Internet Security 8.0.1133
Тестирование проводилось на вредоносных программах, удовлетворяющих условиям методологии тестирования исключительно для платформы Microsoft Windows 7 x64:
  • APT (Uroburos, Turla)
  • Cidox (Rovnix, Mayachok, Boigy)
  • Poweliks (Powessere)
  • Backboot (WinNT/Pitou)
  • WMIGhost (HTTBot, Syndicasec)
  • Stoned (Bebloh, Shiptob, Bublik)
  • Pihar (TDL4,TDSS, Alureon, Tidserv)
  • SST (PRAGMA, TDSS, Alureon)
  • Zeroaccess (Sirefef, MAX++)

Таким образом, для теста было отобрано 9 концептуальных с технологической точки зрения образцов вредоносных программ, которые были замечены в общем потоке вредоносных программ.
Напомним, что, в соответствии с используемой схемой анализа результатов и награждения, (+) означает, что антивирус успешно устранил активное заражение системы, при этом работоспособность системы была восстановлена (или не нарушена). (-) означает, что антивирус не смог устранить активное заражение или при лечении была серьезно нарушена работоспособность системы (например, BSOD). (-*) означает, что за несколько месяцев ожидания и многократных отправлений образцов на анализ в антивирусную лабораторию детект так и не был добавлен.

Как видно по результатам теста самым сложным для лечение оказалась бесфайловая вредоносная программа WMIGhost. Обнаружить и вылечить ее смог только Kaspersky Internet Security. Далее по сложности лечения идут вредоносные программы, использующие технологии инфицирования загрузочных секторов диска (Backboot, Pihar, SST и cidox). Проблемы с обнаружением и лечением возникают даже несмотря на то, что участвующие в тесте вредоносных программ этого класса существуют уже не первый год.

Важно отметить неспособность подавляющего большинства антивирусов обнаружить и нейтрализовать вредоносный код в оперативной памяти, что подтверждается результатами лечения Stoned (он же Bebloh, Shiptob, Bublik).
В целом для индустрии картина неутешительна. Большинство популярных антивирусов неспособно корректно вылечить поражённую систему даже на тех семействах вредоносных программ, которые известны уже не один год.

В этом году только 6 из 15 протестированных антивирусов показали достойные результаты по лечению активного заражения, что несколько лучше уровня последних лет.
Единственным антивирусом, успешно справившимся с лечением всех образцов из тестового набора, является Kaspersky Internet Security, получивший заслуженную награду Platinum Malware Treatment Award. Награду Gold Malware Treatment Award в этом году не получает ни один из протестированных антивирусов.

Разделяют второе, третье и четвёртое места антивирусы Avast! Internet Security, BitDefender Internet Security и Dr.Web Security Space Pro, нейтрализовавшие шесть предложенных образцов из девяти (67%).Они получают награду Silver Malware Treatment Award.

Пятое и шестое места разделили Microsoft Security Essentials и Norton Security, успешно вылечившие четыре образца из девяти (44%) и получившие награду Bronze Malware Treatment Award). Остальные антивирусы провалили тест. Так AVG Internet Security и Eset Smart Security, сумели нейтрализовать лишь три образца из девяти (33,3%).

Анализ изменений в сравнении с предыдущими тестами
В заключение проанализируем результаты всех наших тестов на лечение активного заражения за 2011-2015 годы. Для этого к результатам теста были добавлены результаты двух предыдущих тестов, которые вы можете посмотреть здесь. Таким образом, можно проследить изменения в эффективности лечения сложных случаев заражения для каждого протестированного продукта.

Неизменно высокие места занимают отечественные антивирусы - Kaspersky Internet Security и Dr.Web Security Space Pro, хотя у последнего отмечается тенденция к снижению эффективности лечения. Avast! Internet Security и BitDefender Internet Security снова показали относительно высокие результаты, что свидетельствует о постоянном внимании к проблеме лечения сложных заражений. На среднем уровне по эффективности лечения балансируют Norton Security и Microsoft Security Essentials, что очень странно для таких грандов рынка, обладающих всеми необходимыми ресурсами. На фоне продолжающейся тенденции к общему по индустрии снижению эффективности в лечении активного заражения, результаты некоторых антивирусов улучшились относительно прошлого года, среди них: Avast! Internet Security, Eset Smart Security, AVG Internet Security и Norton Security. В целом же очевидно, что из-за большого потока вредоносных программ, требующих своего добавления в антивирусные базы, большинство производителей не уделяют внимания вопросам лечения активного заражения.

Илья Шабанов, руководитель AM Test Lab:
«В этом году мы провели тест полностью на системе Windows 7 x64, что сузило возможности отбора подходящих вредоносных программ, но позволило сконцентрироваться только на актуальных задачах лечения активного заражения.В целом по индустрии результаты продолжили снижаться, что полностью находится в тренде последних лет. У большинства производителей нет ресурсов и специалистов разбираться со сложными вредоносными программами. Некоторые производители и вовсе оказались не в состоянии распознать отдельные вредоносные программы из нашей подборки и за несколько месяцев так и не добавили на них детект, несмотря на многократные обращения. С другой стороны часть вендоров сумела улучшить результаты в сравнении с 2012 годом. Это позволяет надеяться, что проблемы лечения сложных заражений не будут оставлены без внимания в будущем».

Каждый день появляются тысячи новых образцов вредоносных программ. В погоне за наживой вирусописатели придумывают все новые методы противодействия обнаружению и удалению своего вредоносного кода из системы антивирусными программами, например, при помощи развития руткит-технологий маскировки. В таких условиях ни один антивирус не способен гарантировать 100% защиту компьютера, поэтому у простого пользователя всегда будут оставаться риски заражения даже с установленной антивирусной защитой.

Во многих случаях пропущенная на компьютер вредоносная программа может очень долго находиться незамеченной, даже при установленном антивирусе. В этом случае пользователь будет испытывать ложное чувство защищенности - его антивирус не просигнализирует о какой-либо опасности, в том время как злоумышленники при помощи активной вредоносной программы будут собирать его конфиденциальные данные или использовать мощности компьютера в своих целях. Также нередки случаи, когда вредоносная программа обнаруживается антивирусом, но удалить ее он не может, что вынуждает пользователя обращаться в техническую поддержку или же самостоятельно устранять заражение при помощи дополнительных утилит.

Антивирусные вендоры могут защитить своих клиентов, развивая технологии обнаружения проникшего на компьютер вредоносного кода и его корректного удаления. Но, как показывает практика, далеко не все уделяют этому аспекту защиты должное внимание.

Цель данного теста - проверить персональные версии антивирусов на способность успешно (не нарушая работоспособность операционной систем) обнаруживать и удалять вредоносные программы, уже проникшие на компьютер, начавшие действовать и скрывающие следы своей активности.

Gold Malware Treatment Award

Dr.Web Anti-Virus 5.00 (81%)
Kaspersky Anti-Virus 2010 (81%)

Silver Malware Treatment Award

Avast! Professional Edition 4.8 (63%)
Microsoft Security Essentials 1.0 (63%)

Bronze Malware Treatment Award

Norton AntiVirus 2010 (56%)
F-Secure Anti-Virus 2010 (44%)

Panda Antivirus 2010 (38%)
AVG Anti-Virus & Anti-Spyware 9.0 (31%)
Avira AntiVir PE Premium 9.0 (31%)
Sophos Anti-Virus 9.0 (31%)
Trend Micro Antivirus plus Antispyware 2010 (31%)
BitDefender Antivirus 2010 (25%)
Eset NOD32 Antivirus 4.0 (25%)
McAfee VirusScan Plus 2010 (19%)
Comodo Antivirus 3.13 (13%)
Outpost Antivirus Pro 2009 (13%)
VBA32 Antivirus 3.12 (6%)

Введение

В тесте принимали участие антивирусные продукты 17 производителей, среди которых:

  1. Avast! Professional Edition 4.8.1368
  2. AVG Anti-Virus & Anti-Spyware 8.5.0.40
  3. Avira AntiVir PE Premium 9.0.0.75
  4. BitDefender Antivirus 2010 (13.0.18.345)
  5. Comodo Antivirus 3.13.121240.574
  6. Dr.Web Anti-Virus 5.00.10.11260
  7. Eset NOD32 Antivirus 4.0.474.0
  8. F-Secure Anti-Virus 2010 (10.00 build 246)
  9. Kaspersky Anti-Virus 2010 (9.0.0.736 (a.b))
  10. McAfee VirusScan 2010 (13.15.113)
  11. Microsoft Security Essentials 1.0.1611.0
  12. Outpost Antivirus Pro 2009 (6.7.1 2983.450.0714)
  13. Panda Antivirus 2010 (9.01.00)
  14. Sophos Antivirus 9.0.0
  15. Norton AntiVirus 2010 (17.0.0.136)
  16. Trend Micro Antivirus plus Antispyware 2010 (17.50.1366)
  17. VBA32 Antivirus 3.12.12.0

Тест проводился на следующих вредоносных программах, которые были выбраны в соответствии с определенными требованиями:

  1. AdWare.Virtumonde (Vundo)
  2. Rustock (NewRest)
  3. Sinowal (Mebroot)
  4. Email-Worm.Scano (Areses)
  5. TDL (TDSS, Alureon, Tidserv)
  6. TDL2 (TDSS, Alureon, Tidserv)
  7. Srizbi
  8. Rootkit.Podnuha (Boaxxe)
  9. Rootkit.Pakes (synsenddrv)
  10. Rootkit.Protector (Cutwail, Pandex, Pushdo)
  11. Virus.Protector (Kobcka, Neprodoor)
  12. Xorpix (Eterok)
  13. Trojan-Spy.Zbot
  14. Win32/Glaze
  15. SubSys (Trojan.Okuks)
  16. TDL3 v.3.17 (TDSS, Alureon, Tidserv)

Проверка возможности лечения активного заражения антивирусными программами проводилась четко в соответствии с определенной методологией.

Сравнение антивирусов по возможности лечения

Таблица 1: Результаты лечения активного заражения различными антивирусами (начало)

Вредоносная программа / Антивирус

Avast! Professional Edition

AVG Anti-Virus & Anti-Spyware

Avira AntiVir PE Premium

TDL (TDSS, Alureon, Tidserv)

TDL2 (TDSS, Alureon, Tidserv)

Rootkit.Protector (Cutwail, Pandex)

Virus.Protector (Kobcka, Neprodoor)

TDL3 (TDSS, Alureon, Tidserv)

Таблица 2: Результаты лечения активного заражения различными антивирусами (продолжение)

Вредоносная программа / Антивирус

Eset NOD32 Antivirus

McAfee VirusScan Plus

Microsoft Security Essentials

TDL (TDSS, Alureon, Tidserv)

TDL2 (TDSS, Alureon, Tidserv)

Rootkit.Protector (Cutwail, Pandex)

Virus.Protector (Kobcka, Neprodoor)

TDL3 (TDSS, Alureon, Tidserv)

Таблица 3: Результаты лечения активного заражения различными антивирусами (окончание)

Вредоносная программа / Антивирус

Outpost Antivirus Pro

Trend Micro Antivirus plus Antispyware

TDL (TDSS, Alureon, Tidserv)

TDL2 (TDSS, Alureon, Tidserv)

Rootkit.Protector (Cutwail, Pandex)

Virus.Protector (Kobcka, Neprodoor)

TDL3 (TDSS, Alureon, Tidserv)

Напомним, что в соответствии с используемой схемой анализа результатов и награждения, (+) означает, что антивирус успешно устранил активное заражение системы, при этом работоспособность системы была восстановлена (или не нарушена). (-) означает, что антивирус не смог устранить активное заражение или при лечении была серьезно нарушена работоспособность системы.

Как видно из таблиц 1-3 самым сложным для удаления оказался бэкдор-шпион Sinowal (Mebroot), который не смог вылечить ни один из протестированных антивирусов.

Далее по сложности для удаления следует нашумевшая троянская программа TDL3 (TDSS, Alureon, Tidserv), червь Worm.Scano (Areses) и вирус Virus.Protector (Kobcka, Neprodoor). С ними справились не более трех из протестированных антивирусов.

Итоговые результаты теста и награды

Таблица 4: Итоговые результаты теста и награды

Dr.Web Anti-Virus 5.0

Kaspersky Anti-Virus 2010

Avast! Professional Edition 4.8

Silver Malware Treatment Award

Microsoft Security Essentials 1.0

Norton AntiVirus 2010

F-Secure Anti-Virus 2010

Panda Antivirus 2010

AVG Anti-Virus & Anti-Spyware 9.0

Avira AntiVir PE Premium 8.1

Sophos Anti-Virus 9.0

Trend Micro Antivirus plus Antispyware 2009

BitDefender Antivirus 2009

Eset NOD32 Antivirus 4.0

McAfee VirusScan Plus 2010

Comodo Antivirus 3.13

Outpost Antivirus Pro 2009

VBA32 Antivirus 3.12

В итоге только 6 из 17 протестированных антивирусов показали достойные результаты по лечению активного заражения. Согласно действующей для всех подобных тестов системы награждения, высшую награду Platinum Malware Treatment Award в этот раз не получил никто.

Лучшими по результатам теста оказались Dr.Web и Антивирус Касперского, которые корректно вылечили систему в 13 из 16 случаев и получили заслуженную награду Gold Malware Treatment Award .

Хорошие результаты также показали антивирусы Avast! Professional Edition и Microsoft Security Essentials, получившие награду Silver Malware Treatment Award , а также Norton AntiVirus и F-Secure Anti-Virus, получившие Bronze Malware Treatment Award .

Отдельно необходимо отметить неожиданно высокие результаты нового бесплатного антивируса Microsoft, который с первого же раза сумел войти в призеры этого сложного теста. Такой результат свидетельствует, что корпорация уделяет внимание проблеме устранения активных заражений.

Также необходимо сделать комментарий относительно VBA32 Antivirus. Дело в том, что в составе дистрибутива этого антивируса идет Vba32 AntiRootkit, который необходимо запускать отдельно (в интерфейсе нет информации о нем) и производить удаление вредоносных программ из системы в ручном режиме. Тоже самое касается и утилиты Eset SysInspector. Согласно методологии теста мы не могли их учитывать, но эффективность этих программ (также как и других антируткитов и утилит для лечения системы) мы проверим в самом ближайшем будущем отдельном тесте.

Чтобы ознакомиться с подробными результатами теста и убедиться в правильности итоговых расчетов, вы можете скачать результаты теста в формате Microsoft Excel.

Анализ изменений в сравнении с предыдущими тестами

В заключение хотелось бы проанализировать результаты всех наших тестов на лечение активного заражения за 2007-2010 годы.

Таким образом, можно проследить изменения в эффективности лечения сложных случаев заражения для каждого протестированного продукта (за исключением Microsoft, который не участвовал в предыдущих тестах) - см. рисунок 1.

Рисунок 1: Динамика изменения возможностей антивирусов по лечению активного заражения

Рисунок 2: Динамика изменения возможностей антивирусов по лечению активного заражения

Как видно из рисунков 1-2, никакого прогресса в лечении сложных видов угроз по индустрии в целом не наблюдается. Положительную динамику в последних тестах продемонстрировал только Антивирус Касперского и F-Secure. Открытие прошлого теста, Outpost, к сожалению, сдал позиции и не смог закрепиться в группе сильнейших.

Стабильно лучшими антивирусами для лечения активного заражения остаются четыре продукта: Dr.Web, Антивирус Касперского, Avast и Norton. Результаты других антивирусов или балансируют на неудовлетворительном уровне или, что еще хуже, снижаются.

Антон Белоусов, руководитель отдела по работе с ИТ-специалистами и направлению информационной безопасности, Microsoft в России:

"Качество сканирования и умение удалить найденные вредоносные программы является одной из наиболее важных характеристик современного антивируса. И мы очень рады, что наш новый продукт Microsoft Security Essentials уже в первой версии показал хорошие результаты в тесте на лечение активного заражения. Также мы продолжаем работу над улучшением качества сканирования и быстродействием нашего продукта. Но уже сейчас можно сказать, что пользователи, использующие Microsoft Security Essentials, будут надежно защищены от большинства известных на данный момент вредоносных программ.

Отдельно хочется отметить, что в последнее время количество действительно сложных вирусов растет, и проблема их обнаружения и удаления стоит довольно остро. Именно поэтому команда сотрудников Microsoft, отвечающих за создание антивирусных баз растет и пополняется высококлассными специалистами".

Сергей Уласень, начальник отдела разработки антивирусного ядра компании "ВирусБлокАда":

"В борьбе с активными заражениями наша компания выбрала несколько иной путь, который отличается от логики работы, проверяемой в данном тесте. Так в прошлом году мы начали разрабатывать специализированную утилиту VBA32 AntiRootkit. В задачи данной утилиты входит поиск и возможность обезвреживания активных заражений. Уже в начале марта бета-тестерам компании будет доступна новая версия VBA32 AntiRootkit 3.12.5.0, функционал которой значительно доработан, и большинство указанных в тесте вредоносных программ можно будет обнаруживать и обезвреживать с ее помощью.
Данная утилита уже сейчас входит в состав антивирусного комплекса VBA32 и доступна всем пользователям в качестве отдельного модуля. В будущем мы планируем взять курс на внедрение технологий, примененных в VBA32 AntiRootkit, в функциональность комплекса в целом".

Комментирует Вячеслав Русаков, ведущий разработчик "Лаборатории Касперского":

В сфере руткитов и сложных угроз прослеживается определенный тренд - вредоносный код становится все более изощренным, используются технологии заражения системных компонент операционной системы, проникновение на компьютер в обход основных модулей защиты антивируса. Современные вредоносные программы используют еще более мощные алгоритмы защиты от обнаружения и лечения антивирусными продуктами. Решения "Лаборатории Касперского" в очередной раз подтвердили свое звание не только как высокотехнологичных антивирусных продуктов, способных предотвратить проникновение вредоносного ПО на компьютер пользователя, но также способных эффективно бороться с заражением внутри системы. Мы продолжаем удерживать баланс между инновационными технологиями и грамотной поддержкой всех направлений развития".

Григорий Смирнов
Александр Щербина
Артем Сальников
Алексей Баранов

Читайте также: