Домой Каталог Сайтов Регистрация Доменов Знакомства Галерея    
Доcки: Общая по Израилю Автомобильная Доска Квартиры в Израиле Форум Форум 2

Заказ билетов: Гастроли в Израиле, Концерты, Театры

Word.co.il

29 March, 2024

Касса BRAVO!



Яндекс цитирования


Rambler's Top100
Сентябрь 2006
ПН ВТ СР ЧТ ПН СБ ВС
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30  
Интернет и компьютеры / Безопасность

Тестирование AntiSpyware-программ

 
Автор: Hardware DragonНаписать ПС | | Дата: 26-09-2006 / 17:24 | 8441 просмотров | [1 комментариев]
01.jpg (21.95 KB)

В проведении тестов учавствовали следующие программные продукты:
Ad-Aware SE Personal
Microsoft AntiSpyware
CA PestPatrol Corporate Edition
McAfee AntiSpyware
Spy Sweeper
A2 (a-squared Personal)
Spy Emergency 2005
Spyware Nuker 2005
TauScan

По результатам теста были подведены Итоги, выявлен лидер и общие недостатки протестированных продуктов.


В настоящее время шпионские, а также AdWare-, SpyWare- и Dialer-программы доставляют пользователям не меньше беспокойства, чем компьютерные вирусы и трояны. Как следствие, в последние годы появилось множество программ, предназначенных для поиска и уничтожения SpyWare и AdWare. Цель данной статьи — сравнение ряда популярных продуктов в идентичных условиях на довольно большом числе вредоносных объектов.


Методика тестирования

Для сравнения продуктов был подготовлен набор из 4479 образцов, скомпонованный из ITW, то есть из образцов, найденных на компьютерах пользователей в ходе их лечения за период с апреля по июнь сего года. Группировка файлов была проведена по классификации «Лаборатории Касперского», процентный состав показан на рис. 1.

01.jpg (21.95 KB)

Рис. 1


Как следует из диаграммы, 38% от количества образцов составляют AdWare и SpyWare (нужно отметить, что в классификации ЛК отсутствует SpyWare — в эту категорию я вынес наиболее вредоносные из представителей AdWare). Подавляющее количество образцов Trojan-Downloader данной коллекции являются программами для скрытной загрузки и установки представленных в коллекции вредоносных программ. Trojan-Spy — это шпионское программное обеспечение в чистом виде, передающее важные сведения о пользователе: пароли, номера кредитных карт, вводимый с клавиатуры текст. В категории Trojan отобраны программы следующих разновидностей: Trojan-Dialer (программы для скрытной модификации параметров набора телефонного номера или дозвона по платным телефонам), Trojan.StartPage (модифицирующие стартовую страницу и параметры поиска Internet Explorer, эти программы также известны как Hijacker), Trojan.LowZones (модифицирующие параметры безопасности Internet Explorer). В категорию «Прочее» попали вредоносные программы других классов — здесь представлено около 50 сетевых и почтовых червей распространенных типов, 12 эксплоитов для Internet Explorer (применяемых для запуска инсталляторов SpyWare) и 70 специализированных троянских программ (TrojanPSW и Trojan-Proxy).

В качестве полигона для тестирования выступил специально подготовленный компьютер с русской версией Windows XP SP2 Professional. Для чистоты эксперимента тестирование каждого из продуктов производилось после восстановления системы из образа. Если у исследуемого продукта предусмотрено обновление баз, то оно в обязательном порядке производилось перед началом теста. В случае обнаружения вредоносной программы эвристикой и при выдаче подозрения это подозрение засчитывалось как детектирование.

В тестировании не участвовал ряд продуктов: в частности в тесте нет антивируса AVP (он детектирует 100% данной коллекции, так как коллекция классифицирована по его протоколу), VBA, UNA, Stop! (с разработчиками данных антивирусов автор ведет обмен ITW-образцами, поэтому их тестирование не может быть корректным); нет в тесте и авторской утилиты AVZ. Не тестировались продукты типа Spybot — Search & Destroy и его аналогов: у них отсутствует файловый сканер как таковой и принципы их работы основаны на изучении реестра и «иммунизации» ПК. Кроме того, с тестирования был снят ряд продуктов, в частности Disspy от H-Desk Software и CounterSpy от Sunbelt Software. Причина проста: эти продукты ищут файлы на диске и процессы в памяти по именам, а вердикт о вредоносности выносится только на основании имени файла, что, естественно, некорректно и весьма опасно, так как случайное совпадение имени приведет к обнаружению якобы вредоносной программы где угодно.


Ad-Aware SE Personal

Данная программа входит в число лидеров по распространенности и известности. Скачать программу можно с http://www.lavasoft.ru/, ее размер 2,5 Мбайт, а распространяется она бесплатно, хотя есть и платные варианты с расширенными возможностями. Установка программы и обновление баз прошли без проблем, сканирование производилось достаточно быстро. Ложные срабатывания на эталонной системе не обнаружены.

02.jpg (18.37 KB)

Рис. 2


Результаты тестов (рис. 2) вызвали некоторое разочарование: из категории AdvWare было обнаружено только 25%, из SpyWare — 29%, к тому же программа практически бесполезна для борьбы с Dialer и Trojan.Dialer. Анализ пропущенных вредоносных программ показал наличие множества пропусков по распространенным AdvWare различных разновидностей: AdultIt, AdURL, Altnet, Look2Me, MagicControl, MediaTickets, Midadle, NaviPromo, RideMark, SaveNow, Searcher, ShopNav, Sidesearch, WebEx,WebHancer, WinShow, Wintol. Для распространенного AdvWare.WinAd было обнаружено всего 5 образцов из 30.



Microsoft AntiSpyware

Скачать эту программу размером 6,5 Мбайт можно по адресу http://www.microsoft.com/athome/security/spyware/. Распространяется она бесплатно (имеет статус beta-версии). Установка и настройка не вызывают проблем, к тому же имеется мастер обновления программы через Интернет.


03.jpg (18.26 KB)

Рис. 3

По качеству обнаружения (рис. 3) данный продукт несколько проигрывает Ad-Aware SE, при этом Microsoft AntiSpyware немного лучше обнаруживает троянские программы и хуже — AdWare и SpyWare, хотя показатели сопоставимы: оба эти продукта детектируют не более 1/3 образцов в любой из данных категорий.



CA PestPatrol Corporate Edition

РestPatrol является весьма известным продуктом на рынке, к тому же у него наличествуют корпоративная версия и сайт с описанием вредоносных программ. Для установки PestPatrol необходимо также установить Microsoft .NET Framework (размер самого продукта — 13 Мбайт, Microsoft .NET Framework — около 23 Мбайт). На момент тестирования продукт стоил 40 долл. (информация на сайте: http://store.ca.com/).



04.jpg (18.67 KB)

Рис. 4

По суммарному количеству найденных вредоносных программ (рис. 4) PestPatrol опережает Ad-Aware и Microsoft AntiSpyware, но разрыв не очень велик. Явный минус — данный продукт практически не обнаруживает программ категории Dialer.



McAfee AntiSpyware

Цена продукта — 30 долл., размер дистрибутива — 7 Мбайт. Установка и настройка проблем не вызвали.

График тестирования (рис. 5) не требует особых комментариев: продукт обнаружил всего 115 образцов наиболее распространенных типов, поэтому рассматривать его как серьезное средство от шпионских программ невозможно.

05.jpg (17.98 KB)

Рис. 5



Spy Sweeper

Данный продукт стоит 30 долл., а скачать его можно с сайта разработчиков по адресу: http://www.webroot.com/products/spysweeper-indepth/, размер — 3,8 Мбайт.

7.jpg (20.11 KB)

рис. 6


По результатам тестов (рис. 6) было обнаружено, что Spy Sweeper детектировал в два раза больше вредоносных программ, чем Ad-Aware. Положительным моментом является хорошее детектирование Trojan-Downloader и Dialer (хотя в сумме данный продукт детектировал около 30% образцов). По профилирующей категории AdWare и SpyWare он детектирует более 40% образцов.



A2 (a-squared Personal)

Данный продукт можно найти на сайте разработчика http://www.emsisoft.com/en/; тестировалась версия 1.6, размер дистрибутива — 2 Мбайт. Стоит A2 40 долл. (на сайте есть полнофункциональная триальная 30-дневная версия).

07.jpg (21.61 KB)

рис. 7

Продукт удивил размером базы — 126 210 сигнатур. Изучение продукта показало, что данный размер базы плохо сочетается с качеством детектирования, хотя в целом продукт показал неплохие результаты (рис. 7) — хорошо детектируются продукты всех категорий, за исключением эксплоитов.


Spy Emergency 2005

Сайт разработчика — http://www.spy-emergency.com, тестировалась версия 2.0.296. Размер — 7,5 Мбайт, цена — 24 долл. Согласно отображаемой продуктом информации, в базе имеется 81 805 сигнатур. Собственно, столь большой объем и внушительный список возможностей послужили причиной тестирования данного продукта.

08.jpg (18.01 KB)

рис. 8

Как видно из тестов (рис. 8), эффективность данного продукта близка к нулю — детектировано всего 148 образцов из 4479.



Spyware Nuker 2005

Тестировалась версия 3.04.24.1 данного продукта; сайт разработчика http://www.nuker.com/, цена — 40 долл.

Из результатов теста следует, что качество сканирования на невысоком уровне (рис. 9). Кроме того, было обнаружено, что Spyware Nuker ищет файлы по именам. Например, если положить в папку Windows\System32 файл с именем toolbar.dll с любым содержимым, то произойдет однозначное детектирование ее как iSearchToolbar с предложением удалить.

09.jpg (18.67 KB)

рис. 9


TauScan

ТauScan разработан компанией Agnitum (http://www.agnitum.ru/products/tauscan/index.php), которая знаменита своим продуктом Outpost Firewall. Размер — 1,85 Мбайт, цена — около 10 долл. В описании сказано: «Tauscan — мощная система для обнаружения и обезвреживания всех известных типов троянских коней, которые могут угрожать вашей системе». В тестовой базе более 500 опаснейших Trojan-Spy, поэтому автор и решил протестировать этот продукт.

11.jpg (18.65 KB)

рис. 10

Результаты тестов удивили и разочаровали (рис. 10): из категории Trojan-Spy на максимальной эвристике было выловлено около 23%, в категориях Trojan-PSW и Trojan детектировался один образец из десяти. Кроме того, тесты показали очень высокий уровень ложных срабатываний.



Общие недостатки протестированных специализированных продуктов

1. Большинство протестированных продуктов проводят поиск SpyWare в реестре и при этом сообщают о найденных ключах как о вредоносных продуктах. Сообщение звучит как: «В реестре обнаружен SpyWare.Gator ...», хотя никакого SpyWare в реестре, конечно, нет, а есть ключ, который сам по себе не опасен.
2. В некоторых продуктах поиск SpyWare сookies доведен до абсурда. По идее, пользователь может удалить cookies, запретить их прием, а IE6+ содержит мощные средства их блокировки, так что опасность cookies явно завышена. К тому же охота на cookies является хорошим маркетинговым ходом, ибо почти всегда на любом ПК можно найти около сотни cookies разных счетчиков/рейтингов.
3. Как ни странно, но несколько протестированных продуктов осуществляют поиск файлов по именам. Мало того, что данная методика совершенно неэффективна (многие вредоносные программы меняют свои имена), но она к тому же потенциально опасна, ибо по мере роста базы растет вероятность ложных срабатываний. Самое же неприятное в том, что если бы выдавалось сообщение «Возможно ...» или «Подозрение на ...», то это было бы еще терпимо, но ведь исследованные продукты сообщают однозначно: «троянская программа», «вирус», «шпион», а потом, естественно, предлагают их удалить. На данный момент единственным надежным методом определения вредоносной программы является сигнатура — начиная от полной MD5 суммы и заканчивая некими выборочными сигнатурами достаточно большого размера внутри файла.
4. В описании многих продуктов гордо заявлено, что у них есть эвристические методики поиска шпионов. Если они и есть, то надежно замаскированы, поскольку в ходе тестов срабатываний эвристики практически не отмечалось.
5. Большинство исследованных продуктов плохо детектируют Trojan-Downloader и Trojan-Dropper. Это большое упущение, так как установка большинства SpyWare происходит именно при помощи программ класса Trojan-Downloader, и если в ходе лечения не удалить загрузчик, то толку от лечения не будет — загрузчик восстановит удаленные программы.
6. Сканеры беспомощны перед RootKit-технологиями, причем под RootKit в данном контексте имеются в виду простейшие методики, например перехват API в UserMode. Элементарный перехватчик делает процессы и файлы невидимыми, а SpyWare с встроенным руткитом становится все больше — известны уже десятки разновидностей.
7. Как показывает практика, цифры, описывающие размеры базы, не являются показателем качества поиска. Хотя и не хочется заострять внимание на конкретных продуктах, но общая тенденция ясна: поразить пользователя огромным количеством чего-то в базе (цифры зачастую внушительные — не менее 30-40 тыс., а подчас порядка 100-120 тыс.).
8. У большинства продуктов отсутствует поддержка проверки архивов и упаковщиков/криптеров, даже самых распространенных, типа UPX.

Олег Зайцев
Источник: Compress.ru

версия для печати версия для печати | версия для печати с комментариями
0 Просмотреть другие публикации на совпадающие темы: Ad-Aware SE Personal, Microsoft AntiSpyware, CA PestPatrol Corporate Edition, McAfee AntiSpyware, Spy Sweeper, A2 (a-squared Personal), Spy Emergency 2005, Spyware Nuker 2005, TauScan, AdWare, Ad Ware, SpyWare, Trojan, удалить трояна, троянский конь, виру
 
совершенно зря пропустили SpyBot
Gugul Написать ПС Дата: 27-09-2006 / 11:26 Быстро цитировать
 
Логин:
Пароль:
  входить автоматически







[Баннер небоскреб 120х600]

Даже нулевой сайт может приносить заработок для своего владельца
Автоматизированная система продажи ссылок и статей со своего сайта



Профессиональные дизайны для сайтов
ДЕШЕВО!

WaterMark   IsraWord
Copyright © IsraWord 2002