AV-Test: Тест антивирусов на восстановление зараженной системы

По материалам AV-Test

В сложном продолжительном тесте, который проходил на протяжении всего 2015 года и включал 4 тестовых раунда, 7 продуктов продемонстрировали возможности защиты, очистки и восстановления инфицированной системы.

Современные скрытые загрузки увеличивают риск заражения: пользователю достаточно посетить веб-сайт, чтобы загрузить вредоносную программу, и незащищенная система может быть инфицирована.

Что же мы можем предпринять? Возможно ли полностью очистить и восстановить систему после вредоносной атаки. В Интернете можно встретить различные мнения на этот счет: некоторые пользователи рекомендуют сразу же переустанавливать системы, чтобы надежно избавиться от поселившегося трояна. Данное утверждение ошибочно, что подтверждается текущим тестом 7 антивирусов на восстановление зараженной машины. Во время тестирования исследователи размещали в целевых системах стойкие угрозы, затем проводился сеанс очистки и восстановления продолжительностью в один год.

В тесте принимали участие следующие антивирусы:

• AVG Internet Security 2015
• Avira Antivirus Pro 15.0
• Bitdefender Internet Security 2015
• ESET NOD32 Smart Security 8
• G Data Internet Security 25.1
• Kaspersky Internet Security 2015
• Microsoft Security Essentials 4.8

Антивирусные комплексы являются надежными помощниками

Лаборатория AV-Test разделила тест на два этапа. В первом этапе оценивалось, как хорошо антивирус справляется с очисткой при установке на уже зараженную машину. Таким образом рассматривался очень распространенный сценарий, когда пользователь устанавливает антивирус уже после осознания того, что в системе завелся зловред. В этом случае можно столкнуться с проблемой, когда угроза будет предотвращать установку.

Второй этап соответствовал сценарию, когда вредоносная угроза еще не была обнаружена и распространена по системе. Сначала устанавливалась защита, затем на тестовую систему помещалась активная угроза, после чего следовали процессы очистки и восстановления. Образцы, используемые в тесте, были известны всем участникам тестирования, заражение происходило за счет отключения, а затем повторного включения антивирусной защиты.

Антивирусы в тесте на восстановление 2015/2016: большинство программ отработали очень хорошо, в то время, как предустановленные антивирусные комплексы лучше всего подготовлены для встречи с заражениями.

Вредоносные программы препятствовали очистке

В первой части тестирования, системы Windows оставались без защиты во время заражения. Затем исследователи лаборатории пытались установить антивирусы, выполнить очистку и восстановление системы.

Кроме того, во время первого этапа, некоторые хитрые угрозы пытались предотвратить установку AVG, Bitdefender, ESET и G Data. В отдельных случаях у антивирусов не оставалось шансов. На протяжении теста отслеживалась четкая тенденция: вредоносные программы постоянно совершенствовались, улучшая методы обнаружения антивирусов и блокировки их установки. Поэтому логично рассматривать ситуацию, когда условная угроза A не блокирует установку антивируса в данный момент времени, но будущая ее итерация A1 сможет заблокировать установку линии защиты в ближайшем будущем.

В системах с предустановленной защитой у зловредов не было шансов что-либо заблокировать.

Результаты теста на восстановление 2015/2016: 7 приложений были протестированы в лаборатории с различными сценариями атак, проверялись критерии производительности очистки и восстановления.

Остатки активных угроз

В обоих тестовых сценариях, с предустановленной защитой и установкой уже после заражения, практически все системы Windows были эффективно очищены в данном тесте. Только решения от ESET и Kaspersky не смогли удалить активный вредоносный компонент в 1 из 50 тестовых случаев. Система оставалась зараженной.

Все другие продукты просто оставили безвредные файлы или бесполезные записи в реестре. Лаборатория не рассматривало данное поведение опасным.

Установленные антивирусы эффективны в чрезвычайных ситуациях

Наиболее важный вывод тестирования: если антивирус уже установлен в зараженной системе, последующая очистка и восстановление будут гораздо более эффективны, чем в системах без первоначальной защиты. Предустановленные антивирусы Avira и Bitdefender смогли очистить и восстановить все 50 тестовых систем - 100-процентная эффективность очистки. AVG и G Data были успешны в 49 системах - каждый продукт оставил только один безобидный остаток в системе. Интересно, что Защитник Windows (или Microsoft Security Essentials) смог очистить все тестовые системы в обоих этапах тестирования, оставив следы вредоносного ПО только 8 или 9 раз.

Avira Antivirus Pro: в обоих сценариях тестирования, т.к. будучи предустановленным и установленным уже после заражения, продукт идеально справился с задачами очистки и восстановления.

Bitdefender Internet Security: в тесте, предустановленная версия очистила и восстановила систему в 50 из 50 тестовых случаев. При использовании решения в качестве инструмента восстановления, установка Bitdefender была заблокирована лишь один раз.

Методика тестирования

Тестирование продолжалось на протяжении всего 2015 года и включало 4 тестовых раунда. В двух тестовых сценариях системы Windows были вручную заражены 50 выбранными вредоносными программами.

На протяжении всего периода испытаний были задействованы различные семейства вредоносных программ, так как они также проходят постоянную эволюцию. Используемые вредоносные образцы уже были известны всем решениям, и, таким образом, программы безопасности должны были четко обнаруживать все из них. В таблицах с результатами качество очистки и восстановления отмечены в соответствии со следующим приоритетом:

1. Предотвращали ли вредоносные программы очистку?
2. Были удалены полностью активные компоненты?
3. Остались ли любые безвредные остатки от вредоносных файлов, и были исправлены все изменения в системе?
4. Полностью ли были удалены угрозы и восстановлена система с помощью программ безопасности и утилит очистки от угроз?

Виды вредоносных программ: используемые в тесте угрозы отбирались лаборатории из соображений ежедневного сценария угроз.

Процедура тестирования

Для антивирусных программ тестирование было разделено на два типичных сценария заражения.

1. В уже зараженной системе Windows устанавливается антивирус для регистрации последующего обнаружения, очистки и восстановления последствий заражения.

2. Защита антивирусной программы временно отключается, применяется вредоносная программа, и затем возобновляется защита. Еще раз регистрируется обнаружение, очистка и восстановление.

Лаборатория автоматизировала некоторые этапы тестирования, но каждая очистка системы требовала участие исследователей, т.к. требовалось подтверждать действия с помощью кликов мышью. Учитывая, что в общей сложности в тесте проводилось 700 тестовых сценариев, становится ясно, что это очень трудозатратное мероприятие. Кроме того, на завершающем этапе часто требовалась классификация остатков.

Это тестирование - как другие испытания, проводимые AV-Test - было выполнено исключительно на реальном оборудовании с использованием платформы Windows 7. Некоторые вредоносные программы могут определять, выполняются ли они в виртуальной среде и их поведение может отличаться. При использовании реального оборудования условия являются настолько реалистичными, насколько это происходит в повседневной среде пользователя.