Новые антивирусы появляются так часто, что тестировать их можно бесконечно. Однако действительно нового в них мало. Обычно это сочетание типового интерфейса с лицензированным у кого-то антивирусным движком. Тем интереснее, когда они демонстрируют очень разные результаты.

WARNING

Статья носит исследовательский характер. Она предназначена для специалистов по безопасности и тех, кто хочет ими стать. Все файлы получены из открытых источников и удалены после тестирования.

 

Участники тестирования

В этот раз состав квартета в нашем антивирусном обзоре такой:

  1. Финский F-Secure Anti-Virus.
  2. Немецкий G Data AntiVirus.
  3. Индийский eScan Anti-Virus / Internet Security.
  4. Американский Webroot SecureAnywhere for PC Gamers.
 

Методика тестирования

Каждый антивирус изучался в своей виртуальной машине — клоне чистой Windows 10 (версия 1703, сборка ОС 15063.413) для обеспечения равных условий всем участникам. В браузере Edge был отключен фильтр SmartScreen. «Защитник Windows» и встроенный брандмауэр также были выключены перед тестами. Плюс мы постоянно проверяли, чтобы они не активировались самостоятельно.

Перед проверкой все антивирусы обновлялись. Мы использовали настройки по умолчанию, поскольку именно так антивирусы работают у большинства пользователей.

Первая серия тестов — проверка компонентов защиты от интернет-угроз. В браузере Edge по очереди открывались заведомо вредоносные ссылки, реакция антивирусов протоколировалась. При необходимости мы разрешали компоненты Adobe Flash и другое активное содержимое, отвечая утвердительно на каждый запрос.

Вторая серия тестов — проверка реакции на появление локальной подборки зловредов. Десять свежих образцов с именами вида mw_sample-N и без расширений были записаны в архив, закрытый паролем. Архив помещался на сетевой диск, подключаемый в режиме «только чтение». Предпринималась попытка распаковать содержимое архива с сетевого диска в каталог «Загрузки» текущего пользователя.

Если антивирус позволял их скопировать (не проверял трафик на лету), то наступал следующий раунд. Все успешно скопированные образцы малвари проверялись вручную в режиме прицельного сканирования по запросу. Если и после этого оставались необнаруженные зловреды, то им присваивалось истинное расширение (по заголовку файла) и они запускались на исполнение.

WARNING

Заражение редко удается распознать по внешним признакам. Многие зловреды внедряются скрытно и так же незаметно действуют потом, успешно обманывая антивирусные сканеры. Даже если антивирус определил и заблокировал какую-то угрозу, нет гарантии, что другая в это же время не получила контроль над системой.

 

Зловреды

В подборку образцов для локальной проверки вошли десять зловредов разных типов.

  1. Trojan.Downloader.VBA.
  2. Trojan Ransom Locky.
  3. Spyware TrickBot/WisdomEyes.
  4. Backdoor Androm VbCrypt.
  5. Trojan Ransom Eldorado.
  6. Trojan-Ransom Cryptor.
  7. Trojan Razy.
  8. Trojan Matrixran.
  9. Trojan-Downloader JS-Nemucod.
  10. Trojan Injetor Nanocore.

Список вредоносных сайтов не указываем, дабы не плодить заразу (да и устареют такие ссылки ко времени публикации статьи).

 

eScan Anti-Virus v. 14.0.1400.2029

Этот индийский антивирус максимально универсальный. Он работает в любой версии Windows, начиная с 2000 (NT 5.0) и заканчивая «десяткой» независимо от ее разрядности. Интерфейс переведен на русский язык. Помимо собственно антивируса с кучей дополнительных компонентов, в состав дистрибутива входит брандмауэр.

Главное окно антивируса eScan
Главное окно антивируса eScan

Интересная особенность eScan — возможность «вакцинации» USB-флешек для предотвращения распространения через них малвари, запускаемой из autorun.inf. Вакцинация не работает в триальной версии, поэтому мы написали свой бесплатный аналог (см. врезку).

Дополнительные компоненты антивируса eScan
Дополнительные компоненты антивируса eScan

Дистрибутив антивируса eScan компании MicroWorld Technologies просто огромный. Инсталлятор занимает 390 Мбайт, а после установки — 842 Мбайт. Базы обновляются по HTTP и очень медленно: потребовалось девять с половиной минут, чтобы скачать 26 Мбайт по выделенке. Серверы eScan тормозят так, словно используют модемное соединение. Во время обновления по очереди загружаются свыше ста файлов малого объема, и каждый из них запрашивается отдельно. Архив? Кумулятивное обновление? Нет, не слышали.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    3 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии