Содержание статьи
Интро
Многие разработчики защитных программ выпускают бесплатные антивирусы. Даже ЗАО «Лаборатория Касперского» представила халявный вариант — Kaspersky Free. Насколько базовых функций достаточно для предотвращения заражения в реальных условиях — например, при веб-серфинге? Чем приходится расплачиваться за бесплатный сыр? Давай выясним это.
Вторая часть: Comodo, Qihoo 360, Panda, Windows Defender
WARNING
Все тесты выполнялись только в исследовательских целях. Необходимые файлы были загружены с общедоступных ресурсов. Разработчики протестированных антивирусов получили автоматические уведомления о результатах сканирования. Редакция и автор не несут ответственности за любой возможный вред.
Методика тестирования
Всем участникам эксперимента мы обеспечили максимально идентичные условия. Средствами VirtualBox была создана тестовая система — виртуальная машина с чистой ОС Windows 7 в редакции «Максимальная» с первым сервис-паком и всеми обновлениями. Затем ее трижды клонировали и в каждый из клонов установили только один антивирус. Анализ изменений и текущей активности проводился портейбл-софтом (TCPView, Autoruns с плагином VirusTotal через API, ProcessExplorer, Regshot, AVZ и другими утилитами из аптечки сисадмина).
Источниками угроз послужили сайты из базы Clean MX, помеченные как зараженные и/или потенциально опасные. Для теста отбирались только активные сайты, добавленные за последние сутки. Мы их по очереди посещали через браузер IE и протоколировали результаты срабатывания антивирусов (если они были). На время теста антивирус и файрвол в хост-системе были отключены.
INFO
Все тесты проводились в настройках по умолчанию. Любой антивирус лишь снижает вероятность заражения, но не исключает ее полностью. Для повышения безопасности следует использовать более агрессивные настройки и дополнительные инструменты — файрвол, средства проактивной защиты, изоляции потенциально опасного кода, антифишинг и другие. В платных антивирусах большинство из них уже интегрировано, однако при желании можно самостоятельно сделать подобный набор из бесплатных утилит.
Как и любые программы, менеджеры виртуальных машин тоже содержат ошибки. Используя различные уязвимости, зловреды могут выйти за пределы тестовой системы и заразить основную операционку. Будьте внимательны!
Kaspersky Free
Объем дистрибутива версии 16.0.1.445 составляет 147,8 Мбайт. После установки и обновления Kaspersky Free занимает на диске 232 Мбайт. Он обеспечивает базовую защиту, в которую входят антивирусный сканер, резидентный монитор, автоматическое обновление, средства управления карантином и просмотра отчетов. Дополнительные функции отмечены как неактивные — это своеобразная реклама полной версии KIS и KTS.
Xakep #205. Взлом Single Sign-On
При первом запуске на главной странице антивируса появляется полноразмерное окошко с предложением регистрации. Можно кликнуть на неприметную кнопку с изображением шестеренки в левом нижнем углу, и оно исчезнет. Правда, потом напоминание о регистрации будет постоянно появляться снова в виде всплывающих сообщений. Дополнительно при первом запуске в браузере по умолчанию открывается страничка магазина Google Play с предложением установить Kaspersky Internet Security, а в сам браузер встраивается Kaspersky Protection Toolbar. Отказаться от его интеграции на этапе установки невозможно — в инсталляторе просто нет никаких настроек. Однако тулбар можно дезактивировать средствами самого браузера.
В нашем тесте Kaspersky Free не пропустил ни одной реальной угрозы. Часть вредоносных сайтов блокировалась фильтром Microsoft SmartScreen, а доступ к другим запрещал антивирус. Иногда они срабатывали одновременно.
Однако антивирус недостаточно жестко мешает пользователю «выстрелить себе в ногу». Если выбрать в списке загрузок ранее заблокированный смартскрином потенциально опасный экзешник и запустить его принудительно, Kaspersky Free позволит это сделать с буддистским равнодушием. Он разрешает установку программы с недействительной цифровой подписью, на которую ругаются 17 антивирусов онлайн-сканера VirusTotal.
Причем сам Kaspersky распознает его на VirusTotal как Downloader.Win32.Bundl.aq
, но игнорирует при локальной проверке бесплатной версией. Пусть это и не вирус, а средство доставки «боевой нагрузки», пользователю от этого не легче.
Avira Free Antivirus 2016
Антивирус Avira Free также имеет ограниченную функциональность и довольно назойливо рекламирует переход на платную версию. Реклама различных продуктов Avira сыпется как из рога изобилия еще во время установки веб-инсталлятором. Наверное, поэтому она была чертовски долгой. Устав наблюдать за индикатором прогресса, я успел дописать другую статью.
После установки Avira заняла 1329 Мбайт вместе с базами, причем только половина этого места приходилась на каталог \Program Files\Avira\
. Остальное было в \ProgramData\Avira
и других местах. В состав Avira Free входит программный файрвол (что редкость для бесплатных антивирусов), но его наличие не объясняет столь высоких аппетитов к дисковому пространству.
Сам интерфейс тоже вызывает удивление. Вся установка отображается по-русски. После нажатия на иконку в трее язык превращается в русско-английский, а в главном окне становится просто английским. Не беда, но странно видеть такую поверхностную локализацию.
Исполняемый файл с Downloader.Win32.Bundl.aq антивирус позволил скачать. При его принудительном запуске появилось сообщение о том, что файл анализируется Avira. Спустя несколько секунд он опрометчиво был признан безопасным.
Обнаружив вредоносный джава-скрипт, Avira показала предупреждение. По случайности оно совпало с оформлением сайта и выглядело как его часть — неопытный пользователь может не заметить.
После нажатия Remove скрипт был заблокирован и редиректа на фишинговую страницу не произошло. Затем Avira сразу запустила быстрое сканирование системы — считаю, это оправданная дополнительная мера.
Упакованные в ZIP зловреды Avira тоже сперва не заметила и обнаружила лишь после ручной распаковки архива.
После принудительной загрузки заблокированного смартскрином исполняемого файла Avira определила, что он относится к категории PUA (потенциально нежелательных программ).
При попытке перехода на страницу, содержащую несколько эксплоитов, Avira сразу показывает предупреждение, но позволяет загрузить контент. Заражения при этом не происходит.
Так же как и Kaspersky Free, иногда антивирус Avira срабатывал вместе с фильтром SmartScreen.
AVG Antivirus Free Edition
Чешский антивирус AVG претерпел существенные изменения с осени прошлого года. Сейчас это фактически утилита для сбора данных о пользователе с некоторой антивирусной функциональностью. На диске AVG Free занимает 192 Мбайт, но эта величина быстро возрастает по мере кеширования данных, отправляемых на серверы компании. По официальной версии, это делается для облачной проверки и анализа подозрительных файлов. Вот только что можно подозревать в чистой ОС, где, кроме антивируса AVG Free, нет никаких сторонних приложений и пользовательских файлов?
Сама установка проходит быстро и почти без рекламы, но в инсталляторе есть подвох. На очередном этапе в нем предлагается установить пробную 30-дневную версию платного антивируса вместо изначально выбранного бесплатного. Надо вручную выбрать AVG Free и продолжить установку.
Сразу после установки AVG Free во всплывающем окне предлагается инсталлировать тулбар AVG SafeGuard by Ask и сделать Ask поисковиком по умолчанию, а в браузере открывается страничка с рекламой приложения AVG для Android.
Потенциально опасный экзешник, который проигнорировал Kaspersky Free, AVG заблокировал еще при попытке его скачать. Защита от дурака сработала явно лучше.
Другой вредоносный исполняемый файл AVG позволил скачать и лишь потом распознал в нем угрозу.
При этом вредоносные файлы в архиве ZIP были обнаружены AVG только после ручной распаковки архива.
На веб-страницах часто встречаются вредоносные джава-скрипты, которые пытаются перенаправить пользователя на другую страницу или заразить его компьютер. AVG их обнаруживает и выводит запрос о блокировке, но после сообщения «угроза успешно удалена» все равно происходит редирект на фишинговый сайт, который уже блокируется средствами SmartScreen... если повезет.
Иногда на сайтах встречается сразу несколько угроз. В таком случае AVG показывает суммарную информацию и обычно предлагает выбрать желаемое действие. Иногда он запрещает все элементы сам. В таком случае действия не требуются — можно лишь просмотреть описание найденной заразы.
Одну из веб-страниц, которую считают зараженной шесть антивирусов на VirusTotal, AVG проигнорировал. Он обнаружил заразу, лишь когда она оказалась на жестком диске и пыталась активизироваться.
Avast! Free Antivirus (11.1.2245)
При установке Avast! также надо быть внимательным: по умолчанию отмечена установка Google Chrome и Google Toolbar для IE. После установки без дополнительных компонентов антивирус занимает 604 Мбайт — много, но вдвое меньше Avira Free.
Скрытой рекламы полно даже в главном окне антивируса. Обещанный подарок оказывается формальной скидкой на платные продукты. На вкладке «Инструменты» указаны не дополнительные модули защиты, а рекламные ссылки на их описание. Стоит кликнуть одну из них, как предложение выбрать вариант дополнительной платной защиты надолго поселится в главном окне Avast.
При попытке вручную запустить заблокированный MSS экзешник со стороны Avast! не встречаем никакого сопротивления. Потенциально опасный файл (даунлоадер) с недействительной подписью игнорируется антивирусом.
Вредоносный джава-скрипт и эксплоиты Avast! блокирует сразу, при этом зараженные веб-страницы не загружаются вообще. Однако сообщение о найденных угрозах выглядит неинформативно — оно одинаковое для разных зловредов и не позволяет даже судить об их количестве.
Архив со зловредами Avast! позволил скачать, но проверил его самостоятельно и сразу обнаружил угрозу — еще до моей попытки посмотреть список загрузок.
Еще один исполняемый файл, который на VirusTotal детектируют как вредоносный 34 антивируса, Avast! проигнорировал. Он молча позволил скачать и принудительно запустить его, обходя блокировку MSS.
Следы Большого Брата
С подачи Microsoft, выпустившей «Шпиокна 10», практика открытой слежки за пользователями становится у софтмейкеров общепринятой. Она прямо указывается в пользовательском соглашении, но кто же его читает? Например, у Avira этот пункт выглядит так:
«Мы можем собирать, хранить и использовать данные, позволяющие установить вашу личность, ваше устройство (как определено ниже) и взаимодействие вашего устройства с другими устройствами (например, ID устройства, IP-адрес устройства, место, контент, языковые предпочтения, IMEI-код устройства, бренд и модель устройства, статус батареи, версию ОС устройства, номер телефона устройства, номер SIM, имя сетевого провайдера, статус памяти, геоинформацию на основании местоположения по GPS/Wi-Fi/сеть и любые другие технические сведения... Некоторая часть этой информации может использоваться для вашей идентификации, включая, без ограничения: имя, адрес, номер телефона, адрес email, номер карточки социального страхования, информацию о кредитной карте, изображение лица, образец голоса или биометрические данные (все вместе «Личная информация») и может включать в себя данные, хранящиеся на вашем устройстве. Мы также можем передавать вашу личную информацию в другие страны, где расположено оборудование провайдеров нашего продукта».
У других разработчиков формулировки немного отличаются, но общий принцип остается прежним. Они собирают все данные, которые технически возможно получить. Поскольку антивирус глубоко интегрируется в ОС, устанавливает собственные драйверы и перехватывает системные вызовы, он имеет доступ ко всей информации — в том числе зашифрованной, поскольку ее хотя бы раз расшифровывал сам пользователь.
На этом фоне обнадеживает заявление Евгения Касперского, которое он сделал, анонсируя выпуск бесплатного антивируса имени себя: «Он будет построен на тех же технологиях, что и платные персональные продукты... Без слежки за пользователем в рекламных целях и торговли его конфиденциальностью. Никакой такой фигни — только защита», — писал он в ЖЖ.
Впрочем, и здесь не обходится без доли лукавства. Сам Kaspersky Free собирает только общую обезличенную статистику, вроде количества найденных угроз по их типам. Однако в нем по умолчанию включен облачный сервис Kaspersky Security Network, а KSN известен своими аппетитами к сбору информации. В него отправляются подробные логи, которые включают список установленных программ вместе с путями, детальный мониторинг работы пользователя, списки запущенных процессов, статистику использования приложений и другие приватные данные. Отключить его можно на соответствующей вкладке.
Выводы
Вторая часть: Comodo, Qihoo 360, Panda, Windows Defender
Как видно из этого небольшого эксперимента, все антивирусы реагировали на одни и те же угрозы немного по-разному. Одни блокировали переход по ссылке, отобразив предупреждение на раннем этапе. Другие не дали скачать зараженный файл или предотвратили запуск вредоносного скрипта, а третьи среагировали только на локальный запуск зловреда или вообще пропустили его. Дело здесь не в том, что платный антивирус лучше бесплатного от того же разработчика — у них одинаковый движок и базы. Просто в платных версиях используются дополнительные модули защиты, благодаря которым угрозы распознаются и блокируются не только по сигнатурному анализу.
Kaspersky Free в целом не вызвал существенных нареканий. Он очень похож на урезанный KIS, из которого убрали опциональные компоненты и защиту от дурака, добавив рекламы и спрятав поглубже KSN.
Avira отличилась чудовищно долгой установкой и прожорливостью. Она занимала больше всех места, а компьютер с ней ощутимо тормозил на элементарных операциях. С архивами она практически не работает. Во всяком случае, не проверяет скачанные из интернета до их ручной распаковки.
Avast! проигнорировал пару серьезных угроз (пользователю хватит и одной) и тоже изобилует хитрой рекламой. Обнаруживаемые зловреды он блокирует сразу, но понять, что произошло, без детального анализа лога невозможно. Сообщения антивируса выглядят однотипно и не подразумевают выбора со стороны пользователя — обычно это просто уведомления о принятом решении.
AVG в целом выглядит адекватно, однако политика компании в отношении данных пользователя оставляет желать лучшего. Если бы не ультиматум о сборе сведений, его можно было бы рекомендовать как неплохой бесплатный антивирус.