Недавно мы с тобой увидели, что заразить современные версии Windows не так просто, даже если очень этого хочется. Возможно, вирусы просто побоялись заражать компьютер нашего автора, потому что компьютеры обычных пользователей они заражают исправно. Не оспаривая тот факт, что Win 7 и 10 защищены значительно лучше своей предшественницы, сегодня мы представим на твой суд продолжение статьи «Бесплатные антивирусы — проверка боем», тем более что этого просили многие читатели ][.

Первая часть: Kaspersky Free, Avira Free, AVG Free, Avast! Free

WARNING


Все тесты выполнялись только в исследовательских целях. Необходимые файлы были загружены с общедоступных ресурсов. Разработчики протестированных антивирусов получили автоматические уведомления о результатах сканирования. Редакция и автор не несут ответственности за любой возможный вред.

В первой части нашего тестирования мы выяснили, как реагируют на попытки заражения во время веб-серфинга четыре популярных продукта: Avast! Free Antivirus, AVG Antivirus Free Edition, Avira Free Antivirus 2016 и Kaspersky Free. Наш эксперимент был бы неполным без других участников тестирования. Посмотрим, как справятся с той же задачей Comodo, Qihoo 360, Panda и Windows Defender.

 

Методика тестирования

Суть эксперимента осталась точно такой же. Каждый антивирус устанавливается в свою виртуальную машину. Перед тестом он обновляется и пытается не допустить заражения при посещении заведомо инфицированных сайтов через предустановленный браузер Edge. Свежий список угроз берется из базы Clean MX, а все виртуалки — клоны одной и той же чистой операционки. Единственное отличие новой тестовой среды состоит в том, что на этот раз мы решили использовать Windows 10 вместо Windows 7.

INFO


Все тесты проводились в настройках по умолчанию и сразу после обновления антивирусов. В реальных условиях для повышения безопасности следует использовать более агрессивные настройки и дополнительные инструменты защиты. В платных антивирусах большинство из них уже интегрировано, однако при желании можно самостоятельно сделать подобный набор из бесплатных утилит.

Внимание! Исследование антивирусов и вредоносных файлов в виртуальной машине не обеспечивает полную безопасность. Используя различные уязвимости, зловреды могут выйти за пределы тестовой системы и заразить основную ОС.

 

Защитник Windows

Бытует мнение, что «голая Windows» и предустановленный браузер совершенно беззащитны. Долгое время так и было, однако с развитием у Microsoft облачной службы мониторинга большинство потенциально вредоносных и тем более зараженных сайтов быстро попадают в ее общий черный список. Безопасность браузера Edge в целом тоже выше, чем у IE. Поэтому пользователям «шпиокон 10» стало сложнее наступить на вирусные и фишинговые грабли, особенно на уже обнаруженные другими.

Скачать протрояненный экзешник и заразиться по старинке в Edge стало значительно сложнее. При такой попытке сначала отображается предупреждение о низкой репутационной характеристике сомнительного файла, и его вообще не рекомендуется загружать.

Анализ репутационной характеристики файла
Анализ репутационной характеристики файла

Если все-таки скачать его принудительно, то при запуске загруженного файла сработает вторая блокировка — SmartScreen, реагирующая на отсутствующий цифровой сертификат приложения.

Блокирование подозрительного файла фильтром SmartScreen
Блокирование подозрительного файла фильтром SmartScreen

Особо настойчивый пользователь может проигнорировать и ее. Тогда появится последнее предупреждение — от контроля учетных записей. Не внявшего трем алертам юзера даже не жалко — пусть себе любуется скачками троянских коней.

Известные угрозы обычно блокируются фильтром SmartScreen на этапе загрузки, а во всплывающих сообщениях Edge выбор действий в таком случае отсутствует. Пользователя просто извещают о том, что вредоносный файл был заблокирован. Достать его из автоматического карантина можно только через журнал «Защитника Windows» — он работает как отдельно, так и в паре со SmartScreen.

Зловреды часто маскируются под обновления популярных программ, например Adobe Flash player. Если раньше пользователь без антивируса мог видеть лишь предупреждения о ненадежном источнике загрузки или отсутствующем сертификате, то теперь SmartScreen просто блокирует доступ к таким файлам. Распространенный Backdoor MSIL/Bladabindi.AA сразу помещается «Защитником Windows» в карантин безо всяких вопросов. Аналогично происходит и при попытке подсунуть в ссылке бэкдор под видом экранной заставки (.scr).

Объекты на карантине
Объекты на карантине

Упакованные зловреды SmartScreen отлавливает в одноуровневых архивах ZIP, а вот в многоуровневых обнаруживает не всегда. Также он не видит их в формате RAR, поскольку без дополнительных программ Windows 10 не поддерживает работу с ним.

Журнал загрузок и результат проверки архива на VT
Журнал загрузок и результат проверки архива на VT

Наиболее показательна реакция «Защитника Windows» на хорошо известные зловреды. На одном из сайтов в рубрику About ведет ссылка вида /readme.eml. По ней в браузере беспрепятственно открывается зараженное письмо и происходит активация почтового червя Runouce.b (Chir.B). Однако его попытка получить контроль над системой проваливается сразу по двум причинам: без дополнительных программ Windows 10 не может открыть такой файл, а при любом обращении к нему червя успешно блокирует Windows Defender.

Блокирование почтового червя
Блокирование почтового червя

Часть предупреждений «Защитника» можно счесть избыточной или вовсе отнести к ложноположительным. Встроенные средства безопасности Windows 10 постоянно ругаются на разные «хакерские утилиты», вроде программы для восстановления паролей к почте. Если такие утилиты имеют GUI и запускаются явно, то они определяются как потенциально нежелательные приложения (PUP/PUA), а если только в консоли или в режиме скрытого запуска — как вредоносные.

Обнаружение PUA
Обнаружение PUA

За последние годы выросло число инцидентов, связанных с различными типами фишинга. Они используются как для целенаправленных атак (spearfishing), так и просто в расчете на невнимательных пользователей. В нашем тесте Windows Defender сразу заблокировал открытие недавно появившегося фишингового сайта при помощи SmartScreen.

Блокирование фишингового сайта
Блокирование фишингового сайта

Если проигнорировать предупреждение и открыть веб-страницу принудительно, то можно увидеть типичную картину: частично копируется оформление банковского сайта и отображаются формы для ввода конфиденциальных данных (включая пароль от почты и пин-код). При этом в адресной строке остается уведомление: «Небезопасный сайт». Только пять антивирусов из 67 в онлайн-сканере VirusTotal определили его на тот момент как представляющий угрозу. Хоть это и не malware, а всего лишь инструмент социального инжиниринга, именно на эту удочку и попадается сегодня большинство.

Уведомление о посещении небезопасного сайта
Уведомление о посещении небезопасного сайта

Удивительно, но VBS-троянец не обнаруживался на веб-странице до тех пор, пока мы не стали вручную смотреть ее код. Только тогда «Защитник Windows» сообщил нам, что видит и удаляет угрозу. На VirusTotal сайт считали зараженным только четыре службы облачной проверки.

«Защитник Windows» игнорирует троянский VBS на веб-странице
«Защитник Windows» игнорирует троянский VBS на веб-странице

Загрузка вредоносного джава-скрипта блокируется «Защитником Windows» и фильтром SmartScreen далеко не всегда. В нашем тесте по одной из ссылок запустился Trojan.Redirector. Сперва показалось всплывающее окно, а затем браузер принудительно перенаправился на сайт с навязчивой рекламой. Закрыть обычным образом окно с сообщением о «выигрыше» MacBook Pro было невозможно. Пришлось выгружать Edge через диспетчер задач и чистить систему вручную.

Windows Defender не препятствует JS-троянцам
Windows Defender не препятствует JS-троянцам

Еще один частый сценарий атаки с элементами социального инжиниринга — запугивание ложными уведомлениями о вирусной атаке. Они побуждают действовать быстро и необдуманно. В IE и многих других браузерах фейковые сообщения легко было стилизовать под системные. Теперь обмануть таким образом стало сложнее: Edge всегда показывает сообщения сайтов в отдельном окне без элементов оформления и со стандартным заголовком: «Этот сайт говорит...». Руководствуясь репутационной характеристикой, SmartScreen дополнительно отмечает сайт как небезопасный, но из-за всплывающего окна это происходит в фоне и может остаться незамеченным. После более тщательной проверки такой сайт могут добавить в черный список, и тогда он перестанет открываться в Edge вообще.

Edge отделяет всплывающие сообщения сайтов от основного контента веб-страниц
Edge отделяет всплывающие сообщения сайтов от основного контента веб-страниц

До сих пор мы рассматривали реакцию Windows 10 на единичные угрозы, но беда редко приходит одна. Встречаются и сайты, нафаршированные разными зловредами. В следующем тесте «Защитник Windows» пропустил два скриптовых трояна, загружаемых с одной и той же веб-страницы. Один из них накручивал лайки в Facebook (его работа внешне ничем не проявляется), а другой показывал несколько баннеров в отдельных фреймах. Самое интересное, что часть из них демонстрировала текст на русском, хотя сам зараженный сайт адресован вьетнамской аудитории, а хостится вообще в Мельбурне. Видимо, троянец использует Geo IP и/или считывает языковые установки в браузере.

Скриптовые трояны игнорируются пачками
Скриптовые трояны игнорируются пачками
 

Qihoo 360 Total Security 8.2.0.1120

Антивирус от гонконгской компании Qihu (Qihoo 360) вместе с базами занимает менее 80 Мбайт. При этом в нем реализованы три сигнатурных движка (QVMII AI, Avira, BitDefender) и облачная проверка. Вдобавок, помимо файлового сканера и резидентного монитора, у него есть песочница и другие современные компоненты дополнительной защиты. Установка происходит быстро и не сопровождается показом рекламы. Она появляется потом — уже в самой панели управления антивирусом, но выглядит как простой список рекомендуемых приложений от партнеров. Интерфейс нам показался удобным и достаточно информативным.

Интерфейс Qihoo 360 TS и реклама в его окне
Интерфейс Qihoo 360 TS и реклама в его окне

Подозрительный экзешник Qihoo 360 определяет сразу после скачивания, часто показывая результат одновременно с предупреждением Edge о низкой репутационной характеристике файла. Антивирус формулирует фразы в стиле магистра Йоды, слов иногда порядок меняя в предложениях. Никакого выбора действий при обнаружении трояна он не предлагает — просто уведомляет об удалении вредоносного объекта. Восстановить его можно при нажатии кнопки «Больше».

Моментальное удаление трояна после его загрузки с сайта
Моментальное удаление трояна после его загрузки с сайта

Абсолютно идентичная реакция наблюдается при попытке загрузить фейковый плеер Adobe Flash и другой троян в ZIP. Qihoo также сканирует многоуровневые архивы и самостоятельно распаковывает для проверки скачанные архивы RAR.

Автоматическое обнаружение и удаление трояна в скачанном архиве
Автоматическое обнаружение и удаление трояна в скачанном архиве

После отключения в Edge фильтра SmartScreen антивирус Qihoo 360 не определил червя в электронном письме по ссылке /readme.eml. Однако он распознал его при ручном сканировании этого файла из каталога «Загрузки».

Запоздалое обнаружение почтового червя
Запоздалое обнаружение почтового червя

Сообщение о троянском VBS на зараженном сайте Qihoo показал буквально на долю секунды и тут же скрыл его. Пришлось смотреть лог и объекты карантина, чтобы определить реакцию антивируса.

Позднее обнаружение VBS-троянца
Позднее обнаружение VBS-троянца

Вредоносный джава-скрипт Qihoo определил только в кеше Edge, а его активную копию в самом браузере не заблокировал. В результате нам опять показали баннер в iframe, а затем и знакомое сообщение о лотерее, в которой мы снова «выиграли» MacBook Pro.

Обнаружение JS-троянца в кеше Edge
Обнаружение JS-троянца в кеше Edge

Реакция на фишинговые сайты у Qihoo отличается от других антивирусов. Вместо посещения подозрительной ссылки браузер перенаправляется на уведомление о низкой репутации этого сайта. Оно загружается из облака 360safe.com и постоянно обновляется. Дополнительно в сообщении указывается реальный адрес официального сайта PayPal. Он отображается независимо от того, какую платежную систему или банк имитировали на фишинговой странице.

Блокирование открытия фишингового сайта
Блокирование открытия фишингового сайта

При переходе на PayPal автоматически запускается элемент «Безопасные платежи» и выполняется быстрое сканирование системного окружения.

Проверка системы для повышения безопасности платежей
Проверка системы для повышения безопасности платежей

Двух троянов в разных скриптах одной веб-страницы Qihoo пропустил. Позже один из них был найден антивирусом в кеше браузера и удален оттуда вместе с копией веб-страницы. Реакция на сочетанные угрозы оказалась примерно такой же, как у «Защитника Windows», но тут примечательно другое. Если Qihoo обнаруживает несколько вредоносных объектов подряд, то появляется рекомендация выполнить быструю проверку системы.

Реакция на множественные угрозы
Реакция на множественные угрозы

На чистой Windows 10 такая проверка заняла чуть больше трех минут. При этом просканировались все запущенные процессы, объекты автозапуска и основные компоненты Windows\system32\ — всего более 21 тысячи файлов.

Под конец теста Qihoo пропустил зараженный PHP-скрипт с сайта, находящегося в черном списке восьми служб облачного мониторинга. Сам скрипт идентифицируется как Trojan.Obfuscator или Trojan.Crypt большинством антивирусов на VirusTotal — 33 из 55.

Провал на проверке PHP-скрипта
Провал на проверке PHP-скрипта
 

Comodo Internet Security 8.2.0.4792

CIS — комплексный продукт, доступный бесплатно для домашних пользователей и учебных заведений. В его состав входит антивирус, файрвол, песочница и компоненты проактивной защиты. После установки он занимает более 215 Мбайт вместе с базами. Сама установка происходит буквально в пару кликов, а вот обновление сигнатур занимает минут десять. Во всяком случае, в первый раз. Реклама других продуктов Comodo появляется после перезагрузки (ее можно убрать) и периодически демонстрируется в самой панели управления.

На подозрительный исполняемый файл Comodo реагирует интереснее других антивирусов: он предупреждает об отсутствии у экзешника цифровой подписи и предлагает запустить его в песочнице или добавить в список исключений, помимо стандартных вариантов разрешить/заблокировать.

Возможность запустить подозрительный файл в песочнице
Возможность запустить подозрительный файл в песочнице

При обнаружении в списке загрузок трояна, маскирующегося под Adobe Flash Player, Comodo зачем-то предлагает получить помощь эксперта по телефону горячей линии.

Предложение техподдержки при обнаружении трояна
Предложение техподдержки при обнаружении трояна

Выбор варианта «Нет, я попробую самостоятельно» приводит к простой демонстрации уведомления об удалении вредоносного объекта. Наверное, аналогичная рекомендация звучит более авторитетно, если ее высказывает «сертифицированный Microsoft специалист».

Ликвидация трояна в загрузках
Ликвидация трояна в загрузках

В настройках по умолчанию Comodo самостоятельно не сканирует загруженные архивы, даже ZIP. Однако во время их принудительной проверки находит спрятанную внутри заразу. Архивы RAR он также сканирует лишь при проверке по запросу.

Проверка скачанного архива по запросу
Проверка скачанного архива по запросу

При просмотре страницы /readme.eml, зараженной почтовым червем, Comodo молчит, поскольку ее теперь блокирует фильтр SmartScreen (в ходе теста обновилась репутация веб-сайта). Если отключить SmartScreen, то червь беспрепятственно сохраняется в каталоге «Загрузки».

Игнорирование почтового червя при посещении сайта
Игнорирование почтового червя при посещении сайта

Во время принудительной проверки readme.eml как файла CIS распознает угрозу.

Распознавание почтового червя при ручной проверке
Распознавание почтового червя при ручной проверке

CIS счел безопасным странный экзешник без цифровой подписи и с иконкой MS Word. Восемь других антивирусов с ним не согласились — они увидели в подозрительном файле трояна-банкера. Хотя сканер Comodo пропустил эту угрозу при сигнатурном анализе, во время запуска зараженного файла троян оказался изолирован при помощи песочницы и не смог инфицировать систему.

Изоляция подозрительных файлов в песочнице
Изоляция подозрительных файлов в песочнице

Хотя CIS позиционируется как комплексный продукт для защиты от интернет-угроз, в нашем тесте он не отлавливал переходы на фишинговые сайты при отключенном фильтре SmartScreen в MS Edge. Может быть, он и умеет это делать, но мы так и не увидели ни одного предупреждения. Зато при включении SmartScreen этот фильтр блокировал переход по каждой из них.

Comodo разрешает переход по фишинговым ссылкам
Comodo разрешает переход по фишинговым ссылкам

Вредоносный скрипт Visual Basic на веб-странице Comodo определил и заблокировал сразу при его загрузке.

Автоматическое обнаружение VBS-троянца на веб-странице
Автоматическое обнаружение VBS-троянца на веб-странице

Однако следом он пропустил пару троянов в джава-скриптах на другом зараженном сайте.

Игнорирование JS-троянцев на веб-сайте
Игнорирование JS-троянцев на веб-сайте
 

Panda Free Antivirus 2016 v.16.1.1

Сразу при установке антивирус Panda предлагает добавить тулбар Yahoo! и сделать эту службу поиска основной. Затем советует выбрать триальную версию антивируса Pro вместо загруженного бесплатного. Это настойчивое пожелание навсегда останется в главном окне программы, как и окошко, мотивирующее усилить защиту платными продуктами.

При первом запуске «Панды» автоматически начинается быстрая проверка системы, а по ее окончании показывается запрос на регистрацию с просьбой ввести актуальный email. Этот шаг можно пропустить, а точнее — отложить на время.

При попытке включить в настройках файрвол выясняется, что это не установленный компонент защиты, а очередная рекламная ссылка на версию Pro. Зато в дополнительных инструментах можно активировать Panda Cloud Cleaner — отдельный антивирусный сканер с облачной проверкой.

В ходе первого теста в странном экзешнике без цифровой подписи Panda сразу распознала зловред, но не сказала какой. Просто моргнула окошком, сообщив о его удалении. Более подробная информация о найденных угрозах обнаружилась только в списке объектов на карантине и в логе, ведение которого сперва надо задать в настройках.

Панды любят краткость
Панды любят краткость

Обнаружив троян среди загруженных файлов, Panda сначала просто удаляет его, но потом может запаниковать.

Если попытаться скачать троян повторно, то антивирус обнаружит его вновь на том же самом месте и сочтет это признаком активного заражения. Он выдаст требование перезагрузить компьютер для избавления от мнимой активной инфекции и попытается нейтрализовать несуществующие угрозы на раннем этапе загрузки.

Реакция на повторное скачивание троянца
Реакция на повторное скачивание троянца

Проверка скачанных архивов ZIP и RAR выполняется только вручную. Panda находит в них угрозы, но не спешит сообщать детали, видимо руководствуясь принципом «меньше знаешь — крепче спишь».

Проверка загруженных архивов по запросу
Проверка загруженных архивов по запросу

Испанская компания Panda Security называет свой бесплатный антивирус средством эффективной защиты от фишинговых сайтов и drive-by-угроз. Однако в нашем тесте даже внесенная в десяток черных списков фишинговая страница загружается беспрепятственно, мимикрируя под сайт банка. Panda никак на нее не реагирует при отключении в Edge фильтра SmartScreen.

Веб-сайт с вредоносным скриптом на Visual Basic антивирус проигнорировал. Он обнаружил и удалил копию зараженной страницы в кеше Edge лишь тогда, когда мы уже сами делали проверку кеша по запросу.

Ликвидация VBS-троянца по запросу
Ликвидация VBS-троянца по запросу

Как и Qihoo 360, Panda позволила загрузить почтового червя (известного с начала 2013 года) по ссылке /readme.eml. Заражение вновь было предотвращено только потому, что свежеустановленная Windows 10 не знает, чем открывать файлы с таким расширением. Любые манипуляции с файлом readme.eml «Панда» игнорировала. Спохватилась она лишь после того, как мы попросили проверить этот файл вручную.

Обнаружение почтового червя только при сканировании по запросу
Обнаружение почтового червя только при сканировании по запросу

В коде заведомо зараженных веб-страниц Panda не заметила ни одного JS-трояна. Когда мы кликнули по одному из баннеров, внедряемых через iframe, браузер предсказуемо сошел с ума и забросал нас рекламой. Мы специально закрыли часть окошек и подвигали остальные так, чтобы скрыть наиболее отвратные части назойливого маркетинга.

Игнорирование JS-троянцев в коде веб-страниц
Игнорирование JS-троянцев в коде веб-страниц

Конкурентные отношения между разработчиками средств безопасности понятны, но среди всех протестированных продуктов только компоненты автозапуска «Панды» вызывали срабатывание других антивирусных сканеров.

На «Панду» ругаются другие антивирусы
На «Панду» ругаются другие антивирусы
 

Выводы

Первая часть: Kaspersky Free, Avira Free, AVG Free, Avast! Free

Вопреки ожиданиям, Windows Defender v.4.9 оказался вполне рабочим инструментом защиты. Он интегрирован с другими предустановленными компонентами безопасности и эффективно противодействует заражению во время веб-серфинга с использованием нового браузера Edge. Инфицированные сайты быстро вносятся в черные списки облачной службы Microsoft, и доступ к ним блокируется независимо от количества и типа обнаруженных угроз. Переход на многие фишинговые сайты и опасные загрузки блокирует фильтр SmartScreen. Если что и проскочит, то с большой вероятностью будет заблокировано «Защитником» или UAC. Кстати, «контроль учетных записей» — штука хоть и надоедливая, но во время теста не раз выступала последним рубежом обороны.

Если использование репутационных характеристик сайтов у «Защитника» и SmartScreen работает отлично, то алгоритмы анализа кода оставляют желать лучшего. Даже в нулевых годах многие антивирусы лучше определяли вредоносные скрипты, чем это сейчас делает Windows Defender. Другой непосильной задачей для него пока остаются архивы RAR.

Казалось бы, любой антивирус должен усиливать степень защиты, но на практике это не так. Все они отключают «Защитник Windows» во избежание конфликтов и не всегда обеспечивают полноценную замену даже ему, не говоря уже о платных версиях.

Антивирусы отключают «Защитник Windows»
Антивирусы отключают «Защитник Windows»

Наиболее приятное впечатление в этот раз произвел Qihoo 360 Total Security 8.2. Легкий дистрибутив, быстрое сканирование, наглядный интерфейс, минимальное количество рекламы, несколько антивирусных движков и актуальные компоненты дополнительной защиты. При этом он поздно увидел почтового червя, проигнорировал несколько вредоносных JS- и PHP-скриптов, а на любом предупреждении о фишинге показывает ссылку PayPal.

Главным достоинством Comodo можно назвать изолированную среду для запуска потенциально опасного кода. Она реализована очень явно и используется всеми компонентами CIS. Песочница помогает предотвратить заражение даже в тех случаях, когда вредоносный объект все-таки запускается. В остальном этот антивирус почти не радует. Он навязывает техподдержку GeekBuddy при каждом случае, пропускает на уровне сигнатурного анализа многие критические угрозы, заметно тормозит работу системы и даже не препятствует посещению фишинговых сайтов.

Panda Free стала полным разочарованием. Все вредоносные скрипты из тестового набора Panda проигнорировала. Часть зловредов она увидела, только когда ее ткнули в них носом, но вряд ли пользователь будет запускать вручную проверку кеша Edge. Даже сообщения «Панды» не отличаются информативностью, хотя кому-то это может показаться плюсом. Единственная задача, с которой хорошо справляется эта программа, — рекламировать свою платную версию.

Дополнительно мы проверили, как участвовавшие в тесте бесплатные антивирусы и встроенные средства защиты в Windows 10 определяют зараженные приложения для ОС Android. Краткий ответ — никак. Протрояненные файлы APK они сканируют и обычно определяют как чистые, вводя пользователя в заблуждение.

3 комментария

  1. Аватар

    Sarum

    12.04.2016 в 12:37

    можно протестировать также Bitdefender ?

  2. Аватар

    Nick

    12.04.2016 в 19:35

    В общем, на машине с битдефендером гонять браузер в виртуалке с другим антивирусом)

  3. Аватар

    madvovik

    18.04.2016 в 12:43

    В конце статьи не плохо было бы выводить некий график по антивирусам по нескольким критериям оценивания, чтобы можно было наглядно оценить результат тестов

Оставить мнение