Порівняння можливостей детектування упакованих вірусів у різних антивірусних продуктах

Завантажте детальне порівняння «Просунутий захист кінцевих станцій» від експертів «Інфосистеми Джет», щоб вибрати відповідне рішення для захисту вашого бізнесу від кіберзагроз.

У статті наводяться результати порівняльного тесту популярних антивірусів з детектування упакованих 20 різними утилітами того самого вірусу. У порівнянні беруть участь антивіруси Symantec, Trend Micro, McAfee, Sophos, Kaspersky, ESET NOD32, CA eTrust, Norman, BitDefender, Panda, AVG, Dr.Web та Hauri.

Більшість провідних виробників антивірусів в описі своїх продуктів заявляють про підтримку основних пакувальників та архіваторів, таких як ZIP, RAR і таке інше. Деякі з них заявляють про підтримку величезної кількості пакувальників та архіваторів, наприклад, Лабораторія Касперського стверджує про підтримку загалом понад 1200 різних версій.

У зв'язку з цим, цікаво було б перевірити, як реально справи з детектуванням упакованих вірусів. Адже ні для кого не секрет, що майже всі шкідливі програми так чи інакше упаковані. Часто один і той же вірус пакується десятками різних пакувальників (буває навіть декількома одночасно), що дозволяє йому проникати в корпоративні мережі, незважаючи на їхню захищеність антивірусом вже на рівні шлюзу.

Уявімо ситуацію, коли вже відомий всім вірус упаковується іншим пакувальником. Якщо новий пакувальник не підтримується вашим антивірусом, він легко пройде крізь захист і знадобиться час, поки антивірусна компанія додасть до бази даних нову сигнатуру, здатну детектувати по-новому упакований вірус. У разі підтримки пакувальника, антивірус його відразу ж виявить, завдяки чому не потрібно чекати реакції антивірусної компанії на нову загрозу та відповідногооновлення антивірусних баз.

Коротко про методику проведення порівняльного тесту

Для порівняльного тесту було взято всім відомий гучний вірус Nimda.A, який був упакований 20 різними пакувальниками з налаштуваннями за замовчуванням, серед яких:

ZIP self-extracting archive (SFX)
RAR SFX
ASPack 2.12
ASProtect 1.23 RC4 build 08.07
exe32pack 1.42
EXECryptor 2.0
ExeStealth 3.04
FSG 2.0
MEW11 SE 1.2
MoleBox 2.3.3
Morphine 2.7
Packman 0.0.0.1
PECompact2 2.55
PE-PACK 1.0
Petite 2.3
UPX 1.25W
WWPack32 1.20
yoda's Crypter 1.3
yoda’s Protector 1.0b
(Win)UPack 0.27 beta

У порівнянні брали участь такі антивіруси для персональних комп'ютерів та робочих станцій:

Symantec AntiVirus Corporate Edition 10.0.0.359 (SAV) with engine 103.0.2.7
Trend Micro PC-cillin Internet Security 2005 with engine 7.510.1002
McAfee VirusScan Professional 2005 (9.0) with engine 4.4.00
Sophos Anti-Virus 5.0.3 (SAV)
Kaspersky Anti-Virus Personal Pro 5.0.14 (KAV)
Eset NOD32 Antivirus System 2.12.3
CA eTrust EZ Antivirus 6.2.1.1 (CAI) with engine 11.5.0.0
Norman Virus Control 5.80 with engine5.82.01
BitDefender 8 Standard with engine 7.01620
Panda Titanium Antivirus 2005 (4.02.00)
AVG Anti-Virus 7.0 Professional (7.0.323)
Dr.Web Scanner for Windows 95-XP v4.32b
Hauri ViRobot Expert 4.0 with engine 2005-06-05.00

Результати порівняльного тестування

У наступних таблицях представлені результати сканування упакованих файлів переліченими антивірусами окремо дляантивірусних моніторів (on access scaner) та перевірки на вимогу (on demand scaner). Перший рядок таблиці (невпакований вірус Nimda) є перевірочною, яка підтверджує роботу антивірусу взагалі, тому може бути виключена з подальших розрахунків.

Таблиця 1: Перевірка антивірусним монітором (on-access scaner)

№

Пакувальник

Sym

TrM

McA

Sop

Kas

NOD

Nor

Bit

Pan

AVG

DrW

Hau

Nimda

ZIP SFX

RAR SFX

ASPack

ASProtect

exe32pack

EXECryptor

ExeStealth

FSG

MEW11 SE

MoleBox

Morphine

Packman

PECompact2

PE-PACK

Petite

UPX

WWPack32

yoda’s Crypter

yoda’s Protector

(Win)UPack

Всього:

Таблиця 2: Перевірка сканером на вимогу (on-demand scaner)

№

Пакувальник

Sym

TrM

McA

Sop

Kas

NOD

Nor

Bit

Pan

AVG

DrW

Hau

Nimda

ZIP SFX

RAR SFX

ASPack

ASProtect

exe32pack

EXECryptor

ExeStealth

ФСГ

MEW11 SE

MoleBox

морфін

Packman

PECompact2

PE-PACK

мініатюрний

UPX

WWPack32

Криптер Йоди

yoda’s Protector

(Win)UPack

Всього:

Як видно з таблиць 1 і 2, багато антивірусів показали більш ніж слабкі результати. При цьому жоден з антивірусів не виявив усі по-різному упаковані віруси Nimda!

Підсумкова таблиця результатів, у якій розраховується відсоток ефективності кожного антивіруса, представлена нижче.

Таблиця 3: Підсумкова таблиця

Пакувальник	Sym	TrM	McA	Sop	Kas	NOD	CA	Nor	Bit	Pan	AVG	DrW	Hau
Виявлено монітором	5	11	9	12	17	1	2	2	12	4	5	9	2
%	24%	52%	43%	57%	81%	5%	10%	10%	57%	19%	24%	43%	10%
Виявлено сканером на вимогу	7	12	14	12	19	1	4	15	16	12	7	11	4
%	33%	57%	67%	57%	90%	5%	19%	71%	76%	57%	33%	52%	19%
Усього виявлено	12	23	23	24	36	2	6	17	28	16	12	20	6
Загальний %	29%	55%	55%	57%	86%	5%	14%	40%	67%	38%	29%	48%	14%

Найкраща п'ятірка за результатами цього тесту антивірусів виглядає так:

Касперський - 86%
BitDefender - 67%
Sophos - 57%
Trend Micro та McAfee - 55%
Dr.Web - 48%
Norman – 40%

Інші антивіруси показали дуже слабкі результати підтримки пакувальників, наприклад, Nod32 не взяв жодного упакованого вірусу Nimda, а Hauri та CA - лише один ASPack антивірусним монітором і ще чотири пакувальники сканером на вимогу! Від частини тепер стає зрозумілим, чому ці антивіруси показали такі добрі результати за швидкістю роботи (див. наше попереднє "Порівняння швидкості роботи провідних антивірусів"), адже ні для кого не секрет, що перевірка архівів помітно уповільнює антивірусну перевірку.

Також необхідно звернути увагу на те, що під час перевірки на вимогу всі антивіруси (за винятком аутсайдера Nod32 та Sophos) показали результати кращі, ніж під час перевірки антивірусним монітором. Особливо в цьому плані виділяється Norman – 71% детектування сканером на вимогу проти 10% детектування під час перевірки антивірусним монітором. Видно, що виробники антивірусів намагаються оптимізувати швидкість роботи своїх продуктів, вимикаючи сканування деяких типів запакованих об'єктів.