Digital Security: Многие антивирусы не способны к самозащите


Digital SecurityВ настоящее время мир антивирусной индустрии совершенствуется, однако наравне с антивирусными решениями появляется и совершенствуется вредоносное ПО. Сейчас все чаще можно "стать обладателем" новенького зловреда с новым интересным функционалом. Вирусописатели не дремлют. Они оснащают свои детища новым функционалом, позволяющим обходить, отключать и деактивировать антивирусные решения. По этой причине производители антивирусных решений должны наделять инструменты для обнаружения вредоносного ПО должным механизмом самозащиты.

Чтобы разобраться с данным вопросом, эксперты из Digital Security решили выяснить, следят ли разработчики антивирусного ПО за тенденциями и модифицируют ли свои продукты в соответствии с новыми угрозами. Или же они в большей степени обращают внимание на производительность антивирусных решений и их эффективность, забывая про самозащиту.

Отметим, самозащита антивируса и ее обход в ряде случаев - означает обход всего механизма детектирования вредоносного кода. Такой прием часто используется при реализации целенаправленных атак или в программах с деструктивным, блокирующим данное ПО функционалом. Также под самозащитой антивируса принято подразумевать обеспечение безопасности собственных файлов, директорий, интерфейсов, конфигурационных данных в реестре и процессов.

Для анализа эксперты отобрали следующие популярные антивирусные решения:

  • McAfee;
  • ESET;
  • Symantec;
  • AVG;
  • Avira;
  • Dr.Web;
  • Kaspersky;
  • Panda;
  • Avast.


В ходе проверки продуктов исследователи использовали специальную программу, которая получает на вход в качестве параметров данные о технике и цели. Кроме того, применялись доступные универсальные методы, не нацеленные на конкретный продукт и не использующие их архитектурные слабости. В общей сложности в процессе исследования специалисты применили шесть видов атак:

  • Proxy Inject;
  • Duplicate Handle;
  • Shim engine;
  • PageFile;
  • RegSafe (RegStore);
  • Reparse-Point.


За каждую отраженную атаку антивирусный продукт получал по баллу.

По окончании тестирования выяснилось, что наилучшие результаты продемонстрировали:

  • Kaspersky Internet Security 15 - отразил 6 из 6 атак;
  • AVAST Free Antivirus - 5 баллов из 6 - не смог отразить атаку RegSafe (RegStore);
  • DrWeb 10 - 4,5 балла из 6 – не отразил атаку RegSafe (RegStore) и проактивно отразил Proxy Inject.


McAfee Total Security 2015, AVG Internet Security 2015, Trend Micro Antivirus+ 2015 и Panda Internet Security 2015 - заработали по 2 бала, показав наихудшие результаты.

Возможно антивирусные решения показали такие результаты по той причине, что компании разработчики попросту не отслеживают эволюцию публичных методов атак, лишь подтверждая тем самым абсурдность выбранной ими архитектуры. А возможно результаты были сфабрикованы компанией Digital Security, а сама статья была проплачена, что очень вероятно. Это можно объяснить, почему наравне с продуктами класса Internet Security были взяты обычные антивирусные решения. Как бы то ни было, по такому неполному исследованию нельзя окончательно судить о качестве какого-либо конкретного продукта.


Обновлено (31.05.2015 23:47)