Проактивная защита занимает сегодня видное место в описании антивирусных продуктов всех известных производителей, которые позиционируют ее как средство защиты от новых и неизвестных угроз. Чтобы проверить насколько эффективен данный механизм мы провели небольшое тестирование популярных коммерческих продуктов.
Онлайн-курс по устройству компьютерных сетей
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.
В теории проактивная защита, основываясь на поведении запущенных программ, должна определять и пресекать потенциально опасные действия, такие как изменение файла hosts, добавление программы в автозагрузку, подмену системных файлов, маскировку под системные процессы и т.д. и т.п., или уведомлять пользователя, если действие нельзя однозначно трактовать как вредоносное.
Производители антивирусного ПО не устают повторять, что только проактивная защита, в сочетании с остальными компонентами антивируса, способна обеспечить полноценную защиту от современных угроз. Действительно, как показала эпидемия блокировщиков Windows, антивирусное ПО оказалось бессильно перед новым классом вредоносного ПО, которое не имело признаков "классического" вредоносного ПО и следовательно не обнаруживалось ни сигнатурным анализом, ни эвристиком. В данном случае основной удар должна принять на себя проактивная защита, если не предотвратив проникновение в систему, то хотя бы уведомив об этом пользователя и предложив ему запретить (или разрешить) дальнейшую активность программы.
Сегодня сложно найти продукт, в описании которого не было бы указано, что он использует эффективные технологии проактивной защиты, которые позволяют защитить пользователя лучше и эффективнее, чем какой либо иной продукт. Понятно, что в данных заявлениях больше маркетинга, чем технологий, однако если данный модуль есть, то он должен как-то работать.
Мы решили протестировать младшие продукты в линейках известных производителей, так как именно в них проактивная защита нужнее всего, так как без нее пользователь остается только с сигнатурным сканером против всего спектра интернет угроз, в то время как продукты более высокого уровня содержат множество фильтров, экранов и защит, которые могут эффективно препятствовать заражению. Не последнюю роль здесь играет и цена, делая младшие продукты наиболее привлекательными для потребителей.
Для тестирования мы использовали методику предложенную Agnitum, суть которой сводится к следующему: у продукта отключаются все сигнатурные сканеры и запускается образец вредоносного ПО, который остается один на один с проактивной защитой. Данная методика не идеальна и содержит ряд недостатков, самый существенный из которых, что модуль проактивной защиты используется в отрыве от остальных механизмов защиты. Однако получить определенное представление о работе данного механизма такой подход позволяет.
В тестировании приняли участие наиболее популярные и распространенные на российском рынке продукты, кроме Dr.Web и MSE, которые не позволяют отключить сигнатурный сканер отдельно от модуля проактивной защиты.
В качестве образца вредоносного ПО мы использовали сэмпл вируса P2P-Worm.Win32.Palevo.gidq, первое обнаружение которого специалистами Лаборатории Касперского датировано 26 декабря 2012 года, экземпляр достаточно свежий и в то же время относящийся к давно известно семейству вредоносного ПО.
После запуска в системе зловред копирует собственное тело в папку профиля пользователя под именем etkrkf.exe, создает ключ в реестре для собственной автозагрузки и запускается, маскируясь под системный процесс svchost.exe. Как видим - вполне стандартный набор действий для вредоносного ПО, осталось проверить как на это будет реагировать проактивная защита.
Антивирус Касперского 2013. Результат: удовлетворительно.
Антивирус Касперского 2013 успешно распознал и удалил наш образец еще на стадии распаковки. Проактивная защита также определила вредоносную активность и даже попыталась удалить исходный файл, однако не смогла воспрепятствовать заражению. После включения всех компонентов защиты антивирус определил активное заражение и, с помощью специальной процедуры лечения, успешно его устранил.
Как рассматривать данный результат? С одной стороны заражение системы все-таки произошло, с другой - пользователь был уведомлен о попытке заражения и мог своевременно принять меры по дополнительной проверке системы. Тем более что в реальной ситуации в дело могут вступить и иные компоненты защиты. Поэтому оценка удовлетворительно, так как несмотря ни на что пользователь как минимум в курсе о происходящей в системе нездоровой активности.
ESET NOD32 Антивирус 6. Результат: плохо.
Шестая версия NOD32 также без труда определила и обезвредила вредоносный образец. Однако оставшись со зловредом один на один модуль проактивной защиты никак не отреагировал на процесс заражения системы. С лечением активного заражения антивирус справился хорошо, однако оставил созданные вирусом следы в реестре, что в ряде случаев может привести к некорректной работе системы и потребовать дополнительных процедур по ее восстановлению. Общая оценка: плохо, так как пользователь остался в неведении о потенциально опасной активности в его системе.
Norton AntiVirus. Результат: тест не пройден.
Norton AntiVirus на момент тестирования для данного вируса записей в базе сигнатур не имел, поэтому абсолютно никак не прореагировал на распаковку и запуск вредоносного сэмпла. Хотя заражения системы так и не произошло, запущенный вредоносный процесс не подвал никаких признаков активности, как и антивирус. Это происходило как при полностью включенной защите, так и при выключенной.
Несмотря на то, что антивирус препятствовал заражению системы, мы не засчитали данному продукту прохождение теста. Почему? Ответ прост: если блокировка активности вредоносного процесса произошла благодаря антивирусу, то пользователь должен получить уведомление об этом, как минимум запись в журнале. В нашем случае найти какую либо информацию о причастности данного антивируса к происходящему в системе мы не смогли. Остается только гадать что это было: работа антивируса, счастливое стечение обстоятельств, баг?
Есть еще очень неочевидный момент, если это все таки работа антивируса, то никто не мешает ему в следующий раз заблокировать вполне легальную программу или ее компонент. А если вспомнить, что антивирус относится к тому немногому числу программ, которые имеют доступ к коду исполняемому на уровне ядра, то становится понятно, что такое поведение может привести к самым разнообразным сбоям, вплоть до "синих окон смерти". А так как, в отличии от нашего случая, причинно следственная связь между сбоями и работой антивируса не очевидна, то пользователь или администратор может потратить очень много сил и времени для установления причин нестабильного поведения системы.
Поэтому наш результат: тест не пройден. Если антивирус проводит в системе какие либо действия, то он должен уведомить об этом пользователя, даже если продукт рассчитан на домохозяек. В этом случае достаточно записи в журнал: и домохозяйка спокойна, и специалист, при необходимости, без труда надет нужную информацию.
Trend Micro Titanium Antivirus Plus. Результат: тест не пройден.
Антивирус от Trend Micro нас сильно разочаровал. Не имея записей в сигнатурной базе продукт никак не препятствовал заражению и мы получили активное вредоносное ПО в системе при полностью рабочем антивирусе.
Впоследствии, устраняя активное заражение при помощи Dr.Web CureIt!, мы получили забавное сообщение о том, что следует обеспечить более надежную защиту.
Пожалуй мы последуем данному совету. А пока вполне закономерный результат: тест не пройден.
Outpost Antivirus Pro 8.0. Результат: тест не пройден.
Так как данная методика в свое время была предложена компанией Agnitum, то мы не могли не протестировать последнюю версию антивирусного продукта данного производителя. Тем более разработчики сами делают упор на проактивные технологии, которые должны обеспечить защиту от новых и ранее неизвестных угроз. Ну что же, посмотрим...
Как и в случае с Norton AntiVirus, данный продукт никак не отреагировал на распаковку и запуск образца вируса, однако препятствовал заражению. В итоге получил аналогичный результат: тест не пройден. Наше мнение: о всех своих действиях антивирус должен так или иначе уведомлять пользователя, иначе, если вдруг "молча" заблокирована легальная программа, какая разница между ним и вредоносным ПО?
Выводы.
Выводы сегодня не очень радостные: широко разрекламированная технология проактивной защиты в младших продуктах практически всех ведущих производителей антивирусного ПО оказалась сугубо маркетинговым ходом, а не рабочим и эффектным средством защиты. Отдельно стоит выделить только Лабораторию Касперского, продукт которой хоть как-то отреагировал и попытался воспрепятствовать нежелательной активности.
Онлайн-курс по устройству компьютерных сетей
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.
Последние комментарии