9.6.2. Определение наихудшего случая активного фильтра В качестве примера анализа наихудшего случая исследуем частотную характеристику активного фильтра, изображённого на рис. 9.32. Выясним, какими будут наихудшие случаи в направлениях снизу вверх (Hi) и сверху вниз (Lo). Вслед

Признаки заражения Рассмотрим основные признаки, указывающие на вероятность заражения вашего компьютера вирусом. Конечно, большинство из них не может со стопроцентной точностью сообщить, что ваш компьютер заражен – часть признаков иногда наблюдается и на совершенно

1.1.8. Антивирусная утилита AVZ - лечение и восстановление операционной системы Я уже предупреждал, что AVZ не является полноценной антивирусной программой, заменой вашему основному антивирусу она не станет (утилита не лечит сами программы, зараженные компьютерными

Способы заражения EXE-файлов Самый распространенный способ заражения EXE-файлов такой: в конец файла дописывается тело вируса, а заголовок корректируется (с сохранением оригинального) так, чтобы при запуске инфицированного файла управление получал вирус. Похоже на

Что станет с тест-директором и тест-менеджером Как все эти ролевые изменения отразятся на менеджерах, директорах и вице-президентах по тестированию? Их станет меньше. Те из них, у кого есть технические знания, перейдут на другие роли, более подходящие их инженерной

Тест 3 Вопрос 1Что выполняет следующий код:Intent intent = new Intent (FirstActivity. this, SecondActivity. class);Создает скрытое намерение.Создает неявное намерение.Создает явное намерение.Запускает активность.Вопрос 2Что из следующего не верно для Intents?Активирует Activity.Активирует Service.Активирует

«Методы защиты от компьютерных вирусов» - Сетевые вирусы. Хором называем цвет слова. Виды компьютерных вирусов. Распространенные виды вирусов. Полифаги. Дополнительные типы вирусов. Макровирусы. Файловые вирусы. Блок контроля. Признаки появления вирусов. Троянские программы. Наиболее известные антивирусныe программы. Сетевые черви. Каналы распространения.

«Защита компьютера от вредоносных программ» - Действия при наличии признаков заражения компьютера. Сигнатуры. Потенциально опасное программное обеспечение. Поиск новых вирусов. Частые зависания и сбои. Антивирусный монитор. Определение вредоносных программ. Типы вредоносных программ. Защита от вредоносных программ. Распространение вредоносных программ.

«Программа от вирусов» - Небольшая по размерам. Программы- Доктора Обнаруживают и «лечат» программы и диски. "Лечат" зараженные ресурсы. Программа. Какие? Компьютерные вирусы и антивирусные программы. Что делать, чтобы избежать «заражение»? Способная самопроизвольно присоединяться. Представители антивирусных программ:

«Антивирус Касперского для Windows» - Схема антивирусного комплекса ЛК. Сервера электронной почты. Поддерживаемые операционные системы. Обновленные приложения. Сетевые сервера. Demo: Удаленная установка приложений. Обновленная линейка продуктов ЛК. Корпоративная сеть. Создание логической сети Kaspersky Administration Kit. Этапы установки.

«Компьютерные вирусы и антивирусные программы» - Полифаги-мониторы. Краткий обзор антивирусных программ. Макро-вирусы. Файловые вирусы. Признаки появления вирусов. Тест по пройденному материалу. Хакерские утилиты и прочие вредоносные программы. Вообще, что такое вирус. Сетевые вирусы. Ревизоры. Параметры. Наиболее известные из антивирусных программ.

«Защита от сетевых червей» - Проверка скриптов в браузере. Что необходимо сделать в первую очередь в случае заражения компьютера вирусом? Из средств массовой информации. В чём заключается принцип работы антивирусных программ? 11. Результаты работы межсетевого экрана. Межсетевой экран. Модуль проверки скриптов на языках javascript и vbscript.

Каждый день появляются тысячи новых образцов вредоносных программ. В погоне за наживой вирусописатели придумывают все новые методы противодействия обнаружению и удалению своего вредоносного кода из системы антивирусными программами, например, при помощи развития руткит-технологий маскировки. В таких условиях ни один антивирус не способен гарантировать 100% защиту компьютера, поэтому у простого пользователя всегда будут оставаться риски заражения даже с установленной антивирусной защитой.

Во многих случаях пропущенная на компьютер вредоносная программа может очень долго находиться незамеченной, даже при установленном антивирусе. В этом случае пользователь будет испытывать ложное чувство защищенности - его антивирус не просигнализирует о какой-либо опасности, в том время как злоумышленники с помощью активной вредоносной программы будут собирать его конфиденциальные данные или каким-либо иным способом использовать вычислительные мощности инфицированного компьютера в своих целях. Также нередки случаи, когда вредоносная программа обнаруживается антивирусом, но удалить ее он не может, что вынуждает пользователя обращаться в техническую поддержку или же самостоятельно устранять заражение при помощи дополнительных утилит, зачастую – сторонних производителей, или прибегая, например, к помощи экспертов специального сервиса VirusInfo.Info .

Антивирусные производители могут защитить своих клиентов, развивая технологии обнаружения проникшего на компьютер вредоносного кода и его корректного удаления. Но, как показывает практика, далеко не все уделяют этому аспекту защиты должное внимание.

Цель данного теста - проверить персональные версии антивирусов на способность успешно (не нарушая работоспособности операционной систем) обнаруживать и удалять уже проникшие на компьютер вредоносные программы, которые уже начали действовать и скрывать следы своей активности.

Введение

В тесте принимали участие антивирусные продукты 19 производителей, среди которых:

1. Avast! Internet Security 6.0.1000
2. AVG Internet Security 2011 (10.0.1325)
3. Avira Premium Security Suite 10.0.0.608
4. BitDefender Internet Security 2011 (14.0.29.354)
5. Comodo Internet Security 5.3.181415.1237
6. Dr.Web Security Space 6.0.5.04110
7. Emsisoft Anti-Malware 5.1.0.0
8. Eset Smart Security 4.2.71.3
9. F-Secure Internet Security 2011 (10.51 build 106)
10. G Data Internet Security 2011 (21.1.1.0)
11. Kaspersky Internet Security 2011 (11.0.2.556 (b.c.d))
12. McAfee Internet Security 2011
13. Microsoft Security Essentials 2.0.657.0
14. Norton Internet Security 2011 (18.6.0.29)
15. Panda Internet Security 2011 (16.00.00)
16. PC Tools Internet Security 2011 (8.0.0.0653)
17. Trend Micro Titanium Internet Security 2011 (3.1.11.09)
18. ZoneAlarm Internet Security Suite 2011 (9.3.037.000)

Rising Internet Security 2011 (20-й в списке) был исключен из теста по причине отсутствия детекта (и желания его добавлять со стороны вендора) на большую часть вредоносных образцов, используемых в тесте.

Тест проводился на следующих вредоносных программах, которые были выбраны в соответствии с определенными требованиями :

1. TDL (TDSS, Alureon, Tidserv)
2. Koutodoor
3. Win32/Glaze
4. Sinowal (Mebroot)
5. Rootkit.Protector (Cutwail, Pandex)
6. Worm.Rorpian
7. Rootkit.Podnuha (Boaxxe)
8. Virus.Protector (Kobcka, Neprodoor)
9. Rustock (Bubnix)
10. Email-Worm.Scano (Areses)
11. SST (DNSChanger, FakeAV)
12. SubSys (Trojan.Okuks)
13. Rootkit.Pakes (synsenddrv, BlackEnergy)
14. TDL2 (TDSS, Alureon, Tidserv)
15. TDL3 (TDSS, Alureon, Tidserv)
16. TDL4 (TDSS, Alureon, Tidserv) *
17. Xorpix (Eterok)

* Проверка лечения TDL4 (TDSS, Alureon, Tidserv) проводилась нами не только на Windows XP, но и на Windows 7 x64, чтобы удостовериться в корректности лечения данной троянской программы.

Проверка возможности лечения активного заражения антивирусными программами проводилась четко в соответствии с определенной методологией .

Сравнение антивирусов по возможности лечения

Таблица 1: Результаты лечения активного заражения различными антивирусами (начало)

Таблица 2: Результаты лечения активного заражения различными антивирусами (продолжение)

Таблица 3: Результаты лечения активного заражения различными антивирусами (продолжение)

Таблица 4: Результаты лечения активного заражения различными антивирусами (окончание)

Напомним, что, в соответствии с используемой схемой анализа результатов и награждения , (+) означает, что антивирус успешно устранил активное заражение системы, при этом работоспособность системы была восстановлена (или не нарушена). (-) означает, что антивирус не смог устранить активное заражение или при лечении была серьезно нарушена работоспособность системы.

Как видно из таблиц 1-4, как и годом ранее, самым сложным для обнаружения и удаления оказался троян Sinowal (Mebroot), модифицирующий главную загрузочную запись (MBR) жесткого диска. Вылечить заражение этим буткитом смогли лишь два из протестированных антивирусов.

Также достаточно сложными для обнаружения и удаления оказались вредоносные программы TDL2 (TDSS, Alureon, Tidserv), Rootkit.Podnuha (Boaxxe), SubSys (Trojan.Okuks), Rustock (Bubnix), Rootkit.Protector (Cutwail, Pandex) и Virus.Protector (Kobcka, Neprodoor), с ними смогли справиться не более пяти антивирусов.

Итоговые результаты теста и награды

Таблица 4: Итоговые результаты теста и награды

В итоге только 7 из 19 протестированных антивирусов показали достойные результаты по лечению активного заражения.

Согласно действующей для всех подобных тестов системе награждения, высшую награду удалось завоевать антивирусному продукту Kaspersky Internet Security, вылечившему все без исключения сложные варианты заражения. Ранее подобный результат достигался лишь однажды: антивирусом Dr.Web в октябре 2008 года.

Очень высокий результат показал антивирус Dr.Web Security Space, который успешно вылечил все сложные варианты заражения в нашем тесте, за исключением одного. Этот антивирус получает заслуженную награду . Если бы не досадная проблема с удалением Rustock (Bubnix), он бы также получил наивысшую награду.

Хороший результат показал антивирус Microsoft Security Essentials, успешно вылечив 11 из 17 заражений и получивший награду .

Средние результаты показали антивирусы Avast! Internet Security, F-Secure Internet Security, Norton Internet Security и AVG Internet Security, получившие награду .

Что интересно, промежуточную награду Silver Malware Treatment Award в этот раз получил только один продукт, что наглядно демонстрирует серьезное преимущество в возможностях лечения сложных заражений двух лидеров по этому показателю относительно всех остальных.

Подводя итоги можно отметить, что лидерство в лечении сложные случаем заражения уже не первый год продолжают удерживать российские антивирусные производители. Составить им по-настоящему серьезную конкуренцию пока что не могут ни европейские, ни американские конкуренты.

Чтобы ознакомиться с подробными результатами теста и убедиться в правильности итоговых расчетов, вы можете скачать результаты теста в формате Microsoft Excel .

Анализ изменений в сравнении с предыдущими тестами

В заключение хотелось бы проанализировать результаты всех наших тестов на лечение активного заражения за 2007-2011 годы. Для этого к результатам этого теста были добавлены результаты двух предыдущих тестов, которые вы можете посмотреть .

Таким образом, можно проследить изменения в эффективности лечения сложных случаев заражения для каждого протестированного продукта (за исключением Microsoft, который не участвовал в предыдущих тестах) - см. рисунок 1.

Рисунок 1: Динамика изменения возможностей антивирусов по лечению активного заражения

Рисунок 2: Динамика изменения возможностей антивирусов по лечению активного заражения

Как видно из рисунков 1-2, никакого существенного прогресса в лечении сложных видов заражений по индустрии в целом не наблюдается. Очевидно, что многие производители считают задачу обнаружения сложных вредосносных программ и корректного восстановления системы неинтересной для себя задачей, или же наоборот слишком неподъемной технологически. Небольшую положительную динамику в последних тестах продемонстрировали разве что Microsoft, F-Secure и AVG.

После откровенно провального предыдущего теста начала исправляться компания Agnitum, ее продукту Outpost не хватило совсем немного для выхода в положительные показатели. Результаты других антивирусов или балансируют на неудовлетворительном уровне или, что еще хуже, снижаются.

Стабильно лучшими антивирусами для лечения активного заражения на протяжении всех последних лет остаются четыре продукта: Dr.Web, Антивирус Касперского, Avast и Norton. К этой четверке стоило бы добавить также Microsoft, но история наблюдений за этим производителем в подобных тестах еще не накоплена.

По новичкам тестов на лечение, таким как Comodo, Emsisoft, G Data, PC Tools и ZoneAlarm не накоплено статистики, позволяющей говорить о динамике результатов.

Илья Шабанов, управляющий партнер сайт:

«Уже сам процесс тестирования возможностей лечения в этом году четко показал, что индустрия по этому показателю четко разделилась на тех, кто способен разобраться со сложными вариантами вредоносных программ, обеспечить их обнаружение и лечение; и на тех, кто неспособен сделать это в принципе. Значительная часть производителей фактически отказалась разбираться со сложными случаями заражений и даже добавлять детектирование отобранных для теста образцов, и предпочитая не замечать проблемы, чем разбираться с ней. В ответ на наши обращения в тех. поддержку и вирлабы «проблемных вендоров», нам даже приходили отписки, что присланные файлы чистые! Вероятно, часть антивирусных компаний руководствуются принципом, что раз пользователь не узнает о заражении, значит, для него заражения просто нет. Следовательно, нет и проблемы написания сложных процедур лечения и затрат на техническую поддержку пострадавших клиентов. Поэтому я рекомендую всем интернет-пользователям, чья текущая антивирусная защита провалила данный тест, тщательно проверить свои компьютеры при помощи специализированных утилит Kaspersky AVPTool или Dr.Web CureIt!».

Василий Бердников, эксперт сайт:

«Налицо общая тенденция к усложнению вредоносных программ. Современные вредоносные программы, на основе которых строятся огромные ботсети, имеют при себе различные средства защиты от обнаружения/удаления их антивирусами. С каждым годом они все глубже и глубже проникают в систему, инфицируя загрузочные записи диска/раздела или же инфицируя важные системные драйверы по вирусному принципу. При этом они маскируются и не дают антивирусным программам прочитать настоящее содержимое секторов диска. И если в прошлом тестировании, которое проходило год назад, было пять антивирусов, сумевших пролечить более половины из отобранных вредоносов, то в этом году таких антивирусов уже только три.Несмотря на то, что вредоносные программы становятся сложнее, антивирусные разработчики не повышают приоритет развития лечения зараженных систем в своих продуктах. Вероятно, это связано со сложностью развития такого направления и тем, что успех продаж антивирусных программ мало зависит от того, насколько антивирус способен лечить зараженные системы».

Михаил Касимов, эксперт сайт:

«Умение нейтрализовать активное заражение вредоносными программами часто упускается разработчиками антивирусов. Тем не менее, как показывает практика на примере различных форумов, предоставляющих сервисы лечения, способность антивируса исцелить систему актуальна не меньше, чем способность предотвратить заражение – ведь зачастую бывает, что решение о закупке антивируса принимается после некоторой коллизии, связанной с вирусным заражением и повлекшей за собой тот или иной вид ущерба («пока гром не грянет...»). Кроме того, умение противостоять современным вредоносным программам в их активном состоянии требует высокого технологического уровня разработки антивирусных сканеров.

На этом поле традиционно высокий уровень демонстрируют продукты отечественных антивирусных производителей – «Лаборатории Касперского» и «Доктор Веб» – их отрыв от остальных участников тестирования весьма показателен. На потерю балла у Dr.Web повлияла старая проблема, которая обнаружилась ещё при проведении предыдущего теста на лечение активного заражения, и с тех пор не была исправлена. Именно эта проблема не позволила Dr.Web Security Space получить награду Platinum Malware Treatment Award наряду с Kaspersky Internet Security. К сожалению, проблема актуальна для всех версий сканера Dr.Web, вплоть до 7-й версии включительно на момент написания данного комментария. В будущем тесте хотелось бы видеть расширение тестовой коллекции за счёт недавно появившегося варианта буткита, заражающего Volume Boot Record (VBR), известного как Cidox или Mayachok. Ведь появление этого вида вредоносной программы оказалось, в определённом мере, концептуальным с точки зрения механизма заражения и, как следствие этого, лечения».

Вячеслав Русаков, эксперт сайт:

«Все призывы после каждого теста развивать направление излечения зараженных компьютеров пользователей оказались тщетны. Тенденции вирусописательства – усложнение технологической составляющей. Кроме использования различных методик, которые позволяют проникать на компьютеры пользователей даже с установленным антивирусным продуктом, используются методики закрепления в системе и сокрытия самого факта заражения. Зараженные компьютеры объединяются в многомиллионные бот-сети принося громадные доходы вирусописателям. Это очевидно каждому, кто хоть немного знаком с антивирусной тематикой. Однако, как показывают результаты тестирования, подавляющее большинство антивирусных компаний просто игнорируют тот факт, что зараженные компьютеры необходимо лечить. Так чем же занимаются антивирусные вендоры? Делают ставку на красивые коробки и громкие пиар слоганы? Что же получают пользователи за свои деньги: эффективную защиту или лживую пустышку в красивой упаковке? Стоит об этом задуматься, после ознакомления с результатами таких тестов. Индустрия во мгле …».

Валерий Ледовской, эксперт сайт:

«Тест на лечение активных заражений с момента его появления является изюминкой портала сайт, так как является единственным в своём роде в тестом, проводящимся по такой интересной методологии.

Тест интересен в тем, что в нём не фигурируют большие числа, привычные для классических тестирований антивирусных продуктов. Наоборот, каждой отобранной вредоносной программе уделяется самое тщательное внимание. Каждый из сэмплов олицетворяет собой как эволюцию вредоносных программ, так и эволюцию программ, призванных противодействовать данным вредоносным технологиям. Поэтому в результатах тестирования видно, на какой стадии развития остановились те или иные вендоры, а по динамике тестирований на лечение активных заражений можно видеть, насколько приоритетно направление лечения активных заражений для того или иного производителя.

Интересно наблюдать за давним противостоянием технологий лечения компаний "Доктор Веб" и "Лаборатории Касперского". В актуальных результатах тестирования "Лаборатория Касперского" впервые обошла "Доктор Веб", но разрыв, как и ранее, незначительный. Есть надежда, что эта борьба между двумя отечественными производителями продолжится и дальше на благо пользователей продуктов этих вендоров».

Независимая исследовательская лаборатория AV-Comparatives опубликовала результаты тестирования антивирусных продуктов, проводимого в ноябре 2012 года. В этот раз сравнивалось, насколько различные антивирусы способны удалять вредоносное ПО (лечить активное заражение системы). Тестирование проводилось в 64-разрядной ОС Windows 7 Professional SP1.

В испытании приняли участие решения 13 производителей (с настройками по умолчанию):

• avast! Free Antivirus 7.0
• AVG Anti-Virus 2013
• AVIRA Antivirus Premium 2013
• Bitdefender Antivirus Plus 2013
• BullGuard Antivirus 2013
• ESET NOD32 Antivirus 5.2
• Fortinet FortiClient Lite 4.3
• F-Secure Anti-Virus 2013
• G DATA AntiVirus 2013
• GFI Vipre Antivirus 2013
• Kaspersky Anti-Virus 2013
• Panda Cloud Antivirus Free 2.0.1
• PC Tools Spyware Doctor with Antivirus 9.0

Данный тест оценивает только способности антивурусов удалять вредоносное ПО и восстанавливать систему после заражения, поэтому семплы вирусов, которые использовались в данном сравнении, способны обнаружить все протестированные антивирусы. Уровень обнаружения и качество защиты в данном тесте не оценивалось. Но, разумеется, если антивирус не способен обнаружить вредоносный объект, удалить его он тоже не сможет.

Основной целью тестирования было определить, насколько успешно различные антивирусы способны удалять вредоносное ПО из уже зараженной системы. Работа антивирусов оценивалась со стороны типичных домашних пользователей, а не администраторов или продвинутых пользователей, обладающих более глубокими знаниями и способных вручную бороться с последствиями заражения. В тестировании эмулировалась следующая ситуация: система уже заражена и должна быть очищена, специальных знаний у пользователя системы нет.

Последовательность тестирования

1. Анализ вредоносных программ, чтобы знать, на что обращать внимание.
2. Заражение тестового компьютера одной угрозой, перезагрузка и проверка, что заражение произошло.
3. Установка и обновление антивируса.
4. Если установка не возможна, загрузка системы в безопасном режиме. Если невозможно установить в безопасном режиме, использование аварийного загрузочного диска соответствующего антивируса (если такой имеется) для полной проверки системы перед установкой.
5. Запуск полного сканирования системы и следование инструкциям антивирусной программы для удаления угрозы (как это делает типичный домашний пользователь).
6. Ручная проверка (анализ) компьютера на наличие остатков удаленного вредоносного ПО.

Система оценок

Оценка антивирусов определялась следующим образом:

a) Удаление вредоносного ПО:

• Вредоносное ПО удалено, остались только незначительные следы (A);
• Вредоносное ПО удалено, но остались некоторые исполняемые файлы, изменения в MBR или реестре (например, точки загрузки и пр.) (B);
• Вредоносное ПО удалено, но остались потенциально опасные проблемы (например, сообщения об ошибках, зараженные hosts-файлы, нерабочий диспетчер задач, проводник, редактор реестра или пр.) (C);
• Удален только упаковщик вредоносного ПО / вредоносные файлы и изменения не удалены / система больше не может использоваться / удалить не удалось (D).

b) Удобство процесса удаления:

• Удалить вредоносное ПО легко можно в обычном режиме (A);
• Удаление требует загрузки в Безопасном режиме или использования встроенных утилит и руководств (B);
• Потребовался аварийный диск восстановления (C);
• Требуется обращение в службу поддержки / удалить вредоносное ПО не удалось (D).

В зависимости от полученных в каждой части оценок антивирусам начислялись соответствующие баллы:

AA = 100
AB = 90
AC = 80
BA = 70
BB = 60
BC = 50
CA = 40
CB = 30
CC = 20
DD = 0

Уровень награды в зависимости от числа набранных баллов:

86-100: Advanced+
71-85: Advanced
56-70: Standard
Меньше 56: Tested

Результаты тестирования

В результате тестирования для различных вредоносных семплов получены следующие оценки:

Итоговые награды

В соответствии с результатами тестирования, антивирусам присуждаются разные награды.

С полным отчетом AV-Comparatives вы можете ознакомиться (PDF).