Допустим, у нас есть 49 экземпляров актуальной малвари, которые на все 100% известны антивирусам с современными базами. А что бы эти антивирусы могли с ними сделать неделю назад, когда эти зловреды еще не попали в руки вирусным аналитикам? Насколько эффективно работает эвристика и проактивная защита современных internet security, если проверить ее на реальных зловредах? И для этого совсем не нужно изобретать машину времени — просто законсервируем подопытные антивирусы в виртуалках без доступа к интернету, а через неделю проверим их на коллекции новейшей малвари, которая уже детектируется этими антивирусами с актуальными базами. Но антивирусы прошлого об этом, конечно, еще не знают :).

В качестве подопытных кроликов будем использовать KIS, Dr.Web, ESET и Windows Defender. Все, кроме последнего, будут запущены в Win 7. Последний же будет работать под управлением Win 10 — есть надежда, что «десятка» лучше защищена и даже с таким решетом, как Defender, вирусы не пройдут. Что ж, проверим.

 

Еще раз о тестировании

Вот что будет проверяться: обнаружение вируса, блокировка запуска вируса и лечение заражения. Первый тест выполним при отключенной защите — в режиме сканера. Для второго и третьего тестов монитор антивируса будет включен.

После всего этого мы обновим базы и сравним полученный детект с предыдущим результатом. Так как вирусов много, «экспонаты» для проверки запуска будут отобраны самим антивирусом. Запустим те вирусы, которые окажутся не удалены в результате детект-теста. Глупо пытаться запустить вирус, который есть в антивирусной базе, — любой антивирус заблокирует его. Интереснее всего запустить вирус, который антивирусу «незнаком».

Все вирусы в моей подборке были разделены на группы: Backdoor, Worm, Virus и так далее. Позже будет приведен список всех «героев программы». Как видишь, есть из чего выбрать.

Твои идеи

Твои идеи вдохновляют нас на новые исследования. Мы уже учитывали их во второй части «теста бесплатных антивирусов». Так что продолжай фонтанировать — комменты к статье и наша почта всегда открыты для твоих рацпредложений :).

Моя подборка вирусов
Моя подборка вирусов

Все операционки свежие (специально установлены для этой статьи), а интернет был отключен сразу после установки антивируса, чтобы базы со стопроцентной гарантией остались старыми.

 

Kaspersky Internet Security

Начнем тестирование со всем известного Kaspersky Internet Security. Как видно из скрина ниже, антивирус был установлен шесть дней назад (осталось 24 дня бесплатного использования).

Kaspersky Internet Security
Kaspersky Internet Security

Отключаем антивирус, распаковываем архив с вирусами. Антивирус мы не активируем, но запускаем выборочную проверку (чтобы он не стал прогонять все подряд, а сконцентрировался на одной папке) и проверяем папку Virus. Помню, когда-то мне в 20-литровую канистру на заправке умудрились залить 23 литра. Так и в случае с Касперским — в папке из 49 файлов он умудрился найти 80!

Результат проверки
Результат проверки

Видимо, в один файл упаковано несколько зараз и антивирус отражает в списке отдельно каждую из них. Посмотрим подробный отчет.

Подробный отчет
Подробный отчет

Как видно из скрина, найдено 45 угроз (из 49). Вирус Trojan.Win32.Waldek.jsu почему-то не был ни удален, ни помещен в карантин: антивирус его просто не обработал, хотя и обнаружил. Всего в папке Virus осталось 11 файлов.

Осталось 11 файлов
Осталось 11 файлов

Больше всего вирусов уцелело в папке RansomWare. Как видно из скриншота, файлы с номерами 2, 4, 7 и 8 антивирус вообще не тронул. Интересно будет посмотреть на детект после обновления баз.

Еще результаты Касперского
Еще результаты Касперского

Что ж, теперь активируем защиту и пытаемся запустить «выжившие» вирусы из папки Virus. Я запустил первые два файла из папки RansomWare (номера 2 и 4). Файл с номером 2 был распознан как PDM:Trojan.Win32.Generic. Антивирус выявил опасное поведение программы, «точно характеризующее ее как вредоносную».

Заблокирован запуск программы
Заблокирован запуск программы

Предложил исцелить компьютер с перезагрузкой. Соглашаемся. Началось лечение, антивирус отменил действия вредоносной программы и попутно устранил файл с номером 4.

Лечение системы
Лечение системы

Результаты лечения мне не понравились. После перезагрузки я не получил чистую систему. Что-то пыталось загрузиться, на рабочем столе остались файлы, созданные вирусом. Кое-что антивирус вычистил, но мне кажется, что не все. Попутно антивирус, конечно, пытается лечить созданные вирусами объекты.

Результат лечения
Результат лечения
Антивирус обнаружил еще зараженные объекты
Антивирус обнаружил еще зараженные объекты

Продолжаю запускать файлы из папки RansomWare (номера 7 и 8). Сразу после запуска этих файлов, как и в предыдущем случае, моментальной реакции антивируса не последовало, что позволяет программам размножаться. Антивирус начал реагировать уже после того, как вирусы попытались отправлять электронные письма. Ничего у них не вышло — у меня ни почтового клиента, ни соединения с интернетом!

Запоздавшая реакция антивируса
Запоздавшая реакция антивируса

Интересно, но на файл с номером 8 антивирус Касперского так и не отреагировал. Идем дальше. Из подпапки Scareware запускаю единственный файл с таким же названием. Жду несколько минут. От антивируса реакции никакой, а вирус тем временем, скорее всего, делает свои темные дела.

Из папки TrojanCryptor запускаю файл с именем TrojanCryptor (1). Шифровальщик — тяжелая артиллерия. Реакции антивируса тоже не последовало. Зато появилось окошко.

Окно трояна
Окно трояна

О шифровальщике

Троян запустился, реакции от антивируса вроде бы нет, но данные остались незашифрованными, как и в случае еще с одним участником этого теста. А вот один из антивирусов допустил шифрование данных, как ты увидишь далее.

Из папки Virus запускаю файлы с номерами 4 и 8, затем из папки Worm — файлы 6 и 8. Первый почему-то не запустился (ошибки допускают не только разработчики обычных программ, но и вирусописатели). А на второй Касперский никак не отреагировал.

Запускаю полную проверку компьютера. Ее цель — определить зараженные вирусами объекты и попытаться вылечить компьютер. После перезагрузки посмотрим, что получилось у антивируса. Честно говоря, результаты меня не порадовали. Антивирус сообщил, что угроз не обнаружено. Хотя вредоносные программы на компьютере остались. Глубоко копать не стал — просто открыл msconfig и посмотрел на список автозагрузки. Как видишь, антивирус вычистил далеко не все.

Угроз не обнаружено
Угроз не обнаружено
Не все удалено
Не все удалено

При перезагрузке компьютера Касперский сообщил, что он вздумал вылечить мой компьютер, — обнаружен активный процесс лечения, в результате которого все-таки был удален файл Ransomware (8).exe, а также файл worm (8).exe.

Антивирус опомнился
Антивирус опомнился

Похоже, что некоторые вредоносные файлы он вычистил. После лечения активного заражения KIS опять сообщил, что угроз нет.

Опять угроз нет
Опять угроз нет

Что ж, пора обновлять базы. Базы обновлены, компьютер перезагружен. После перезагрузки запустился мастер восстановления после заражения, предложивший исправить некоторые моменты. После работы мастера опять перезагружаю компьютер.

Мастер восстановления после заражения
Мастер восстановления после заражения

Мастер кое-что восстановил, а кое-что нет. Да, автозапуск очищен. Но не полностью — как видно, желающие запуститься еще остались. Файлы -!RecOveR!*, созданные по всему диску, тоже не были удалены.

Не все вычищено
Не все вычищено

Даю антивирусу еще один шанс и опять запускаю полную проверку — на этот раз с новыми базами. Угроз обнаружено не было, множественные файлы, созданные вирусом, так и остались на компьютере.

Множественные файлы, созданные вирусом
Множественные файлы, созданные вирусом

Теперь повтор теста на детект. Отключаю защиту, распаковываю архив и запускаю выборочную проверку папки Virus. После обновления баз Касперский нейтрализовал все угрозы (49). В общем, что и следовало ожидать, ведь мы специально включали в тест только настоящую малварь, известную «антивирусам будущего».

После обновления баз все угрозы устранены
После обновления баз все угрозы устранены
 

Dr.Web Security Space

В линейке Dr.Web был выбран настоящий монстр, установочный файл которого весит 466 Мбайт, — Security Space. Более компактный продукт Katana не подошел, потому что в нем нет сканера.

Продолжение статьи доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все статьи на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта, включая эту статью. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи одну статью

Заинтересовала статья, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для статей, опубликованных более двух месяцев назад.


9 комментариев

Подпишитесь на ][, чтобы участвовать в обсуждении

Обсуждение этой статьи доступно только нашим подписчикам. Вы можете войти в свой аккаунт или зарегистрироваться и оплатить подписку, чтобы свободно участвовать в обсуждении.

Check Also

Скрытая сила пробела. Эксплуатируем критическую уязвимость в Apache Tomcat

В этой статье мы поговорим о баге в Apache Tomcat, популярнейшем веб-сервере для сайтов на…