Защити свой компьютер на 100% от вирусов и хакеров
Шрифт:
Возможные варианты защиты (плюс такие классические варианты, как установка последней версии антивирусной программы с новыми базами):
настройка BIOS, контроль режима чтение только;
контроль критических областей с помощью специализированных утилит типа ADINF32.
Возможные варианты лечения:
удаление вируса и его записей с помощью вакцин типа "АнтиЧернобыль" и т. п.;
радикальный метод – перепрошивка BIOS/замена микросхем.
5.4. Как работает эвристический анализатор кода и почему даже два антивируса в системе могут стать бесполезными
В
"Антивирус Касперского";
ESET NOD32;
Vba32 ("ВирусБлокАда").
ПРИМЕЧАНИЕ
В данном тесте мы акцентируем особое внимание на антивирусном продукте Vba32. Это белорусский антивирус, включающий в себя достаточно оригинальный эвристический модуль, в основе которого стоит запатентованная технология "MalwareScopeTM".
Методология проведения теста
Напомним, что качество эвристики определяется способностью антивируса распознавать модифицированный вредоносный код. Фактически, эвристика предполагает обнаружение вируса, которого нет в базах: по специальным алгоритмам и некоторым признакам антивирус сам должен «домыслить», что проверяемый код является вирусным. Как вы уже поняли, задача не из легких.
Для наибольшей объективности теста мы возьмем максимально широкий перечень инструментов, применяемых в подобных случаях. Помимо упаковщиков, генераторов вирусов и утилит для обфускации, мы включим в наш тест самописный вирус, а также воспользуемся полиморфным образцом Virus.Win32.Zombie, который известен оригинальной технологией декриптования для обхода эвристических анализаторов.
Подобная методология, включающая комплексное тестирование, широко применяется в сертифицированных тестовых лабораториях и позволяет минимизировать возможные погрешности, сделав результат теста максимально объективным.
"Свежесть" баз всех трех антивирусов одинакова. Уровень настроек эвристики во всех трех случаях аналогичен и приравнен к средним.
Итак, пожалуй, начнем.
Тест № 1
Для проведения первого теста были использованы случайным образом отобранные из коллекции (579 штук) четыре экземпляра вредоносного кода:
TrojanDownloader.13547;
Backdoor. Win32Optix.b;
Trojan-Win32PSW.QQRob.16;
Trojan-Win32PSW.QQShou.EH.
Каждый экземпляр был пропущен через PeStubOEP (программа предназначена для защиты EXE-файлов от определения их компилятора/упаковщика). Результаты проверки следующие ("+" – распознан; "-" – не распознан). Итак (результаты на рис. 5.3).
Nod32 2.7 "+";
"Антивирус Касперского 6.0" "+";
Vba32 "+".
Рис. 5.3. TrojanDownloader.13547 был успешно найден
Nod32 2.7 "+";
"Антивирус Касперского 6.0" "+";
Vba32 "+" (рис. 5.4).
Рис. 5.4. Backdoor.Win32Optix.b –
Nod32 2.7 "+";
"Антивирус Касперского 6.0" "+";
Vba32 "+" (рис. 5.5).
Рис. 5.5. Наш антивирус пока на высоте
Trojan-Win32PSW.QQShou.EH оказался крепким орешком, и Vba32 определил его, только после того как были установлены максимальные настройки:
Nod32 2.7 "+";
"Антивирус Касперского 6.0" "+";
Vba32 "+" (рис. 5.6, 5.7).
ПРИМЕЧАНИЕ
Один из экземпляров вредоносного кода (Trojan-Win32PSW.QQShou.EH) Vba32 был определен как Trojan-Spy.Delf.13.
Как видите, некоторые из экземпляров вредоносного кода могут быть обнаружены только с максимальными настройками, и совсем не факт, что антивирус расскажет вам всю правду.
Рис. 5.6. Экспертный анализ – максимален!
Рис. 5.7. Похож на Spy-Delf…
Используем следующую партию экземпляров, случайно отобранных из коллекции:
Trojan.Spambot;
OS.cope.Worm.UK.Nuwar;
Trojan-Proxy.WIN32.Lager.aq.
Два троянских коня и червь были запакованы Tibs. Проверяем:
Nod32 2.7 "-";
"Антивирус Касперского 6.0" "+";
Vba32 "+" (рис. 5.8).
Рис. 5.8. Результат проверки – Trojan.Spambot!
ПРИМЕЧАНИЕ
Как видите, здесь нас немного огорчил NOD32. Но не будем забывать, что даже качественно проработанный движок несовершенен.
Nod32 2.7 "+";
"Антивирус Касперского 6.0" "+";
Vba32 "+" (рис. 5.9).
Рис. 5.9. Самый настоящий червь!
Nod32 2.7 "+";
"Антивирус Касперского 6.0" "+";
Vba32 "+" (рис. 5.10).
Рис. 5.10. Прокси-троян у нас под колпаком
Продолжаем наши эксперименты. Теперь возьмем три различных вируса и наобум запакуем их тремя различными упаковщиками. Троянского коня упаковываем NsAnti. Результаты:
Nod32 2.7 "+";
"Антивирус Касперского 6.0" "+";
Vba32 "+" (рис. 5.11).
Рис. 5.11. На ловца и зверь бежит!
Теперь Trojan-Spy.Win32.AimSpy запакуем SkD Undetectabler Pro 2 SkDPRO. Результаты:
Nod32 2.7 "-";
"Антивирус Касперского 6.0" "-";