Cele mai bune anti-rootkit, testul rootkit pentru detectarea și eliminarea rootkits, Evaluarea rootkit

Cele mai bune anti-rootkit, testul rootkit pentru detectarea și eliminarea rootkits, Evaluarea rootkit

În ultimii ani, devin din ce în ce mai populare în rândul scriitorilor de viruși utilizează tehnologia rootkit. Motivul este evident - abilitatea de a ascunde malware-ului și a componentelor sale cu privire la programele de PC-uri și antivirus utilizatorului. Pe internet puteți găsi gratuit codul sursă rootkituri gata, ceea ce duce inevitabil la aplicarea pe scară largă a acestei tehnologii în diverse troieni sau spyware (spyware / adware, keyloggers, etc.).

Rootkit (din kit-ul rădăcină limba engleză, și anume, „set rădăcină.“) - un program pentru a ascunde urmele unui intrus sau prezența de malware în sistem. Utilizarea tehnologiei rootkit permite malware-ului pentru a ascunde urmele activității sale pe calculatorul victimei prin mascarea fișiere, procese, precum și însăși prezența în sistem.

Pentru a detecta și elimina aceste programe rău intenționate, există multe software specializat - anti-rootkit.

Obiectivul acestui test - pentru a verifica capacitatea mai bine-cunoscute anti-rootkit pentru a detecta și elimina malware-ul de rețea pe scară largă (ITW-probe) folosind tehnologia rootkit.

Testarea pentru malware-ITW probe comune oferă o idee despre cât de bine soluțiile luate în considerare pentru a face față rootkit-urile deja cunoscute.

Testul au participat 12 specializate anti-rootkit, produse, selectate în conformitate cu metodologia:

  1. 1.2.012.0 ESET SysInspector
  2. GMER 1.0.15.15281
  3. 1.3.1 KernelDetective
  4. Soluții online Autorun manager 5.0.11922.0
  5. Panda Anti-Rootkit 1.0.8.0
  6. Sophos Anti-Rootkit 1.5.0
  7. SysReveal 1.0.0.27
  8. Rootkit Unhooker 3.8.386.589
  9. RootRepeal 1.3.5
  10. Trend Micro RootkitBuster 2,80
  11. VBA32 antirootkit 3.12 (beta)
  12. XueTr 1.0.2.0

Test realizat pe 12 programe rău intenționate, fiecare dintre care folosește o metodă de mascare sistem. Set samplov format în strictă conformitate cu anumite cerințe. șef printre care a fost acoperirea tuturor tehnicilor de mascare utilizate în sistem.

Selectate pentru a testa malware:

  1. TDL (Tdss, Alureon, Tidserv)
  2. Sinowal (Mebroot)
  3. Pandex (Rootkit.Protector, Cutwail)
  4. Rootkit.Podnuha (Boaxxe)
  5. Rustock (NewRest)
  6. Srizbi
  7. Synsenddrv (Rootkit.Pakes, BlackEnergy)
  8. TDL2 (Tdss, Alureon, Tidserv)
  9. Max ++ (Zero Access)
  10. Virus.Protector (Kobcka, Neprodoor)
  11. TDL3 (Tdss, Alureon, Tidserv)
  12. z00clicker

Testarea capacității de a detecta programe dăunătoare care utilizează tehnologii rootkit

Tabelul 1-2 prezintă rezultatele de detectare a programelor malware care utilizează tehnologii rootkit, anti-rootkit-urile specializate.

Amintim că, în conformitate cu schema de utilizat plină de satisfacții. pentru fiecare pozitiv (+, + / +, +/- și - / + în tabel) este încărcat la 0,5 puncte.

Tabelul 1: Rezultatele de test rootkit (start)

Din tabelul 1 se poate observa în mod clar, dificultăți foarte mari au apărut cu produsele testate bootkit Sinowal (Mebroot). Am descoperit doar patru anti-rootkit testat și de a restabili MBR-ul a fost capabil să doar un singur RootRepeal. Cel mai neajutorat în acest set de trei rootkiturilor a apărut Panda Anti-Rootkit, care a marcat nici un punct.

Tabelul 2: Testul Rezultatele rootkit (continuare)

Anti-rootkit / malware

Ștergerea unui fișier cheie / registru

Ștergeți fișierul / modifica cheia

Ștergerea unui fișier cheie / registru nou cha

Trend Micro RootkitBuster

Tabelul 2 se sugerează câteva concluzii. Prima dintre ele este aproape completă "indestructibilitatea" rootkit Rustock (NewRest), care ar putea neutraliza numai KernelDetective și Online Manager Solutions Autorun (OSAM). În general, cu descoperirea acestui set special de rootkiturilor a fost nici o problema, cu excepția pentru cei din afară Panda Anti-Rootkit, și Trend Micro RootkitBuster, care a marcat doar 0,5 puncte pentru detectarea Srizbi.

Tabelul 3: Testul Rezultatele rootkit (continuare)

Anti-rootkit / malware

Ștergerea unui fișier cheie / registru

Ștergerea unui fișier cheie / registru

Nu se poate face lectura

Trend Micro RootkitBuster

Synsenddrv (Rootkit.Pakes, BlackEnergy) sa dovedit a fi cel mai ușor de a detecta și elimina toate din setul selectat de malware - găsit toate testate anti-rootkit, nu numai dezarmat SysInspector si Eset SysReveal. Cele mai mari dificultăți ale acestui set numit Max ++ (ZeroAcess), care se gaseste doar patru produse (două au fost capabili de a copia driver-ul infectat).

Tabelul 4: Rezultatele testelor rootkit (end)

Anti-rootkit / malware

Trend Micro RootkitBuster

După cum se arată în tabelul 4, cu această rootkits Seth în produsele de testare care au cele mai mari probleme, mai ales în TDL3 (Tdss, Alureon, Tidserv) și z00clicker. În mod semnificativ mai bine decât ceilalți de aici s-au arătat GMER și VBA32 antirootkit, alții au pierdut o mulțime de puncte. ESET SysInspector, Trend Micro RootkitBuster și Panda Anti-Rootkit găsit nimic din acest set.

Rezultatele testelor finale și premii

Rezumând datele prezentate în Tabelele 1-4, vom obține rezultatele finale ale eficacității anti-rootkit testat (bazat pe maximum 12 puncte), vezi fig. 1 și Tabelul 5.

Figura 1: Rezumatul rootkit Test (puncte acumulate)

Cele mai bune anti-rootkit, testul rootkit pentru detectarea și eliminarea rootkits, Evaluarea rootkit

Tabelul 5: Top anti-rootkit-urilor pe rezultatele testelor

Cele mai bune rezultate de test anti-Rootkit-urile sunt recunoscute de GMER și VBA32 antirootkit, care au dreptul de a primi premiul de aur a Anti-RootkitProtection Award. superioritatea lor față de celălalt poate fi văzut în mod clar în ultimele trei probe de rootkit-uri în tabelul 4.

Rezultate foarte bune au arătat RootRepeal, Online Solutions Manager de Autorun (OSAM), XueTr, Rootkit Unhooker (din păcate, atkivno nu se dezvolta și a demisionat de la conducerea rezultatului testelor noastre) și KernelDetective. Produsele pe care le au fost recompensate cu Silver Anti-RootkitProtection Award.

Rezultate satisfăcătoare au arătat SysReveal și Sophos Anti-Rootkit, a primit premiul de Bronz Anti-RootkitProtection Award. În cazul în care produsul final este la Sophos nu sunt în creștere în mod activ, atunci primii doi s-ar putea avea o șansă de a îmbunătăți scorurile lor la testele viitoare.

„Aducerea testarea la concluzia sa logică, avem o imagine detaliată a capacităților de eliminare a rootkit moderne provocare ITW-eșantioanele de programe periculoase care utilizează tehnologii rootkit. Pe baza acestor date, putem concluziona că societățile anti-virus, ale căror produse sunt implicate în testare, doar pretind a oferi soluții pentru a elimina amenințările complexe. De fapt, cele mai multe sunt în imposibilitatea de a rezista antiRootkit vendorskih rootkiturilor moderne, din cauza înapoierii sale tehnice, așa cum arată rezultatele noastre. O excepție de la acest lucru este pozitiv VBA32 AntiRootkit de la „VirusBlokAda.“ Acest produs este capabil să detecteze cele mai complexe cazuri de infecție, care folosesc colare drivere de sistem. Acest rezultat, desigur, este un indicator de soluții de înaltă tehnologie, ea ține pasul! De asemenea, este demn de menționat câștigătorul testirovaniya- Gmer, acest produs este, în opinia mea, a fost întotdeauna etalonul pentru anti-rootkit.

„Pe parcursul anului trecut au fost destul de o mulțime de noi rootkit-urilor în ceea ce privește tehnologiile utilizate. Acesta TDL2 cu mecanisme de protecție a detectării și eliminarea acestuia (a deschide discul de blocare, volumul, reconstrucția interceptări, de urmărire ordinea de încărcare a conducătorului auto). Ca noi versiuni ale rootkit Rustock a apărut ca recreează după retragerea IRP- și DKOH-intercepteaza, care nu au fost observate anterior în alte familii de malware (IRP-cârlige recreează, de asemenea, Pandex). Relativ recent, a aparut ruktity max ++ și TDL3, care drivere de sistem patchatsya și stoca componentele lor în afara sistemului de fișiere al PC-ului infectat.

Astfel virmeykery chiuveta mai adânc și mai adânc în măruntaiele sistemului, iar dezvoltatorii de software anti-rootkit trebuie să urmeze cele mai recente tendințe rutkitostroeniya și încercați să nu rămână în urmă. Din testul de rezultatele arată că cel mai mare succes în lupta împotriva ruktitami moderne sunt cele mai activ în curs de dezvoltare anti-rootkit-urile - GMER, VBA32 antirootkit, RootRepeal, OSAM, Xuetr, RKU și KernelDetective. Dar chiar și ei nu pot face față întotdeauna cu contagiune diseminate în mod activ pe internet ".

Sergey Ulasen, șeful companiei de dezvoltare a motorului antivirus "VirusBlokAda":

„Lupta împotriva o infecție activă - una dintre cele mai dificile sarcini pe care trebuie rezolvate în industria antivirus. În acest caz, greutatea totală a sumei probe de fapt complexe, este în continuă creștere, astfel cum luate în tehnologii rootkit direcția combinare
contaminarea modulelor de sistem ale sistemului de operare face ca sarcina de tratament
mai mult și mai severe.

Prezența unui utilitar specializat, care poate detecta și trata nu numai cunoscute programe rău intenționate, dar, de asemenea, pentru a face față amenințărilor necunoscute încă la furnizor, este un mare ajutor în activitatea utilizatorilor calificați și a produselor de suport tehnic. Compania „VirusBlokAda“ în ultimul an este în curs de dezvoltare foarte activ în curs de dezvoltare utilitatea Vba32 AntiRootkit și este mulțumit de faptul că acest test a confirmat corectitudinea deciziei noastre și calitatea acesteia. De asemenea, rețineți că acest test a arătat stabilitatea soluției, în ciuda sufixului în versiunea beta a camerei sale. Noi, la rândul său, va depune eforturi pentru a elibera următoarea lansare Vba32 AntiRootkit mai repede posibil, și să utilizeze toate tehnologia dezvoltată în motorul principal al produselor noastre emblematice. "

Vyacheslav Rusakov, expert Anti-Malware.ru, lider dezvoltator de "Kaspersky Lab":

„Testarea acestor instrumente specializate, cum ar fi anti-rootkit-uri - o sarcină destul de complicată, deoarece aceste programe sunt destinate utilizării de către experți și profesioniști. Rapoartele de anti-rootkit mic, care va spune utilizatorului neiluminate. Sarcina principală a mijloacelor tehnice de date este detectarea de anomalii în cod malitios activ. Și mai multe informații, care oferă un instrument, cu atât mai ușor expertul pentru a evalua amenințarea și pașii următori. În plus față de detectarea de anomalii, în mod optim, dacă rootkit oferă funcții de dezactivare de cod malițios, cu toate acestea, nu este întotdeauna posibil.

Anti-Rootkit Rootkit Unhooker în cele din urmă plecat „subteran“ și în curs de dezvoltare o versiune privată, care este disponibil la un grup restrâns de oameni, versiunea publică a oarecum depășite. Ar trebui să acorde o atenție și să urmeze dezvoltarea Online Manager Solutions Autorun, XueTr și KernelDetective, alte produse, din păcate, nimic nu este potrivit ".

Mikhail Kasimov, un expert Anti-Malware.ru:

Este îmbucurător să se constate că detectarea potențial ridicat și neutralizare a nivelului, împreună cu a primit primul loc GMER, a aratat o versiune beta VBA32 AntiRootkit, RootRepeal, KernelDetective, precum și pe recent lansat în arena de produs online Solutions Autorun Manager de ».