Содержание статьи
Бесплатных антивирусов в мире оказалось настолько много, что у нас практически сформировалась целая подрубрика, посвященная их тестированию. На этот раз в виртуальных боях со зловредами участвует разработка британских программистов, кошерное комплексное решение от Check Point, быстрый эстонский антивирь и легендарный мальтийский истребитель рекламы, дополненный антивирусным модулем. Кто из участников покажет лучший результат? Делайте ставки!
WARNING
Все тесты выполнялись только в исследовательских целях. Необходимые файлы были загружены с общедоступных ресурсов. Разработчики протестированных антивирусов получили автоматические уведомления о результатах сканирования. Редакция и автор не несут ответственности за любой возможный вред.
Методика тестирования
Любой эксперимент должен удовлетворять таким критериям, как чистота и воспроизводимость результата. Поэтому и методика осталась с прошлых тестов без изменений. Каждый тестируемый антивирус запускается в своей виртуальной машине — клонах чистой Windows 10 Pro (32-битная версия 1511, сборка 10586.164) со всеми последними апдейтами. «Защитник Windows» и фильтр SmartScreen были отключены, а контроль учетных записей — нет.
Актуальные угрозы берутся из обновляемой базы Clean MX. В браузере Edge выполняется переход на заведомо зараженные и фишинговые сайты, список которых для всех участников теста одинаковый. После ввода каждого адреса пытаемся загрузить веб-страницу или скачать вредоносный файл. Результаты протоколируются, и, если заражения не произошло, начинается новый тест. Иначе готовится новая (чистая) тестовая среда.
WARNING
В любом менеджере виртуальных машин есть уязвимости, которые вирусы и прочие вредоносные программы могут использовать для инфицирования хост-системы. База Clean MX содержит ссылки на новые версии зловредов, возможности которых заранее неизвестны. Поначалу они вообще не обнаруживаются большинством антивирусов при сигнатурном анализе.
Даже при клонировании систем и едином списке угроз полной идентичности условий достичь не удается. Тесты проводятся последовательно в течение суток — все-таки выполнение сорока тестов и их описание занимает не один час. Поэтому даже при синхронизации времени обновления антивирусных баз последний антивирус получает некоторое преимущество перед первым. Просто потому, что его служба облачной проверки успевает научиться распознавать те угрозы, которые были неизвестны еще несколько минут назад. Будем считать это погрешностью и постараемся ее учесть, анализируя характер срабатывания каждого антивируса.
Ad-Aware Free Antivirus+
Известное творение мальтийской компании Lavasoft работает практически во всех версиях Windows (от XP до 10) с разрядностью 32 или 64 бит. Основные компоненты включают антивирусный сканер, модуль защиты в реальном времени, веб-фильтр и антишпион. Все загруженные из интернета файлы должны проверяться автоматически.
Отличительная особенность Ad-Aware состоит в том, что эту программу можно сочетать с любым другим антивирусом. Для этого нужно отметить опцию «Установить в качестве второй линии обороны». Тогда из процесса установки будет исключен модуль защиты в режиме реального времени. Напомню, что именно конфликты модулей постоянной защиты от разных производителей вызывают серьезные ошибки: от сбоя при проверке файлов до невозможности загрузить ОС. Антивирусных сканеров, выполняющих проверку по запросу, в системе может быть сколько угодно. В своей тестовой виртуалке Ad-Aware был единственным антивирусом, да и вообще — единственной сторонней программой (Autoruns и TCPView в сетевой папке не в счет — это портейбл-софт).
Установка антивируса протекала довольно информативно, однако заняла много времени. С момента запуска инсталлятора до автоматического начала первого сканирования прошло 17 минут. Во время каждого этапа установки показываются десятки восторженных отзывов пользователей. Среди них даже попадаются утверждения, что Ad-Aware превосходит любой платный антивирус или комплект Internet Security. Ну, по длительности установки ему точно нет равных. Остальное скоро узнаем.
Первый тест пройден успешно. Антивирус автоматически определил троян-дроппер и удалил его из папки «Загрузки» еще до того, как она была открыта. При этом содержавшая троян веб-страница частично отобразилась в браузере.
Xakep #211. Когда «Окна» смотрят в тебя
Во втором тесте Ad-Aware проигнорировал вредоносный скрипт, и браузер был перенаправлен на сайт с навязчивой рекламой вечных ценностей.
В третьем тесте мы попробовали скачать новый Trojan.Downloader. Это получилось, но Ad-Aware снова удалил вредоносный файл прежде, чем мы попытались его запустить.
Самым интересным стал четвертый тест. При попытке запустить только что скачанный зараженный экзешник (самораспаковывающийся архив RAR) Ad-Aware среагировал как подслеповатый сторож. Он признал один из распакованных файлов вредоносным и удалил его из временного каталога, но установка трояна продолжилась.
Через несколько секунд система оказалась заражена. В нее установился псевдоантивирус — его единственной задачей было не дать удалить другие вредоносные компоненты и adware/crapware, которые загружались в систему длинной очередью. Установка одних выполнялась в фоне, а других — в полуинтерактивном режиме.
Пятый тест прошел подобно четвертому. Ad-Aware вяло ругнулся на примитивного червя, написанного на скриптовом языке AutoIt, позволил ему перехватить контроль и нафаршировать систему всякой дрянью. Примерно через минуту зловреды прописались на автозапуск.
Изменился рабочий стол и браузер. Были установлены десятки левых P2P-соединений, а очередь скрытых загрузок в окне TCPView вышла далеко за пределы экрана. Левые активные процессы были видны даже в диспетчере задач.
Наиболее заметным для пользователя эффектом стало появление непрошеных программ и навязчивой рекламы. По иронии именно с нашествием Adware программа Ad-Aware и не справилась. Особенно забавно было наблюдать, как Ad-Aware рапортует об «удалении» очередной угрозы на фоне самопроизвольно открывающихся веб-страниц с рекламой, яоем, хентаем и прочим азиатским проном. Да и сам браузер стал выглядеть очень няшно.
В шестом тесте воспроизводится наиболее типичная ситуация. Чаще всего пользователи заражаются, скачивая зловреды под видом нужных программ. Самым популярным среди таких наживок остается Adobe Flash Player. Под видом его мы и подсунули Ad-Aware новый троян. На этот раз антивирус среагировал так, как и должен был, — удалил вредоносный файл и сообщил об этом. Для гарантии мы воспроизвели ситуацию повторно и получили тот же результат.
Седьмой тест оказался провален. Файловый вирус W32.Sality в составе очередного crapware запустился и получил контроль над системой. Внешние изменения выражались в автоматической установке тонны левых программ на китайском, а более глубокие затрагивали настройки системы. Были включены потенциально опасные службы, отправка приглашения удаленному помощнику и заблокирован диспетчер задач.
Трояны-шифровальщики наносят сейчас самый ощутимый вред. Одна из новых разновидностей такого творения вымогателей была предложена Ad-Aware в восьмом испытании, причем в виде текстового файла. Мы думали переименовать его при необходимости в EXE, но антивирус распознал его и так.
Девятый тест Ad-Aware провалил. Система не была заражена только потому, что Windows 10 не имеет встроенной поддержки архивов RAR. Зараженный файл успешно скачался и не определялся как вредоносный даже при ручной проверке.
Заключительный, десятый тест можно считать проваленным частично. Разработчики заявляли, что Ad-Aware самостоятельно сканирует все загруженные файлы, однако этого не произошло. Вероятно, он все же проверяет файлы по маске, игнорируя неизвестные в Windows расширения. Инфицированное приложение для Android было обнаружено только при ручном сканировании APK-файла.
Итог получился скромным: 4 из 10 тестов пройдены успешно, а остальные провалены полностью или частично. За несколько минут веб-серфинга Windows 10 была многократно заражена. Конечно, часть угроз Ad-Aware Free Antivirus+ распознает, но даже их он не всегда может удалить вовремя и полностью. При этом приложение получилось ресурсоемким. После установки и обновления баз Ad-Aware Free Antivirus+ занимает 343 Мбайт на диске. Из них 165 Мбайт пришлось на антивирусные базы.
Отдельный минус хочется поставить за использование навязчивой рекламы в средстве для борьбы с ней. В бесплатных программах часто предлагаются тулбары, «оптимизаторы» и прочее crapware, однако Lavasoft превзошли в этом остальных разработчиков. Компонент веб-фильтрации может быть установлен только вместе с опциями от Yahoo! Отказаться от них можно, только если не ставить Ad-Aware Web Companion.
Конечно, можно сначала согласиться и сделать рекламируемый поисковик основным в IE11 и Firefox. Пусть он отображается на стартовой странице и всех вкладках до первого изменения настроек. Нам-то все равно, поскольку все тесты проводятся в Edge. Удивляет и другое: веб-фильтр работает отдельно от компонента «Веб-защита», который доступен только в платных версиях. Они будут предлагаться каждый раз, когда в настройках нажимаешь «Установить» напротив любого неактивного компонента.
Немного скрашивает унылое впечатление от испытаний антивируса Ad-Aware то, что он умеет выполнять отложенное лечение при перезагрузке. Иногда это позволяет взять реванш в том случае, если вредоносный код все же получил контроль над системой. Впрочем, даже в четвертом тесте эффект был на уровне плацебо. Все удаленные Ad-Aware компоненты вскоре загружались вновь.
Crystal Security
Эстонский программист Кардо Кристал (Kardo Kristal) предлагает свой антивирус Crystal Security как обычное или портейбл-приложение для Windows (2003 Server — 10 любой разрядности). Устанавливается он практически мгновенно, а свободное место на диске уменьшается всего на полтора мегабайта. По сути, на компьютер инсталлируется только клиентское приложение, выполняющее облачную проверку.
В настройках по умолчанию облачный антивирус ведет себя немного параноидально. Вскоре после первого запуска он начал ругаться на системные компоненты в заведомо чистой Windows 10 Pro. Поэтому мы решили выполнить перед началом тестов проверку и добавить системные файлы в белый список, чтобы не путать истинные и ложноположительные результаты срабатывания.
Радует, что у Crystal Security есть множество настроек, задающих типы проверок, пороги срабатывания и действия при обнаружении небезопасных объектов. Для чистоты эксперимента мы оставили все значения такими, какими они были изначально.
Тест 1. Действия Trojan-Dropper на странице азиатского порносайта были приостановлены Crystal Security, но при этом содержимое веб-страницы отобразилось. К сожалению или к счастью — решать тебе. Большинство других антивирусов в подобных случаях блокируют загрузку страницы целиком, поскольку беда редко приходит одна. Помимо дроппера, в HTML-код могут быть внедрены вредоносные скрипты и другая зараза, которую не всегда удается вовремя распознать. Важно, что Crystal Security не определил тип угрозы. Он просто сообщил о том, что репутация файла неизвестна и лучше его не запускать.
Тест 2. Фишинговая страница загрузилась беспрепятственно со всеми скриптами. Нас долго уговаривали выиграть Mercedes, Audi или BMW. Мы даже заполнили анкеты на других сайтах, которые открывались после каждого нового клика «хочу!». Crystal Security игнорировал нашу алчность, но автомобиль так и не прислали. Наверное, его задержали на таможне вместе с тонной других призов, которые мы выиграли в прошлых тестах антивирусов.
Тест 3. Зараженный экзешник удалось загрузить, но не запустить. На этот раз Crystal Security однозначно сообщил, что мы имеем дело с трояном, и даже показал на вкладке Details, с каким именно.
Тест 4 начался неожиданно. Приложение Crystal Security вызывало ошибку в .NET Framework еще на этапе скачивания зараженного экзешника. Облачный антивирус аварийно завершил работу, оставив пользователя один на один с трояном, подменяющим стартовую страницу браузера.
Ручной перезапуск Crystal Security отчасти помог: появилось предупреждение о потенциально небезопасном файле с неизвестной репутацией.
Тест 5 прошел аналогично предыдущему. Сначала антивирус вылетел с ошибкой, а после ручного перезапуска вяло ругнулся на скриптового червя (написанного на AutoIt).
Через несколько секунд были загружены результаты облачной проверки, которые отобразились на вкладке Details. Статус файла с «неизвестный» изменился на «подозрительный». Всего одного положительного срабатывания не хватило для того, чтобы он изменился на высшую категорию — «опасный».
Тест 6 снова начался с ошибки. Однако после ручного перезапуска Crystal Security не стал церемониться и сразу заблокировал псевдо Flash Player. При таком числе детектов разных антивирусных движков мнения пользователя уже не спрашивают. Его лишь информируют об устранении угрозы и оставляют всего одну возможность «выстрелить себе в ногу» — кнопку Restore.
Тест 7 продемонстрировал возможности раннего обнаружения. Файл скачался еще на треть, а уже был опознан (по ссылке и хешу) как имеющий неизвестную репутацию, а значит, потенциально опасный.
Мы решили проверить, что будет, если пользователь проигнорирует такое невнятное предупреждение. Новая модификация трояна-дроппера с W32.Sality в качестве первой боевой начинки только этого и ждала. Сразу же были установлены P2P-соединения, через которые рекой полились новые зловреды. Однако, в отличие от Ad-Aware, Crystal Security оказал сопротивление.
Облачный антивирус был похож на подслеповатого, но смелого сторожа, вступившего в неравный бой. Пока он ловил одного трояна и спрашивал, что с ним делать, другие активно лезли в сеть и звали подмогу.
Если бы Crystal Security не был выведен из игры очередной ошибкой в платформе .NET Framework, то такой помощи могло бы хватить для очистки системы вручную. Лишенные свободного доступа к системным ресурсам, многие вредоносы легко выгружались даже через стандартный диспетчер задач и банально добивались через проводник. Впрочем, это был бы достаточно утомительный геноцид без гарантированного результата.
Тест 8 напомнил анекдот про вирус от бразильских программистов, которые извинялись за свои скромные навыки и просили пользователя самостоятельно удалить файлы с диска. Троян скачался в виде текстового файла и открылся в «Блокноте».
Мы сохранили его как файл с расширением .exe и запустили вручную. После этого недоконь попросил доустановить необходимые ему компоненты, в частности NTVDM (Windows NT Virtual DOS Machine).
После ее установки троян попытался нафаршировать систему зараженными библиотеками, но тут проснулся наш сторож по прозвищу Кристальная Безопасность и пресек вредоносную деятельность. Самого же трояна он так и не увидел.
Тест 9. Зараженный архив RAR был проигнорирован как ОС, так и Crystal Security. Никто из них не знал, как эту штуку открыть. Угроза была обнаружена только после изменения настроек антивируса. Потребовалось задать проверку файлов при доступе к ним и открыть свойства архива.
Тест 10. Файл с протрояненным приложением для ОС Android был проигнорирован Crystal Security как в автоматическом режиме, так и при ручном сканировании.
Итог: 7 из 10 условно. Откровенные провалы у Crystal Security случались редко, но и четкое срабатывание было лишь один раз (в третьем тесте). В остальных тестах антивирус вылетал с ошибкой, не препятствовал фишингу и плохо противодействовал активному заражению. Как программа для Windows, он не обязан проверять файлы APK, но с учетом кросс-платформенных методик заражения делать это было бы разумно.
По большому счету, Crystal Security просто проверяет репутацию файлов по их цифровой подписи и хешам. Новые загружаются для облачной проверки. С таким же успехом их можно проверять на VirusTotal вручную, но Crystal Security автоматизирует этот рутинный процесс и снижает риск человеческой ошибки.
Sophos Home
Британский антивирус Sophos Home поддерживает ОС Windows (7–10) и OS X (10.8 и новее). Дистрибутив для Windows 10 занимает 187 Мбайт. После установки он отъедает на диске 249 Мбайт. Интересно, что Sophos Home использует централизованный принцип защиты, больше привычный по корпоративным антивирусам. На один или несколько домашних компьютеров устанавливаются антивирусные клиентские приложения, конфигурация которых задается удаленно. Для этого надо залогиниться на сайте Sophos под своей учетной записью.
Создать учетку можно бесплатно. Мы вообще использовали для этого сервис одноразовых почтовых аккаунтов YOPmail, но тебе так делать не советуем. Одно дело — завести левый аккаунт для теста в виртуальной системе, и совсем другое — использовать его длительно для защиты реального компьютера.
Через веб-интерфейс Sophos доступны все настройки, подробные логи и прочие функции администрирования, причем на любом выбранном компьютере из списка привязанных к аккаунту. То есть можно залогиниться хоть со смартфона и настраивать антивирусы как на компах с виндой, так и на макбуках. Если обещаешь использовать Sophos Home для некоммерческих целей, то можешь с одного аккаунта рулить его настройками на десяти устройствах.
Вопреки сложившимся правилам, мы не будем подробно описывать тестирование Sophos Home. Это единственный участник сегодняшнего эксперимента, выдержавший все десять испытаний. Он заблокировал все веб-угрозы независимо от их типа, поэтому рассказывать тут особо нечего. Вредоносные файлы вообще не попадали в тестовую систему — каталог «Загрузки» оставался девственно чистым. Даже фишинговая страница и азиатский прон не загрузились в браузере — вместо них Sophos показал собственные страницы-заглушки с предупреждениями.
По сравнению с другими реакция британского антивируса была исключительно быстрой. Вводишь ссылку, созерцаешь пустое окно секунду-две, а затем видишь сообщение о блокировке очередной угрозы. Даже скучно.
Шестой тест единственный внес разнообразие в поведение антивируса. Загрузка трояна под видом Adobe Flash Player все же началась, но запись скачанного файла на диск была заблокирована. В результате Edge тщетно пытался завершить загрузку, а Sophos снова блокировал файл. Такое противостояние продолжалось до тех пор, пока мы не прервали его вручную, проигнорировав очередное уведомление как от Edge, так и от Sophos.
Минусы у Sophos Home есть, и о них ты можешь прочесть в заявлении о конфиденциальности. Впрочем, другие бесплатные программы (да и сама Windows 10) имеют аналогичные недостатки.
Особенности же британского антивируса можно воспринимать по-разному. С одной стороны, сообщения Sophos Home не выглядят информативно и похожи друг на друга. С другой — все необходимые сведения есть в логах на сервере. Просмотреть их может админ, залогинившись под своей учетной записью.
Отсутствие цифровой подписи дистрибутива объясняется просто: он персонализируется для каждого аккаунта, поэтому сертификатов не напасешься. Установка шла около десяти минут, но многие игры ставятся дольше. Отсутствие локальных настроек и вовсе может быть плюсом, если антивирус стоит на ноутбуке ребенка (или близкого по уровню развития пользователя).
Все функции управления доступны через веб-интерфейс владельцу аккаунта, который, к слову, может настроить и веб-фильтрацию. С ее помощью можно запретить посещение сайтов определенной категории. Зачем нам азиатский прон? Есть же отечественный!
ZoneAlarm Free Antivirus + Firewall
Этот комплексный продукт похож на другие гибриды антивируса и файрвола, обычно распространяемые под названием X Internet Security (где вместо X можно подставить название разработчика). Еще до установки ZoneAlarm Free Antivirus + Firewall (далее — ZAFAF) предлагает выбрать способ создания правил для фильтрации трафика: выполнить первый запуск в режиме обучения или сразу активировать максимальную защиту. Первый вариант удобен тем, кто хочет полностью контролировать реакцию ZAFAF. Он будет спрашивать пользователя каждый раз, когда какой-то процесс попытается установить сетевое соединение. Второй вариант интересен для любителей тишины и для систем с подозрением на активное заражение. При его выборе ZAFAF заблокирует все соединения для сторонних программ сразу после установки. Пользователь сможет выборочно добавить в белый список те программы, которые сам захочет пустить в сеть.
Онлайн-инсталлятор скачивает дистрибутив размером 223 Мбайт. Он такой объемный потому, что включает в себя пакет MS Visual C++ Redistributable. Установка относительно долгая — 8 минут. На завершающем этапе автоматически запускается экспресс-проверка системы, которая длится еще несколько минут.
По умолчанию в ZAFAF настроено опасное исключение: не проверять файлы, размер которых превышает 8 Мбайт. В нашем исследовании таким был только зараженный файл APK из десятого теста. Поэтому во всех остальных тестах мы оставили эту опцию активной.
Тест 1 — провален. Нам опять показали лайт-прон с азиатками, пока запускался троян-дроппер. ZAFAF никак не отреагировал внешне, однако все непрошеные сетевые подключения были молча им заблокированы.
Тест 2 провален, зато мы опять выиграли автомобиль! Жаль, что нам сообщили об этом на фишинговом сайте и с редиректами на три других.
Тест 3. Троян скачался, мы запустили его установку вручную (проигнорировав предупреждение UAC), а ZoneAlarm все молчит. Даже логи чистые.
Тест 4. Первая реакция ZAFAF! Он не дал свежескачанному трояну запуститься и подменить стартовую страницу браузера. Правда, для удаления опасного экзешника из каталога «Загрузки» антивирус почему-то запросил перезагрузку. Какой в ней смысл, если троян неактивен, а содержащий его файл ничем не блокирован?
Тест 5. Скриптового червя ZAFAF не видит в упор. Даже когда мы просим проверить заведомо инфицированный файл, он апатично отмахивается и сообщает, что причин для беспокойства нет. Пять антивирусов на VirusTotal не согласны с таким вердиктом.
Тест 6. Троян под видом Adobe Flash Player тоже был проигнорирован ZAFAF. 23 других антивируса ругаются на него, обзывая нехорошими словами.
Тест 7. Псевдоантивирус скачался, установился и запустился успешно. ZAFAF позволил ему получить частичный контроль над системой, но не дал установить P2P-соединения для скачивания других зловредов. Все так же молча.
Тест 8. Троян в текстовом файле опознан, но удалить его ZAFAF не может — ни сразу, ни после ребута. Сколько бы мы ни жали Treat, файл остается в каталоге «Загрузки». При этом через проводник он удаляется без проблем. Похоже, текстовые файлы попадают под Женевскую конвенцию и для ZAFAF они не подлежат ликвидации в принципе.
Тест 9. Зараженный архив RAR спокойно лежал в каталоге «Загрузки» до тех пор, пока мы не попросили ZAFAF проверить его персонально. После соответствующей команды из контекстного меню файл был идентифицирован как представляющий опасность. При нажатии кнопки Treat он удалился без проблем.
Тест 10. ZAFAF определил вредоносное приложение для Android, но только в режиме ручного сканирования. Как ты помнишь из прошлых тестов, многие антивирусы для Windows и на это оказались не способны.
Итог: 3 из 10, если оценивать именно работу антивируса.
В целом о ZoneAlarm Free Antivirus + Firewall сложилось не самое благоприятное впечатление. Он работает по принципу «всех впускать, никого не выпускать». С таким подходом ZAFAF неплохо справляется с атакой изнутри, не давая зловредам лезть в сеть. Однако антивирус и веб-фильтрация в нем — ни к черту. ZAFAF допускает заражение системы слишком часто, плохо блокирует внешние угрозы и никак не противодействует фишингу. Поэтому такой комплект антивируса и файрвола трудно рекомендовать как полноценное средство защиты. На наш взгляд, он получился очень ресурсоемким и малоэффективным.
