Мы проверим в бою два британских авера, новый китайский антивирь с собственным движком и занятную чешскую разработку в стадии бета-версии. Все они доступны бесплатно и предлагают дополнительные уровни защиты, помимо базовой проверки системы. Смогут ли эти антивирусы одолеть полчища троянов и червей, которые мы им приготовили?
 

Методика тестирования

Для проверки каждого антивируса мы обеспечили максимально сходные условия. Сначала в VirtualBox создали тестовую виртуалку с чистой Windows 10 Pro (1909). Потом установили все обновления (кроме проблемных), настроили автоматический вход и автоподключение сетевой папки, отключили «Защитник Windows» и антивирус основной ОС.

Затем мы сделали клоны виртуальной машины — свой для каждого авера. Непосредственно перед тестом антивирусы обновлялись. Их настройки оставались в дефолтных, поскольку именно так их и будет запускать большинство пользователей. Исключения были сделаны только в сторону повышения вероятности детекта. Мы убедились, что включена защита в реальном времени, а также отключили лимит для файлов по размеру и расширению, чтобы гарантированно проверялись все подряд.

INFO

Автор благодарит VX Heaven за предоставленные образцы.

Краткое описание тестовых наборов со зловредами всех мастей приведено ниже.

Основная часть:

  • 100 бэкдоров для Windows;
  • 100 сетевых червей (IM, IRC, email, P2P и другие);
  • 100 троянов для Windows (банкеры, кликеры, даунлоадеры, дропперы и прочее);
  • 100 компонентов навязчивой рекламы.

Дополнительная часть:

  • 100 бэкдоров для Linux;
  • 37 руткитов для Windows;
  • 87 зловредов, для которых на момент составления подборки отсутствовали сигнатуры. Они определялись только некоторыми эвристическими анализаторами;
  • 49 примеров вредоносного кода для процессорных архитектур, отличных от x86 (MIPS, Motorola MC68K, SPARC, PowerPC).

Базовая часть подборки нужна для проверки реакции антивируса на типовые угрозы для Windows, а вспомогательная позволяет оценить уровень эвристики и кросс-платформенной защиты.

WARNING

Все тесты выполнялись только в исследовательских целях. Необходимые файлы были загружены с общедоступных ресурсов. Разработчики протестированных антивирусов получили автоматические уведомления о результатах сканирования. Редакция и автор не несут ответственности за любой возможный вред.

 

Huorong Internet Security

Китайских антивирусов расплодилась уйма, однако разработчик Huorong Security был аккредитован Microsoft как доверенный поставщик антивирусного софта для Windows и хотя бы этим заслужил внимание.

С официального сайта была загружена версия 5.0.37.6 от 16 ноября 2019 года размером 18,5 Мбайт. В ней заявлена полная поддержка 32- и 64-битных версий Windows от XP до 10. К сожалению, поддержки русского языка пока нет.

Huorong Internet Security — главное окно и выбор языка
Huorong Internet Security — главное окно и выбор языка

После установки Huorong Internet Security обновился до версии 5.0.39.2. Антивирус занял около 40 Мбайт на диске и слабо нагружал систему даже при активации всех дополнительных компонентов защиты.

Они включают в себя проактивный модуль, анализатор веб-трафика, систему обнаружения вторжений на хосте (HIPS) и файрвол. Два последних снижают риск добавления компьютера в ботнет и распространения заразы по локальной сети, блокируя аномальный трафик в любом направлении.

Huorong — настройки антивируса и дополнительных компонентов
Huorong — настройки антивируса и дополнительных компонентов

Еще один актуальный компонент — защита от распространенных способов несанкционированного удаленного доступа (например, он детектит и блокирует брут пароля админского аккаунта).

Также доступен контроль доступа приложений с возможностью задать свои правила для всех программ и вспомогательные инструменты безопасности. Среди них интересен модуль защиты от уязвимостей. Он препятствует применению известных эксплоитов, что особенно актуально для противодействия APT и таргетированным атакам.

Huorong — набор встроенных утилит для анализа и очистки системы
Huorong — набор встроенных утилит для анализа и очистки системы

Huorong Internet Security использует собственный антивирусный движок под названием Cobra. Информации о нем найти не удалось. Известно лишь то, что он запускает проверяемый код в изолированной среде HVM (виртуальной машине Huorong). Тем интереснее будет его испытать!

Тесты

Антивирус Huorong не смог проверить ни один тестовый каталог в сетевой папке. Он просто зависал, бесконечно крутя анимацию сияющего щита. Никакого индикатора прогресса, никакой статистики — вообще ничего информативного при этом не выводилось.

Тогда мы создали в корне диска C:\ подкаталог V\ и скопировали бэкдоры туда. Huorong позволил это сделать, но тут же опомнился и стал показывать во всплывающем окне, сколько разной заразы он обнаружил.

Всплывающее окно Huorong во время проверки
Всплывающее окно Huorong во время проверки

Нашел он немного: 52 штуки, а 48 из 100 бэкдоров остались на системном разделе.

Huorong оставил почти половину зловредов
Huorong оставил почти половину зловредов

Еще хуже антивирь «справился» с троянами, определив только 39 образцов, а 61 из 100 избежали детекта. Далее скриншоты не привожу, они все однотипные.

С подборкой сетевых червей все тоже оказалось плачевно: он поместил в карантин 48 штук, а 52 из 100 остались нетронутыми.

Из компонентов навязчивой рекламы Huorong распознал меньше половины: 49 отправились в карантин, а 51 из 100 остались на диске.

Статистика детекта в основном раунде:

  • Backdoors — 52%;
  • NetWorms — 48%;
  • Trojans — 39%;
  • Adware — 49%.

Проще говоря, Huorong определяет все типы угроз через одну. Более того, он делает это в несколько этапов. На каждой выборке из ста файлов антивирус трижды показывал всплывающее окно и заново подсчитывал число малварей, обнаруженных в той же папке. Проверить сразу всю он не может и, пока обнюхивает одних зловредов, никак не блокирует доступ к другим.

В дополнительном раунде антивирус также не смог реабилитироваться. Из 37 руткитов он проигнорировал 22, а среди 87 малоизвестных угроз пропустил почти все, оставив 79 штук. Huorong не распознал ни одной угрозы среди написанных для процессорных архитектур, отличных от x86/x86-64. Эвристика и продвинутая защита у Huorong тоже оказались ни к черту.

Сначала мы решили, что и зловредов для Linux он не увидит, но китайский антивирь немного подумал и удалил из подборки линуксовых малварей одну (99 остались). Лучше бы он вообще этого не делал — сошел бы за средний виндовый авер без претензий на защиту других платформ.

Статистика детекта в дополнительном раунде:

  • RootKITs — 40%;
  • Heuristic — 9%;
  • Linux malware — 1%;
  • non-x86 threats — 0%.

В общем, антивирус с основной задачей справился плохо. Отметим еще и следующие условные недостатки:

  • нет возможности проверить трафик HTTPS (но нет и риска выполнения атаки типа «Касперский посередине» благодаря установке своего сертификата);
  • нет средств облачной проверки, поэтому Huorong дольше реагирует на свежие угрозы. С другой стороны, ваши файлы останутся вашими, а не отправятся в облако «на анализ», когда вздумается антивирусу.

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

Check Also

Игры с неведомым. Как устроены хакерские квесты и почему от них тяжело оторваться

Любопытство — это ключ к совершенству. Один из способов задействовать силу любопытства — х…

4 комментария

  1. Аватар

    unrelated

    21.03.2020 at 11:50

    Что за тест? Где запуск файлов и тест проактивки???

    • Аватар

      84ckf1r3

      22.03.2020 at 14:40

      Сложно протестировать то, чего нет. Эти антивирусы работали в чистой системе, когда у них был полный контроль. Каждый носом тыкали в конкретный каталог, и всё равно эти аверы десятки угроз пропустили. Пользователю хватило бы и одной.

  2. Аватар

    Asylum

    22.03.2020 at 18:53

    А FS Protection с каких пор бесплатным стал?

    • Аватар

      84ckf1r3

      23.03.2020 at 15:39

      С тех пор, как запустили бета-тестирование. Все подробности написаны в статье.

Оставить мнение