Антивирусные средства, устанавливаемые пользователями на свои ПК, несмотря на весьма сходные характеристики по списку обнаруживаемых вирусов и иных зловредных программ, тем не менее показывают различную способность к их обнаружению в замаскированном виде. Такой маскировкой, часто применяемой злоумышленниками при распространении вирусов, является упаковка исходного кода вирусов различными архиваторами и упаковщиками, а также помещение зловредных программ внутрь самораспаковывающихся архивов. Уже к концу 2008 г доля явных включений вирусов во вложениях незначительна; большинство их маскируется контентом и явной или скрытой архивацией.
Проведённые исследования показали, что далеко не все известные антивирусные средства «справляются» с обнаружением таким образом замаскированного вирусного кода. Более того, даже наиболее развитые антивирусные программные средства, установленные на ПК, могут быть неполностью или неправильно настроены, что влечёт за собой неполноту выполняемых проверок и фактическую незащищённость компьютера. Уже сравнительно давно практически все производители антивирусных средств согласились считать эталоном условного вируса фактически безвредный файл-программу, разработанный Европейским институтом компьютерных антивирусных исследований (European Institute for Computer Antivirus Research, EICAR, http://www.eicar.org). Несомненным достоинством этой программы является то, что она выполняема на любом ПК, причём в текстовом виде программа не содержит непечатаемых (unprintable) символов, что позволяет её легко "захватить" любым текстовым редактором и затем заменить расширение запомненного текстового файла на COM. Запуск на выполнение этой программы абсолютно безвреден и приводит лишь к выводу консольного сообщения "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!". Более того, выводимый текст пользователь может легко изменить по своему усмотрению, откорректировав программу как любой текстовый файл любым текстовым редактором. Таким образом, данный файл может использоваться как вирус-детектор для исследования реакции на него различных антивирусных средств.
Интерактивные средства антивирусных проверок уже давно существуют на многих сайтах производителей ведущих антивирусных средств. Так, на сайте Касперского уже давно существует онлайновая проверка на вирус любого отправленного пользователем файла (http://www.kaspersky.ru/scanforvirus). На сайте "ООО Doctor Web", помимо предлагаемой к скачиванию бесплатной утилиты для проверки компьютера (http://www.freedrweb.com/cureit), не только организован приём файлов на проверку, но даже предложены специальные информеры (http://www.freedrweb.com/for+web+sites) для сайтов-посредников, через которые можно также проверить тот или иной файл. Различные бесплатные утилиты проверок есть и на сайтах других антивирусных вендоров (см., напр., http://www.esetnod32.ru/.download/other/free_trojan_remover). В условиях жёсткой конкурентной борьбы было бы естественным ожидать от вендоров антивирусных средств также интерактивное тестирование уже установленнных средств антивирусной защиты, например, с помощью упомянутого выше тестового файла EICAR. Однако, различные производители антивирусных средств, включая данный файл во все антивирусные базы, тем не менее по непонятным причинам на своих сайтах не предоставляют пользователям средств интерактивной проверки того, как на самом деле реагирует то или иное установленное антивирусное средство на такой тестовый файл. Единственным местом, где прямо предлагается выполнить подобную проверку, является сам разработчик этого тестового файла (http://www.eicar.org/anti_virus_test_file.htm). Рекомендуемой методикой проверки является скачивание тестового файла и последующая проверка скачанного тем или иным сканером. При этом предлагается 4 варианта файлов:
- файл с расширением COM;
- файл с двойным расширением COM.TXT;
- ZIP-архив, содержащий COM-файл;
- двойной ZIP-архив (один архив вложен в другой), содержащий COM- файл.
При этом, на той же web-странице утверждается, что хорошим можно назвать AV-сканер, нашедший детектор внутри одинарного архива ("Good scanners will detect the 'virus' in the single zip ARCHIVE and may be even in the double zip ARCHIVEs).
Описанная ситуация с интерактивной проверкой представляется нам недостаточной и не соответствующей актуальным требованиям нашей страны.
Во-первых, тестирование AV-сканеров, предназначенных, как известно, для обнаружения уже присутствующих на ПК вирусов, хотя и имеет смысл, тем не менее гораздо менее актуально, чем тестирование AV-мониторов («сторожей»), сканирующих получаемые файлы «на лету» и предупреждающих о появлении заразы до её укоренения на компьютере.
Во-вторых, наиболее распространённым методом архивации в РФ, по различным причинам, является отечественный архиватор WinRAR (http://www.win-rar.ru), а вовсе не WinZIP. После появления постоянной поддержки этого архиватора на английском языке (http://www.rarlab.com), он бурно распространился по миру и фактически вытеснил ZIP, поскольку включает также возможность упаковки и распаковки ZIP-алгоритмами.
В силу сказанного, можно считать актуальным создание интерактивных средств проверки антивирусных мониторов на комплекс тестовых файлов, включающих вирус-детектор EICAR. Однако, среди как отечественных, так и иностранных сайтов подобных средств автор не обнаружил.
На Антивирусном сайте ЦЭМИ РАН с 2007 г реализована возможность проверки установленных на ПК пользователя антивирусных средств попытками тестовых скачиваний именно этого, разработанного EICAR эталонного псевдовирусного файла в различных видах, а именно:
– в его непосредственном виде;
– внутри ZIP-архива;
– внутри RAR-архива;
– внутри двойного ZIP-архива, т.е. ZIP-архива, ещё раз архивированного ZIP;
– внутри сложного архива, т.е. ZIP-архива, запакованного программой WinRAR.
Предложенный комплект проверочных действий сформирован, исходя из
анализа повседневной практики. Скачивание архивированного контента в
условиях РФ, главным образом, исполняется в виде дистрибутивов с
зарубежных сайтов (в этом случае обычно используется стандартный ZIP-
архиватор), либо отечественных (в этом случае используется преимущественно
WinRAR). Доля вирусов и иных зловредных программ, нацеленных на
специфику российского менталитета, за последние годы резко возросла, что
видно хотя бы по количеству SMS-блокировок ПК именно на русском языке.
Рис. 1. Вид страницы Антивирусного сайта ЦЭМИ РАН с интерактивной проверкой
Вход на эту страницу Антивирусного сайта ЦЭМИ РАН может быть выполнен автоматически по ссылке http://av.cemi.rssi.ru?6,1. На этой же странице приведена типичная реакция стандартного для ЦЭМИ РАН антивирусного средства Doctor Web для рабочих станций Windows (точнее, его постоянно загруженного монитора SpIDerGuard), а также даны краткие рекомендации.
Практическим пользователям следует обратить внимание на реальную процедуру защиты, реализованную внутри SpIDerGuard: он не запрещает собственно скачивание (которое исполняется в одну из временных областей ПК каталога Temporary Internet Files), он запрещает именно задействование этого контента, т.е. показ в составе формируемой браузером web-страницы.
Предложенный интерактивный сервис помогает решить целый ряд вопросов, от практической проверки реакции любых антивирусных средств на безобидном примере до сравнительных характеристик реакций различных антивирусных средств на приведённую совокупность тестовых файлов.
Проведенные в 2008 г исследования показали, что из нескольких известных автору популярных антивирусных средств, реакцию на все предложенные тестовые случаи показал только отечественный антивирусный пакет Doctor Web (версия 4.44).