Подготовка теста 

Как известно, существует два вида руткитов:

• User Mode (руткиты режима пользователя)
• Kernel Mode (руткиты режима ядра).

Наибольшую сложность для обнаружения, а значит и интерес для тестирования, представляют руткиты режима ядра, поскольку их возможности ничем не ограничены, тогда как руткиты режима пользователя ограничены в привилегиях в системе и их возможности сильно ограничены. 

В отборе вредоносных программ для теста, так же как в тесте антивирусов на лечение активного заражения, учитывались следующие критерии: 

1. используемые вредоносные программы были собраны во время распространения в Интернет, т.е. являются ITW-образцами (In The Wild);
2. каждый образец должен использовать различные способы маскировки;
3. в сумме все образцы должны максимально полно отражать существующие технологии маскировки;
4. используемые руткиты не должны иметь функционал целенаправленной борьбы с антируткитами, таких как удаление файлов, завершение процессов и т.п.

Приоритет отдавался наиболее сложным видам, которые больше удовлетворяют приведенным выше критериям. 

Таким образом, для проведения тестирования антируткитов экспертной группой Anti-Malware.ru были отобраны 12 известных вредоносных программ с руткит-маскировкой: 

1. TDL (TDSS, Alureon, Tidserv)
   Троянская программа. Является KernelMode руткитом. При инсталляции создает драйвер в WINDOWSsystem32drivers с именем aliserv3.sys и библиотеку alil.dll в системном каталоге. Драйвер руткита является фильтром драйвера файловой системы, чем и достигается маскировка на диске. Блокирует открытие тома. Маскируется в реестре перехватами в ядре и в памяти DKOM-методом. Использует функцию LockFile с целью блокировки чтения своих файлов.
2. Sinowal (Mebroot)
   Троянская программа-шпион. При запуске модифицирует главную загрузочную запись (MBR) жесткого диска с целью загрузки своего драйвера еще до старта операционной системы. Драйвер хранится в неразмеченной области диска. Перехватывает IRP обработчики драйвера, располагающегося в стеке вслед за устройством DeviceHarddiskxDRx с целью блокировки чтения/изменения антивирусными продуктами главной загрузочной записи.
3. Rootkit.Protector (Cutwail, Pandex)
   Троянская программа-спамбот. Является KernelMode руткитом. При инсталляции создает драйвер в Windowssystem32driversAti*.sys. Драйвер руткита блокирует к себе доступ перехватом IRP обработчиков драйвера файловой системы и защищает свой ключ от удаления установкой колбеков на работу с реестром. Спамбот переустанавливает свои IRP-перехваты в случае их снятия.
4. Rootkit.Podnuha (Boaxxe)
   Троянская программа. Является KernelMode руткитом. При инсталляции создает драйвер в WINDOWSsystem32drivers и библиотеку в Windowssystem32 с произвольным именем. Dll зарегистрирована как расширение Winlogon (WinlogonNotify), как BHO (ExplorerBrowser Helper Objects) и как сервис (Name_serviceParametersServiceDll). Доступ к драйверу заблокирован, так же как и возможность удалять ключи автозагрузки в реестре. Библиотека защищена от переименования/удаления.
5. Rustock (NewRest)
   Троянская программа-спамбот. Является KernelMode руткитом. При инсталляции создает драйвер в каталоге WINDOWSsystem32drivers с произвольным именем. Блокирует доступ к своему файлу перехватом IRP обработчиков драйвера файловой системы, постоянно пересоздает свой файл. Блокирует свой ключ реестра от чтения и удаления перехватами в ядре.
6. Srizbi
   Троянская программа. Является KernelMode руткитом. При инсталляции создает драйвер в WINDOWSsystem32drivers с произвольным именем. Маскирует свой ключ автозагрузки перехватом функций с помощью модификации машинного кода ядра, а так же маскирует себя на диске перехватом IRP-обработчиков драйвера файловой системы.
7. Synsenddrv (Rootkit.Pakes, BlackEnergy)
   Троянская программа. Является KernelMode руткитом. Инсталлирует драйвер в WINDOWSsystem32drivers с произвольным именем. Маскирует себя на диске перехватом IofCompleteRequest модификацией машинного кода ядра, в реестре и в памяти.
8. TDL2 (TDSS, Alureon, Tidserv)
   Троянская программа. Является KernelMode руткитом. При инсталляции создает драйвер в WINDOWSsystem32driversgasfky*.sys и две dll в системном каталоге. Вредоносная программа маскируется на диске, в реестре и памяти. Блокирует открытие диска, чтение тома, пересоздает свои ключи автозагрузки и файлы в случае удаления. Снимает права доступа к своим ключам. Переустанавливает свои перехваты в случае их снятия.
9. Max++ (ZeroAcess)
   Троянская программа. Является KernelMode руткитом. При инсталляции заражает произвольный загрузочный драйвер таким образом, что его размер не изменяется и затем работает со своим созданным при инсталляции виртуальным диском, где располагает свои компоненты. При чтении зараженного файла руткит подсовывает оригинальное содержимое файла до заражения.
10. Virus.Protector (Kobcka, Neprodoor)
    Троянская программа-спамбот. Является KernelMode руткитом. При инсталляции заражает системный драйвер ndis.sys и хуком на IofCallDriver маскируется от обнаружения, подсовывая при чтении зараженного файла оригинальное его содержимое. Инфектор создает свою копию в системном каталоге с именем reader_s.exe, прописывается в ключе Run, инжектится в создаваемый процесс svchost с целью рассылки спама. Руткит компонента также инжектится в svchost и рассылает спам.
11. TDL3 (TDSS, Alureon, Tidserv)
    Троянская программа. Является KernelMode руткитом. При инсталляции заражает системный порт или мини-порт драйвер (например, atapi.sys) таким образом, что его размер не изменяется и позволяет загрузить в память драйвер, расположенный в последних секторах жесткого диска на виртуальной шифрованной файловой системе. При чтении зараженного файла руткит подсовывает оригинальное содержимое файла до заражения.
12. z00clicker
    Троянская программа. Является KernelMode руткитом. При инсталляции заражает системный порт или мини-порт драйвер (например, atapi.sys) таким образом, что его размер не изменяется и позволяет загрузить в память драйвер, расположенный в последних секторах жесткого диска на виртуальной шифрованной файловой системе. При чтении зараженного файла руткит подсовывает оригинальное содержимое файла до заражения.

Проведение теста

Тест проводился на специально подготовленной реальной системе под управлением Microsoft Windows XP Professional с интегрированным Service Pack 3 с полным набором обновлений на момент тестирования.

Стек устройства:
lkd> !devstack DeviceHarddisk0DR0
!DevObj   !DrvObj            !DevExt   ObjectName
89c06e08  DriverPartMgr    89c06ec0
> 89b9aab8  DriverDisk       89b9ab70  DR0
89bb2f18  DriverACPI       89c14008  00000061
89ba2030  Driveratapi      89ba20e8  IdeDeviceP2T0L0-7
!DevNode 89bb2008 :
DeviceInst

is"IDEDiskST3320620AS_____________________________3.AAD___5&c7a4952&0&0.0.0
ServiceName is "disk"

Для тестирования в ходе открытого обсуждения были отобраны актуальные на момент начала теста версии следующих антируткитов:            

1.         GMER 1.0.15.15281
2.         KernelDetective 1.3.1
3.         Online Solutions Autorun Manager 5.0.11922.0
4.         Panda Anti-Rootkit 1.0.8.0
5.         Rootkit Unhooker 3.8.386.589
6.         RootRepeal 1.3.5
7.         Sophos Anti-Rootkit 1.5.0
8.         Eset SysInspector 1.2.012.0
9.         SysReveal 1.0.0.27
10.       Trend Micro RootkitBuster 2.80
11.       VBA32 Antirootkit 3.12 (beta)
12.       XueTr 1.0.2.0

Важно! При отборе продуктов для тестирования учитывалось не только наличие функционала для обнаружения присутствия руткита в системе, но и его обезвреживания (удаление/переименование файлов, удаление/переименование ключей/разделов реестра). Кроме этого учитывалось текущее положение с развитием утилит, предпочтение отдавалось тем, чья разработка и совершенствование идет активнее.

Шаги проведения тестирования:

1. Установка на жесткий диск операционной системы и создание полного образа жесткого диска при помощи Acronis True Image.
2. Заражение машины с чистой операционной системой (активация вредоносной программы).
3. Проверка работоспособности вредоносной программы и ее успешной установки в системе.
4. Перезагрузка зараженной системы.
5. Проверка активности вредоносной программы  в системе.
6. Запуск антируткита, попытка обнаружения и удаления вредоносной программы всеми доступными в арсенале продукта методами.
7. Проверка активности вредоносной программы или ее компонентов.
8. Восстановление образа незараженной операционной системой на диске при помощи Acronis True Image (загрузка с CD).
9. Повторение пунктов 2-8 для всех вредоносных программ и всех антируткитов.

В новую версию Eset NOD32 for Microsoft Exchange Server был внесен ряд изменений, которые делают работу с почтовыми серверами еще более безопасной и удобной, говорится в сообщении Eset. Кроме того, в решении была оптимизирована защита от нежелательной почты, а также увеличена производительность самого продукта.

Благодаря встроенному антиспаму письма теперь фильтруются прямо на сервере, а не только на клиентских ПК, что позволяет уменьшить нагрузку на локальную сеть и системные ресурсы рабочих станций. В программе появилась новая функция Greylisting (серые списки), благодаря которой оптимизирована фильтрация спам-сообщений. Кроме того, расширилось число критериев отбора нежелательных писем. Для вредоносных или спам-сообщений предусмотрена специальная папка, в которой можно настроить правила обработки по адресу отправителя, размеру вложения, телу письма и другим параметрам. Также существует возможность настройки правил карантина для писем - папка, где помещаются подозрительные письма, подходящие под критерии, заданные администратором.

Для повышения производительности в решение Eset NOD32 for Microsoft Exchange Server была добавлена возможность запуска сразу нескольких ядер антивируса (от 1 до 20), что позволяет быстрее проверять потоки данных. При этом можно одновременно сканировать сразу несколько подключений с меньшей нагрузкой на систему. Также стало возможным настраивать количество соединений, которые будут одновременно проверяться на наличие вирусов.

В новой версии оптимизированы методы сканирования базы данных электронной почты. При этом решение автоматически ведет мониторинг всех процессов и предоставляет администратору подробный отчет о работе почтового сервера.

Решение Eset NOD32 for Microsoft Exchange поддерживает работу Microsoft Exchange Server 2010, а также совместимо с версиями Microsoft Exchange Server 5.5, 2000, 2003 и 2007.

"В новой версии решения Eset NOD32 for Microsoft Exchange 4.2, прежде всего, усилена защита от спама и писем, содержащих вредоносное ПО, - прокомментировал выпуск новой версии решения Павел Потасуев, директор по информационным технологиям Eset. - Принимая во внимание то, что далеко не все наши клиенты используют в своей ИТ-инфраструктуре современное оборудование и ПО, мы также позаботились об уменьшении нагрузки на систему. При этом решение Eset поддерживает самые последние версии Microsoft Exchange Server, в том числе версию 2010".

В целом Eset NOD32 for Microsoft Exchange Server является комплексным решением для защиты почтовых серверов от вирусов, шпионского и троянского ПО, руткитов, спама и других видов угроз. В основе решения лежит собственная технология Eset ThreatSense, позволяющая детектировать неизвестное вредоносное ПО, еще не внесенное в сигнатурную базу антивируса. Решение также поддерживает технологию HIPS (Host Intrusion Prevention System), которая защищает от попыток внешнего воздействия на систему.

Как и в предыдущих наших тестах антируткитов оценка их эффективности производилась на основе выставления определенных баллов за каждого обнаруженного/удаленного руткита.

При этом максимальная оценка за каждый случай составляет 1 балл. Учитывалось обнаружение каких-либо аномалий в системе (за это полагалось 0.5 балла) и возможность удаления заражения (еще 0.5 балла).

В некоторых случаях руткит мог быть обезврежен путем удаления файла или путем удаления ключа в реестре. То, как именно происходило обезвреживание, не влияло на оценку. В любом случае при успешном обезвреживании антируткит получал 0.5 балла, даже если были удалены и файл, и ключ реестра, или что-то одно из них.

Возможность копирования компонент вредоносной программы (руткита) не учитывается при оценке, а рассматривается исключительно как дополнительная характеристика возможностей продукта.  

Важно! Исключение составили руткиты, которые заражают системные драйвера (Max++, Virus.Protector, TDL3 и z00clicker). Если антируткиты смогли копировать их зараженное содержимое для анализа, то они получали дополнительно 0.5 балла (в сумме 1 балл за обнаружение и копирование зараженного содержимого).

Аналогично за возможность восстановления зараженного MBR (Sinowal) антируткиты также получали 0.5 балла (в сумме 1 балл за обнаружение и восстановление оригинального MBR). 

При подведении итогов теста все набранные баллы суммируются. Лучшие по сумме баллов антируткиты получают награды при выполнении определенных условий:

Изображение GIF (500х500px) Изображение PSD (300dpi)	Награда Platinum Anti-Rootkit Award присваивается, если тестируемый продукт набрал свыше 95% от максимально возможного количества баллов.
Изображение GIF (500х500px) Изображение PSD (300dpi)	Награда Gold Anti-Rootkit Award присваивается, если тестируемый продукт набрал свыше 80% от максимально возможного количества баллов.
Изображение GIF (500х500px) Изображение PSD (300dpi)	Награда Silver Anti-Rootkit Award присваивается, если тестируемый продукт набрал свыше 60% от максимально возможного количества баллов.
Изображение GIF (500х500px) Изображение PSD (300dpi)	Награда Bronze Anti-Rootkit Award присваивается, если тестируемый продукт набрал свыше 40% от максимально возможного количества баллов.

Если антируткит набрал меньше 40% от максимально возможного количества баллов, то он считается провалившим тест.

В последнее время все большей популярностью у вирусописателей пользуются руткит-технологии. Причина этого очевидна - возможность скрытия вредоносной программы и ее компонентов от пользователя ПК и антивирусных программ. В Интернете свободно можно найти исходные тексты готовых руткитов, что неизбежно ведет к широкому применению этой технологии в различных троянских или шпионских программах (spyware/adware, keyloggers и т.д.).

Руткит (от англ. root kit, то есть "набор root"а") - это программа для скрытия следов присутствия злоумышленника или вредоносной программы в системе. Использование руткит-технологий позволяет вредоносной программе скрыть следы своей деятельности на компьютере жертвы путём маскировки файлов, процессов, а также самого присутствия в системе.

Для обнаружения и удаления подобных вредоносных программ существует множество специализированных программных продуктов - антируткитов.

Цель данного теста - проверить способность наиболее известных антируткитов обнаруживать и удалять широко распространенные в сети вредоносные программы (ITW-образцы), использующие руткит-технологии.

Тестирование на распространенных ITW-образцах вредоносных программ дает представление о том, насколько хорошо рассматриваемые решения справляются с уже известными руткитами.

Gold Anti-Rootkit Protection Award	GMER 1.0.15.15281 (10,5 из 12 баллов) VBA32 Antirootkit 3.12 (beta) (10 из 12 баллов)
Silver Anti-Rootkit Protection Award	RootRepeal 1.3.5 (9 из 12 баллов) Online Solutions Autorun Manager 5.0.11922.0 (8 из 12 баллов) XueTr 1.0.2.0 (8 из 12 баллов) Rootkit Unhooker 3.8.386.589 (7,5 из 12 баллов)
Bronze Anti-Rootkit Protection Award	SysReveal 1.0.0.27 (6,5 из 12 баллов) KernelDetective 1.3.1 (6 из 12 баллов) Sophos Anti-Rootkit 1.5.0 (6 из 12 баллов)
Тест провален	Trend Micro RootkitBuster 2.80 (3 из 12 баллов) Eset SysInspector 1.2.012.0 (2,5 из 12 баллов) Panda Anti-Rootkit 1.0.8.0 (1,5 из 12 баллов)

 

Введение 

В тесте принимали участие 12 специализированных продуктов-антируткитов, отобранных в соответствии с методологией:

1. Eset SysInspector 1.2.012.0
2. GMER 1.0.15.15281
3. KernelDetective 1.3.1
4. Online Solutions Autorun Manager 5.0.11922.0
5. Panda Anti-Rootkit 1.0.8.0
6. Sophos Anti-Rootkit 1.5.0
7. SysReveal 1.0.0.27
8. Rootkit Unhooker 3.8.386.589
9. RootRepeal 1.3.5
10. Trend Micro RootkitBuster 2.80
11. VBA32 Antirootkit 3.12 (beta)
12. XueTr 1.0.2.0

Тест проведен на 12 вредоносных программах, каждая из которых использует свой метод маскировки в системе. Набор самплов сформирован в строгом соответствии с определенными требованиями, главным из которых был охват всех используемых методов маскировки в системе.

Отобранные для теста вредоносные программы:

1. TDL (TDSS, Alureon, Tidserv)
2. Sinowal (Mebroot)
3. Pandex (Rootkit.Protector, Cutwail)
4. Rootkit.Podnuha (Boaxxe)
5. Rustock (NewRest)
6. Srizbi
7. Synsenddrv (Rootkit.Pakes, BlackEnergy)
8. TDL2 (TDSS, Alureon, Tidserv)
9. Max++ (Zero Access)
10. Virus.Protector (Kobcka, Neprodoor)
11. TDL3 (TDSS, Alureon, Tidserv)
12. z00clicker

Тест проводился на машине под операционной системой Windows XP SP3 со всеми установленными обновлениями в период с 5 марта по 20 марта 2010 года в строгом соответствии с определенной методологией.

 

Тестирование возможностей обнаружения вредоносных программ, использующих руткит-технологии

В таблицах 1-2 представлены результаты обнаружения вредоносных программ, использующих руткит-технологии, специализированными антируткитами.

Напомним, что согласно используемой схеме награждения, за каждый положительный результат (+, +/+, +/- или -/+ в таблице) начислялось 0,5 балла.

Таблица 1: Результаты теста антируткитов (начало)

Из таблицы 1 хорошо видно, очень большие сложности у протестированных продуктов возникли с буткитом Sinowal (Mebroot). Обнаружили его только четыре из протестированных антируткитов, а восстановить MBR смог только один RootRepeal. Наиболее беспомощным на этом сете из трех руткитов оказался Panda Anti-Rootkit, который не набрал ни одного балла. 

Таблица 2: Результаты теста антируткитов (продолжение)

Из таблицы 2 напрашиваются несколько выводов. Первый из них в практически полной "неубиваемости" руткита Rustock (NewRest), который смог обезвредить только Online Solutions Autorun Manager (OSAM). В целом с обнаружением этого сета руткитов особых проблем не возникло, за исключением аутсайдеров Panda Anti-Rootkit и Trend Micro RootkitBuster, которые набрали всего по 0,5 балла за обнаружение Srizbi.

Таблица 3: Результаты теста антируткитов (продолжение)

Synsenddrv (Rootkit.Pakes, BlackEnergy) оказался наиболее простым для обнаружения и удаления из всего набора отобранных вредоносных программ - его обнаружили все протестированные антируткиты, а не обезвредили только Eset SysInspector и SysReveal. Наибольшие затруднения из этого сета вызвал Max++ (ZeroAcess), который обнаружили только четыре продукта (еще два смогли скопировать зараженный драйвер). 

Таблица 4: Результаты теста антируткитов (окончание)

Как видно из таблицы 4, именно с этим сетом руткитов у испытуемых продуктов возникли самые большие проблемы, особенно на TDL3 (TDSS, Alureon, Tidserv) и z00clicker. Заметно лучше других здесь себя проявили GMER и VBA32 Antirootkit, остальные потеряли очень много баллов. Eset SysInspector, Trend Micro RootkitBuster и Panda Anti-Rootkit не обнаружили ничего из этого сета.

 

Итоговые результаты теста и награды

Суммируя все данные, представленные в таблицах 1-4, мы получаем итоговые результаты эффективности протестированных антируткитов (из расчета максимальных 12 баллов), см. рисунок 1 и таблицу 5.

Рисунок 1: Итоговые результаты теста антируткитов (набранные баллы)

Таблица 5: Лучшие антируткиты по результатам теста

Лучшими антируткитами по результатам теста признаны GMER и VBA32 Antirootkit, которые по праву получают награду Gold Anti-Rootkit Protection Award. Их превосходство над остальными хорошо видно на последних трех образцах руткитов в таблице 4.

Очень хорошие результаты показали RootRepeal, Online Solutions Autorun Manager (OSAM), XueTr и Rootkit Unhooker (к сожалению, последний аткивно не развивается и сложил с себя лидерство по результат наших тестов). Это продукты получают награду Silver Anti-Rootkit Protection Award.

Удовлетворительные результаты показали SysReveal, KernelDetective и Sophos Anti-Rootkit, получившие награду Bronze Anti-Rootkit Protection Award. Если последний продукт компании Sophos активно не развивается, то первые два могут имеют шансы улучшить свои результаты в будущих тестах.

Григорий Смирнов, инженер по тестированию Anti-Malware.ru, так комментирует его результаты:

"Доведя тестирование до своего логического конца, мы получили детальную картину возможностей современных антируткитов по удалению сложных ITW-образцов вредоносных программ, которые используют руткит-технологии. На основании полученных данных можно сделать выводы о том, что антивирусные компании, чьи продукты участвовали в тестировании, лишь делают вид, что могут предложить свои решения для ликвидации сложных угроз. На самом деле большинство вендорских антируткитов неспособны противостоять современным руткитам из-за своей технической отсталости, что и показывают наши результаты. Положительным исключением из этой картины является VBA32 AntiRootkit от компании "ВирусБлокАда". Этот продукт смог обнаружить самые сложные случаи заражения, в которых используется патчинг системных драйверов. Данный результат, несомненно, является показателем высокой технологичности решения, так держать! Так же хочется отметить победителя тестирования- Gmer, этот продукт, на мой взгляд, всегда являлся эталоном среди антируткитов.

Такие решения как OSAM, Xuetr и RootRepeal показали высокие результаты, что вполне закономерно, так как эти антируткиты довольно активно поддерживаются своими авторами. Как известно, RKU перестал публично поддерживаться, поэтому и результаты стали немного ниже, чем у текущих лидеров. Отдельно хочу отметить OSAM-это единственный антируткит, который смог в нашем тесте нейтрализовать Rustock. Так же особого внимания заслуживает RootRepeal- этот антируткит смог восстановить зараженный MBR. В заключении следует сказать, что на данном этапе производителям антируткитов есть над чем задуматься. Вирусописательство не стоит на месте и постоянно развивается, чего бы хотелось видеть и от специализированных антируткитов".

Василий Бердников, руководитель тестовой лаборатории Anti-Malware.ru и координатор данного теста, так комментирует его результаты:

"За последний год появилось достаточно много новых руткитов в плане применяемых технологий. Это TDL2 с механизмами защиты от своего обнаружения и удаления (блокировка открытия диска, тома, пересоздание перехватов, слежение за порядком загрузки драйверов). Так же появились новые модификации руткита Rustock, который пересоздает в случае снятия IRP- и DKOH-перехваты, чего ранее не наблюдалась в других семействах вредоносных программ (IRP-хуки пересоздает также и Pandex). Относительно недавно появились руктиты max++ и TDL3, которые патчат системные драйвера и хранят свои компоненты вне файловой системы зараженного ПК.

При этом вирмейкеры опускаются все глубже и глубже в недра системы и разработчикам антируткит-программ приходится следить за последними тенденциями руткитостроения и стараться не отставать. Из результатов теста видно, что наиболее успешными в борьбе с современными руктитами являются наиболее активно развивающиеся антируткиты - Gmer, VBA32 AntiRootkit, RootRepeal, OSAM, Xuetr и RKU. Но даже они не всегда могут справиться с активно распространяемой заразой в сети Интернет".

Чтобы ознакомиться подробными результатами данного теста и убедиться в правильности итоговых расчетов, рекомендуем Вам скачать результаты этого теста в формате Microsoft Excel.

 

Комментарии экспертов

Сергей Уласень, начальник отдела разработки антивирусного ядра компании "ВирусБлокАда":

"Борьба с активными заражениями - одна из самых сложных задач, которую приходится решать антивирусной индустрии. При этом в общей массе количество действительно сложных образцов постоянно увеличивается, а взятое направление на совмещение руткит-технологий
с заражением системных модулей операционной системы делает задачу лечения
все более тяжелой.

Наличие специализированной утилиты, которая может обнаруживать и лечить не только уже известные вредоносные программы, но и справляться с еще неизвестными вендору угрозами, является большим подспорьем в работе квалифицированных пользователей и службы технической поддержки производителя.  Компания "ВирусБлокАда" на протяжении последнего года очень активно развивала разработку своей утилиты Vba32 AntiRootkit и рада тому, что данный тест подтвердил правильность нашего решения и его качество. Также отмечу, что данный тест показал стабильность решения, несмотря на суффикс beta в номере его версии. Мы, в свою очередь, будем стремиться к тому, чтобы как можно быстрее выпустить следующий релиз Vba32 AntiRootkit, а также применить все разработанные технологии в основном движке наших флагманских продуктов".

Вячеслав Русаков, эксперт Anti-Malware.ru, ведущий разработчик "Лаборатории Касперского":

"Тестирование  таких специализированных средств как антируткиты - довольно сложное занятие, ведь данные программы предназначены для использования экспертами и профессионалами. Отчеты антируткитов мало что расскажут непросвещенному пользователю. Основной задачей данных технических средств является детектирование аномалий при активном вредоносном коде. И чем больше информации предоставляет инструмент, тем легче эксперту оценить угрозу и последующие шаги. Кроме детектирования аномалий, оптимально, если антируткит предоставляет функции деактивации вредоносного кода, однако, это не всегда возможно.

Руткиты эволюционируют, а с ними должны эволюционировать и защитные средства, но картина и по сей день остается довольно печальной. Большинство продуктов от антивирусных вендоров представляют собой нечто похожее на разработку старшеклассников и скорее напоминают поддельные антивирусы, нежели средства глубокого анализа сложных угроз. В виде исключения из этого правила меня порадовали разработчики белорусского антивируса "ВирусБлокАда" - отлично поработали. Антируткит GMER продолжает держать планку качества, автор постоянно совершенствует свой продукт. Также я хотел бы обратить внимание на RootRepeal, который активно развивается и единственный из представленных продуктов позволяет восстановить зараженный MBR.

Антируткит Rootkit Unhooker окончательно ушел в "подполье" и развивается лишь приватная версия, которая доступна узкому числу пользователей, публичная версия несколько устарела. Стоит обратить свое внимание и проследить за разработкой Online Solutions Autorun Manager и XueTr, остальные продукты, к сожалению, ни на что не годны".

Михаил Касимов, эксперт Anti-Malware.ru, независимый антивирусный консультант:

"Результаты данного тестирования наводят на неутешительные размышления в виду того, что продукты, выпускаемые всемирно известными производителями и предназначенные как для выявления, так и для нейтрализации актуальных на сегодняшний день вредоносных программ, использующих различные методы для своего сокрытия в поражённой системе (руткиты), оказались неспособными справиться с поставленными задачами, несмотря на временами публикуемые красочные рекламные ролики. Вероятно, направлению по развитию антируткит-компонент не уделяется должного внимания.

Отрадно отметить, что высокий потенциал уровня выявления и нейтрализации, наряду с получившим первое место GMER, показала бета-версия VBA32 AntiRootkit, RootRepeal, а также относительно недавно вышедший на арену продукт Online Solutions Autorun Manager".

В новой программе Microsoft Internet Security and Acceleration Server 2004, Standard Edition администраторы IT-подразделений найдут для себя много полезного. Этот более гибкий, чем его предшественники, сервер с новыми возможностями для предотвращения атак, а также несколькими замечательными административными функциями представляет собой очень важный пакет обновления для любой организации, использующей сети Windows, особенно если применять его в сочетании с IIS или Exchange.

У компании CA - новый глава представительства в России и странах СНГ. Им стал Сергей Тарасов, ранее несколько лет возглавлявший российское представительство корпорации Sun Microsystems. Предыдущий руководитель представительства Константин Чикин также остался работать в CA. Он занял пост директора по продажам. Руководство компании CA возлагает большие надежды на нового главу российского офиса.

Успешная деятельность любой компании требует постоянного доступа клиентов, сотрудников и партнеров к необходимым данным и одновременной защиты ценных ресурсов и конфиденциальной информации. Линейка продуктов eTrust компании CA охватывает в комплексе все вопросы, связанные с обеспечением информационной безопасности на предприятии любого размера. Решения eTrust интегрируются между собой и защищают всю вычислительную инфраструктуру предприятия - от браузера до мэйнфрейма.

Создание гибкой инфраструктуры для защиты конфиденциальных данных Джон, главный администратор базы данных банка Acme Bank, вовлечен в очень важную инициативу, связанную с безопасностью и конфиденциальностью. Джейн, начальник службы информационной безопасности банка, описала стратегию безопасности банка, и Джон определил обязанности своей группы. Джейн на совещании с ИТ-менеджерами банка Acme объяснила, что безопасность компании можно рассматривать как ряд уровней (слоев) защиты.

Оглавление Средства защиты сетей Защита памяти Безопасная обработка электронной почты Средства обеспечения безопасности при просмотре Web-ресурсов Средства администрирования Другие нововведения Пакет обновления Windows XP Service Pack 2, выпуск которого ожидается в ближайшее время, содержит главным образом новые средства информационной безопасности, а также дополнения, связанные с обеспечением безопасности работы существующих служб и приложений.

предыдущая статья серии "Наступила темнота,Не ходи за ворота:Кто на улицу попал -Заблудился и пропал".

Оглавление Аннотация Введение Подготовка к работе Исчезающий столбец Кто и как может изменять метки секретности Умолчательная реакция на изменение метки обычным пользователем Запрет делать то, результат чего не увидишь Жесткий запрет на изменение метки Аннотация Эта статья (как и несколько последующих) является непосредственным продолжением статьи "К каждой строке охранника приставишь!", и рассматривает некоторые особенности средства Label Security в Oracle.

предыдущая статья серии "Тараканы прибегали,Все стаканы выпивали,А букашки -По три чашкиС молокомИ крендельком .

    . И одно только слово твердит: "Лимпопо, Лимпопо, Лимпопо!"  Корней Чуковский, "Айболит" Оглавление Введение  Пример Динамика роли и другие полезные потребительские качества  Дополнительная информация В основе регламентации доступа к данным в Oracle лежит парольная защита. В наиболее распространенном случае для работы с данными в своей схеме пользователь Oracle обязан указать пароль. Однако пароль пользователя - всего-навсего один эшелон защиты.

- Знаешь, сейчас практически все новые версии Oracle пишут индийские программисты.- Да, жаль, что не наши.Из разговора российских программистов В наши дни многие традиционные меры обеспечения безопасности информации, в основном организационные, давно исчерпали себя.

Большинство компаний хранят свои основные бизнес-данные в реляционных базах. А СУБД большинства компаний поддерживают технологию усиленной защиты и шифрования данных. Но применяет ли большинство пользователей эти функции безопасности, встроенные в их системы? Думаю, в более 70% установленных СУБД такие возможности либо вообще не используются, либо используются в очень малой степени.

Количество ошибок и брешей в безопасности в продуктах Microsoft давно стало притчей во языцех. И, надо заметить, для этого были веские основания. Иногда ошибки приходилось заделывать практически сразу после выхода новых продуктов. Особенно показателен в этом смысле случай с русской версией Office 2000, которая просто отказывалась запускаться после установки.

31 августа компания Microsoft выпустила версию второго сервис-пака на русском языке. Две недели спустя сервис-пак начал распространяться и через систему автоматизированных обновлений, а также через службу Windows Update. Кроме того, заказать обновление можно и на бесплатном компакт-диске. Принципиальных различий в функциональности между русской и английской версиями сервис-пака, разумеется, нет. Однако остановиться на некоторых моментах все же стоит.

Microsoft пойдет по пути повышения безопасности ПО, для чего реорганизует систему управления поправками к программам и вступает в партнерские отношения с VeriSign в сфере аутентификации пользователей веб-сервисов. Компания пообещала усовершенствовать свою систему рассылки секьюрити-патчей для существующих продуктов.

Часть 1 Оглавление Поиск пользователей Взламывание учетной записи приложения Внешние пользователи Bсе, что нужно - это иметь учетную запись DBA Роли и привилегии Oracle Инъекция SQL Редактирование стандартных пакетов Взлом паролей Недокументированные возможности Oracle Поиск пользователей См.