Jak testować antywirusa

Aby uzyskać rzetelne wyniki podczas testowania systemu antywirusowego, należy ocenić znacznie więcej niż tylko prosty odsetek zablokowanych ataków.

Aby test był przeprowadzony wiarygodnie, należy użyć rzeczywiście występujących próbek, związanych z atakami. Do pozyskiwania służą najczęściej specjalnie przygotowane skrzynki pułapki, których zadaniem jest zbieranie załączników, spamu oraz wiadomości związanych z phishingiem. W tradycyjnym modelu zazwyczaj była to skrzynka pocztowa, której adres e-mail był specjalnie umieszczany (jawnie lub niewidocznie) na wielu stronach WWW, listach dyskusyjnych usenet i w podobnych miejscach.

Tego typu próbki czasami zawierają złośliwe oprogramowanie wysyłane jako załącznik, ale odkąd operatorzy obsługujący pocztę elektroniczną zaczęli stosować ochronę antywirusową serwerów, ilość próbek kodu wysyłanych mailem znacznie zmalała. Obecnie coraz częściej wiadomość mailowa zawiera jedynie link zachęcający do pobrania malware'u. Zatem statyczne pobieranie próbek kodu jedynie z załączników wiadomości e-mail już nie daje reprezentatywnych wyników. Znacznie lepsze efekty daje symulacja pobierania danego składnika, odpowiadająca z grubsza zachowaniu dziurawej przeglądarki nieostrożnego użytkownika.

Nawet tak pobierane próbki nie zawsze prezentują dostateczną jakość, gdyż niektóre gangi przestępców opanowały technikę ochrony przed wykrywaniem kodu. Serwery, z których pobierane są pliki, posiadają specjalne oprogramowanie, przeznaczone do odsiewania automatów skanujących. Gdy automat wykorzystywany przez firmę badającą malware pobiera całą zawartość serwisu (czy choćby pojedynczy plik), serwer podstawia mu pliki, które złośliwym kodem nie są.

Plik dobry, link lepszy

Ważnym źródłem są próbki dostarczane przez dostawców oprogramowania antywirusowego, złapane na żywo (in the wild) w Internecie, wykryte często dopiero na podstawie zachowania kodu po infekcji. Jest to bogate źródło wykrytego kodu, m.in. dlatego, że dostawcy systemów antywirusowych korzystają z efektu skali - wykrywają wiele infekcji naraz. Nie zawsze przesyłana jest całość kodu, czasami są to tylko fragmenty, ale nie ulega wątpliwości, że takie próbki są niezbędne. Czasami dodaje się do nich także próbki zgłaszane przez wolontariuszy, zebrane np. przez serwisantów lub pracowników IT. Te ostatnie mogą zawierać malware specjalnie przygotowany do ataku przeciw konkretnej instytucji. Są to cenne próbki, ale bardzo niszowe. Ważną cechą takich próbek jest dostosowanie do omijania konkretnego antywirusa.

Szczególnym rodzajem próbek są pliki zapakowane za pomocą narzędzia ataku, takiego jak Metasploit. Przy pewnych opcjach, które dodają losowy fragment kodu, każda wygenerowana próbka posiada inny skrót kryptograficzny. W ten sposób można sprawdzić reakcję oprogramowania antywirusowego na nowe, nieznane dotąd pliki.