Testes demonstram que os rootkits ainda escapam aos Antivírus

Os rootkits são ainda o maior pesadelo para o software de segurança. Novos testes de deteção de rootkits levados a cabo recentemente pela AV-Test.org descobriram que a maioria das suites de segurança e Web scanners online detectam, em média, apenas pouco mais de metade dos rootkits.

AV-Test.org, uma organização de segurança independente baseada na Alemanha, executou dois testes sobre rootkits no mês passado, um no Windows XP Home Edition e outro no Windows Vista Ultimate Edition, os resultados dos quais foram publicados num relatório disponivel agora no seu website.

O teste no XP utilizou 30 rootkits activos e 30 malware que usam tecnologia rootkit. Como seria de esperar, as ferramentas anti-rootkit fizeram o seu melhor, detectando cerca de 80% dos problemas, enquanto que as suites de segurança encontraram acima dos 66%, e os scanners online apenas 53%. Algumas ferramentas crasharam ou emperraram após completarem a verificação, e essas foram contabilizadas como “não detectadas”.

As suites de segurança foram melhores a detectar rootkits inactivos do que os activos — a maioria encontrou todos (ou quase todos) os 30. Mas detectar e eliminar os rootkits — a tarefa que a AV-Test.org considera o “verdadeiro teste rootkit” — foi outra história.

Avira AntiVir Premium Security Suite 7.06.00.168 e o BitDefender Internet Security Suite 2008 11.0.13 lideraram a tabela na deteção global tanto de rootkits activos como inactivos: Avira encontrou 28 rootkits inactivos e 29 activos e todos os 30 malware escondidos por rootkits. O BitDefender encontrou todos os 30 rootkits inactivos, 28 activos e 29 malware escondido por rootkits.

Mas o Avira teve dificuldades em remover rootkits activos e malware escondido por rootkits — apenas foi capaz de limpar 7 em cada caso, enquanto o BitDefender teve sucesso a limpar 23 rootkits activos e 27 malware. O Kaspersky Internet Security Suite 7.0.0.119 funcionou melhor que muitos dos outros, detectando 24 rootkits activos e 28 malware escondido por rootkits, e limpou até 25 dos 30 rootkits inactivos, 22 activos e 25 malware escondido por rootkits.

Scanners de segurança online baseados na Web lutaram para remover rootkits, com uma média de sucesso de 32%. O BitDefender Online Scanner 1.0 Build 2422, por exemplo, encontrou todos os 30 rootkits inactivos e limpou 27 deles, mas não teve resultados tão bons como o seu primo instalado no PC a detectar e limpar rootkits activos: encontrou apenas 5 rootkits activos e 3 malware escondido por rootkits, e apenas conseguiu limpar 2 de 5 rootkits activos e nenhum dos 3 malware encontrados.

O F-Secure Online Virus Scanner 3.2 Beta (1.0.64) e o Panda Security ActiveScan 5.54.1 foram melhores que a média dos restantes scanners online. O F-Secure limpou até 23 rootkits activos e 23 amostras de malware escondido por rootkits, e o Panda, 15 e 26, respectivamente.

Ferramentas especializadas anti-rootkit, na sua maioria, funcionaram bem nos testes no XP, com apenas alguns a terem problemas, incluindo o Microsoft’s Rootkit Revealer 1.17.0.0, o qual apenas encontrou 15 rootkits activos e 14 amostras de malware escondido por rootkits. Safe’n’Sec Pro 3.0.0.4104 e o System Virginity Verifier 2.3 (nota do tradutor: mas quem é que inventa estes nomes? :p ) tiveram problemas em limpar todos os rootkits.

O teste do Vista usou apenas ferramentas anti-virus que foram actualizadas ou congeladas (n.a: sem mais desenvolvimento a partir dai) até 2/Outubro do ano passado. E houve problemas. “Para nossa surpresa, o nivel de deteção de amostas inactivas apenas alcançou 90% em média, embora a maior parte dos rootkits usados tenha sido lançada durante 2005 e 2006”, escreveram os investigadores da AV-Test.org.

Em média, 4 dos 6 rootkits em teste foram detectados pelas ferramentas AV, e apenas 54% conseguiu limpar as máquinas infectadas. O AntiMalware 7.5.488 da AVG não conseguiu detectar ou limpar nenhum rootkit no Vista, embora o Anti-Rootkit Free 1.1.0.42, também da AVG, tenha detectado e eliminado todos os rootkits no teste no XP.

O Microsoft Windows Live OneCare  encontrou 5 dos 6 rootkits inactivos na plataforma Vista, mas apenas 1 dos 6 activos, o qual conseguiu eliminar com sucesso. O McAfee VirusScan 1 encontrou 6 dos rootkits inactivos e apenas 2 dos activos, os quais conseguiu remover. Algumas ferramentas AV menos conhecidas funcionaram pior, incluindo o ClamWin Antivirus for Windows.

Três ferramentas AV tiveram um resultado perfeito, detectando todos os rootkits activos e inactivos assim como conseguindo remove-los: Norton Antivirus 2010  Panda Security Antivirus 2010  e F-Secure Anti-Virus 2010

Mas, com a excepção de alguns poucos produtos, a maioria das ferramentas de segurança ainda tem problemas no que toca a detectar e remover infeções activas de rootkits, de acordo com a AV-Test.org. “Sem funcionalidades anti-rootkit adequadas um programa de proteção pode dar ao utilizador uma impressão errada sobre o estado do seu PC”, escreveram os investigadores.

Então sem dúvida a melhor arma ainda é a precaução!!! Cuidado com os seus “click´s”, pendrivers, enfim toda memória flash que possa ter uma inicialização automática. Para algumas suites que ainda não bloqueam a inicialização automatica desses dispositivos aqui fica uma dica de um programa bem legal “Autorun Eater” genuíno, freeware e bem funcional. Bom até a proxima pessoal.

Agradeço ao Paulo Maviega, estudante de segurança da informação, que gentilmente enviou-me esta matéria para divulgação no blog.

8 Responses to Testes demonstram que os rootkits ainda escapam aos Antivírus

  1. yosho says:

    Bom Dia, acabei de saber que existe mais um teste do
    AV-TEST (2011/Q1), e para minha surpresa o Comodo está ”lá embaixo”.
    Um abraço

    • Victor Hugo says:

      yosho,
      Como já havia comentado aqui no blog, as várias organizações que realizam testes com antivírus como as mais reconhecidas AV-Test.org, o AV-comparatives e o Virus Bulletin normalmente classificam muito mal o Comodo em seus testes. Porém, o CIS aumenta em número de usuários mais e mais a cada dia no mundo inteiro e que comprovam no dia a dia a sua eficácia e eficiência. A impressão que se tem é que o Comodo pode estar sendo mesmo alvo de uma perseguição da indústria que produz soluções de segurança pagas e que se vê ameaçada pelo crescimento de um software gratuito que oferece uma suite de segurança completa.

      Muito obrigado pelo seu comentário e participação!

  2. Carlos antonio Santos says:

    Prezado,Vitor Hugo

    Seu trabalho é excelente;permita-me uma pergunta:
    Como se encontra links nocivos,para testar antivírus?Você é excepcional,nesta área…..

    • Victor Hugo says:

      Olá Carlos,
      Grande parte dos links que utilizo em meus testes são obtidos a partir dos inúmeros e-mails de spam que recebo diariamente em minhas contas de e-mail, também tenho colaboradores que me enviam amostras e de sites específicos que disponibilizam links de ameaças para o pessoal técnico realizador de testes.

      Muito obrigado pelas suas elogiosas palavras sobre o meu trabalho.

      Você é muito bem vindo a este blog!

      Att, Victor

  3. Fernando Couto says:

    Excelente matéria que o Paulo trouxe para o blog
    de facto cada dia se torma mais dificil manter os nossos computadoes limpos
    para um usuario leigo torna-se ainda mais complicado por não saber se um (rootkits)é um programa nocivo se o seu antivirus não o alertar…

    um abraço e obrigado Paulo

    • Victor Hugo says:

      Fernando,
      O nosso amigo Paulo Maviega, assim como você, são os colaboradores que têm me enviado matérias e notícias muito interessantes, assim como esta última que postei esta semana!
      Sou muito agradecido a vocês dois pela ativa participação neste blog e pelo interesse comum em se engajar na luta por uma Internet mais segura.

      Um forte abraço, Victor

  4. HUGO PERISSE says:

    Isso prova apenas aquilo que já sabemos… Não existe proteção 100%.
    Uso o N360, mas somente porque ganhei uma licença, pois o preço é alto… mesmo assim, não troco…

    • Victor Hugo says:

      Caro Hugo,
      Você está de fato muito bem protegido com o Norton 360, mas como todos nós usuários do sistema operacional Windows nunca poderemos dizer estarmos 100% protegidos.
      O que sabemos é que um bom software de segurança aliado ao uso consciente e responsável do computador reduzem muito o risco de contaminações.

      Muito obrigado pelo seu comentário e participação!

      Att, Victor

%d blogueiros gostam disto: