Допустим, у нас есть 49 экземпляров актуальной малвари, которые на все 100% известны антивирусам с современными базами. А что бы эти антивирусы могли с ними сделать неделю назад, когда эти зловреды еще не попали в руки вирусным аналитикам? Насколько эффективно работает эвристика и проактивная защита современных internet security, если проверить ее на реальных зловредах? И для этого совсем не нужно изобретать машину времени — просто законсервируем подопытные антивирусы в виртуалках без доступа к интернету, а через неделю проверим их на коллекции новейшей малвари, которая уже детектируется этими антивирусами с актуальными базами. Но антивирусы прошлого об этом, конечно, еще не знают :).

В качестве подопытных кроликов будем использовать KIS, Dr.Web, ESET и Windows Defender. Все, кроме последнего, будут запущены в Win 7. Последний же будет работать под управлением Win 10 — есть надежда, что «десятка» лучше защищена и даже с таким решетом, как Defender, вирусы не пройдут. Что ж, проверим.

 

Еще раз о тестировании

Вот что будет проверяться: обнаружение вируса, блокировка запуска вируса и лечение заражения. Первый тест выполним при отключенной защите — в режиме сканера. Для второго и третьего тестов монитор антивируса будет включен.

После всего этого мы обновим базы и сравним полученный детект с предыдущим результатом. Так как вирусов много, «экспонаты» для проверки запуска будут отобраны самим антивирусом. Запустим те вирусы, которые окажутся не удалены в результате детект-теста. Глупо пытаться запустить вирус, который есть в антивирусной базе, — любой антивирус заблокирует его. Интереснее всего запустить вирус, который антивирусу «незнаком».

Все вирусы в моей подборке были разделены на группы: Backdoor, Worm, Virus и так далее. Позже будет приведен список всех «героев программы». Как видишь, есть из чего выбрать.

Твои идеи

Твои идеи вдохновляют нас на новые исследования. Мы уже учитывали их во второй части «теста бесплатных антивирусов». Так что продолжай фонтанировать — комменты к статье и наша почта всегда открыты для твоих рацпредложений :).

Моя подборка вирусов
Моя подборка вирусов

Все операционки свежие (специально установлены для этой статьи), а интернет был отключен сразу после установки антивируса, чтобы базы со стопроцентной гарантией остались старыми.

 

Kaspersky Internet Security

Начнем тестирование со всем известного Kaspersky Internet Security. Как видно из скрина ниже, антивирус был установлен шесть дней назад (осталось 24 дня бесплатного использования).

Kaspersky Internet Security
Kaspersky Internet Security

Отключаем антивирус, распаковываем архив с вирусами. Антивирус мы не активируем, но запускаем выборочную проверку (чтобы он не стал прогонять все подряд, а сконцентрировался на одной папке) и проверяем папку Virus. Помню, когда-то мне в 20-литровую канистру на заправке умудрились залить 23 литра. Так и в случае с Касперским — в папке из 49 файлов он умудрился найти 80!

Результат проверки
Результат проверки

Видимо, в один файл упаковано несколько зараз и антивирус отражает в списке отдельно каждую из них. Посмотрим подробный отчет.

Подробный отчет
Подробный отчет

Как видно из скрина, найдено 45 угроз (из 49). Вирус Trojan.Win32.Waldek.jsu почему-то не был ни удален, ни помещен в карантин: антивирус его просто не обработал, хотя и обнаружил. Всего в папке Virus осталось 11 файлов.

Осталось 11 файлов
Осталось 11 файлов

Больше всего вирусов уцелело в папке RansomWare. Как видно из скриншота, файлы с номерами 2, 4, 7 и 8 антивирус вообще не тронул. Интересно будет посмотреть на детект после обновления баз.

Еще результаты Касперского
Еще результаты Касперского

Что ж, теперь активируем защиту и пытаемся запустить «выжившие» вирусы из папки Virus. Я запустил первые два файла из папки RansomWare (номера 2 и 4). Файл с номером 2 был распознан как PDM:Trojan.Win32.Generic. Антивирус выявил опасное поведение программы, «точно характеризующее ее как вредоносную».

Заблокирован запуск программы
Заблокирован запуск программы

Предложил исцелить компьютер с перезагрузкой. Соглашаемся. Началось лечение, антивирус отменил действия вредоносной программы и попутно устранил файл с номером 4.

Лечение системы
Лечение системы

Результаты лечения мне не понравились. После перезагрузки я не получил чистую систему. Что-то пыталось загрузиться, на рабочем столе остались файлы, созданные вирусом. Кое-что антивирус вычистил, но мне кажется, что не все. Попутно антивирус, конечно, пытается лечить созданные вирусами объекты.

Результат лечения
Результат лечения
Антивирус обнаружил еще зараженные объекты
Антивирус обнаружил еще зараженные объекты

Продолжаю запускать файлы из папки RansomWare (номера 7 и 8). Сразу после запуска этих файлов, как и в предыдущем случае, моментальной реакции антивируса не последовало, что позволяет программам размножаться. Антивирус начал реагировать уже после того, как вирусы попытались отправлять электронные письма. Ничего у них не вышло — у меня ни почтового клиента, ни соединения с интернетом!

Запоздавшая реакция антивируса
Запоздавшая реакция антивируса

Интересно, но на файл с номером 8 антивирус Касперского так и не отреагировал. Идем дальше. Из подпапки Scareware запускаю единственный файл с таким же названием. Жду несколько минут. От антивируса реакции никакой, а вирус тем временем, скорее всего, делает свои темные дела.

Из папки TrojanCryptor запускаю файл с именем TrojanCryptor (1). Шифровальщик — тяжелая артиллерия. Реакции антивируса тоже не последовало. Зато появилось окошко.

Окно трояна
Окно трояна

О шифровальщике

Троян запустился, реакции от антивируса вроде бы нет, но данные остались незашифрованными, как и в случае еще с одним участником этого теста. А вот один из антивирусов допустил шифрование данных, как ты увидишь далее.

Из папки Virus запускаю файлы с номерами 4 и 8, затем из папки Worm — файлы 6 и 8. Первый почему-то не запустился (ошибки допускают не только разработчики обычных программ, но и вирусописатели). А на второй Касперский никак не отреагировал.

Запускаю полную проверку компьютера. Ее цель — определить зараженные вирусами объекты и попытаться вылечить компьютер. После перезагрузки посмотрим, что получилось у антивируса. Честно говоря, результаты меня не порадовали. Антивирус сообщил, что угроз не обнаружено. Хотя вредоносные программы на компьютере остались. Глубоко копать не стал — просто открыл msconfig и посмотрел на список автозагрузки. Как видишь, антивирус вычистил далеко не все.

Угроз не обнаружено
Угроз не обнаружено
Не все удалено
Не все удалено

При перезагрузке компьютера Касперский сообщил, что он вздумал вылечить мой компьютер, — обнаружен активный процесс лечения, в результате которого все-таки был удален файл Ransomware (8).exe, а также файл worm (8).exe.

Антивирус опомнился
Антивирус опомнился

Похоже, что некоторые вредоносные файлы он вычистил. После лечения активного заражения KIS опять сообщил, что угроз нет.

Опять угроз нет
Опять угроз нет

Что ж, пора обновлять базы. Базы обновлены, компьютер перезагружен. После перезагрузки запустился мастер восстановления после заражения, предложивший исправить некоторые моменты. После работы мастера опять перезагружаю компьютер.

Мастер восстановления после заражения
Мастер восстановления после заражения

Мастер кое-что восстановил, а кое-что нет. Да, автозапуск очищен. Но не полностью — как видно, желающие запуститься еще остались. Файлы -!RecOveR!*, созданные по всему диску, тоже не были удалены.

Не все вычищено
Не все вычищено

Даю антивирусу еще один шанс и опять запускаю полную проверку — на этот раз с новыми базами. Угроз обнаружено не было, множественные файлы, созданные вирусом, так и остались на компьютере.

Множественные файлы, созданные вирусом
Множественные файлы, созданные вирусом

Теперь повтор теста на детект. Отключаю защиту, распаковываю архив и запускаю выборочную проверку папки Virus. После обновления баз Касперский нейтрализовал все угрозы (49). В общем, что и следовало ожидать, ведь мы специально включали в тест только настоящую малварь, известную «антивирусам будущего».

После обновления баз все угрозы устранены
После обновления баз все угрозы устранены
 

Dr.Web Security Space

В линейке Dr.Web был выбран настоящий монстр, установочный файл которого весит 466 Мбайт, — Security Space. Более компактный продукт Katana не подошел, потому что в нем нет сканера.

Как и антивирус Касперского, Dr.Web был установлен неделю назад. Посмотрим, что у него получится. Результат оказался хуже, чем у Касперского, — было обнаружено всего 34 угрозы.

Тест на обнаружение: обнаружено 34 угрозы из 49
Тест на обнаружение: обнаружено 34 угрозы из 49

Обходимся без облаков

При установке Dr.Web не было выбрано подключение к облачным сервисам (то есть сравнивались возможности самого антивируса), но толку от них все равно бы не было — на время сканирования и лечения компьютер просто не подключался к интернету.

Нажимаю кнопку «Обезвредить». Антивирус обезвредил 34 угрозы, в папке Virus осталось 18 файлов. Нехитрый математический подсчет 49 минус 34 дает результат 15, откуда взялось еще три файла? Просто некоторые файлы антивирус «вылечил».

Результат обезвреживания угроз
Результат обезвреживания угроз
Отчет сканера
Отчет сканера

Далее антивирус предложил перезагрузить компьютер, чтобы завершить обезвреживание угроз. После перезагрузки в папке Virus осталось столько же файлов.

Предложение перезагрузиться
Предложение перезагрузиться

Переходим ко второй части теста, а именно блокировке запуска вредоносной программы. Запускать буду те файлы, которые уцелели в результате проверки сканером. Защита в реальном времени (SpIDer Guard) включена. Файлов осталось больше, чем в случае с Касперским. Первым делом запускаю файл с номером 1 из папки Backdoor (кстати, Касперский сразу удалил все вредоносные программы из этой папки). Реакция последовала незамедлительно — вот только антивирус отреагировал не на сам exe-файл с номером 1, а на тот файл, который, видимо, он извлек в папку AppData.

Реакция антивируса
Реакция антивируса

Аналогичным образом он отреагировал на программу Dropper из одноименной папки. А вот на вирус типа Banker он не обратил никакого внимания. Далее переходим к моей любимой категории RansomWare. Сканер оставил все файлы из этой папки нетронутыми.

Полный набор RansomWare
Полный набор RansomWare

Запущены первые два файла. Вирусы расползаются по компьютеру, что видно по файлам -!RecOveR!*. Антивирус сразу не заблокировал запуск вируса (как и в случае с Касперским), сработала превентивная защита и отреагировала на один из файлов. Запущен третий файл, вирусы продолжают открывать различные окна, а антивирус по-прежнему спокоен.

Инфицирование идет полным ходом
Инфицирование идет полным ходом

Запускаю файлы 4–6. Антивирус отреагировал на две из трех угроз. Но опять-таки с небольшим запозданием. Ведь работает не монитор, а именно превентивная защита.

Две из трех
Две из трех

Далее запускаю файлы 7–9. На этот раз одна из трех угроз была обезврежена.

Одна из трех угроз обезврежена
Одна из трех угроз обезврежена

Если бы я тестировал все это на своей реальной машине, мне было бы уже страшно. Но ничего, идем дальше — запускаем шифровальщики. В папке TrojanCryptor есть два файла — с номерами 1 и 4 (если не считать еще трех файлов -!RecOveR!*). Первый шифровальщик был запущен, а от запуска второго меня спасла древняя Win 7 — вирус оказался новее операционки и просто не запустился :).

.NET слишком старый
.NET слишком старый

Все файлы из папки Virus были или удалены, или излечены, поэтому я ничего не запускал. Остался только один файл — с номером 8 из папки Worm. Запустился, начал творить свои гнусные дела, реакции от антивируса не последовало.

Вирусы размножаются дальше
Вирусы размножаются дальше

Компьютер тормозит, глючит все, что могло глючить, в том числе проводник. А потом я вижу картину маслом: антивирус не спас мой компьютер от шифровальщика. Тот самый README.TXT представлен на скрине ниже. Можно было бы написать по указанному email, но наверняка я бы получил инструкции, куда переводить деньги. Лечить виртуалку я не стал, она запускается, но все файлы пользователя зашифрованы.

Шифровальщик
Шифровальщик
README шифровальщика
README шифровальщика

Самое интересное, что антивирус все еще запускается, как и сама операционная система. Но думаю, всем ясно, что тест на запуск неизвестного вируса провален полностью. Клонирую чистую виртуальную машину. В нее будет заново установлен Dr.Web, и будет произведен тест на детект, но уже с самыми последними базами. При установке уже решил перестраховаться и включил доступ к Dr.Web Cloud.

Переустанавливаю Dr.Web
Переустанавливаю Dr.Web

После обновления баз антивирус успешно обнаружил все 49 угроз. Больше всего мне (наверное, как и тебе) хотелось узнать имя нашего «героя», который угробил предыдущую виртуалку, — это Trojan.DownLoader21.31460.


...Больше всего мне (наверное, как и тебе) хотелось узнать имя нашего «героя», который угробил предыдущую виртуалку, — это Trojan.DownLoader21.31460
Все угрозы обнаружены
Все угрозы обнаружены
Страна должна знать своего героя
Страна должна знать своего героя

Ради интереса я запускаю этот же вирус, но уже после обновления антивирусных баз. Как и следовало ожидать, он запуститься не смог.

После обновления баз зашифровать файлы не получилось
После обновления баз зашифровать файлы не получилось

Обновление антивирусных баз для Dr.Web играет очень важную роль. Если в случае с Касперским можно положиться на его эвристические способности, то здесь нужно следить, чтобы антивирусные базы запускались вовремя. Но и информация о вирусах, видимо, поступает в антивирусные базы раньше — ведь все антивирусы были установлены неделю назад, тогда же были обновлены базы, после чего виртуалка «консервировалась» на неделю. Ведь в тесте на детект Каспер обнаружил больше вирусов.

 

ESET

Как и с остальными антивирусами, ESET был установлен неделю назад, что видно по сроку действия лицензии.

Антивирус ESET
Антивирус ESET

Тест на детект вирусов показал 36 угроз. Результат, очень похожий на результат Dr.Web. В папке Virus осталось 14 файлов.

Результат детект-теста ESET
Результат детект-теста ESET

Включаем защиту в реальном времени и запускаем оставшиеся вирусы. Первый файл — вирус с номером 1 из подпапки Backdoor (остальные из этой папки вычищены). Антивирус моментально справился — вредоносная программа обнаружена.

Обнаружена угроза
Обнаружена угроза

Антивирус не отреагировал на единственный уцелевший в подпапке Banker вирус (файл с номером 1). Далее запускаю вирус Dropper — его ESET сразу же отловил.

Перехожу к многострадальной папке RansomWare. Как и Dr.Web, ESET не удалил из этого каталога ни одного файла. Из всего набора антивирус отреагировал только на файлы с номерами 3 и 8. Остальные вполне успешно были запущены.

Уцелевшие вирусы класса RansomWare
Уцелевшие вирусы класса RansomWare

Интересно, но ESET успешно обнаружил и удалил все шифровальщики — посмотри на содержимое папки TrojanCryptor (файлы -!RecOveR!* — это результат инфицирования вирусами класса RansomWare).

Все шифровальщики устранены даже со старыми базами
Все шифровальщики устранены даже со старыми базами

Из папки Virus уцелел только файл с номером 5. При попытке запуска антивирус заблокировал его. В папке Worm после первой проверки остался файл с номером 8, но на него антивирус вполне успешно отреагировал после запуска, правда с небольшой задержкой — видимо, когда вирус начал выполнять определенные операции.

Теперь запускаю полное сканирование системы со старыми базами. Посмотрим, что останется. При повторном запуске было найдено всего четыре угрозы. Другими словами, особо RansomWare-вирусы с такими результатами не вылечишь. Количество файлов в папке Virus приводить нет смысла, поскольку после запуска вирусов RansomWare файлов в ней стало гораздо больше, чем было изначально.

Повторное полное тестирование
Повторное полное тестирование

Теперь обновляем базы и повторяем сканирование вновь распакованного архива с вирусами. После обновления антивирусных баз ESET обнаружил все 49 угроз в папке Virus.

Обнаружены все угрозы (после обновления)
Обнаружены все угрозы (после обновления)

Как и в случае с предыдущими антивирусами, запускаю финальное сканирование всего компа. Качеством финального сканирования я остался недоволен. Да, было обнаружено 17 угроз, но много чего не вычищено — ни из автозапуска, ни из меню «Пуск». Пусть раньше антивирус не «знал» ничего о вирусах, но после обновления он был обязан знать. Мне не понравилось качество чистки от Касперского, но это было до того момента, как я увидел ESET.

Я ожидал большего...
Я ожидал большего...
 

Defender aka Решето

Что будет с системой при запуске вирусов, уже было показано. Изначально я хотел провести только тест на детект и не запускать вирусы, поскольку итог, как мне казалось, предопределен. Но полученные мною результаты приятно меня удивили.

Самое интересное, что его улов оказался выше, чем у ESET и Dr.Web, — 42 угрозы. Очень достойный результат.

«Решето» обнаружило 42 угрозы
«Решето» обнаружило 42 угрозы

Может, не такое уж Defender и решето? Нажимаю кнопку Clean PC для удаления угроз. И сразу нахожу повод для серьезной критики — очень медленная чистка компьютера. Вирусы еще не были активны (я не запускал их), а Defender удалял их около часа. Даже не знаю, что он с ними делает...

Очистка компа
Очистка компа

По окончании проверки в папке с вирусами осталось всего шесть файлов. Сначала я не хотел проводить полноценный тест этого антивируса. Затем решил дать ему шанс. Defender не обнаружил вирус в файле Scareware.exe, не нашел вирус в том самом TrojanCryptor (1).exe, с которым не справился Dr.Web, несколько файлов из подпапки Virus. Зато Defender сразу расправился с вирусами RansomWare, которые основательно загадили предыдущие системы.

Интересно, что, как только была включена защита в реальном времени, Defender сразу удалил два вируса из подпапки Virus.

Осталось всего шесть файлов
Осталось всего шесть файлов

Спустя несколько секунд после включения защиты в реальном времени в папке Virus осталось всего три вируса. Я даже не успел их запустить, поскольку был занят — писал статью. Что ж, попробуем самый страшный тест — запустить тот самый шифровальщик. Он запустился, и Defender никак не помешал ему.

Шифровальщик запущен в Windows 10
Шифровальщик запущен в Windows 10

Интересно, но хотя Defender и не отреагировал на шифровальщик, файлы тот так и не зашифровал, что подтверждается скрином ниже.

Файлы не зашифрованы
Файлы не зашифрованы

Для чистоты эксперимента я таки запущу оставшиеся файлы: Scareware.exe и файл Virus (4).exe. В первом случае — чистый гол: вредоносная программа поселилась на компьютере, о чем свидетельствует барышня в нижнем правом углу экрана. Во втором случае вирус просто не запустился; видимо, проблема в самом вирусе — не хочет работать с «десяткой».

Антивирус пропустил «гол»
Антивирус пропустил «гол»

Но назойливая барышня в правом углу лучше, чем зашифрованные файлы и черный экран...

Сначала я даже не хотел обновлять базы Defender, но все-таки было интересно, сможет ли он избавиться от рекламного вируса после обновления баз. С этой задачей он не справился. Девушка в углу предлагает свои услуги, а антивирус сообщает, что угроз не найдено. Это мне не очень понравилось: получается, антивирус просто не отреагировал на угрозу.

Есть у меня к Defender и еще одна претензия. Он обновляется только через Windows Update. Другими словами, если «десятка» тебе надоест своими постоянными обновлениями и ты выключишь эту службу, Defender обновляться также не будет.

Невозможно обновить антивирусные базы из-за отключенного сервиса Windows Update
Невозможно обновить антивирусные базы из-за отключенного сервиса Windows Update

Конечно, все понимают, что обновление операционки — это хорошо, но «десятка» действительно утомила обновлениями. Поэтому многие их отключают, наверняка не зная, что отключают и обновление антивируса. Вывод: если ты отключил обновление Win 10, то тебе нужно установить сторонний антивирус, который может обновляться при выключенном Windows Update.

 

Результаты

Мне все еще не верится, что я пишу эти строки. Честно говоря, я не понимаю, как так получилось, но первое место хочется отдать Defender, который я и многие другие юзеры считают «решетом». Он сразу удалил 42 угрозы, еще три — после включения защиты в реальном времени. Шифровальщик не сработал так, как было нужно его неведомым создателям. Но здесь, скорее всего, заслуга Windows 10, а не антивируса. Однако поскольку этот антивирус не отреагировал на некоторые угрозы вообще и не в состоянии обновляться отдельно от операционки, то он может претендовать только на второе место.

Первое место в нашем тесте займет антивирус Касперского, хотя и с некоторыми оговорками. Отдельные моменты мне в нем не понравились. Однако пусть он и проигнорировал несколько вирусов из RansomWare, которые загадили диск файлами -!RecOveR!*, но зато не пропустил опасный шифровальщик.

Третье место разделяют Dr.Web и ESET. Первый не выловил вирус-шифровальщик, чем обеспечил потерю данных у потенциального клиента, а второй допустил размножение RansomWare. Сказать, что диск был забит файлами -!RecOveR!* и прочим мусором, — это ничего не сказать.

Честно говоря, я ожидал, что первое место будет у Dr.Web или Касперского, а Defender останется аутсайдером.

В заключение привожу три скриншота, позволяющие понять, какие вирусы использовались в этом обзоре.

Актерский состав 1
Актерский состав 1

Актерский состав 2
Актерский состав 2

Актерский состав 3
Актерский состав 3

Подписаться
Уведомить о
9 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии