Технология лечения активного заражения. Лечение активного заражения

Среди общего потока вредоносных программ, не отличающихся изощрённой функциональностью, находятся образцы, в которых используются необычные или даже новаторские технологические приемы по обеспечению работоспособности вредоносной программы в поражённой системе. Это ведёт к значительному усложнению процесса удаления таких вредоносных программ. Результаты теста данного теста позволяют ответить на вопрос: насколько эффективно популярные антивирусы могут помочь в лечении поражённой системы?

Несмотря на тот факт, что активная фаза распространения вредоносных программ, несущих в себе различные техники своего сокрытия в инфицированной системе, датируется 2012-2013 годами и на смену ей пришла волна значительно менее технологичных семейств, за прошедшие два года было отмечено появление ряда интересных с точки зрения лечения вредоносных программ.

Появление новых технологических приемов при разработке вредоносных программ, даже на уровне концептуальной реализации, в большинстве случаев сводит к нулю эффективность функций популярных антивирусов в лечении активного заражения. Что обеспечивает устойчивую жизнеспособность вредоносной программы в скомпрометированной системе.

Со временем разработчики антивирусов вносят изменения в свои продукты, позволяющие детектировать активное заражение, тем самым предотвращая его дальнейшее распространение, пишут многочисленные статьи с содержательным анализом особенностей новой вредоносной программы. И на этом обычно дело заканчивается. Однако при этом упускается вопрос – а насколько эффективно справится антивирус с нейтрализации новой вредоносной программой в её активном состоянии? Ибо публикация содержательного анализа работоспособности вредоносной программы – это лишь способность антивируса к эффективному лечению на бумаге, но далеко не всегда на практике.
Информационно-аналитический центр Anti-Malware.ru с 2007 года регулярно проводил тестирования на лечение активного заражения, тем самым отслеживая динамику возможностей популярных антивирусов по успешной нейтрализации вредоносных программ, находящихся в активном состоянии.

Цель данного теста - проверить персональные версии антивирусов на способность успешно (не нарушая работоспособности операционной систем) обнаруживать и удалять уже проникшие на компьютер вредоносные программы в их активном состоянии на практике.

Введение

В тестировании участвовали релизные версии следующих 15 антивирусных программы, отобранные в ходе открытого обсуждения (сборки актуальны на момент начала теста):

• Avast! Internet Security 2015.10.0.2208
• AVG Internet Security 2015.0.5646
• Avira Internet Security 14.0.7.468
• Eset Smart Security 8.0.304.0
• Kaspersky Internet Security 15.0.1.415(b)
• BitDefender Internet Security 18.20.0.1429
• Emsisoft Internet Security 9.0.0.4799
• Dr.Web Security Space Pro 10.0.0.12160
• Microsoft Security Essentials 4.6.0305.0
• McAfee Internet Security 14.0
• Norton Security 22.1.0.9
• Qihoo 360 Internet Security 5.0.0.5104
• TrustPort Internet Security 15.0.0.5420
• Panda Internet Security 15.0.4
• Trend Micro Titanium Internet Security 8.0.1133

Тестирование проводилось на вредоносных программах, удовлетворяющих условиям методологии тестирования исключительно для платформы Microsoft Windows 7 x64:

• APT (Uroburos, Turla)
• Cidox (Rovnix, Mayachok, Boigy)
• Poweliks (Powessere)
• Backboot (WinNT/Pitou)
• WMIGhost (HTTBot, Syndicasec)
• Stoned (Bebloh, Shiptob, Bublik)
• Pihar (TDL4,TDSS, Alureon, Tidserv)
• SST (PRAGMA, TDSS, Alureon)
• Zeroaccess (Sirefef, MAX++)

Таким образом, для теста было отобрано 9 концептуальных с технологической точки зрения образцов вредоносных программ, которые были замечены в общем потоке вредоносных программ.
Напомним, что, в соответствии с используемой схемой анализа результатов и награждения, (+) означает, что антивирус успешно устранил активное заражение системы, при этом работоспособность системы была восстановлена (или не нарушена). (-) означает, что антивирус не смог устранить активное заражение или при лечении была серьезно нарушена работоспособность системы (например, BSOD). (-*) означает, что за несколько месяцев ожидания и многократных отправлений образцов на анализ в антивирусную лабораторию детект так и не был добавлен.

Как видно по результатам теста самым сложным для лечение оказалась бесфайловая вредоносная программа WMIGhost. Обнаружить и вылечить ее смог только Kaspersky Internet Security. Далее по сложности лечения идут вредоносные программы, использующие технологии инфицирования загрузочных секторов диска (Backboot, Pihar, SST и cidox). Проблемы с обнаружением и лечением возникают даже несмотря на то, что участвующие в тесте вредоносных программ этого класса существуют уже не первый год.

Важно отметить неспособность подавляющего большинства антивирусов обнаружить и нейтрализовать вредоносный код в оперативной памяти, что подтверждается результатами лечения Stoned (он же Bebloh, Shiptob, Bublik).
В целом для индустрии картина неутешительна. Большинство популярных антивирусов неспособно корректно вылечить поражённую систему даже на тех семействах вредоносных программ, которые известны уже не один год.

В этом году только 6 из 15 протестированных антивирусов показали достойные результаты по лечению активного заражения, что несколько лучше уровня последних лет.
Единственным антивирусом, успешно справившимся с лечением всех образцов из тестового набора, является Kaspersky Internet Security, получивший заслуженную награду Platinum Malware Treatment Award. Награду Gold Malware Treatment Award в этом году не получает ни один из протестированных антивирусов.

Разделяют второе, третье и четвёртое места антивирусы Avast! Internet Security, BitDefender Internet Security и Dr.Web Security Space Pro, нейтрализовавшие шесть предложенных образцов из девяти (67%).Они получают награду Silver Malware Treatment Award.

Пятое и шестое места разделили Microsoft Security Essentials и Norton Security, успешно вылечившие четыре образца из девяти (44%) и получившие награду Bronze Malware Treatment Award). Остальные антивирусы провалили тест. Так AVG Internet Security и Eset Smart Security, сумели нейтрализовать лишь три образца из девяти (33,3%).

Далее следуют Qihoo 360 Internet Security 5.0.0.5104 и Trend Micro Titanium Internet Security, успешно вылечившие только два образца из девяти (набрав 22,2%). Среди аутсайдеров теста оказались McAfee Internet Security, Panda Internet Security и Avira Internet Security, которые смогли справиться лишь с одним образцом из девяти (11,1%). Полностью провалили тест антивирусы Emsisoft Internet Security и TrustPort Internet Security. Они не смогли вылечить ни одного отобранного для теста образца.

Анализ изменений в сравнении с предыдущими тестами
В заключение проанализируем результаты всех наших тестов на лечение активного заражения за 2011-2015 годы. Для этого к результатам теста были добавлены результаты двух предыдущих тестов, которые вы можете посмотреть здесь. Таким образом, можно проследить изменения в эффективности лечения сложных случаев заражения для каждого протестированного продукта.

Неизменно высокие места занимают отечественные антивирусы - Kaspersky Internet Security и Dr.Web Security Space Pro, хотя у последнего отмечается тенденция к снижению эффективности лечения. Avast! Internet Security и BitDefender Internet Security снова показали относительно высокие результаты, что свидетельствует о постоянном внимании к проблеме лечения сложных заражений. На среднем уровне по эффективности лечения балансируют Norton Security и Microsoft Security Essentials, что очень странно для таких грандов рынка, обладающих всеми необходимыми ресурсами. На фоне продолжающейся тенденции к общему по индустрии снижению эффективности в лечении активного заражения, результаты некоторых антивирусов улучшились относительно прошлого года, среди них: Avast! Internet Security, Eset Smart Security, AVG Internet Security и Norton Security. В целом же очевидно, что из-за большого потока вредоносных программ, требующих своего добавления в антивирусные базы, большинство производителей не уделяют внимания вопросам лечения активного заражения.

Илья Шабанов, руководитель AM Test Lab:
«В этом году мы провели тест полностью на системе Windows 7 x64, что сузило возможности отбора подходящих вредоносных программ, но позволило сконцентрироваться только на актуальных задачах лечения активного заражения.В целом по индустрии результаты продолжили снижаться, что полностью находится в тренде последних лет. У большинства производителей нет ресурсов и специалистов разбираться со сложными вредоносными программами. Некоторые производители и вовсе оказались не в состоянии распознать отдельные вредоносные программы из нашей подборки и за несколько месяцев так и не добавили на них детект, несмотря на многократные обращения. С другой стороны часть вендоров сумела улучшить результаты в сравнении с 2012 годом. Это позволяет надеяться, что проблемы лечения сложных заражений не будут оставлены без внимания в будущем».

Александр Шевцов, инженер по тестированию AM Test Lab:
«Подводя итоги очередного теста испытываешь некоторое разочарование – умение лечить активное заражение по-прежнему не является достоинством антивируса у большинства вендоров. Да, некоторые из них все-таки провели работу над ошибками, новые версии их продуктов показали лучшие результаты с семплами, принимавшими участие в прошлом тесте, но в большинстве своем результаты не изменились. С новыми же угрозами, в основном, результаты просто провальные. Хуже всего то, что часто антивирус вообще не видит никаких признаков активного заражения, внешне оно может никак себя не проявлять и пользователь пребывает в полном неведении о происходящем. Переходя к конкретике, хотелось бы отметить Avast, показавший явно положительную динамику, и Dr.Web, удививший низкими результатами в борьбе с новыми угрозами. Стабильно хорошие результаты показывает BitDefender, но почивать на лаврах рано, еще есть куда стремиться. Новички теста ничем не порадовали, Emsisoft и Trustport тест провалили полностью».

Вячеслав Русаков, эксперт Anti-Malware.ru:
«Прошло почти 3 года с последнего теста на лечение активного заражения от AM Test Lab. Инновации в «руткитостроении» заморожены, господа вирусописатели продолжают топтаться на месте и лишь изредка обновляют свои творения. То ли закончились мысли и идеи, то ли всё уже исследовано вдоль и поперёк, то ли нет никакого смысла корпеть над новыми способами удержаться в заражённой системе, когда старые способы работают (см. результаты теста). Эволюция вместо революции? Разве что в отношении бестелесного вредоносного кода, живущего в пользовательском пространстве. Вышеуказанный способ не вызывает никаких сложностей с излечением заражённой системы, его и новым-то назвать сложно, скорее – хорошо забытое старое. А ведь поле для деятельности довольно большое, технологии не стоят на месте: гипервизоры, UEFI, IoT, бум мобильных технологий – есть где «развернуться». Пока что это всё удел свободных исследователей и авторов APT. Каждый мой комментарий к тесту на лечение активного заражения я заканчивал тем, что указывал на то, что необходимо уделять должное внимание проблеме излечения, но в этот раз не буду. Не о лечении как таковом я говорил, а о качестве технологий, о том, как важно следить за тем, что происходит в мире вирусописателей, держать руку на пульсе и поддерживать собственные технологии в актуальном состоянии. По большому счёту результаты не интересны обычным пользователям. До первого заражения системы с активным антивирусом, до первой провальной установки антивирусного продукта на заражённую систему, до первого синенького экрана смерти. После этого провальный антивирус меняется на более эффективный».

Василий Бердников, эксперт Anti-Malware.ru:
«После длительной паузы почти в 3 года, AM Test Lab провел очередной тест на лечение активного заражения. Стоит отметить, что аналогичных тестов так еще никто и не проводит. По понятным причинам. Хотя кое-какие попытки были у известных тестовых лабораторий, правда, спонсорам тестов это не очень понравилось и для получения заветных «медалек» результаты теста на лечение не стали учитываться. Касаемо проведенного тестирования. Результаты в целом остались, как и прежде, удручающими для многих производителей антивирусных продуктов. Причем, стоит отметить, что сложные угрозы типа bootkits постепенно уходят, и на текущий момент активно распространяются лишь два семейства - Rovnix и Pitou. Причем уже несколько лет какого-либо серьезного развития этих семейств с точки зрения противодействию обнаружению и лечению не происходит. Зато появился новый тренд в развитии malware – безфайловые вредоносные программы. Многие антивирусные вендоры оказались совершенно не готовы к обнаружению и лечению таких угроз. Смена тренда со сложных угроз типа буктита на безфайловую малварь понятна: проще разработка, меньше проблем с совместимостью и может работать и на современных осях под GPT. При этом, как оказалось, жить такие вредоносные программы могут очень долго и не заметно для штатного антивируса. Повторю свои слова трехлетней давности: большинство антивирусных вендоров не уделяет должного внимания обнаружению сложных современных угроз и корректному излечению зараженных систем. Или же уделяет внимание, но не защите пользователей, а скорее публикации статей и PR в СМИ. Как и прежде, доходит до смешного: white-paper готов, а обнаружения и лечения так и нет».

• Александр Шевцов
• Александр Щербина
• Роман Герцвольф

«Методы защиты от компьютерных вирусов» - Сетевые вирусы. Хором называем цвет слова. Виды компьютерных вирусов. Распространенные виды вирусов. Полифаги. Дополнительные типы вирусов. Макровирусы. Файловые вирусы. Блок контроля. Признаки появления вирусов. Троянские программы. Наиболее известные антивирусныe программы. Сетевые черви. Каналы распространения.

«Защита компьютера от вредоносных программ» - Действия при наличии признаков заражения компьютера. Сигнатуры. Потенциально опасное программное обеспечение. Поиск новых вирусов. Частые зависания и сбои. Антивирусный монитор. Определение вредоносных программ. Типы вредоносных программ. Защита от вредоносных программ. Распространение вредоносных программ.

«Программа от вирусов» - Небольшая по размерам. Программы- Доктора Обнаруживают и «лечат» программы и диски. "Лечат" зараженные ресурсы. Программа. Какие? Компьютерные вирусы и антивирусные программы. Что делать, чтобы избежать «заражение»? Способная самопроизвольно присоединяться. Представители антивирусных программ:

«Антивирус Касперского для Windows» - Схема антивирусного комплекса ЛК. Сервера электронной почты. Поддерживаемые операционные системы. Обновленные приложения. Сетевые сервера. Demo: Удаленная установка приложений. Обновленная линейка продуктов ЛК. Корпоративная сеть. Создание логической сети Kaspersky Administration Kit. Этапы установки.

«Компьютерные вирусы и антивирусные программы» - Полифаги-мониторы. Краткий обзор антивирусных программ. Макро-вирусы. Файловые вирусы. Признаки появления вирусов. Тест по пройденному материалу. Хакерские утилиты и прочие вредоносные программы. Вообще, что такое вирус. Сетевые вирусы. Ревизоры. Параметры. Наиболее известные из антивирусных программ.

«Защита от сетевых червей» - Проверка скриптов в браузере. Что необходимо сделать в первую очередь в случае заражения компьютера вирусом? Из средств массовой информации. В чём заключается принцип работы антивирусных программ? 11. Результаты работы межсетевого экрана. Межсетевой экран. Модуль проверки скриптов на языках javascript и vbscript.

Независимая исследовательская лаборатория AV-Comparatives опубликовала результаты тестирования антивирусных продуктов, проводимого в ноябре 2012 года. В этот раз сравнивалось, насколько различные антивирусы способны удалять вредоносное ПО (лечить активное заражение системы). Тестирование проводилось в 64-разрядной ОС Windows 7 Professional SP1.

В испытании приняли участие решения 13 производителей (с настройками по умолчанию):

• avast! Free Antivirus 7.0
• AVG Anti-Virus 2013
• AVIRA Antivirus Premium 2013
• Bitdefender Antivirus Plus 2013
• BullGuard Antivirus 2013
• ESET NOD32 Antivirus 5.2
• Fortinet FortiClient Lite 4.3
• F-Secure Anti-Virus 2013
• G DATA AntiVirus 2013
• GFI Vipre Antivirus 2013
• Kaspersky Anti-Virus 2013
• Panda Cloud Antivirus Free 2.0.1
• PC Tools Spyware Doctor with Antivirus 9.0

Данный тест оценивает только способности антивурусов удалять вредоносное ПО и восстанавливать систему после заражения, поэтому семплы вирусов, которые использовались в данном сравнении, способны обнаружить все протестированные антивирусы. Уровень обнаружения и качество защиты в данном тесте не оценивалось. Но, разумеется, если антивирус не способен обнаружить вредоносный объект, удалить его он тоже не сможет.

Основной целью тестирования было определить, насколько успешно различные антивирусы способны удалять вредоносное ПО из уже зараженной системы. Работа антивирусов оценивалась со стороны типичных домашних пользователей, а не администраторов или продвинутых пользователей, обладающих более глубокими знаниями и способных вручную бороться с последствиями заражения. В тестировании эмулировалась следующая ситуация: система уже заражена и должна быть очищена, специальных знаний у пользователя системы нет.

Последовательность тестирования

1. Анализ вредоносных программ, чтобы знать, на что обращать внимание.
2. Заражение тестового компьютера одной угрозой, перезагрузка и проверка, что заражение произошло.
3. Установка и обновление антивируса.
4. Если установка не возможна, загрузка системы в безопасном режиме. Если невозможно установить в безопасном режиме, использование аварийного загрузочного диска соответствующего антивируса (если такой имеется) для полной проверки системы перед установкой.
5. Запуск полного сканирования системы и следование инструкциям антивирусной программы для удаления угрозы (как это делает типичный домашний пользователь).
6. Ручная проверка (анализ) компьютера на наличие остатков удаленного вредоносного ПО.

Система оценок

Оценка антивирусов определялась следующим образом:

a) Удаление вредоносного ПО:

• Вредоносное ПО удалено, остались только незначительные следы (A);
• Вредоносное ПО удалено, но остались некоторые исполняемые файлы, изменения в MBR или реестре (например, точки загрузки и пр.) (B);
• Вредоносное ПО удалено, но остались потенциально опасные проблемы (например, сообщения об ошибках, зараженные hosts-файлы, нерабочий диспетчер задач, проводник, редактор реестра или пр.) (C);
• Удален только упаковщик вредоносного ПО / вредоносные файлы и изменения не удалены / система больше не может использоваться / удалить не удалось (D).

b) Удобство процесса удаления:

• Удалить вредоносное ПО легко можно в обычном режиме (A);
• Удаление требует загрузки в Безопасном режиме или использования встроенных утилит и руководств (B);
• Потребовался аварийный диск восстановления (C);
• Требуется обращение в службу поддержки / удалить вредоносное ПО не удалось (D).

В зависимости от полученных в каждой части оценок антивирусам начислялись соответствующие баллы:

AA = 100
AB = 90
AC = 80
BA = 70
BB = 60
BC = 50
CA = 40
CB = 30
CC = 20
DD = 0

Уровень награды в зависимости от числа набранных баллов:

86-100: Advanced+
71-85: Advanced
56-70: Standard
Меньше 56: Tested

Результаты тестирования

В результате тестирования для различных вредоносных семплов получены следующие оценки:

Итоговые награды

В соответствии с результатами тестирования, антивирусам присуждаются разные награды.

С полным отчетом AV-Comparatives вы можете ознакомиться (PDF).

Каждый день появляются тысячи новых образцов вредоносных программ. В погоне за наживой вирусописатели придумывают все новые методы противодействия обнаружению и удалению своего вредоносного кода из системы антивирусными программами, например, при помощи развития руткит-технологий маскировки. В таких условиях ни один антивирус не способен гарантировать 100% защиту компьютера, поэтому у простого пользователя всегда будут оставаться риски заражения даже с установленной антивирусной защитой.

Во многих случаях пропущенная на компьютер вредоносная программа может очень долго находиться незамеченной, даже при установленном антивирусе. В этом случае пользователь будет испытывать ложное чувство защищенности - его антивирус не просигнализирует о какой-либо опасности, в том время как злоумышленники при помощи активной вредоносной программы будут собирать его конфиденциальные данные или использовать мощности компьютера в своих целях. Также нередки случаи, когда вредоносная программа обнаруживается антивирусом, но удалить ее он не может, что вынуждает пользователя обращаться в техническую поддержку или же самостоятельно устранять заражение при помощи дополнительных утилит.

Антивирусные вендоры могут защитить своих клиентов, развивая технологии обнаружения проникшего на компьютер вредоносного кода и его корректного удаления. Но, как показывает практика, далеко не все уделяют этому аспекту защиты должное внимание.

Цель данного теста - проверить персональные версии антивирусов на способность успешно (не нарушая работоспособность операционной систем) обнаруживать и удалять вредоносные программы, уже проникшие на компьютер, начавшие действовать и скрывающие следы своей активности.

Введение

В тесте принимали участие антивирусные продукты 17 производителей, среди которых:

1. Avast! Professional Edition 4.8.1368
2. AVG Anti-Virus & Anti-Spyware 8.5.0.40
3. Avira AntiVir PE Premium 9.0.0.75
4. BitDefender Antivirus 2010 (13.0.18.345)
5. Comodo Antivirus 3.13.121240.574
6. Dr.Web Anti-Virus 5.00.10.11260
7. Eset NOD32 Antivirus 4.0.474.0
8. F-Secure Anti-Virus 2010 (10.00 build 246)
9. Kaspersky Anti-Virus 2010 (9.0.0.736 (a.b))
10. McAfee VirusScan 2010 (13.15.113)
11. Microsoft Security Essentials 1.0.1611.0
12. Outpost Antivirus Pro 2009 (6.7.1 2983.450.0714)
13. Panda Antivirus 2010 (9.01.00)
14. Sophos Antivirus 9.0.0
15. Norton AntiVirus 2010 (17.0.0.136)
16. Trend Micro Antivirus plus Antispyware 2010 (17.50.1366)
17. VBA32 Antivirus 3.12.12.0

Тест проводился на следующих вредоносных программах, которые были выбраны в соответствии с определенными требованиями:

1. AdWare.Virtumonde (Vundo)
2. Rustock (NewRest)
3. Sinowal (Mebroot)
4. Email-Worm.Scano (Areses)
5. TDL (TDSS, Alureon, Tidserv)
6. TDL2 (TDSS, Alureon, Tidserv)
7. Srizbi
8. Rootkit.Podnuha (Boaxxe)
9. Rootkit.Pakes (synsenddrv)
10. Rootkit.Protector (Cutwail, Pandex, Pushdo)
11. Xorpix (Eterok)
12. Trojan-Spy.Zbot
13. Win32/Glaze
14. SubSys (Trojan.Okuks)
15. TDL3 v.3.17 (TDSS, Alureon, Tidserv)

Проверка возможности лечения активного заражения антивирусными программами проводилась четко в соответствии с определенной методологией.

Сравнение антивирусов по возможности лечения

Таблица 1: Результаты лечения активного заражения различными антивирусами (начало)

Таблица 2: Результаты лечения активного заражения различными антивирусами (продолжение)

Таблица 3: Результаты лечения активного заражения различными антивирусами (окончание)

Напомним, что в соответствии с используемой схемой анализа результатов и награждения, (+) означает, что антивирус успешно устранил активное заражение системы, при этом работоспособность системы была восстановлена (или не нарушена). (-) означает, что антивирус не смог устранить активное заражение или при лечении была серьезно нарушена работоспособность системы.

Как видно из таблиц 1-3 самым сложным для удаления оказался бэкдор-шпион Sinowal (Mebroot), который не смог вылечить ни один из протестированных антивирусов.

Далее по сложности для удаления следует нашумевшая троянская программа TDL3 (TDSS, Alureon, Tidserv), червь Worm.Scano (Areses) и вирус Virus.Protector (Kobcka, Neprodoor). С ними справились не более трех из протестированных антивирусов.

Также достаточно сложными для удаления оказались вредоносные программы TDL2 (TDSS, Alureon, Tidserv), Srizbi, Rootkit.Podnuha (Boaxxe), SubSys (Trojan.Okuks), Rustock (NewRest) и Rootkit.Protector (Cutwail, Pandex), с ними смогли справиться не более пяти антивирусов.

Итоговые результаты теста и награды

Таблица 4: Итоговые результаты теста и награды

В итоге только 6 из 17 протестированных антивирусов показали достойные результаты по лечению активного заражения. Согласно действующей для всех подобных тестов системы награждения, высшую награду в этот раз не получил никто.

Лучшими по результатам теста оказались Dr.Web и Антивирус Касперского, которые корректно вылечили систему в 13 из 16 случаев и получили заслуженную награду .

Хорошие результаты также показали антивирусы Avast! Professional Edition и Microsoft Security Essentials, получившие награду , а также Norton AntiVirus и F-Secure Anti-Virus, получившие .

Отдельно необходимо отметить неожиданно высокие результаты нового бесплатного антивируса Microsoft, который с первого же раза сумел войти в призеры этого сложного теста. Такой результат свидетельствует, что корпорация уделяет внимание проблеме устранения активных заражений.

Также необходимо сделать комментарий относительно VBA32 Antivirus. Дело в том, что в составе дистрибутива этого антивируса идет Vba32 AntiRootkit , который необходимо запускать отдельно (в интерфейсе нет информации о нем) и производить удаление вредоносных программ из системы в ручном режиме. Тоже самое касается и утилиты Eset SysInspector. Согласно методологии теста мы не могли их учитывать, но эффективность этих программ (также как и других антируткитов и утилит для лечения системы) мы проверим в самом ближайшем будущем отдельном тесте.

Чтобы ознакомиться с подробными результатами теста и убедиться в правильности итоговых расчетов, вы можете скачать результаты теста в формате Microsoft Excel .

Анализ изменений в сравнении с предыдущими тестами

В заключение хотелось бы проанализировать результаты всех наших тестов на лечение активного заражения за 2007-2010 годы.

Таким образом, можно проследить изменения в эффективности лечения сложных случаев заражения для каждого протестированного продукта (за исключением Microsoft, который не участвовал в предыдущих тестах) - см. рисунок 1.

Рисунок 1: Динамика изменения возможностей антивирусов по лечению активного заражения

Рисунок 2: Динамика изменения возможностей антивирусов по лечению активного заражения

Как видно из рисунков 1-2, никакого прогресса в лечении сложных видов угроз по индустрии в целом не наблюдается. Положительную динамику в последних тестах продемонстрировал только Антивирус Касперского и F-Secure. Открытие прошлого теста, Outpost, к сожалению, сдал позиции и не смог закрепиться в группе сильнейших.

Стабильно лучшими антивирусами для лечения активного заражения остаются четыре продукта: Dr.Web, Антивирус Касперского, Avast и Norton. Результаты других антивирусов или балансируют на неудовлетворительном уровне или, что еще хуже, снижаются.

Василий Бердников, руководитель тестовой лаборатории Anti-Malware.ru и координатор данного теста, так комментирует его результаты:

"Важной характеристикой любого антивируса является способность лечить зараженный ПК. Но как видно из результатов тестирования, справиться с этой проблемой могут далеко не все. Более того, во многих случаях пользователь зараженного ПК даже не будет знать о том, что является частью ботнета, имея при этом работающий антивирус с актуальными обновлениями. Исходя из постоянного совершенствования технологий, применяемых в современных вредоносных программах, антивирусным вендорам стоит больше уделять внимания развитию технологий обнаружения и эффективного лечения зараженной системы. Текущими тенденциями продолжает быть не маскировка файла на диске, а выдача ложного содержимого при чтении файла антивирусом, что позволяет от него эффективно маскироваться".