Содержание статьи
Бесплатные антивирусы есть в арсенале многих софтверных компаний. Они выпускаются как реклама платных версий с дополнительными функциями и применяются для сбора статистики (ну и заодно снижают общее количество зараженных компьютеров в мире). Подходы у всех разработчиков разные, и среди них встречаются интересные решения. На этот раз мы проверим ClamWin Free Antivirus с модулем Clam Sentinel, FortiClient for Windows, NANO Антивирус и Tencent PC Manager.
WARNING
Все тесты выполнялись только в исследовательских целях. Необходимые файлы были загружены с общедоступных ресурсов. Разработчики протестированных антивирусов получили автоматические уведомления о результатах сканирования. Редакция и автор не несут ответственности за любой возможный вред.
Методика тестирования
Как и в предыдущий раз, мы настроили виртуальную машину с чистой Windows 10 Pro (32-битная версия 1511, сборка 10586.164) и клонировали ее четырежды. Согласно минимальным системным требованиям, для инсталляции 32-битной версии Windows 10 нужно от 16 Гбайт свободного места. Мы выделили каждой виртуальной машине свой диск размером 25 Гбайт, чтобы гарантированно хватило на установку одного антивируса, пакетов обновлений, хранение временных файлов и размножение зловредов, если они все же прорвут первую линию обороны. Для чистоты эксперимента «Защитник Windows» и фильтр SmartScreen предварительно были отключены, а контроль учетных записей оставался активным.
В каждой виртуалке был установлен свой антивирус. После обновления их работу проверили по общему списку из десяти свежих угроз базы Clean MX. Она содержит адреса потенциально опасных, зараженных и фишинговых веб-страниц, а также сайтов, на которых предлагается скачать протрояненные файлы под видом различных утилит. Мы отобрали угрозы разного типа и предварительно проверили их как через онлайн-сканер VirusTotal, так и в исходном клоне Windows 10 Pro без антивируса. После этого каждый URL открывался в браузере Edge. Результат каждого срабатывания антивируса протоколировался, равно как и его отсутствие.
WARNING
База Clean MX также содержит ссылки на подозрительные веб-сайты, распространяющие новые модификации вредоносных объектов. Поначалу они могут не определяться ни одним антивирусом даже на уровне эвристики. Отрицательный результат на VirusTotal еще не гарантирует безопасность проверенного сайта или файла.
ClamWin Free Antivirus v. 0.99.1 + Clam Sentinel v. 1.22
Бесплатный австралийский антивирус ClamWin работает в среде Windows 98 — Windows 10 и распространяется с открытыми исходными кодами под лицензией GNU GPL. Изначально он представляет собой только сканер по запросу и не имеет модуля защиты в реальном времени. Добавить его можно с помощью другой бесплатной программы — Clam Sentinel, написанной итальянским сторонником СПО Андреа Руссо (Andrea Russo).
Установка обоих компонентов проходит быстро (меньше минуты). Есть возможность интеграции ClamWin в проводник Windows и почтовый клиент MS Outlook. На момент теста антивирусная база ClamWin содержала более 4,2 миллиона сигнатур. Вместе с базами антивирус и модуль постоянной защиты занимают на диске 120 Мбайт.
Сразу после установки Clam Sentinel предлагает выбрать контролируемые диски. В его меню выполнена качественная локализация на русский, а все параметры имеют «говорящие» названия. Вручную можно задать массу дополнительных настроек, но мы не советуем включать обнаружение подозрительных изменений в системе. Windows 10 постоянно обновляется и тасует системные файлы в целях оптимизации, поэтому в параноидальном режиме Clam Sentinel будет давать ложные срабатывания постоянно — буквально каждую секунду.
В первом тесте при попытке перейти на зараженную веб-страницу Clam Sentinel успешно обнаружил в джава-скрипте неизвестный ему троян с помощью эвристического анализа и поместил его в карантин, удалив из кеша браузера. Однако во втором тесте он не определил другую угрозу (Trojan-Downloader) ни по сигнатурному, ни по эвристическому анализу. Вредоносный код смог запуститься и произвести изменения в системе.
То же самое произошло в третьем и четвертом тесте. ClamWin проигнорировал загрузку зараженной страницы и загрузку трояна даже при сканировании содержащего его файла вручную.
На попытку скачать и запустить заведомо зараженный исполняемый файл (.exe) Clam Sentinel среагировал сразу после окончания его загрузки. Он успешно определил Trojan.Hupigon и переместил его в карантин.
Шестой и седьмой тесты были нужны для оценки защиты от посещения фишинговых сайтов. ClamWin + Clam Sentinel провалили их, никак не воспрепятствовав загрузке поддельных страниц Amazon и AOL.
В тесте с зараженным файлом для мобильной платформы J2ME поведение ClamWin приятно удивило. Антивирус среагировал быстро: инфицированный JAR-файл был моментально вычищен из каталога загрузок. Аналогично получилось и при попытке скачать зараженный файл типа JAR в архиве ZIP. Он был перемещен в карантин еще до того, как я попытался открыть его из окна браузера.
Однако вредоносное приложение для ОС Android ClamWin пропустил как в автоматическом, так и в ручном режиме сканирования. Троянец, рассылающий СМС на короткие номера под видом игры «Говорящий Том», остался им не замечен. Общий результат: 4 из 10 тестов пройдены успешно.
FortiClient
FortiClient — это канадский агент подключения к VPN с бесплатным антивирусом, веб-фильтром и анализатором уязвимостей. Работает в ОС Windows от XP до 10 и может использоваться независимо от типа подключения к интернету (с или без VPN).
Установка FortiClient происходит относительно долго (больше пяти минут) и в несколько этапов, причем их название не соответствует действительности. Когда на экране отображается сообщение «распаковка загруженных образов», судя по логу TCPView, в это время все еще идет их загрузка. Сразу после этого выполняется быстрая проверка системы, а затем установка продолжается автоматически.
Интерфейс FortiClient — англо-русский. Трудно угадать, на каком языке будет следующее сообщение антивируса или даже строка его настроек. Частичная локализация FortiClient словно выполнена сервисом Google Translate. Надписи «Вирус Очиститель» и «Потенциально опасное для безопасности» еще долго будут сниться мне в кошмарах.
Первые четыре теста FortiClient прошел успешно. Сообщения о заблокированных угрозах появлялись прямо в окне браузера, вместо содержимого инфицированных веб-страниц. Так же произошло и во всех тестах с шестого по десятый, однако пятый тест FortiClient провалил. Модификация трояна Hupigon запустилась, показала отвлекающий маневр во весь экран и установила в системе бэкдор. FortiClient даже не шелохнулся. Это была единственная его осечка за всю серию экспериментов, но очень серьезная по своим последствиям.
Во всех остальных случаях он блокировал любые типы угроз, включая попытки загрузить вредоносные файлы типов EXE, JS, JAR, ZIP или перейти на фишинговые сайты. Однако понять, что именно поймал антивирус, было сложно. Все сообщения выглядели одинаково в пределах своей категории: фишинг либо вредоносное ПО.
Общий результат: 9 из 10 тестов пройдены успешно; защита от фишинга работает.
NANO Антивирус
На неуместное употребление маркетологами десятичной приставки «нано» у меня давно выработалась аллергическая реакция. Глаза слезятся, лицо багровеет, а руки чешутся взять топор. Наука ведь требует жертв, верно? Впрочем, хорошо, если название будет единственным недостатком нового отечественного продукта.
Российский антивирус для Windows (XP SP3 — 10) от ООО «НАНО Секьюрити» во время установки требует регистрации даже при активации бесплатной лицензии (хинт: введенные данные не проверяются).
Срок действия цифрового сертификата, выданного NANO Security Ltd, на момент теста истек, однако это не помешало установке последней версии NANO Антивируса.
Онлайн-инсталлятор загрузил 434 Мбайт, а для их распаковки потребовал 2 Гбайт на диске. Такие требования отчасти объясняются предложением установить до кучи Яндекс.Браузер и другой сопутствующий софт. После установки происходит автоматическое обновление, и мы видим долгожданную рекламу с предложением попробовать версию Pro. Если ты случайно закрыл это окошко — не переживай! Оно еще не раз всплывет.
После ожидаемо скорбного начала мое мнение об этом антивирусе стало меняться в лучшую сторону. У него оказался очень наглядный и строгий интерфейс. Настолько информативные вкладки попадаются редко. Текущее состояние и все настройки в них отображаются как на ладони.
То же самое касается и сообщений о найденных угрозах. Они краткие и емкие, включают названия всех обнаруженных объектов (даже нескольких в одном источнике) и идентификатор обращающегося к ним процесса в памяти (PID). Прямо из всплывающего окна можно выбрать желаемое действие, в том числе уведомление о ложном срабатывании.
Первый тест NANO Антивирус прошел успешно. Зараженная страница не загрузилась, а троянец в джава-скрипте был идентифицирован по сигнатурному совпадению. Второй и третий тесты тоже выполнены на отлично: «наноантивирус» оказался единственным участником эксперимента, полностью распознавшим множественные угрозы, присутствующие в коде одной веб-страницы. Однако следующие два теста NANO Антивирус провалил. Он позволил выполнить зараженный скрипт и запустить троян Hupigon, снова установивший бэкдор.
От фишинга NANO Антивирус защитить не смог. Поддельные страницы загружались без предупреждения. Спасовал он и при проверке JAR-файла, ошибочно сообщив о его безопасности. В девятом тесте NANO Антивирус позволил загрузить архив ZIP с зараженным джава-файлом, но обнаружил в нем угрозу при выборочном сканировании по запросу.
Так же произошло и в последнем тесте. Протрояненный APK-файл загрузился без проблем, но был идентифицирован как опасный при ручном сканировании.
Общий результат: 5 из 10 тестов пройдены успешно, при этом в двух случаях для обнаружения угроз потребовалась ручная проверка. Защита от фишинга не работает.
Tencent PC Manager v.11.4.
Телеком-оператор Tencent (Шэньчжэнь, Китай) утверждает, что его бесплатный антивирус PC Manager одновременно использует четыре антивирусных движка. При проверке оказывается, что первые три — это разделенный на модули Tencent engine (облачный, локальный + сервис восстановления системы), а четвертый — лицензированный у BitDefender. То есть принципиально разных движков в нем все-таки два, но собственный един в трех лицах.
При установке антивирус занимает 245 Мбайт. Как и у многих приложений в стиле Metro, все настройки Tencent PC Manager скрываются под небольшой кнопкой в правом верхнем углу экрана. Параметры, настраивающие защиту во время веб-серфинга, находятся в разделах Realtime protection и Download protection. Первый пункт я оставил как есть, а второй настроил так, что антивирус стал проверять все скачиваемые из интернета файлы независимо от их типа.
Первые десять тестов Tencent провалил... стоп! Их же всего десять! Неужели мы нашли абсолютного чемпиона наших обзоров, занявшего почетное первое место (с конца)?
Попробуем проверить файлы из каталога «Загрузки» вручную.
Вот так уже лучше: PC Manager обнаружил трояна в APK-файле. Теперь запустим полную проверку системы.
Всего было обнаружено шесть угроз, включая зараженные джава-скрипты и изменения в автозагрузке. Клик, и все они успешно устранены. Интересно, почему все это время модуль «защиты» в реальном времени сохранял буддистское спокойствие?
Смотрим настройки по умолчанию еще раз. Видим пункт «Проверять больше типов файлов» — каких именно? Где список расширений проверяемых файлов? Нет его. Зато есть виртуальная машина, в которой антивирус сначала пропустил все десять угроз, а затем устранил шесть из них при ручном сканировании.
Попробуем сделать еще один клон с чистой «десятки» и повторить эксперимент, настроив антивирус Tencent на максимальное обнаружение.
С такой конфигурацией Tencent PC Manager в первом тесте успешно определил вредоносный джава-скрипт. Во втором тесте он обнаружил и устранил множественные угрозы, последовательно сообщив о них отдельными всплывающими окнами. В третьем тесте зараженный скрипт также был помещен в карантин, однако уже следующий тест оказался провален. В пятом тесте троян Hupigon снова прописался в системе. Защита от фишинга (тесты 6 и 7) не сработала. Зараженный JAR-файл тоже загрузился беспрепятственно как в чистом виде, так и внутри ZIP-архива. Протрояненный APK-файл Tencent ошибочно признал чистым.
Параноидальные настройки защиты в реальном времени немного изменили ситуацию. С ними Tencent PC Manager смог предотвратить заражение уже в трех случаях из десяти, при том что сканирование по запросу также определяло шесть угроз.
Общий результат: 0/10 защита в реальном времени (RTP) с настройками по умолчанию; 3/10 для RTP в агрессивном режиме и 6/10 при сканировании вручную.
Это конец!
В конце всех тестов я решил дать антивирусам возможность реабилитироваться и найти пропущенные вредоносные объекты в ходе полного сканирования системы. Если делать поблажку, то уж всем одинаковую. ClamWin, FortiClient и NANO Антивирусу это не помогло — их результаты остались прежними. Tencent PC Manager результаты улучшил, но в целом он ведет себя как опытный вредитель: создает иллюзию защиты, пропуская в настройках по умолчанию абсолютно все. Настраивать параноидальный режим или вручную сканировать файлы пользователь еще должен захотеть.
Выводы
ClamWin Free Antivirus и Clam Sentinel оказались любопытной связкой, но не более того. Она пропускает угрозы для Windows через одну, не препятствует загрузке фишинговых страниц, а также игнорирует зараженные приложения для ОС Android. Использовать Clam Sentinel для защиты в реальном времени вряд ли стоит. Зато ClamWin можно применять в качестве дополнительного антивирусного сканера, доступного в виде портейбл-приложения.
FortiClient оказался на удивление эффективным, но малоинформативным и плохо локализованным антивирусным решением. Он распознает угрозы разных типов, включая «непрофильные» для Windows. Также он обеспечил защиту от фишинга и набрал больше всех очков, промахнувшись лишь раз. Однако для заражения компьютера этого раза вполне достаточно, так как дополнительных средств защиты FortiClient не имеет.
NANO Антивирус производит впечатление удачной задумки в начале сложного пути ее воплощения. Отличный интерфейс, удобные настройки, информативные сообщения, но пока еще низкая оптимизация кода, малоэффективное распознавание угроз и полное отсутствие защиты от фишинга.
Tencent PC Manager оказался китайским антивирусом в плохом смысле этого выражения. В настройках по умолчанию он вообще никак не воспрепятствовал групповому изнасилованию Windows 10 через браузер Edge. Однако при ручной проверке он все же зафиксировал ее побои и даже немного подлечил. Параноидальные настройки заставляют его иногда кричать «Стоп!» в аналогичных ситуациях, но в целом с ними становится только хуже. Антивирус сам начинает истязать диск, по которому все так же почти беспрепятственно скачут табуны освоившихся троянов.
Из протестированных сегодня антивирусов я бы не рекомендовал использовать ни один, если только тебе не хочется испытать новые ощущения. Традиционный обзор положений о приватности в этом обзоре упразднен. Все бесплатные антивирусы отправляют своим разработчикам «анонимную» статистику и образцы файлов. Иногда это можно отключить в настройках, но гарантированно запретить — только отдельным файрволом. При этом перестанет работать облачная проверка и наверняка возникнут другие проблемы — например, с обновлением баз и проверкой лицензий.
INFO
Браузер Edge содержит интегрированный компонент Flash Player (от которого Microsoft планирует вскоре отказаться, оставив его только в Internet Explorer), но не поддерживает дополнительные модули. Поэтому Java-код в Windows 10 выполняется средствами JRE через IE v. 11.
