Отвратительная четверка. Тестируем новые бесплатные антивирусы Huorong, Preventon, Zoner и FS Protection

Мы проверим в бою два британских авера, новый китайский антивирь с собственным движком и занятную чешскую разработку в стадии бета-версии. Все они доступны бесплатно и предлагают дополнительные уровни защиты, помимо базовой проверки системы. Смогут ли эти антивирусы одолеть полчища троянов и червей, которые мы им приготовили?

Методика тестирования

Для проверки каждого антивируса мы обеспечили максимально сходные условия. Сначала в VirtualBox создали тестовую виртуалку с чистой Windows 10 Pro (1909). Потом установили все обновления (кроме проблемных), настроили автоматический вход и автоподключение сетевой папки, отключили «Защитник Windows» и антивирус основной ОС.

Затем мы сделали клоны виртуальной машины — свой для каждого авера. Непосредственно перед тестом антивирусы обновлялись. Их настройки оставались в дефолтных, поскольку именно так их и будет запускать большинство пользователей. Исключения были сделаны только в сторону повышения вероятности детекта. Мы убедились, что включена защита в реальном времени, а также отключили лимит для файлов по размеру и расширению, чтобы гарантированно проверялись все подряд.

INFO

Автор благодарит VX Heaven за предоставленные образцы.

Краткое описание тестовых наборов со зловредами всех мастей приведено ниже.

Основная часть:

  • 100 бэкдоров для Windows;
  • 100 сетевых червей (IM, IRC, email, P2P и другие);
  • 100 троянов для Windows (банкеры, кликеры, даунлоадеры, дропперы и прочее);
  • 100 компонентов навязчивой рекламы.

Дополнительная часть:

  • 100 бэкдоров для Linux;
  • 37 руткитов для Windows;
  • 87 зловредов, для которых на момент составления подборки отсутствовали сигнатуры. Они определялись только некоторыми эвристическими анализаторами;
  • 49 примеров вредоносного кода для процессорных архитектур, отличных от x86 (MIPS, Motorola MC68K, SPARC, PowerPC).

Базовая часть подборки нужна для проверки реакции антивируса на типовые угрозы для Windows, а вспомогательная позволяет оценить уровень эвристики и кросс-платформенной защиты.

WARNING

Все тесты выполнялись только в исследовательских целях. Необходимые файлы были загружены с общедоступных ресурсов. Разработчики протестированных антивирусов получили автоматические уведомления о результатах сканирования. Редакция и автор не несут ответственности за любой возможный вред.

Huorong Internet Security

Китайских антивирусов расплодилась уйма, однако разработчик Huorong Security был аккредитован Microsoft как доверенный поставщик антивирусного софта для Windows и хотя бы этим заслужил внимание.

С официального сайта была загружена версия 5.0.37.6 от 16 ноября 2019 года размером 18,5 Мбайт. В ней заявлена полная поддержка 32- и 64-битных версий Windows от XP до 10. К сожалению, поддержки русского языка пока нет.

Huorong Internet Security — главное окно и выбор языка

После установки Huorong Internet Security обновился до версии 5.0.39.2. Антивирус занял около 40 Мбайт на диске и слабо нагружал систему даже при активации всех дополнительных компонентов защиты.

Они включают в себя проактивный модуль, анализатор веб-трафика, систему обнаружения вторжений на хосте (HIPS) и файрвол. Два последних снижают риск добавления компьютера в ботнет и распространения заразы по локальной сети, блокируя аномальный трафик в любом направлении.

Huorong — настройки антивируса и дополнительных компонентов

Еще один актуальный компонент — защита от распространенных способов несанкционированного удаленного доступа (например, он детектит и блокирует брут пароля админского аккаунта).

Также доступен контроль доступа приложений с возможностью задать свои правила для всех программ и вспомогательные инструменты безопасности. Среди них интересен модуль защиты от уязвимостей. Он препятствует применению известных эксплоитов, что особенно актуально для противодействия APT и таргетированным атакам.

Huorong — набор встроенных утилит для анализа и очистки системы

Huorong Internet Security использует собственный антивирусный движок под названием Cobra. Информации о нем найти не удалось. Известно лишь то, что он запускает проверяемый код в изолированной среде HVM (виртуальной машине Huorong). Тем интереснее будет его испытать!

Тесты

Антивирус Huorong не смог проверить ни один тестовый каталог в сетевой папке. Он просто зависал, бесконечно крутя анимацию сияющего щита. Никакого индикатора прогресса, никакой статистики — вообще ничего информативного при этом не выводилось.

Тогда мы создали в корне диска C:\ подкаталог V\ и скопировали бэкдоры туда. Huorong позволил это сделать, но тут же опомнился и стал показывать во всплывающем окне, сколько разной заразы он обнаружил.

Всплывающее окно Huorong во время проверки

Нашел он немного: 52 штуки, а 48 из 100 бэкдоров остались на системном разделе.

Huorong оставил почти половину зловредов

Еще хуже антивирь «справился» с троянами, определив только 39 образцов, а 61 из 100 избежали детекта. Далее скриншоты не привожу, они все однотипные.

С подборкой сетевых червей все тоже оказалось плачевно: он поместил в карантин 48 штук, а 52 из 100 остались нетронутыми.

Из компонентов навязчивой рекламы Huorong распознал меньше половины: 49 отправились в карантин, а 51 из 100 остались на диске.

Статистика детекта в основном раунде:

  • Backdoors — 52%;
  • NetWorms — 48%;
  • Trojans — 39%;
  • Adware — 49%.

Проще говоря, Huorong определяет все типы угроз через одну. Более того, он делает это в несколько этапов. На каждой выборке из ста файлов антивирус трижды показывал всплывающее окно и заново подсчитывал число малварей, обнаруженных в той же папке. Проверить сразу всю он не может и, пока обнюхивает одних зловредов, никак не блокирует доступ к другим.

В дополнительном раунде антивирус также не смог реабилитироваться. Из 37 руткитов он проигнорировал 22, а среди 87 малоизвестных угроз пропустил почти все, оставив 79 штук. Huorong не распознал ни одной угрозы среди написанных для процессорных архитектур, отличных от x86/x86-64. Эвристика и продвинутая защита у Huorong тоже оказались ни к черту.

Сначала мы решили, что и зловредов для Linux он не увидит, но китайский антивирь немного подумал и удалил из подборки линуксовых малварей одну (99 остались). Лучше бы он вообще этого не делал — сошел бы за средний виндовый авер без претензий на защиту других платформ.

Статистика детекта в дополнительном раунде:

  • RootKITs — 40%;
  • Heuristic — 9%;
  • Linux malware — 1%;
  • non-x86 threats — 0%.

В общем, антивирус с основной задачей справился плохо. Отметим еще и следующие условные недостатки:

  • нет возможности проверить трафик HTTPS (но нет и риска выполнения атаки типа «Касперский посередине» благодаря установке своего сертификата);
  • нет средств облачной проверки, поэтому Huorong дольше реагирует на свежие угрозы. С другой стороны, ваши файлы останутся вашими, а не отправятся в облако «на анализ», когда вздумается антивирусу.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


Комментарии (6)

  • Что за тест? Где запуск файлов и тест проактивки???

    • Сложно протестировать то, чего нет. Эти антивирусы работали в чистой системе, когда у них был полный контроль. Каждый носом тыкали в конкретный каталог, и всё равно эти аверы десятки угроз пропустили. Пользователю хватило бы и одной.

  • А FS Protection с каких пор бесплатным стал?

    • С тех пор, как запустили бета-тестирование. Все подробности написаны в статье.

  • Один вопрос. Почему Вы ждёте от бесплатных антивирусов полноценной защиты? В первой части Вы сами почти что буквально написали, что бесплатный сыр только в мышеловке.

    • Так я и не писал, что ожидаю полноценной защиты. Было интересно узнать, насколько она неполноценна и в чём именно.

Похожие материалы