Clever Geek Handbook

新しいC'T誌の15のりむルス察策プログラムの比范テスト

倚くの情報セキュリティの専門家に完党に無芖されたむベントであるSecurity @ Interopで、 C'T-Russiaマガゞンのパむロット4月版を入手するこずができたした。 今、圌は䌚瀟党䜓の手を歩いおいたす。



C'Tは、15のりむルス察策プログラムの非垞に興味深い思慮深い比范テストを芋぀けたした。 手は最終的に、この非垞に「おいしい」コンテンツの「凊理」に到達したした。 ここでは、方法論ず結論に関する導入郚分のみを玹介したす。 これは非垞に包括的な分析ずなるものであり、それに基づいお、さたざたなベンダヌの補品をscったり賞賛したりするこずが最近流行しおいるそしお今では可胜になっおいる。



新しいコンピュヌタヌテクノロゞヌマガゞンのチヌムにずっお、このような包括的なテストを実斜するこずは、リヌダヌシップにずっお倧きなアプリケヌションであるず信じおいたす。 今、ロシアにも読むべきものがありたす-日曜倧工テスト、人間の蚀語で蚘述され、公平に提出された、それは䞀緒にC'Tチップです。 Sergey IlyinをAnti-Malware.ruから採甚するこずを匷くお勧めしたす。



私はたた、聎衆ず雑誌の䜿呜に぀いおの線集長の蚀葉が奜きでした匕甚

私たちはナンセンスをしおいたせん。 ロシアで最もプロフェッショナルなコンピュヌタヌマガゞンを䜜成しおいたす...



レビュヌの著者であるPavel Shoshinず、CHIPから移動した線集長のAndrei Kokourovに敬意を衚したす。 私は圌らのプロフェッショナリズムにこれほど自信を持っおいたせんでしたが、結局のずころ、CHIP圢匏ではすべおが「読みやすい」圢匏によっお決定されたした。



䞀般的に、私は雑誌の賞賛を曞いた、あなたは読曞に進むこずができたす。 :)





ビッグハント



トロむの朚銬、スパむりェア、ボット-ここではすべお同じように芋えたすが、それでも違いはありたす。1時間ごずに、1000人以䞊の新人がアンチりむルス研究所のりむルス「動物園」を埋め尜くしおいたす。 たた、15個のりむルス察策プログラムのテスト結果から刀断するず、それらの倧半はりむルス察策保護をすり抜けおいたす。



アンチりむルス業界の著名人ずずもに、Avast Antivirus Pro、AVG Anti-Malware、Avira AntiVir Personal Edition Premium、BitDefender、CA Antivirus Plus、ClamWin、Dr.Web、F-Secure Antivirus、McAfee VirusScan、Microsoft OneCareなどの゚キゟチックなプログラムがテストに合栌したした、およびTrend Micro Antivirus + Antispyware。



マルりェアを怜出する䞻なメカニズムは、既知の文字列でファむルを怜玢するこずです。 このような眲名認識の品質は、ITWりむルスのセット英語のIn Wildから-テスト時にナヌザヌに本圓の危険をもたらすりむルスをチェックするこずによっお決定されたす。 ただし、珟時点で最もアクティブなマルりェアのクラスであるトロむの朚銬を衚しおいないずいう理由だけで、このアプロヌチが支配的になるこずはありたせんでした。 さらに、このりむルスのリストは頻繁に補充されず、絶えず陳腐化しおおり、玄1,400のコピヌで構成されるリスト自䜓は小さすぎたす。 したがっお、この堎合のITWテストは、実隓の完党性のためにのみ実行され、結果を合蚈するずきにその結果は考慮されたせんでした。



アバスト たた、Kaspersky Anti-Virusは非垞によく機胜したせんでしたが、オンデマンドでスキャンするず、ITWセットからすべおのりむルスが怜出され、その堎で䞡方のパッケヌゞが1぀のファむルを倱い、スキャンの品質に関連する問題を瀺したした。 しかし、ClamWinずDr.Webはより重倧なミスを犯し、それぞれ25りむルスず7りむルスをスキップしたした。



独自のテストの堎合、りむルス察策プログラムは、100䞇を超えるワヌム、バックドア、ボット、およびトロむの朚銬を含むりむルスデヌタベヌスをスキャンする必芁がありたした。 この堎合、過去6か月間に実際にアクティブであった悪意のあるコヌドのみが䜿甚されたした。 DOSずWindows 95の時代から絶滅した恐竜は考慮されたせんでした。



テスト時には、最高の認識率を埗るこずが望たしいのですが、どのスキャン方法でも絶察にすべおのりむルスを怜出できるものではないこずがわかりたした。 特に、Avira補品は理想に近づき、印象的な結果をもたらしたした-99を超える認識。 肯定的な評䟡に必芁な95の結果は、Avast、AVG、BitDefenderの3぀の補品でさらに受け取られたした。 既に述べたように、このテストではあたりよく芋えなかったClamWinずDr.Webに加えお、CA Antivirusは55の結果で匱く芋えたした-信頌できる保護には明らかに䞍十分です。



アドりェアずスパむりェアを特定するず、良奜な結果が埗られたした。テストベヌスの合蚈は25,000プログラムです。 以前に、それず戊うために特別なスパむりェア察策ナヌティリティが必芁だった堎合、開発者はマルりェアのこのシグネチャカテゎリにデヌタを含めたす。 誀解はありたせんでした。ここでは「悪意のある」ずいう甚語が非垞に適切です。秘密情報を抜出したり、ナヌザヌの関心のリストを䜜成しおネットワヌク経由で送信できるナヌティリティはこのタむトルに倀したす ずころで、りむルス「動物園」にうたく察凊したプログラムは、スパむりェアの怜出を䌎うテストで優れおいるこずが刀明したした。 このテストでは、CA AntivirusおよびNorton Antivirusは倱敗したした。



党䜓像の良い点は、開発者が゜フトりェアの曎新頻床を増やし、新しいりむルスの脅嚁ぞの察応速床を高めたこずです。 この点では、SoftwinずKaspersky Anti-Virusがリヌドしおいたす。 CA Antivirus、McAfee、およびMicrosoftのナヌザヌのみが、最速の競合他瀟ず比范しお平均で12時間以䞊、曎新された眲名を埅぀こずを䜙儀なくされおいたす。 しかし、Microsoft One Careからの曎新は1日以䞊も遅れたした。



芋えないものが芋える

眲名認識の良い結果ず曎新間の短い間隔がコンピュヌタを確実に保護するには䞍十分である理由は、簡単な蚈算で瀺すこずができたす。 開発者が必芁な眲名を䜜成し、チェックしお、新しいトロむの朚銬プログラムが出珟しおから1時間以内にクラむアントに送信する時間があるずしたす。 ただし、珟時点では、マルりェアは玄10,000台のアクティブなゟンビコンピュヌタヌを䜿甚しおボットネットワヌクを介しお拡散しおいたす。 それぞれが3秒以内぀たり、1時間に1,000通以䞊に電子メヌルを送信できたす。 その結果、ボットネットワヌクの所有者は、最初の眲名が衚瀺されるたでに玄1,000䞇人の犠牲者に到達する時間を確保できたす。 もちろん、いく぀かの数字に぀いおは議論の䜙地がありたすが、䞀般的な原則は明確です。流行が発生した堎合、眲名は垞に遅れたす。



以前は未知の害虫を怜出できるプログラムを䜜成するために、開発者はヒュヌリスティック手法を䜿甚し始めたした。 特に、テスト察象のプログラムが垞駐モゞュヌルをメモリにロヌドしようずした堎合に、兞型的なコヌドシヌケンスを識別したり、譊告を発行したりできたす。



私たちがチェックしおいるりむルス察策゜フトりェアは、叀い眲名の助けを借りお新しいりむルスを怜出したはずです。



ビヘむビアヌアナラむザヌテスト



行動分析予防的防埡は、悪意のあるファむル自䜓を認識するためだけに機胜する眲名およびヒュヌリスティック手法ずは異なりたす。 テストの違いは、テストされたパッケヌゞのいずれも眲名を䜿甚しお識別できないりむルスの遞択から始たりたす。 起動時に、りむルスは毎回同じ環境に萜ち、たずえば、テスト時に察応するサヌバヌが存圚しなくなった可胜性があるにもかかわらず、ネットワヌクからコンポヌネントをダりンロヌドできる必芁がありたす。



テストの過皋で、りむルスには、その動䜜、およびりむルス察策プログラムの動䜜を監芖および監芖する機䌚が䞎えられたす。 保護が䜜業の䞭断を提案する堎合、テストは停止したす。 その埌、りむルスが䟵入しお損傷を匕き起こしたかどうか、たたは攻撃が正垞に撃退され、開いおいるファむルず登録キヌが削陀されたかどうかを確認したす。



合蚈で、Windowsにずっお危険な12のりむルスがテストされたしたSpy.VB.QJ、Packer、DNS-Changer.OL、Rbot.BMR、Hmir.DK、Delf.FYR、IRCBot.CHR、Agent.CDM、RBot.XKW 、PcClient.BAL、Pakes.AKT、Zlob.KF。 プログラムを評䟡する際、結果ずしおコンピュヌタヌが感染しおいなかった堎合、぀たり、りむルスが実行するコンポヌネントをむンストヌルできなかった堎合、1ポむントを受け取りたした。 りむルス察策゜フトりェアが次の起動時にシステムが感染しなかったこずが成功した堎合、りむルス察策は半分のポむントを受け取りたした。



特に通垞の操䜜䞭に発生する特定のアクションに関するメッセヌゞを提䟛するためにのみ䜿甚される堎合、行動認識方法は倱敗する傟向がありたす。 したがっお、ICQ、Winamp、Microsoft Officeなどの10の暙準プログラムのむンストヌルず曎新に基づいお、誀怜知の割合も確認したした。



ラむフアンカヌ

眲名認識方法は信頌できる保護を提䟛せず、ヒュヌリスティック分析には高い信頌性がないずいう事実は、数幎前から知られおいたす。 この問題の解決策も知られおいたす。システムを監芖するずき、アンチりむルスはその動䜜によっお以前に未知のマルりェアも認識する必芁がありたす。 䞍審なアクティビティが増えるず、圌はナヌザヌに譊告し、コンピュヌタヌに害を及がす可胜性のあるタスクを停止するか、以前に実行した操䜜をキャンセルするこずを提案したす。 Proactive Guardず呌ばれるこの機胜は、ビヘむビアアナラむザであり、Behavioral Blockerず呌ばれるこずもあり、倚くの゜フトりェア補品にも芋られたす。



私たちのテストでは、かなり残念な結果が瀺されたした。 F-SecureのF-Secure Deepguardだけが、12個の「ペスト」すべおを認識し、ほずんどの堎合、コンピュヌタヌの感染を防ぐこずに成功したした。 それに加えお、Kaspersky Anti-VirusおよびBitDefenderは、動䜜によっおマルりェアを怜出するこずもできたした。 ただし、システムの感染を完党に防ぐこずはできたせんでした。



開発䌚瀟のMcAfee、Norton、Microsoft、およびTrend Microは、最も抵抗が少なく、疑わしいプログラムの動䜜をナヌザヌ自身に評䟡するこずを提案しおいたす。 これらのメヌカヌのりむルス察策プログラムを䜿甚するず、゜フトりェアファむアりォヌルの倜明けによく芋られるメッセヌゞに出くわすこずがありたす。「XYZプログラムは䜕らかのアクションを実行したい-蚱可したすか」 キャッチはこれです。このようなメッセヌゞは、ほずんどの堎合、レゞストリに自動起動アむテムを远加するなど、個々のアクションを参照したす。 ナヌザヌがこのアクションを犁止しおいおも、りむルスはただ䞭和されたせん。 䞀郚のコンポヌネントはただアクティブのたたです。 さらに、無害なプログラムをむンストヌルするず、このような譊告が頻繁に衚瀺されたす。 ナヌザヌ自身がこのプログラムを自分のコンピュヌタヌにむンストヌルしたいので、この方法でのトロむの朚銬はビデオコヌデックによく䌌せお怜出されるこずはほずんどありたせん。



これらの結果は、キヌボヌドから入力されたデヌタをナヌザヌにサむレントに保存する既存のコヌドフラグメントから䜜成された単玔なキヌロガヌを䜿甚した実隓でも確認されおいたす。 キヌロガヌの1぀は自動ロヌドアむテムずしおレゞストリに远加され、もう1぀はカヌネルドラむバヌずしおむンストヌルされ、3぀目はサヌビスずしお远加され、埌者はさらにIRCサヌバヌずの接続を確立したした。 この堎合、F-Secure、BitDefender、Kaspersky Labのプログラムのみが蚱容可胜な結果を​​瀺したした。 F-Secureは、すべおのキヌロガヌを危険床の高いアプリケヌションずしお認識し、これが評䟡に反映されたした。 Kaspersky Anti-Virusは、疑わしいドラむバヌのむンストヌルを報告し、新しいファむルの䜜成ずそれらのスタヌトアップポむントおよびサヌビスずしおの登録に気付きたした。 BitDefenderのB-Haveプログラムは、停のカヌネルドラむバヌを陀くすべおのキヌロガヌを認識したした。



McAfeeおよびTrend Microプログラムは、最初のキヌロガヌによっお行われたレゞストリの倉曎のみを蚘録したした。 NOD32ずOneCareを䜿甚するず、ヒュヌリスティック分析により、自動ロヌドを行うレゞストリブランチにデヌタを入力した最初のキヌロガヌのみが明らかになりたした。 他のアンチりむルスは䜕も怜出できたせんでした。



ゲヌムをかくれんが

たすたす倚くのりむルスがシステム内での存圚を隠すためにルヌトキット方匏を䜿甚しおいたすが、このために十分に準備されおいるりむルス察策プログラムはわずかです。 F-Secure、Norton、およびPandaのプログラムのみがテスト䞭に、すべおのアクティブなルヌトキットを怜出および削陀できたしたが、広く知られたアクセス可胜なサンプルのみを䜿甚したした。 AVGが非アクティブなルヌトキットのみを認識するずいう事実は、プログラムがルヌトキットを怜玢するための別個のモゞュヌルを持っおいるずいう事実を考慮しおも、䜕らかの方法で起因するこずはできたせん。 MicrosoftのClamWin、Dr.Web、McAfee、およびOneCareプログラムにも、このタむプの脅嚁に察抗する手段はほずんどありたせん。



ルヌトキット攻撃が疑われる堎合、ブヌト緊急ディスクは特に重芁です。これにより、システムをロヌドせずにスキャンできたす。 ただし、倚くのメヌカヌはそのようなドラむブを節玄しおいたす。 そしお、お金を節玄しなければ、明らかに䞍正行為をしたす。シマンテックのディスクから、DOSには2002幎の眲名のりむルス察策スキャナヌがロヌドされたす。Pandaは、読み取りモヌドでのみNTFSディスクパヌティションぞのアクセスを提䟛するLinuxベヌスのブヌトディスクを提䟛したす



りむルス察策スキャナヌをだたすために䜿甚されるもう1぀の方法は、開くこずができないアヌカむブファむルを䜿甚するこずです。 同時に、攻撃者は、ZIPアヌカむブなどのコンテンツぞのアクセス暩を倉曎したす。これにより、りむルス察策スキャナヌはそれを開けなくなり、コンピュヌタヌにむンストヌルされおいるナヌティリティの助けを借りお、これを行うこずができたす。 したがっお、りむルスはメヌルゲヌトりェむでチェックされるず気付かれない堎合がありたす。



.rar、.zip、および.cab圢匏の28個の特別に準備されたアヌカむブファむルを䜿甚しお、テスト䞭に同様のマスキング方法に察する個々のりむルス察策の耐性をテストしたした。 これらは、Windows ZIP、WinZIP、WinRar、たたは7zipに統合された暙準のプログラムを䜿甚しお開くこずができたす。 ただし、倉曎されたすべおのアヌカむブでF-Secureのみが隠れたりむルスを怜出したした。



同様の方法で、ブラりザのセキュリティホヌルを䜿甚する悪意のあるコヌドをりむルス察策゜フトから芋えなくするこずができたす。 Internet ExplorerがHTMLペヌゞコヌドの䞀郚の芁玠を完党に無芖するこずは長い間知られおいたす。 たずえば、攻撃者ぱクスプロむトをれロバむトで埋めるこずができるため、りむルス察策デヌタベヌスのサンプルずは異なりたす。 BitDefenderを陀き、すべおのりむルス察策でれロバむトの远加によるトリックが行われたした。 他のプログラムは譊告を出したしたが、゚クスプロむトはそれらを混乱させるこずができたした。



Vistaおよびアンチりむルス

すべおのテストは、Windows Vistaを実行しおいるコンピュヌタヌで実斜されたした。 ほずんどのメヌカヌはすでにプログラムを適合させおいるため、これは問題を匕き起こしたせんでした。



りむルス察策スキャナヌはナヌザヌアカりント制埡UAC機胜を䜿甚しおシステムのフルスキャンに必芁な暩限を取埗する必芁があるため、新しいモデルの暩限のみがいく぀かの問題を匕き起こす可胜性がありたす。 そのため、絶察にすべおのファむルをスキャンできるようにするには、AVGおよびCA Anti-Virusプログラムを管理者ずしお手動で実行する必芁がありたす。 それ以倖の堎合、りむルス察策スキャナヌは他のナヌザヌのフォルダヌをスキップしたす。 F-Secureアンチりむルスではさらに困難です。プログラムは、必芁な暩限があっおも他の人のフォルダを無芖したす。 このようなフォルダは、そこに移動しお、衚瀺された[ナヌザヌアカりント制埡]りィンドりでアクションを有効にした堎合にのみスキャンできたす。 AvastおよびDr.Webを䜿甚しお特別な操䜜を実行する堎合、ナヌザヌは制限付きアカりントを䜿甚するずきに管理者パスワヌドを入力する必芁がありたす。



さらに、Windows XPを実行しおいるコンピュヌタヌで゜フトりェア補品をテストしたした。 同時に、VistaずXPのりむルス察策の結果にほずんど違いは芋られたせんでした。 確かに、プロアクティブな保護やルヌトキット怜玢などの特定の機胜をWindows XPを搭茉したコンピュヌタヌで䜿甚する堎合、他の結果を埗るこずができるこずを考慮する必芁がありたす。



すべおの少し

りむルス察策によっおコンピュヌタヌの速床がどれだけ䜎䞋するかを刀断するために、2぀のテストを実斜したした。最初に、プログラムは合蚈ボリュヌム741 MBで玄8000ファむルのりむルスをチェックする必芁がありたした。 オンザフラむでスキャンするずきのりむルス察策の動䜜を評䟡するために、ロヌカルハヌドドラむブ䞊のファむルもコピヌしたした。りむルス察策がない堎合は47秒かかりたす。



高速はNOD32を瀺したした。 Avast、AVG、Antivir、OneCare、Norton、Panda、TrendMicroなどのプログラムも、システムの速床をあたり䜎䞋させたせんでした。 F-Secureは、4぀のアンチりむルス゚ンゞンが存圚するず倧幅に速床が䜎䞋し、ファむルフォルダヌをコピヌする際の埅機時間が倧幅に増加したKaspersky Anti-Virusによっお、著しく悪い結果が瀺されたした。



ほずんどのりむルス察策゜フトりェアは、メヌルプログラムの動䜜を静かに監芖し、受信メッセヌゞず送信メッセヌゞをスキャンしたす。 アンチりむルス゜フトりェアでは、この関数の存圚が決定的な芁因ではありたせん。これは、たずえ存圚しない堎合でも、添付ファむルを開いたり保存しようずするず、プログラムが譊告を発するためです。 さらに、暗号化された接続を䜿甚する堎合、りむルス察策は䟝然ずしお無力です。



深刻な問題は、りむルス察策プログラムの゜ヌスコヌドの品質が䞍十分であるこずです。 2007幎には、ほずんどすべおの有名なりむルス察策補品に、りむルス察策゜フトりェア業界党䜓の信頌性に疑問を投げかける重倧なセキュリティホヌルがあるこずがわかりたした。 私たちのテストでは、゜フトりェア補品のセキュリティを改善するためにずる察策に぀いおメヌカヌに質問したした。 いく぀かの答えは十分に評䟡できたせんでした。たた、珟実に準拠しおいるかどうかを怜蚌するこずもできたせん。 したがっお、この問題は未解決のたたです。






蚘事にも蚘茉されおいる各補品の評䟡を公開する予定はありたせんが、蚘事の過皋でピボットテヌブルず結論を評䟡できたす。



おわりに



NOD32は、新しいマルりェアの3分の2以䞊を怜出した唯䞀のテスト参加者でした。 2䜍はBitDefenderで、結果は41で、残りのアンチりむルスは3番目に1぀たたはそれ以䞋の脅嚁のみを認識したした。 この堎合、信頌できるコンピュヌタヌ保護に぀いお話すこずはほずんど䞍可胜です。 このような悪い結果は、マルりェア開発者が䜜成を最適化するこずにもっず泚意を払い始めたずいう事実によっお説明できたす。 特に懞念されるのは、テスト䞭にアンチりむルスが1幎前に銖尟よく発芋したりむルスを怜出できなかったこずです。

この問題の解決策は、悪意のあるプログラムの動䜜認識です。ただし、珟圚のずころ、F-SecureのAnti-Virus 2008プログラムでのみ適切に実装されおいたす。 , , , . F-Secure . BitDefender, , , . .

, , Avira, , NOD32, , , . Avast AVG . , . CE Anti-Virus Plus, , ClamWin, . Dr.Web McAfee .

Norton Antivirus, , Windows OneCare. , , . , Avira AVG , . Vista Windows Defender - Norton Antivirus. , , . Avast, , .















, - «» , Anti-Malware.ru.

, / , :

1 — BitDefender, Avira, F-Secure

2 — NOD32, AVG, Avast!, KAV 7, Trend Micro, Panda 2008

3 — Norton AV 2008, McAfee AV 2008, Dr. Web 4.44, MS OneCare

4 — CA, ClamWin



, ?


More articles:


All Articles