Операционная система Microsoft Windows 8 получила хорошие оценки от многих экспертов в области безопасности. Однако система ее защиты не является неуязвимой для сегодняшнего вредоносного ПО, что показало исследование компании BitDefender.

Исследование, проведенное разработчиком антивирусного ПО компанией BitDefender, еще раз подтвердило то, о чем многие пользователи Windows уже знают — работа на машине без антивирусного ПО может быть опасной.

Анализ, проведенный этой компанией, показал, что 15% вредоносного ПО, распространяемого в этом году криминальным кибер-сообществом, может успешно выполняться на Windows при работающей подсистеме Windows Defender. А именно, из 385 образцов вредоносного ПО, которые проверила компания, 61 образец оказался работоспособным под Windows 8.

Без использования Windows Defender, работоспособными оказались 234 образца из 385. Среди оставшихся, 138 образцов не запустились вообще, 6 образцов запустились, но аварийно завершились сами по себе, а для 7 образцов было запрещено повышение привилегий системой UAC (User Access Control).

Обнаружение этих уязвимостей совпало с выпущенным 13 ноября 2012 г. первым патчем, закрывающем некоторые бреши в системе защиты Windows 8. В описании этого патча четыре уязвимости имели статус “критическая” для новой ОС.

“В действительности такие результаты тестирования говорят о том, что в новой ОС достигнут более высокий уровень безопасности по сравнению с Windows 7 в момент ее выпуска, в которой выполнялись 262 образца вредоносного ПО из 385, — отметил Александру Каталин Косои, главный специалист в области стратегии безопасности компании BitDefender. — Предустановленная подсистема Windows Defender, поставляемая с Windows 8, теперь значительно уменьшает вероятность воздействия хакерского ПО”.

В качестве реакции на отчет BitDefender компания Microsoft выпустила 9 ноября официальное заявление, в котором отмечается, что “компания, по-прежнему, привержена принципам обеспечения безопасности вычислений и продолжает предпринимать большие усилия для непрерывного усовершенствования технологий обеспечения безопасности и защиты”.

Александру Косои также рассказал как выполнялись упомянутые тесты. Эти тесты запускались на трех физических машинах под управлением Windows 7, Windows 8 и Windows 8 с отключенным Windows Defender, соответственно. Машины загружались с сетевого сервера, после чего управление передавалось скрипту внутри ОС, который копировал вредоносный код с сетевого FTP-сервера и пытался выполнить его локально.

“После попытки выполнения вредоносного кода, мы сравнивали состояние процессов и реестра в начальном состоянии машины и после запуска кода, чтобы определить породил ли он свой собственный процесс, или модифицировал другой процесс и/или создал дополнительные записи в реестре или файлы, — пояснил Косои. — Информация об этих различиях записывалась в базу данных, после чего машина перегружалась для перехода в исходное состояние для запуска очередного теста”.

“Чтобы обеспечить наибольшую достоверность при выполнении тестов, мы синхронизировали запуск тестов на всех трех машинах — один и тот же экземпляр вредоносного ПО выполнялся в одно и то же время на всех машинах, — добавил Косои. — Поскольку процесс тестирования был полностью автоматизированным, мы не рассматривали эксплойты zero-day, которые могут быть задействованы через браузер, Flash-плагин и Java-машину. Мы также не включили в наши тесты вредоносные скрипты, для которых невозможно прямое исполнение, такие как PHP-файлы или JavaScript-функции, поскольку они не могут нанести непосредственный вред компьютеру”.

В составе тестов использовались такие типы вредоносного ПО как трояны, черви, вирусы, заражающие файлы и два руткита. Среди этих типов лучше всего свою задачу выполнили трояны, среди которых почти все достаточно усложнили задачу их исходного обнаружения, а некоторые из них не требовали от UAC повышения уровня привилегий.

Несмотря на высокий результат, полученный в тестах, Александру Косои отметил, что пользователи Windows 8 не должны успокаиваться, полагая, что они полностью защищены.

“Данные тесты проводились по наиболее предпочтительному для Windows 8 сценарию: в ОС была задействована система UAC и был включен антивирус Windows Defender, — пояснил Косои. — Мы сделали акцент, главным образом, на технических уязвимостях и не рассматривали способы, с помощью которых пользователь может заразить систему. У пользователей Windows 8 не должно быть иллюзий, что они полностью защищены при работе с этой ОС, и потому им следует принять во внимание антивирусные средства сторонних производителей”.