Wykrywanie i usuwanie Rootkitów, Test Antywirusów

Thompson Cyber Security Labs weryfikuje skuteczność czterech oprogramowań antywirusowych

Sierpień 2007

W bieżącym roku rootkity stanowią wciąż najpoważniejszy problem dla użytkowników. Szkodliwe programy trafiają z różnych źródeł: w konsekwencji surfowania po sieci bądź poprzez zwykłe oszustwa i instalują się na komputerze samoczynnie. Z chwilą przedostania się rootkitów do systemu, trudno jest je wykryć i wszystkie usunąć.
Aby sprawdzić skuteczność wiodących oprogramowań antyrootkitowych, firma McAfee zleciła Thompson Cyber Security Labs (TCSL) zbadanie skuteczności czterech, głównych produktów antywirusowych w wykrywaniu i usuwaniu zainstalowanych rootkitów.

Posumowanie wyników

Najlepszym sposobem ochrony sprzętu przed zniszczeniem przez szkodliwe oprogramowanie jest przede wszystkim uniemożliwienie jego uruchomienia. Nie jest to jednak zawsze możliwe. W przeprowadzonym teście TCSL przeprowadził symulację wtargnięcia rootkita do systemu. Celem przeprowadzonego testu była weryfikacja, z jaką skutecznością programy będą w stanie wykryć i usunąć już działającego rootkita.

Rozwiązanie firmy McAfee zidentyfikowało 16 z 17 rootkitów (osiągając przy tym 94% skuteczności) i usunęło 15 z 17 rootkitów (88% skuteczności). Symantec znalazł i usunął 15 z 17 rootkitów (88% efektywności w obu przypadkach). F –Secure natomiast wykrył wszystkie rootkity, osiągając tym samym sto procent skuteczności, ale był w stanie usunąć jedynie 5 z nich (29%). Microsoft Windows Live OneCare wykrył 11 rootkitów (64%) i usunął 10 (58%). W porównaniu do pozostałych produktów, biorących udział w teście, wyniki Microsoft Windows Live OneCare okazały się niskiej jakości. Ponadto niektóre z rootkitów w starciu z OneCare sparaliżowały jego uruchomienie, w konsekwencji uniemożliwiając skanowanie systemu.
Wszystkie cztery produkty wypadły dobrze w testach. Rezultaty stanowią znaczącą poprawę w porównaniu do podobnych badań, przeprowadzonych przez TCSL w zeszłym roku, kiedy to większość produktów osiągnęła stopień 50% efektywnego usunięcia rootkita.

Metodyka

Istnieją dwie metody wykrywania rootkitów. Pierwszym sposobem jest szukanie nieprawidłowości w systemie.

Tu przykładem może być stworzenie dwóch skanów systemu, jednego używając Windows API, a drugiego odwołując się bezpośrednio do jądra systemu - Kernela. Dwie listy z wynikami są ze sobą zestawiane i gdy plik nie jest na jednej z nich widoczny można przypuszczać, że został celowo ukryty.
Powyższa metoda choć nie idealna, jest często wykorzystywana. Po pierwsze niektóre z zabezpieczeń, chroniących przed nieupoważnionym kopiowaniem, celowo ukrywa niektóre ze swoich plików ze względów prawnych. Po drugie, czasem plik jest tworzony przez jakiś proces drugoplanowy i mógł nie istnieć podczas pierwszego skanu za to pojawić się w drugim, nie będąc przy tym umyślnie ukrywanym. Jeśli przykładowo przeglądamy Internet podczas gdy detektor nieprawidłowości dokonuje skanów, użytkownik zostanie poinformowany, że wiele plików było niewidocznych.
Wykrywacz nieprawidłowości jest jednak przydatnym narzędziem, zwłaszcza w rękach doświadczonego użytkownika.

Drugą metodą identyfikacji rootkitów jest użycie antywirusowego skanera i nadzieja, że poradzi sobie z wykryciem nieprawidłowości w systemie. Ten sposób jest wykorzystywany przez większość użytkowników, jako że program antywirusowy powinien rozróżniać zabezpieczenia chroniące przed nieupoważnionym kopiowaniem, rootkity oraz pliki okresowo tworzone podczas przeglądania zasobów sieci. Skaner powinien także móc nazwać rootkita.

Kryteria testowe

Testom poddano rozwiązania antywirusowe, ściągane z odpowiednich stron. TCLS nie testował wszystkich zabezpieczeń, a jedynie ich aspekt antywirusowy. Ponadto nie badano produktów antyrootkitowych ani detektorów nieprawidłowości.
Skanowanie w czasie rzeczywistym zostało wyłączone podczas testów w celu poprawnej instalacji rootkitów.
Każdy test został przeprowadzony z wykorzystaniem czystego systemu. Rootkitom umożliwiono instalację, po czym ich obecność była potwierdzana przez uruchomione detektory nieprawidłowości. Program antywirusowy skanował system i jeśli rootkit został zidentyfikowany, podejmował próby usunięcia go. Skutki usunięcia były weryfikowane poprzez aktywację detektorów nieprawidłowości.

W celu symulacji sytuacji najbardziej prawdopodobnej, TCLS pobrał wszystkie rootkity bezpośrednio ze złośliwych stron internetowych bądź też ze specjalnej biblioteki rootkitowej TCLS. Na potrzeby testów nie tworzono nowych rootkitów, ani nie wykorzystano „zoo” rootkitów.

Wnioski z badania

Produkt firmy Mcafee przodował w testach wybranej próbki rootkitów. Zidentyfikował wszystkie nieprawidłowości poza jednym złośliwym oprogramowaniem i usunął wszystkie poza dwoma. Symantec zajął bliskie, drugie miejsce, wykrywając jednego rootkita mniej niż McAfee. F-secure zabłysnął wynikiem 100% wykrycia, jednak uplasował się za innymi rozwiązaniami usuwając jedynie pięć. Microsoft OneCare znalazł i usunął ponad połowę rootkitów, ale w niektórych przypadkach nie był zdolny skutecznie zakończyć skanowania.

Więcej technicznych informacji na temat rootkitów znajduje się na stronach McAfee Avert Labs Threat Center w bibliotece dokumentów: http://www.mcafee.com/us/threat_center/white_paper.html


Firma McAfee, z siedzibą w Santa Clara w Kalifornii, jest czołową firmą zajmującą się bezpieczeństwem IT, oferującą proaktywne i sprawdzone rozwiązania i usługi umożliwiające zabezpieczanie systemów i sieci na całym świecie. Dzięki niezrównanej znajomości zagadnień bezpieczeństwa oraz zaangażowaniu na rzecz innowacyjności, McAfee dostarcza indywidualnym użytkownikom, firmom, instytucjom z sektora publicznego oraz dostawcom usług mechanizmy do blokowania ataków, zapobiegania zakłóceniom działalności oraz ciągłego monitorowania i poprawy ich poziomu bezpieczeństwa. Więcej informacji można znaleźć na stronach http://www.mcafee.com.

UWAGA: McAfee, Site Advisor, IntruShield, Foundstone, VirusScan, Avert, Total Protection (Całkowita Ochrona), AntiSpyware (Oprogramowanie Antyszpiegowskie), Secure Content Management (Zarządzanie Bezpieczeństwem Treści), ePolicy Orchestrator, Remediation Manager, Policy Auditor, Data Loss Prevention (Ochrona przed Utratą Danych), Intrusion Prevention System and Secure Internet Gateway są zastrzeżonymi znakami lub zastrzeżonymi znakami firmy McAfee, Inc. i/lub jej firm stowarzyszonych w USA i/lub innych krajach. Czerwień w połączeniu z ochroną jest cechą charakterystyczną dla produktów firmy McAfee. Wszystkie pozostałe zastrzeżone i nie zastrzeżone, znaki handlowe w tym dokumencie są wyłączną własnością ich odpowiednich właścicieli. © 2006 McAfee, Inc. Wszystkie prawa zastrzeżone.