В проведении тестов учавствовали следующие программные продукты:
Ad-Aware SE Personal Microsoft AntiSpyware CA PestPatrol Corporate Edition McAfee AntiSpyware Spy Sweeper A2 (a-squared Personal) Spy Emergency 2005 Spyware Nuker 2005 TauScan
По результатам теста были подведены Итоги, выявлен лидер и общие недостатки протестированных продуктов.
В настоящее время шпионские, а также AdWare-, SpyWare- и Dialer-программы доставляют пользователям не меньше беспокойства, чем компьютерные вирусы и трояны. Как следствие, в последние годы появилось множество программ, предназначенных для поиска и уничтожения SpyWare и AdWare. Цель данной статьи — сравнение ряда популярных продуктов в идентичных условиях на довольно большом числе вредоносных объектов.
Методика тестирования
Для сравнения продуктов был подготовлен набор из 4479 образцов, скомпонованный из ITW, то есть из образцов, найденных на компьютерах пользователей в ходе их лечения за период с апреля по июнь сего года. Группировка файлов была проведена по классификации «Лаборатории Касперского», процентный состав показан на рис. 1.
Рис. 1
Как следует из диаграммы, 38% от количества образцов составляют AdWare и SpyWare (нужно отметить, что в классификации ЛК отсутствует SpyWare — в эту категорию я вынес наиболее вредоносные из представителей AdWare). Подавляющее количество образцов Trojan-Downloader данной коллекции являются программами для скрытной загрузки и установки представленных в коллекции вредоносных программ. Trojan-Spy — это шпионское программное обеспечение в чистом виде, передающее важные сведения о пользователе: пароли, номера кредитных карт, вводимый с клавиатуры текст. В категории Trojan отобраны программы следующих разновидностей: Trojan-Dialer (программы для скрытной модификации параметров набора телефонного номера или дозвона по платным телефонам), Trojan.StartPage (модифицирующие стартовую страницу и параметры поиска Internet Explorer, эти программы также известны как Hijacker), Trojan.LowZones (модифицирующие параметры безопасности Internet Explorer). В категорию «Прочее» попали вредоносные программы других классов — здесь представлено около 50 сетевых и почтовых червей распространенных типов, 12 эксплоитов для Internet Explorer (применяемых для запуска инсталляторов SpyWare) и 70 специализированных троянских программ (TrojanPSW и Trojan-Proxy).
В качестве полигона для тестирования выступил специально подготовленный компьютер с русской версией Windows XP SP2 Professional. Для чистоты эксперимента тестирование каждого из продуктов производилось после восстановления системы из образа. Если у исследуемого продукта предусмотрено обновление баз, то оно в обязательном порядке производилось перед началом теста. В случае обнаружения вредоносной программы эвристикой и при выдаче подозрения это подозрение засчитывалось как детектирование.
В тестировании не участвовал ряд продуктов: в частности в тесте нет антивируса AVP (он детектирует 100% данной коллекции, так как коллекция классифицирована по его протоколу), VBA, UNA, Stop! (с разработчиками данных антивирусов автор ведет обмен ITW-образцами, поэтому их тестирование не может быть корректным); нет в тесте и авторской утилиты AVZ. Не тестировались продукты типа Spybot — Search & Destroy и его аналогов: у них отсутствует файловый сканер как таковой и принципы их работы основаны на изучении реестра и «иммунизации» ПК. Кроме того, с тестирования был снят ряд продуктов, в частности Disspy от H-Desk Software и CounterSpy от Sunbelt Software. Причина проста: эти продукты ищут файлы на диске и процессы в памяти по именам, а вердикт о вредоносности выносится только на основании имени файла, что, естественно, некорректно и весьма опасно, так как случайное совпадение имени приведет к обнаружению якобы вредоносной программы где угодно.
Ad-Aware SE Personal
Данная программа входит в число лидеров по распространенности и известности. Скачать программу можно с http://www.lavasoft.ru/, ее размер 2,5 Мбайт, а распространяется она бесплатно, хотя есть и платные варианты с расширенными возможностями. Установка программы и обновление баз прошли без проблем, сканирование производилось достаточно быстро. Ложные срабатывания на эталонной системе не обнаружены.
Рис. 2
Результаты тестов (рис. 2) вызвали некоторое разочарование: из категории AdvWare было обнаружено только 25%, из SpyWare — 29%, к тому же программа практически бесполезна для борьбы с Dialer и Trojan.Dialer. Анализ пропущенных вредоносных программ показал наличие множества пропусков по распространенным AdvWare различных разновидностей: AdultIt, AdURL, Altnet, Look2Me, MagicControl, MediaTickets, Midadle, NaviPromo, RideMark, SaveNow, Searcher, ShopNav, Sidesearch, WebEx,WebHancer, WinShow, Wintol. Для распространенного AdvWare.WinAd было обнаружено всего 5 образцов из 30.
Microsoft AntiSpyware
Скачать эту программу размером 6,5 Мбайт можно по адресу http://www.microsoft.com/athome/security/spyware/. Распространяется она бесплатно (имеет статус beta-версии). Установка и настройка не вызывают проблем, к тому же имеется мастер обновления программы через Интернет.
Рис. 3
По качеству обнаружения (рис. 3) данный продукт несколько проигрывает Ad-Aware SE, при этом Microsoft AntiSpyware немного лучше обнаруживает троянские программы и хуже — AdWare и SpyWare, хотя показатели сопоставимы: оба эти продукта детектируют не более 1/3 образцов в любой из данных категорий.
CA PestPatrol Corporate Edition
РestPatrol является весьма известным продуктом на рынке, к тому же у него наличествуют корпоративная версия и сайт с описанием вредоносных программ. Для установки PestPatrol необходимо также установить Microsoft .NET Framework (размер самого продукта — 13 Мбайт, Microsoft .NET Framework — около 23 Мбайт). На момент тестирования продукт стоил 40 долл. (информация на сайте: http://store.ca.com/).
Рис. 4
По суммарному количеству найденных вредоносных программ (рис. 4) PestPatrol опережает Ad-Aware и Microsoft AntiSpyware, но разрыв не очень велик. Явный минус — данный продукт практически не обнаруживает программ категории Dialer.
McAfee AntiSpyware
Цена продукта — 30 долл., размер дистрибутива — 7 Мбайт. Установка и настройка проблем не вызвали.
График тестирования (рис. 5) не требует особых комментариев: продукт обнаружил всего 115 образцов наиболее распространенных типов, поэтому рассматривать его как серьезное средство от шпионских программ невозможно.
По результатам тестов (рис. 6) было обнаружено, что Spy Sweeper детектировал в два раза больше вредоносных программ, чем Ad-Aware. Положительным моментом является хорошее детектирование Trojan-Downloader и Dialer (хотя в сумме данный продукт детектировал около 30% образцов). По профилирующей категории AdWare и SpyWare он детектирует более 40% образцов.
A2 (a-squared Personal)
Данный продукт можно найти на сайте разработчика http://www.emsisoft.com/en/; тестировалась версия 1.6, размер дистрибутива — 2 Мбайт. Стоит A2 40 долл. (на сайте есть полнофункциональная триальная 30-дневная версия).
рис. 7
Продукт удивил размером базы — 126 210 сигнатур. Изучение продукта показало, что данный размер базы плохо сочетается с качеством детектирования, хотя в целом продукт показал неплохие результаты (рис. 7) — хорошо детектируются продукты всех категорий, за исключением эксплоитов.
Spy Emergency 2005
Сайт разработчика — http://www.spy-emergency.com, тестировалась версия 2.0.296. Размер — 7,5 Мбайт, цена — 24 долл. Согласно отображаемой продуктом информации, в базе имеется 81 805 сигнатур. Собственно, столь большой объем и внушительный список возможностей послужили причиной тестирования данного продукта.
рис. 8
Как видно из тестов (рис. 8), эффективность данного продукта близка к нулю — детектировано всего 148 образцов из 4479.
Spyware Nuker 2005
Тестировалась версия 3.04.24.1 данного продукта; сайт разработчика http://www.nuker.com/, цена — 40 долл.
Из результатов теста следует, что качество сканирования на невысоком уровне (рис. 9). Кроме того, было обнаружено, что Spyware Nuker ищет файлы по именам. Например, если положить в папку Windows\System32 файл с именем toolbar.dll с любым содержимым, то произойдет однозначное детектирование ее как iSearchToolbar с предложением удалить.
рис. 9
TauScan
ТauScan разработан компанией Agnitum (http://www.agnitum.ru/products/tauscan/index.php), которая знаменита своим продуктом Outpost Firewall. Размер — 1,85 Мбайт, цена — около 10 долл. В описании сказано: «Tauscan — мощная система для обнаружения и обезвреживания всех известных типов троянских коней, которые могут угрожать вашей системе». В тестовой базе более 500 опаснейших Trojan-Spy, поэтому автор и решил протестировать этот продукт.
рис. 10
Результаты тестов удивили и разочаровали (рис. 10): из категории Trojan-Spy на максимальной эвристике было выловлено около 23%, в категориях Trojan-PSW и Trojan детектировался один образец из десяти. Кроме того, тесты показали очень высокий уровень ложных срабатываний.
Общие недостатки протестированных специализированных продуктов
1. Большинство протестированных продуктов проводят поиск SpyWare в реестре и при этом сообщают о найденных ключах как о вредоносных продуктах. Сообщение звучит как: «В реестре обнаружен SpyWare.Gator ...», хотя никакого SpyWare в реестре, конечно, нет, а есть ключ, который сам по себе не опасен.
2. В некоторых продуктах поиск SpyWare сookies доведен до абсурда. По идее, пользователь может удалить cookies, запретить их прием, а IE6+ содержит мощные средства их блокировки, так что опасность cookies явно завышена. К тому же охота на cookies является хорошим маркетинговым ходом, ибо почти всегда на любом ПК можно найти около сотни cookies разных счетчиков/рейтингов.
3. Как ни странно, но несколько протестированных продуктов осуществляют поиск файлов по именам. Мало того, что данная методика совершенно неэффективна (многие вредоносные программы меняют свои имена), но она к тому же потенциально опасна, ибо по мере роста базы растет вероятность ложных срабатываний. Самое же неприятное в том, что если бы выдавалось сообщение «Возможно ...» или «Подозрение на ...», то это было бы еще терпимо, но ведь исследованные продукты сообщают однозначно: «троянская программа», «вирус», «шпион», а потом, естественно, предлагают их удалить. На данный момент единственным надежным методом определения вредоносной программы является сигнатура — начиная от полной MD5 суммы и заканчивая некими выборочными сигнатурами достаточно большого размера внутри файла.
4. В описании многих продуктов гордо заявлено, что у них есть эвристические методики поиска шпионов. Если они и есть, то надежно замаскированы, поскольку в ходе тестов срабатываний эвристики практически не отмечалось.
5. Большинство исследованных продуктов плохо детектируют Trojan-Downloader и Trojan-Dropper. Это большое упущение, так как установка большинства SpyWare происходит именно при помощи программ класса Trojan-Downloader, и если в ходе лечения не удалить загрузчик, то толку от лечения не будет — загрузчик восстановит удаленные программы.
6. Сканеры беспомощны перед RootKit-технологиями, причем под RootKit в данном контексте имеются в виду простейшие методики, например перехват API в UserMode. Элементарный перехватчик делает процессы и файлы невидимыми, а SpyWare с встроенным руткитом становится все больше — известны уже десятки разновидностей.
7. Как показывает практика, цифры, описывающие размеры базы, не являются показателем качества поиска. Хотя и не хочется заострять внимание на конкретных продуктах, но общая тенденция ясна: поразить пользователя огромным количеством чего-то в базе (цифры зачастую внушительные — не менее 30-40 тыс., а подчас порядка 100-120 тыс.).
8. У большинства продуктов отсутствует поддержка проверки архивов и упаковщиков/криптеров, даже самых распространенных, типа UPX.