Содержание статьи
Наши тесты других антивирусов
- Kaspersky Free, Avira Free, AVG Free и Avast! Free
- Comodo, Qihoo 360, Panda и Windows Defender
- Clam Sentinel, FortiClient, Tencent и NANO Антивирус
- Ad-Aware, Crystal Security, Sophos Home и ZoneAlarm + Firewall
- Anvi Smart Defender Free, Baidu Antivirus, Immunet AntiVirus и Zillya!
- Bitdefender, Clearsight, Rising, Roboscan
- F-Secure Anti-Virus, G Data AntiVirus, eScan Anti-Virus, Webroot SecureAnywhere
- Kaspersky Total Security, Dr.Web Security Space, Norton Security Premium, K7 Ultimate Security
Методика тестирования
Для проверки каждого антивируса мы обеспечили максимально сходные условия. Сначала в VirtualBox создали тестовую виртуалку с чистой Windows 10 Pro (1909). Потом установили все обновления (кроме проблемных), настроили автоматический вход и автоподключение сетевой папки, отключили «Защитник Windows» и антивирус основной ОС.
Затем мы сделали клоны виртуальной машины — свой для каждого авера. Непосредственно перед тестом антивирусы обновлялись. Их настройки оставались в дефолтных, поскольку именно так их и будет запускать большинство пользователей. Исключения были сделаны только в сторону повышения вероятности детекта. Мы убедились, что включена защита в реальном времени, а также отключили лимит для файлов по размеру и расширению, чтобы гарантированно проверялись все подряд.
INFO
Автор благодарит VX Heaven за предоставленные образцы.
Краткое описание тестовых наборов со зловредами всех мастей приведено ниже.
Основная часть:
- 100 бэкдоров для Windows;
- 100 сетевых червей (IM, IRC, email, P2P и другие);
- 100 троянов для Windows (банкеры, кликеры, даунлоадеры, дропперы и прочее);
- 100 компонентов навязчивой рекламы.
Дополнительная часть:
- 100 бэкдоров для Linux;
- 37 руткитов для Windows;
- 87 зловредов, для которых на момент составления подборки отсутствовали сигнатуры. Они определялись только некоторыми эвристическими анализаторами;
- 49 примеров вредоносного кода для процессорных архитектур, отличных от x86 (MIPS, Motorola MC68K, SPARC, PowerPC).
Базовая часть подборки нужна для проверки реакции антивируса на типовые угрозы для Windows, а вспомогательная позволяет оценить уровень эвристики и кросс-платформенной защиты.
WARNING
Все тесты выполнялись только в исследовательских целях. Необходимые файлы были загружены с общедоступных ресурсов. Разработчики протестированных антивирусов получили автоматические уведомления о результатах сканирования. Редакция и автор не несут ответственности за любой возможный вред.
Huorong Internet Security
Китайских антивирусов расплодилась уйма, однако разработчик Huorong Security был аккредитован Microsoft как доверенный поставщик антивирусного софта для Windows и хотя бы этим заслужил внимание.
С официального сайта была загружена версия 5.0.37.6 от 16 ноября 2019 года размером 18,5 Мбайт. В ней заявлена полная поддержка 32- и 64-битных версий Windows от XP до 10. К сожалению, поддержки русского языка пока нет.
После установки Huorong Internet Security обновился до версии 5.0.39.2. Антивирус занял около 40 Мбайт на диске и слабо нагружал систему даже при активации всех дополнительных компонентов защиты.
Они включают в себя проактивный модуль, анализатор веб-трафика, систему обнаружения вторжений на хосте (HIPS) и файрвол. Два последних снижают риск добавления компьютера в ботнет и распространения заразы по локальной сети, блокируя аномальный трафик в любом направлении.
Еще один актуальный компонент — защита от распространенных способов несанкционированного удаленного доступа (например, он детектит и блокирует брут пароля админского аккаунта).
Также доступен контроль доступа приложений с возможностью задать свои правила для всех программ и вспомогательные инструменты безопасности. Среди них интересен модуль защиты от уязвимостей. Он препятствует применению известных эксплоитов, что особенно актуально для противодействия APT и таргетированным атакам.
Huorong Internet Security использует собственный антивирусный движок под названием Cobra. Информации о нем найти не удалось. Известно лишь то, что он запускает проверяемый код в изолированной среде HVM (виртуальной машине Huorong). Тем интереснее будет его испытать!
Тесты
Антивирус Huorong не смог проверить ни один тестовый каталог в сетевой папке. Он просто зависал, бесконечно крутя анимацию сияющего щита. Никакого индикатора прогресса, никакой статистики — вообще ничего информативного при этом не выводилось.
Тогда мы создали в корне диска C:\ подкаталог V\ и скопировали бэкдоры туда. Huorong позволил это сделать, но тут же опомнился и стал показывать во всплывающем окне, сколько разной заразы он обнаружил.
Нашел он немного: 52 штуки, а 48 из 100 бэкдоров остались на системном разделе.
Еще хуже антивирь «справился» с троянами, определив только 39 образцов, а 61 из 100 избежали детекта. Далее скриншоты не привожу, они все однотипные.
С подборкой сетевых червей все тоже оказалось плачевно: он поместил в карантин 48 штук, а 52 из 100 остались нетронутыми.
Из компонентов навязчивой рекламы Huorong распознал меньше половины: 49 отправились в карантин, а 51 из 100 остались на диске.
Статистика детекта в основном раунде:
- Backdoors — 52%;
- NetWorms — 48%;
- Trojans — 39%;
- Adware — 49%.
Проще говоря, Huorong определяет все типы угроз через одну. Более того, он делает это в несколько этапов. На каждой выборке из ста файлов антивирус трижды показывал всплывающее окно и заново подсчитывал число малварей, обнаруженных в той же папке. Проверить сразу всю он не может и, пока обнюхивает одних зловредов, никак не блокирует доступ к другим.
В дополнительном раунде антивирус также не смог реабилитироваться. Из 37 руткитов он проигнорировал 22, а среди 87 малоизвестных угроз пропустил почти все, оставив 79 штук. Huorong не распознал ни одной угрозы среди написанных для процессорных архитектур, отличных от x86/x86-64. Эвристика и продвинутая защита у Huorong тоже оказались ни к черту.
Сначала мы решили, что и зловредов для Linux он не увидит, но китайский антивирь немного подумал и удалил из подборки линуксовых малварей одну (99 остались). Лучше бы он вообще этого не делал — сошел бы за средний виндовый авер без претензий на защиту других платформ.
Статистика детекта в дополнительном раунде:
- RootKITs — 40%;
- Heuristic — 9%;
- Linux malware — 1%;
- non-x86 threats — 0%.
В общем, антивирус с основной задачей справился плохо. Отметим еще и следующие условные недостатки:
- нет возможности проверить трафик HTTPS (но нет и риска выполнения атаки типа «Касперский посередине» благодаря установке своего сертификата);
- нет средств облачной проверки, поэтому Huorong дольше реагирует на свежие угрозы. С другой стороны, ваши файлы останутся вашими, а не отправятся в облако «на анализ», когда вздумается антивирусу.
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.
Я уже участник «Xakep.ru»
