wtorek, 17 maja 2016

Test programów antywirusowych

W serwisie www.virustotal.com można przesłać dowolny plik w celu przeskanowania go online przez ponad 50 programów (silników) antywirusowych pod kątem złośliwego oprogramowania.

Wykorzystując ten serwis stworzyłem prosty test skuteczności różnych programów antywirusowych dla wirusa testowego EICAR, który został stworzony przez Europejski Instytut Badań Wirusów Komputerowych (ang. European Institute for Computer Antivirus Research, EICAR) - www.eicar.org . Testowy wirus nie czyni żadnych szkód, jest to po prostu ciąg znaków, który wykryty przez program antywirusowy spowoduje wyskoczenie okienka z komunikatem o znalezionym wirusie. Kod pliku EICAR wygląda tak:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Powyższy ciąg znaków można zapisać do pliku .com, .bin, .txt lub dowolnego innego i testować skuteczność ochrony antywirusowej. Jeżeli ochrona działa w czasie rzeczywistym, to takiego pliku nie będzie się dało nawet zapisać na dysku. Można taki plik skompresować np. do archiwum .zip i sprawdzić czy antywirus radzi sobie z archiwami.

Test wykrywalności pliku EICAR przez różne antywirusy (VirusTotal):


Ja do swoich testów użyłem 9 różnych wariantów wirusa testowego EICAR. Wyniki testów i zrzuty ekranu z serwisu VirusTotal znajdują się w tabeli poniżej:

RODZAJ PLIKU TESTOWEGO EICAR PROCENT ANTYWIRUSÓW, KTÓRE WYKRYŁY ZŁOŚLIWY KOD WYNIKI (ZRZUTY EKRANU Z VIRUSTOTAL)
Czysty kod EICAR (oryginalny plik wirusa testowego EICAR) 96.4 % 01_plain.jpg
Plik testowego wirusa zakodowany Base64 27.3 % 02_base64.jpg
Plik testowego wirusa spakowany Zipem 87.5 % 03_zip.jpg
Plik podwójnie spakowany Zipem 82.1 % 04_zip-zip.jpg
Plik pięciokrotnie spakowany Zipem 75.0 % 05_zip-zip-zip-zip-zip.jpg
Plik spakowany programem 7zip 71.4 % 06_7zip.jpg
Dodany jeden bajt na początku pliku 37.5 % 07_a.jpg
Dodane 32 bajty na początku i na końcu pliku 14.3 % 08_b.jpg
Kod Eicar zaszyty w pliku LibreOffice Writer .odt 3.6 % 09_libre_office.jpg

Jak widać dwa antywirusy w ogóle nie wykrywają pliku testowego EICAR. Natomiast tylko dwa antywirusy znajdują ciąg EICAR zapisany w pliku .odt (LibreOffice / OpenOffice).

Test, który przeprowadziłem mówi nam jakie możliwości ma silnik antywirusowy tzn. czy wykrywa wirusa zakodowanego algorytmem Base64 lub wielokrotnie spakowanego itp. Jeżeli chodzi o ilość wykrywanych wirusów, robaków, trojanów i innych złośliwych tworów, to skuteczność zależy od baz sygnatur wirusów zaimplementowanych w oprogramowaniu antywirusowym.