Бесплатных антивирусов в мире оказалось настолько много, что у нас практически сформировалась целая подрубрика, посвященная их тестированию. На этот раз в виртуальных боях со зловредами участвует разработка британских программистов, кошерное комплексное решение от Check Point, быстрый эстонский антивирь и легендарный мальтийский истребитель рекламы, дополненный антивирусным модулем. Кто из участников покажет лучший результат? Делайте ставки!

WARNING


Все тесты выполнялись только в исследовательских целях. Необходимые файлы были загружены с общедоступных ресурсов. Разработчики протестированных антивирусов получили автоматические уведомления о результатах сканирования. Редакция и автор не несут ответственности за любой возможный вред.
 

Методика тестирования

Любой эксперимент должен удовлетворять таким критериям, как чистота и воспроизводимость результата. Поэтому и методика осталась с прошлых тестов без изменений. Каждый тестируемый антивирус запускается в своей виртуальной машине — клонах чистой Windows 10 Pro (32-битная версия 1511, сборка 10586.164) со всеми последними апдейтами. «Защитник Windows» и фильтр SmartScreen были отключены, а контроль учетных записей — нет.

Актуальные угрозы берутся из обновляемой базы Clean MX. В браузере Edge выполняется переход на заведомо зараженные и фишинговые сайты, список которых для всех участников теста одинаковый. После ввода каждого адреса пытаемся загрузить веб-страницу или скачать вредоносный файл. Результаты протоколируются, и, если заражения не произошло, начинается новый тест. Иначе готовится новая (чистая) тестовая среда.

WARNING


В любом менеджере виртуальных машин есть уязвимости, которые вирусы и прочие вредоносные программы могут использовать для инфицирования хост-системы. База Clean MX содержит ссылки на новые версии зловредов, возможности которых заранее неизвестны. Поначалу они вообще не обнаруживаются большинством антивирусов при сигнатурном анализе.

Даже при клонировании систем и едином списке угроз полной идентичности условий достичь не удается. Тесты проводятся последовательно в течение суток — все-таки выполнение сорока тестов и их описание занимает не один час. Поэтому даже при синхронизации времени обновления антивирусных баз последний антивирус получает некоторое преимущество перед первым. Просто потому, что его служба облачной проверки успевает научиться распознавать те угрозы, которые были неизвестны еще несколько минут назад. Будем считать это погрешностью и постараемся ее учесть, анализируя характер срабатывания каждого антивируса.

 

Ad-Aware Free Antivirus+

Известное творение мальтийской компании Lavasoft работает практически во всех версиях Windows (от XP до 10) с разрядностью 32 или 64 бит. Основные компоненты включают антивирусный сканер, модуль защиты в реальном времени, веб-фильтр и антишпион. Все загруженные из интернета файлы должны проверяться автоматически.

Отличительная особенность Ad-Aware состоит в том, что эту программу можно сочетать с любым другим антивирусом. Для этого нужно отметить опцию «Установить в качестве второй линии обороны». Тогда из процесса установки будет исключен модуль защиты в режиме реального времени. Напомню, что именно конфликты модулей постоянной защиты от разных производителей вызывают серьезные ошибки: от сбоя при проверке файлов до невозможности загрузить ОС. Антивирусных сканеров, выполняющих проверку по запросу, в системе может быть сколько угодно. В своей тестовой виртуалке Ad-Aware был единственным антивирусом, да и вообще — единственной сторонней программой (Autoruns и TCPView в сетевой папке не в счет — это портейбл-софт).

Установка антивируса протекала довольно информативно, однако заняла много времени. С момента запуска инсталлятора до автоматического начала первого сканирования прошло 17 минут. Во время каждого этапа установки показываются десятки восторженных отзывов пользователей. Среди них даже попадаются утверждения, что Ad-Aware превосходит любой платный антивирус или комплект Internet Security. Ну, по длительности установки ему точно нет равных. Остальное скоро узнаем.

Первый тест пройден успешно. Антивирус автоматически определил троян-дроппер и удалил его из папки «Загрузки» еще до того, как она была открыта. При этом содержавшая троян веб-страница частично отобразилась в браузере.

Дроппер удален
Дроппер удален

Во втором тесте Ad-Aware проигнорировал вредоносный скрипт, и браузер был перенаправлен на сайт с навязчивой рекламой вечных ценностей.

HTML:RedirME-inf не распознан
HTML:RedirME-inf не распознан

В третьем тесте мы попробовали скачать новый Trojan.Downloader. Это получилось, но Ad-Aware снова удалил вредоносный файл прежде, чем мы попытались его запустить.

Чистая работа!
Чистая работа!

Самым интересным стал четвертый тест. При попытке запустить только что скачанный зараженный экзешник (самораспаковывающийся архив RAR) Ad-Aware среагировал как подслеповатый сторож. Он признал один из распакованных файлов вредоносным и удалил его из временного каталога, но установка трояна продолжилась.

Угроза частично удалена
Угроза частично удалена

Через несколько секунд система оказалась заражена. В нее установился псевдоантивирус — его единственной задачей было не дать удалить другие вредоносные компоненты и adware/crapware, которые загружались в систему длинной очередью. Установка одних выполнялась в фоне, а других — в полуинтерактивном режиме.

Установка crapware
Установка crapware

Пятый тест прошел подобно четвертому. Ad-Aware вяло ругнулся на примитивного червя, написанного на скриптовом языке AutoIt, позволил ему перехватить контроль и нафаршировать систему всякой дрянью. Примерно через минуту зловреды прописались на автозапуск.

Зловреды в автозапуске!
Зловреды в автозапуске!

Изменился рабочий стол и браузер. Были установлены десятки левых P2P-соединений, а очередь скрытых загрузок в окне TCPView вышла далеко за пределы экрана. Левые активные процессы были видны даже в диспетчере задач.

Беда не приходит одна
Беда не приходит одна

Наиболее заметным для пользователя эффектом стало появление непрошеных программ и навязчивой рекламы. По иронии именно с нашествием Adware программа Ad-Aware и не справилась. Особенно забавно было наблюдать, как Ad-Aware рапортует об «удалении» очередной угрозы на фоне самопроизвольно открывающихся веб-страниц с рекламой, яоем, хентаем и прочим азиатским проном. Да и сам браузер стал выглядеть очень няшно.

Ня!
Ня!

В шестом тесте воспроизводится наиболее типичная ситуация. Чаще всего пользователи заражаются, скачивая зловреды под видом нужных программ. Самым популярным среди таких наживок остается Adobe Flash Player. Под видом его мы и подсунули Ad-Aware новый троян. На этот раз антивирус среагировал так, как и должен был, — удалил вредоносный файл и сообщил об этом. Для гарантии мы воспроизвели ситуацию повторно и получили тот же результат.

Троян опознан
Троян опознан

Седьмой тест оказался провален. Файловый вирус W32.Sality в составе очередного crapware запустился и получил контроль над системой. Внешние изменения выражались в автоматической установке тонны левых программ на китайском, а более глубокие затрагивали настройки системы. Были включены потенциально опасные службы, отправка приглашения удаленному помощнику и заблокирован диспетчер задач.

Слепая защита
Слепая защита

Трояны-шифровальщики наносят сейчас самый ощутимый вред. Одна из новых разновидностей такого творения вымогателей была предложена Ad-Aware в восьмом испытании, причем в виде текстового файла. Мы думали переименовать его при необходимости в EXE, но антивирус распознал его и так.

Текстовый троян — как змея без зубов
Текстовый троян — как змея без зубов

Девятый тест Ad-Aware провалил. Система не была заражена только потому, что Windows 10 не имеет встроенной поддержки архивов RAR. Зараженный файл успешно скачался и не определялся как вредоносный даже при ручной проверке.

Ad-Aware не любит архивы RAR
Ad-Aware не любит архивы RAR

Заключительный, десятый тест можно считать проваленным частично. Разработчики заявляли, что Ad-Aware самостоятельно сканирует все загруженные файлы, однако этого не произошло. Вероятно, он все же проверяет файлы по маске, игнорируя неизвестные в Windows расширения. Инфицированное приложение для Android было обнаружено только при ручном сканировании APK-файла.

Ad-Aware проверяет APK только по запросу
Ad-Aware проверяет APK только по запросу

Итог получился скромным: 4 из 10 тестов пройдены успешно, а остальные провалены полностью или частично. За несколько минут веб-серфинга Windows 10 была многократно заражена. Конечно, часть угроз Ad-Aware Free Antivirus+ распознает, но даже их он не всегда может удалить вовремя и полностью. При этом приложение получилось ресурсоемким. После установки и обновления баз Ad-Aware Free Antivirus+ занимает 343 Мбайт на диске. Из них 165 Мбайт пришлось на антивирусные базы.

Отдельный минус хочется поставить за использование навязчивой рекламы в средстве для борьбы с ней. В бесплатных программах часто предлагаются тулбары, «оптимизаторы» и прочее crapware, однако Lavasoft превзошли в этом остальных разработчиков. Компонент веб-фильтрации может быть установлен только вместе с опциями от Yahoo! Отказаться от них можно, только если не ставить Ad-Aware Web Companion.

Конечно, можно сначала согласиться и сделать рекламируемый поисковик основным в IE11 и Firefox. Пусть он отображается на стартовой странице и всех вкладках до первого изменения настроек. Нам-то все равно, поскольку все тесты проводятся в Edge. Удивляет и другое: веб-фильтр работает отдельно от компонента «Веб-защита», который доступен только в платных версиях. Они будут предлагаться каждый раз, когда в настройках нажимаешь «Установить» напротив любого неактивного компонента.

Лечение при перезагрузке
Лечение при перезагрузке

Немного скрашивает унылое впечатление от испытаний антивируса Ad-Aware то, что он умеет выполнять отложенное лечение при перезагрузке. Иногда это позволяет взять реванш в том случае, если вредоносный код все же получил контроль над системой. Впрочем, даже в четвертом тесте эффект был на уровне плацебо. Все удаленные Ad-Aware компоненты вскоре загружались вновь.

 

Crystal Security

Эстонский программист Кардо Кристал (Kardo Kristal) предлагает свой антивирус Crystal Security как обычное или портейбл-приложение для Windows (2003 Server — 10 любой разрядности). Устанавливается он практически мгновенно, а свободное место на диске уменьшается всего на полтора мегабайта. По сути, на компьютер инсталлируется только клиентское приложение, выполняющее облачную проверку.

В настройках по умолчанию облачный антивирус ведет себя немного параноидально. Вскоре после первого запуска он начал ругаться на системные компоненты в заведомо чистой Windows 10 Pro. Поэтому мы решили выполнить перед началом тестов проверку и добавить системные файлы в белый список, чтобы не путать истинные и ложноположительные результаты срабатывания.

Продолжение доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи один материал

Заинтересовала информация, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для материалов, опубликованных более двух месяцев назад.


2 комментария

  1. Eugene100

    05.09.2016 at 19:01

    Хорошая статья, но непонятно почему не протестили популярньіе Avast, AVG и Avira?

  2. anatol491

    06.09.2016 at 23:07

    Да, интересно! Расписано как для первоклассников! Спасибо! А где прочесть первые три части? С огромным уважением!

Оставить мнение

Check Also

Задачи на собеседованиях. Задачи от компании Abbyy

Вопросы на собеседовании в стиле «почему крышка от канализационного люка круглая?» — это с…