Допустим, у нас есть 49 экземпляров актуальной малвари, которые на все 100% известны антивирусам с современными базами. А что бы эти антивирусы могли с ними сделать неделю назад, когда эти зловреды еще не попали в руки вирусным аналитикам? Насколько эффективно работает эвристика и проактивная защита современных internet security, если проверить ее на реальных зловредах? И для этого совсем не нужно изобретать машину времени — просто законсервируем подопытные антивирусы в виртуалках без доступа к интернету, а через неделю проверим их на коллекции новейшей малвари, которая уже детектируется этими антивирусами с актуальными базами. Но антивирусы прошлого об этом, конечно, еще не знают :).

В качестве подопытных кроликов будем использовать KIS, Dr.Web, ESET и Windows Defender. Все, кроме последнего, будут запущены в Win 7. Последний же будет работать под управлением Win 10 — есть надежда, что «десятка» лучше защищена и даже с таким решетом, как Defender, вирусы не пройдут. Что ж, проверим.

 

Еще раз о тестировании

Вот что будет проверяться: обнаружение вируса, блокировка запуска вируса и лечение заражения. Первый тест выполним при отключенной защите — в режиме сканера. Для второго и третьего тестов монитор антивируса будет включен.

После всего этого мы обновим базы и сравним полученный детект с предыдущим результатом. Так как вирусов много, «экспонаты» для проверки запуска будут отобраны самим антивирусом. Запустим те вирусы, которые окажутся не удалены в результате детект-теста. Глупо пытаться запустить вирус, который есть в антивирусной базе, — любой антивирус заблокирует его. Интереснее всего запустить вирус, который антивирусу «незнаком».

Все вирусы в моей подборке были разделены на группы: Backdoor, Worm, Virus и так далее. Позже будет приведен список всех «героев программы». Как видишь, есть из чего выбрать.

Твои идеи

Твои идеи вдохновляют нас на новые исследования. Мы уже учитывали их во второй части «теста бесплатных антивирусов». Так что продолжай фонтанировать — комменты к статье и наша почта всегда открыты для твоих рацпредложений :).

Моя подборка вирусов
Моя подборка вирусов

Все операционки свежие (специально установлены для этой статьи), а интернет был отключен сразу после установки антивируса, чтобы базы со стопроцентной гарантией остались старыми.

 

Kaspersky Internet Security

Начнем тестирование со всем известного Kaspersky Internet Security. Как видно из скрина ниже, антивирус был установлен шесть дней назад (осталось 24 дня бесплатного использования).

Kaspersky Internet Security
Kaspersky Internet Security

Отключаем антивирус, распаковываем архив с вирусами. Антивирус мы не активируем, но запускаем выборочную проверку (чтобы он не стал прогонять все подряд, а сконцентрировался на одной папке) и проверяем папку Virus. Помню, когда-то мне в 20-литровую канистру на заправке умудрились залить 23 литра. Так и в случае с Касперским — в папке из 49 файлов он умудрился найти 80!

Результат проверки
Результат проверки

Видимо, в один файл упаковано несколько зараз и антивирус отражает в списке отдельно каждую из них. Посмотрим подробный отчет.

Подробный отчет
Подробный отчет

Как видно из скрина, найдено 45 угроз (из 49). Вирус Trojan.Win32.Waldek.jsu почему-то не был ни удален, ни помещен в карантин: антивирус его просто не обработал, хотя и обнаружил. Всего в папке Virus осталось 11 файлов.

Осталось 11 файлов
Осталось 11 файлов

Больше всего вирусов уцелело в папке RansomWare. Как видно из скриншота, файлы с номерами 2, 4, 7 и 8 антивирус вообще не тронул. Интересно будет посмотреть на детект после обновления баз.

Еще результаты Касперского
Еще результаты Касперского

Что ж, теперь активируем защиту и пытаемся запустить «выжившие» вирусы из папки Virus. Я запустил первые два файла из папки RansomWare (номера 2 и 4). Файл с номером 2 был распознан как PDM:Trojan.Win32.Generic. Антивирус выявил опасное поведение программы, «точно характеризующее ее как вредоносную».

Заблокирован запуск программы
Заблокирован запуск программы

Предложил исцелить компьютер с перезагрузкой. Соглашаемся. Началось лечение, антивирус отменил действия вредоносной программы и попутно устранил файл с номером 4.

Лечение системы
Лечение системы

Результаты лечения мне не понравились. После перезагрузки я не получил чистую систему. Что-то пыталось загрузиться, на рабочем столе остались файлы, созданные вирусом. Кое-что антивирус вычистил, но мне кажется, что не все. Попутно антивирус, конечно, пытается лечить созданные вирусами объекты.

Результат лечения
Результат лечения
Антивирус обнаружил еще зараженные объекты
Антивирус обнаружил еще зараженные объекты

Продолжаю запускать файлы из папки RansomWare (номера 7 и 8). Сразу после запуска этих файлов, как и в предыдущем случае, моментальной реакции антивируса не последовало, что позволяет программам размножаться. Антивирус начал реагировать уже после того, как вирусы попытались отправлять электронные письма. Ничего у них не вышло — у меня ни почтового клиента, ни соединения с интернетом!

Запоздавшая реакция антивируса
Запоздавшая реакция антивируса

Интересно, но на файл с номером 8 антивирус Касперского так и не отреагировал. Идем дальше. Из подпапки Scareware запускаю единственный файл с таким же названием. Жду несколько минут. От антивируса реакции никакой, а вирус тем временем, скорее всего, делает свои темные дела.

Из папки TrojanCryptor запускаю файл с именем TrojanCryptor (1). Шифровальщик — тяжелая артиллерия. Реакции антивируса тоже не последовало. Зато появилось окошко.

Окно трояна
Окно трояна

О шифровальщике

Троян запустился, реакции от антивируса вроде бы нет, но данные остались незашифрованными, как и в случае еще с одним участником этого теста. А вот один из антивирусов допустил шифрование данных, как ты увидишь далее.

Из папки Virus запускаю файлы с номерами 4 и 8, затем из папки Worm — файлы 6 и 8. Первый почему-то не запустился (ошибки допускают не только разработчики обычных программ, но и вирусописатели). А на второй Касперский никак не отреагировал.

Запускаю полную проверку компьютера. Ее цель — определить зараженные вирусами объекты и попытаться вылечить компьютер. После перезагрузки посмотрим, что получилось у антивируса. Честно говоря, результаты меня не порадовали. Антивирус сообщил, что угроз не обнаружено. Хотя вредоносные программы на компьютере остались. Глубоко копать не стал — просто открыл msconfig и посмотрел на список автозагрузки. Как видишь, антивирус вычистил далеко не все.

Угроз не обнаружено
Угроз не обнаружено
Не все удалено
Не все удалено

При перезагрузке компьютера Касперский сообщил, что он вздумал вылечить мой компьютер, — обнаружен активный процесс лечения, в результате которого все-таки был удален файл Ransomware (8).exe, а также файл worm (8).exe.

Антивирус опомнился
Антивирус опомнился

Похоже, что некоторые вредоносные файлы он вычистил. После лечения активного заражения KIS опять сообщил, что угроз нет.

Опять угроз нет
Опять угроз нет

Что ж, пора обновлять базы. Базы обновлены, компьютер перезагружен. После перезагрузки запустился мастер восстановления после заражения, предложивший исправить некоторые моменты. После работы мастера опять перезагружаю компьютер.

Мастер восстановления после заражения
Мастер восстановления после заражения

Мастер кое-что восстановил, а кое-что нет. Да, автозапуск очищен. Но не полностью — как видно, желающие запуститься еще остались. Файлы -!RecOveR!*, созданные по всему диску, тоже не были удалены.

Не все вычищено
Не все вычищено

Даю антивирусу еще один шанс и опять запускаю полную проверку — на этот раз с новыми базами. Угроз обнаружено не было, множественные файлы, созданные вирусом, так и остались на компьютере.

Множественные файлы, созданные вирусом
Множественные файлы, созданные вирусом

Теперь повтор теста на детект. Отключаю защиту, распаковываю архив и запускаю выборочную проверку папки Virus. После обновления баз Касперский нейтрализовал все угрозы (49). В общем, что и следовало ожидать, ведь мы специально включали в тест только настоящую малварь, известную «антивирусам будущего».

После обновления баз все угрозы устранены
После обновления баз все угрозы устранены
 

Dr.Web Security Space

В линейке Dr.Web был выбран настоящий монстр, установочный файл которого весит 466 Мбайт, — Security Space. Более компактный продукт Katana не подошел, потому что в нем нет сканера.

Продолжение доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи один материал

Заинтересовала информация, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для материалов, опубликованных более двух месяцев назад.


9 комментариев

  1. F

    26.05.2016 at 13:03

    Как можно было сравнивать антивирусы в Windows 10 и с Windows 7? По выводам в статье и материалу и так следует, что Первый — Касперский. Второй — Dr. Web. Откуда такие выводы? В статье не было указано чистые ли ОС (без обновлений) используются или с ними. Если без, то смысл статьи — 0. Всем и так известно, что более чем 9 лет — разница в возрасте ОС.

  2. turboduck

    26.05.2016 at 17:28

    Какой-то слишком уж «домашний» тест. Результат интересный. В общем еще раз убеждаюсь, что никто не спасет обычных юзеров от заразы, кроме них самих.

  3. John Cramer

    26.05.2016 at 20:46

    Конечно, ни одна статья не идеальна, но общее представление даёт верное. Теперь в свете неё представьте себе следующую (реальную) картину: троян, продаваемый «как услуга», каждые сутки шифруется новым криптором. Антивирус становится практически бесполезным.

  4. igrikxz

    29.05.2016 at 11:48

    По поводу обновлений Win 7 — важный момент. Судя по отсутствию Framework 4, они не установлены. Но в данном тесте, результат бы не сильно поменялся, т.к. основная нагрузка на антивирусе.
    Предложение для будущих статей- Теперь интересно было бы увидеть аналогичный тест Firewall’ов в различных сочетаниях (только Firewall, комплект Firewall + антивирус, комплект Firewall + сторонний антивирус). Ведь следить за нестандартным поведением системы, обязаность Firewall’а, а в используемых в тесте продуктах их нет (несмотря на убеждения разработчиков в обратном-их брандмауэр не в счет). А антивирус, да, работает только по базам,так уж он устроен.

    • k1k0

      01.06.2016 at 05:32

      При установке новые KIS (после 2015 года) обязательно требуют .NETframework версии не ниже 4. Поэтому в ос с касперским фреймворк в системе был.

  5. Andymion

    29.05.2016 at 12:34

    Если честно — поднадоели одни и те же лица. Речь конечно же об антивирусах. Разгребая недавно малварь в почтовых вложениях обнаружил, что никто из перечисленных в статье героев даже не вернулся (virustotal), зато справились другие продукты. Предлагаю рассмотреть в следующем тесте BitDefender, TrendMicro, McAfee. А вообще, все это уже есть на страницах av-test.org

  6. nFactor

    30.05.2016 at 19:45

    Статью не дочитал так как нет подписки. Но уже в начале статьи понял, что тест, как правильно выразился turboduck, «Какой-то слишком уж «домашний»». Да, так и есть. Но результат совсем не интересный. Рассмотрим некоторые моменты, например количество файлов «в папке из 49 файлов он умудрился найти 80» На самом деле некоторые исполняемые файлы и библиотеки, это упакованные файлы которые содержат в себе иногда более чем один файл, и антивирус в данном случае как раз и выдает их настоящее количество. Так при запуске некоторых программ «рекламного» характера, получаем на выходе установленные амиго, ок, вк и прочую чушь, которую вы не хотели ставить. Попутно получая троян или руткит которые потом ваши пароли от вк, ок, и т.д. успешно воруют. Согласен, антивирус должен давать более точную информацию о числе наблюдаемых пользователем файлов и о реальном числе упакованных. Если внимательно прочитать спецификацию файловой системы NTFS, то можно увидеть что каждый элемент этой файловой системы, представляет из себя файл, любая служебная информация это тоже файл, а любой файл который вы копируете в папку может иметь несколько альтернативных потоков или даже множество различных потоков, которые содержат в себе различную информацию и тоже являются файлами, которые не видны пользователям. Можно создать файл нулевой длины, который при удалении освободит например 1 гигабайт места. Это как раз и любимый некоторыми зловредами способ передачи заразы.
    Некоторые программы рекламного характера, о которых вы заранее знаете что они зловреды, могут не распознаваться антивирусами. Вы спросите почему же? А все потому что используется простая система шифрования! Попробуйте за архивировать самый злобный вирус например винраром, и поставьте пароль 12345. Проверьте этот запароленый архив антивирусом, что мы видим? А ничего мы не видим. Все чисто. Но если прилепить в начале архива кусок кода который каким то образом (например из за дыр в ОС) получать права администратора, потом будет откуда то из разных концов файла вытягивать пароль, после заняв процессорное время разархивирует архив и запустит зловред и установку кучки программ, то очень может быть что вы потом у себя будете опять удалять амиго, ок и вк с рабочего стола и лечить ОС.
    В общем когда делается тест, особенно антивирусов, нужно учитывать множество нюансов. А то это смахивает на рекламу одного продукта, и опорочивание репутации другого. Особенно странным это кажется в таком журнале как «Хакер» где статьи должны писать (и раньше писались) не ламеры, а более понимающие люди.

  7. Читатель2017

    04.03.2017 at 19:38

    Очень скудный набор претендентов…
    А Касперскому можно присудить титул «Разочарование года». Второй раз, на те же грабли.
    Поэтому и интересуюсь адекватными альтернативами.

Оставить мнение

Check Also

Android под колпаком. Как раскрывают кейсы взлома мобильных устройств

Личная и деловая переписка, деньги, фотографии, заметки, планы на будущее и удаленный дост…