Сравнение эвристических анализаторов антивирусов

Kostyan · 12.05.2006, 21:29

Одной из составных частей современного антивирусного пакета является эвристический анализатор, представляющий собой подсистему антивируса, отвечающую за детектирование новых разновидностей вредоносных программ до внесения их сигнатур в базу данных антивируса. Работа эвристического анализатора всегда является балансом между детектированием новых разновидностей вредоносных программ и ложными срабатываниями. Целью данного тестирования было изучение реагирования антивирусов на ряд тестовых примеров, имитирующих вредоносные программы двух распространенных типов — Trojan-Downloader и Drojan-Dropper. Данные категории программ выбраны не случайно, поскольку они имеют характерный программный код, а поражение компьютера зачастую начинается именно с запуска на нем программ данного типа.

Trojan-Downloader

Тrojan-Downloader — это программа, предназначенная для скрытной несанкционированной загрузки на компьютер пользователя постороннего программного обеспечения с его последующим запуском или регистрацией в системе. Сам по себе Trojan-Downloader не несет большой опасности для системы — опасен не он, а загружаемые им программы. Статистическое исследование 1300 образцов показало, что 855 из них построены по типовым схемам.

Из построенных по типовой схеме 855 образцов для дальнейшего изучения отобрано 440 (отбор проводился путем отбрасывания незначительно различающихся вариантов вредоносных программ), для которых было проверено, как они ведут себя после несанкционированной загрузки программы.

Было обнаружено, что 190 образцов Trojan-Downloader запускают загруженные программы при помощи API-функции ShellExecute, 138 — при помощи CreateProcess. Остальные не запускают загруженные файлы в явном виде — вместо этого они регистрируют загруженные программы как запускаемые автоматически их как расширения Internet Explorer. Кроме того, было установлено, что более 70% изученных образцов написано на языках высокого уровня (C, Delphi, Visual Basic).

Таким образом, можно сформировать портрет типового Trojan-Downloader: он написан на языке высокого уровня, загружает файлы и запускает их через стандартные API-функции. Сразу оговоримся, что под данные приметы могут попасть многие утилиты, предназначенные, например, для обновления версий программных продуктов. На основании этого портрета был подготовлен ряд тестовых примеров:

1. GUI-приложение, написанное на Delphi 7. Выполняет загрузку исполняемого файла из Интернета, его сохранение в файл c:\troj_test.exe и его запуск. Загрузка производится при помощи API-функций InternetOpen, InternetOpenURL, InternetReadFile библиотеки wininet.dll, запуск — через ShellExecute.
2. GUI-приложение, написанное на Delphi 7. Выполняет загрузку исполняемого файла из Интернета, его сохранение в файл c:\troj_test.exe. Загрузка производится при помощи API-функции URLDownloadToFile библиотеки urlmon.dll.
3. Delphi 7, аналог примера 2 без GUI. Наиболее похож на реальный TrojanDownloader, построенный с помощью Delphi.
4. Пример 3 отличается тем, что urlmon.dll загружается динамически, имя DLL и имя функции подвергнуты простейшей шифровке.
5. Аналог примера 1, но без GUI.
6. Аналог примера 3 с применением антиотладочных приемов.
7. Microsoft C, InternetOpenURL+InternetReadFile — аналог примера 1.
8. Microsoft C, URLDownloadToFile — аналог примера 2.

Таким образом, получается, что перечисленные примеры соответствуют наиболее распространенным, согласно статистике, разновидностям Trojan-Downloader.

Столбцы:
1. GUI, Delphi 7, InternetOpenURL+InternetReadFile.
2. GUI, Delphi 7, URLDownloadToFile.
3. Без GUI, Delphi 7, URLDownloadToFile; 3’ — с динамической загрузкой DLL и шифровкой имен.
4. Без GUI, Delphi 7, InternetOpenURL+InternetReadFile.
5. Без GUI, Delphi 7, URLDownloadToFile, антиотладочные приемы.
6. Microsoft C, InternetOpenURL+InternetReadFile.
7. Microsoft C, URLDownloadToFile.

Результаты тестов приведены в таблице. По ним видно, что на пример 3 среагировало наибольшее количество антивирусов. Кроме того, видно, что применение антиотладочных приемов нейтрализовало анализаторы всех антивирусов, что является безусловным минусом этих анализаторов. Реагирование антивирусов BitDefender и NOD32 на образцы с GUI может приводить к ложным срабатываниям на утилиты автоматического обновления через Интернет. Антивирус VBA на тестах показывал не только подозрение на TrojanDownloader, но и корректно указывал в протоколе URL, с которого предположительно загружается файл, — это, несомненно, полезно для анализа и принятия решения о том, ложное это срабатывание или нет. Антивирус Norman в расширенном протоколе системы Sandbox выдавал подробную информацию, в которой было отмечено минимум два события: загрузка файла (с указанием URL загрузки и имени, под которым сохраняется файл) и запуск загруженного файла.

12.05.2006, 21:29	#15043
Kostyan Старожила Регистрация: 17.10.2005 Адрес: где то в степях Ярославщины Сообщения: 399	Сравнение эвристических анализаторов антивирусов Одной из составных частей современного антивирусного пакета является эвристический анализатор, представляющий собой подсистему антивируса, отвечающую за детектирование новых разновидностей вредоносных программ до внесения их сигнатур в базу данных антивируса. Работа эвристического анализатора всегда является балансом между детектированием новых разновидностей вредоносных программ и ложными срабатываниями. Целью данного тестирования было изучение реагирования антивирусов на ряд тестовых примеров, имитирующих вредоносные программы двух распространенных типов — Trojan-Downloader и Drojan-Dropper. Данные категории программ выбраны не случайно, поскольку они имеют характерный программный код, а поражение компьютера зачастую начинается именно с запуска на нем программ данного типа. Trojan-Downloader Тrojan-Downloader — это программа, предназначенная для скрытной несанкционированной загрузки на компьютер пользователя постороннего программного обеспечения с его последующим запуском или регистрацией в системе. Сам по себе Trojan-Downloader не несет большой опасности для системы — опасен не он, а загружаемые им программы. Статистическое исследование 1300 образцов показало, что 855 из них построены по типовым схемам. Из построенных по типовой схеме 855 образцов для дальнейшего изучения отобрано 440 (отбор проводился путем отбрасывания незначительно различающихся вариантов вредоносных программ), для которых было проверено, как они ведут себя после несанкционированной загрузки программы. Было обнаружено, что 190 образцов Trojan-Downloader запускают загруженные программы при помощи API-функции ShellExecute, 138 — при помощи CreateProcess. Остальные не запускают загруженные файлы в явном виде — вместо этого они регистрируют загруженные программы как запускаемые автоматически их как расширения Internet Explorer. Кроме того, было установлено, что более 70% изученных образцов написано на языках высокого уровня (C, Delphi, Visual Basic). Таким образом, можно сформировать портрет типового Trojan-Downloader: он написан на языке высокого уровня, загружает файлы и запускает их через стандартные API-функции. Сразу оговоримся, что под данные приметы могут попасть многие утилиты, предназначенные, например, для обновления версий программных продуктов. На основании этого портрета был подготовлен ряд тестовых примеров: 1. GUI-приложение, написанное на Delphi 7. Выполняет загрузку исполняемого файла из Интернета, его сохранение в файл c:\troj_test.exe и его запуск. Загрузка производится при помощи API-функций InternetOpen, InternetOpenURL, InternetReadFile библиотеки wininet.dll, запуск — через ShellExecute. 2. GUI-приложение, написанное на Delphi 7. Выполняет загрузку исполняемого файла из Интернета, его сохранение в файл c:\troj_test.exe. Загрузка производится при помощи API-функции URLDownloadToFile библиотеки urlmon.dll. 3. Delphi 7, аналог примера 2 без GUI. Наиболее похож на реальный TrojanDownloader, построенный с помощью Delphi. 4. Пример 3 отличается тем, что urlmon.dll загружается динамически, имя DLL и имя функции подвергнуты простейшей шифровке. 5. Аналог примера 1, но без GUI. 6. Аналог примера 3 с применением антиотладочных приемов. 7. Microsoft C, InternetOpenURL+InternetReadFile — аналог примера 1. 8. Microsoft C, URLDownloadToFile — аналог примера 2. Таким образом, получается, что перечисленные примеры соответствуют наиболее распространенным, согласно статистике, разновидностям Trojan-Downloader. Столбцы: 1. GUI, Delphi 7, InternetOpenURL+InternetReadFile. 2. GUI, Delphi 7, URLDownloadToFile. 3. Без GUI, Delphi 7, URLDownloadToFile; 3’ — с динамической загрузкой DLL и шифровкой имен. 4. Без GUI, Delphi 7, InternetOpenURL+InternetReadFile. 5. Без GUI, Delphi 7, URLDownloadToFile, антиотладочные приемы. 6. Microsoft C, InternetOpenURL+InternetReadFile. 7. Microsoft C, URLDownloadToFile. Результаты тестов приведены в таблице. По ним видно, что на пример 3 среагировало наибольшее количество антивирусов. Кроме того, видно, что применение антиотладочных приемов нейтрализовало анализаторы всех антивирусов, что является безусловным минусом этих анализаторов. Реагирование антивирусов BitDefender и NOD32 на образцы с GUI может приводить к ложным срабатываниям на утилиты автоматического обновления через Интернет. Антивирус VBA на тестах показывал не только подозрение на TrojanDownloader, но и корректно указывал в протоколе URL, с которого предположительно загружается файл, — это, несомненно, полезно для анализа и принятия решения о том, ложное это срабатывание или нет. Антивирус Norman в расширенном протоколе системы Sandbox выдавал подробную информацию, в которой было отмечено минимум два события: загрузка файла (с указанием URL загрузки и имени, под которым сохраняется файл) и запуск загруженного файла. __________________ *the signature is absent*

Здесь присутствуют: 1 (пользователей - 0 , гостей - 1)