Паста с premium отсека

Паста с PREMIUM отсека Xaker.ru

Условно-бесплатные условно-целители. Тестируем антивирусы eScan, G Data, F-Secure и Webroot

Статья носит исследовательский характер. Она предназначена для специалистов по безопасности и тех, кто хочет ими стать. Все файлы получены из открытых источников и удалены после тестирования.

Новые антивирусы появляются так часто, что тестировать их можно бесконечно. Однако действительно нового в них мало. Обычно это сочетание типового интерфейса с лицензированным у кого-то антивирусным движком. Тем интереснее, когда они демонстрируют очень разные результаты.

Участники тестирования

В этот раз состав квартета в нашем антивирусном обзоре такой:

Финский F-Secure Anti-Virus.
Немецкий G Data AntiVirus.
Индийский eScan Anti-Virus
Американский Webroot SecureAnywhere for PC Gamers.

Методика тестирования

Каждый антивирус изучался в своей виртуальной машине клоне чистой Windows 10 (версия 1703, сборка ОС 15063.413) для обеспечения равных условий всем участникам. В браузере Edge был отключен фильтр SmartScreen. Защитник Windows и встроенный брандмауэр также были выключены перед тестами. Плюс мы постоянно проверяли, чтобы они не активировались самостоятельно.

Перед проверкой все антивирусы обновлялись. Мы использовали настройки по умолчанию, поскольку именно так антивирусы работают у большинства пользователей.

Первая серия тестов проверка компонентов защиты от интернет-угроз. В браузере Edge по очереди открывались заведомо вредоносные ссылки, реакция антивирусов протоколировалась. При необходимости мы разрешали компоненты Adobe Flash и другое активное содержимое, отвечая утвердительно на каждый запрос.

Вторая серия тестов проверка реакции на появление локальной подборки зловредов. Десять свежих образцов с именами вида mw_sample-N и без расширений были записаны в архив, закрытый паролем. Архив помещался на сетевой диск, подключаемый в режиме только чтение. Предпринималась попытка распаковать содержимое архива с сетевого диска в каталог Загрузки текущего пользователя.

Если антивирус позволял их скопировать (не проверял трафик на лету), то наступал следующий раунд. Все успешно скопированные образцы малвари проверялись вручную в режиме прицельного сканирования по запросу. Если и после этого оставались необнаруженные зловреды, то им присваивалось истинное расширение (по заголовку файла) и они запускались на исполнение.

Заражение редко удается распознать по внешним признакам. Многие зловреды внедряются скрытно и так же незаметно действуют потом, успешно обманывая антивирусные сканеры. Даже если антивирус определил и заблокировал какую-то угрозу, нет гарантии, что другая в это же время не получила контроль над системой.

eScan Anti-Virus v. 14.0.1400.2029

Этот индийский антивирус максимально универсальный. Он работает в любой версии Windows, начиная с 2000 (NT 5.0) и заканчивая десяткой независимо от ее разрядности. Интерфейс переведен на русский язык. Помимо собственно антивируса с кучей дополнительных компонентов, в состав дистрибутива входит брандмауэр.

Интересная особенность eScan возможность вакцинации USB-флешек для предотвращения распространения через них малвари, запускаемой из autorun.inf. Вакцинация не работает в триальной версии.

Дистрибутив антивируса eScan компании MicroWorld Technologies просто огромный. Инсталлятор занимает 390 Мбайт, а после установки 842 Мбайт. Базы обновляются по HTTP и очень медленно: потребовалось девять с половиной минут, чтобы скачать 26 Мбайт по выделенке. Серверы eScan тормозят так, словно используют модемное соединение. Во время обновления по очереди загружаются свыше ста файлов малого объема, и каждый из них запрашивается отдельно. Архив? Кумулятивное обновление? Нет, не слышали.

С защитой от вредоносных страниц eScan справился наполовину, определив пять из десяти опасных веб-страниц. Помогало антивирусу и то, что браузер MS Edge блокирует компоненты Adobe Flash.

READ  Используем смартфон в

Однако eScan пропустил некоторые сайты с вредоносными джава-скриптами, инжектом фреймов и редиректами.

По одной из ссылок eScan обнаружил только зараженный PHP, в то время как инфицированные файлы favicon.ico и *.gif там же пропустил. Разумеется, файлы изображений не могут непосредственно запускать вредоносный код на исполнение, однако их часто используют как контейнеры для малвари, которая активируется через эксплоиты или скрипты.

Тест на локальные угрозы eScan прошел блестяще. При попытке скопировать образцы заведомо инфицированных файлов с сетевого диска он мгновенно удалил их копии.

Точнее, девять он сразу поместил в карантин, а одного неизлечимого добил из милосердия с нашего разрешения. Проверка в режиме реального времени сработала, как и должна: автоматически проверила новые файлы независимо от их расширения. Второй раунд не понадобился.

F-Secure Anti-Virus v. 17.193 build 128

Тридцатидневная пробная версия антивируса F-Secure работает в Windows 710 любой разрядности. У него также есть русскоязычный интерфейс. Помимо локальных баз, используется облачная проверка, которая называется Security Cloud. Также реализована функция контроля нежелательных изменений в системе DeepGuard.

Онлайновый инсталлятор весит меньше мегабайта, но выкачивает он 130 Мбайт и занимает на диске около двухсот. Обновление длится четыре минуты средний результат, но перед установкой собственно антивируса F-Secure загружает еще и компонент быстрой проверки компьютера. В итоге время до первого запуска антивируса увеличивается в разы. Немного странный подход, поскольку обычную заразу антивирь и так удалит, а всякие руткиты и APT все равно не обнаружишь экспресс-проверкой. Их надо вычищать, загружаясь с чистой прошивки и отдельной операционки.

Итоги первого этапа проверки подводить в данном случае сложно. Вредоносные веб-страницы F-Secure блокирует через компонент на JavaScript, и поддержка джава-скриптов должна быть включена в браузере. По нашему впечатлению, она корректно работает только в IE, а в Edge антивирус F-Secure часто препятствовал загрузке сайтов, причем не только вредоносных.

Когда время ожидания отклика истекало, браузер Edge писал: Не удается загрузить веб-страницу. При этом никаких сообщений от антивируса не появлялось, а те же страницы спокойно открывались из других клонов тестовой системы.

Иногда нам все же удавалось зафиксировать как провалы, так и реакцию антивируса на веб-угрозы. Его сообщения были не слишком информативны.

Если F-Secure сообщает об угрозе во время веб-серфинга, то совершенно неясно где и какой. Он может ругнуться не на текущую вкладку, а на ту, которую ты открывал полминуты назад.

Чтобы узнать подробности, приходится каждый раз кликать на ссылке Сведения. Тогда отобразится табличка с краткими результатами проверки и следующей ссылкой Дополнительные сведения. Уже по клику на нее загружается страница с общим описанием семейства зловредов.

При копировании набора зараженных файлов антивирус F-Secure определил и удалил восемь из десяти образцов. Все действия происходили автоматически, но пауза была очень долгой. Мы уже были готовы записать абсолютное поражение и приступить ко второму раунду с полным набором малварей, но тут посыпались всплывающие окна от F-Secure и началось удаление образцов.

Среди не определенных F-Secure зловредов в каталоге Загрузки остались семплы с порядковыми номерами один и девять. Девятый JS в архиве ZIP. После присвоения ему исходного расширения F-Secure никак не среагировал на архив. Даже когда мы вручную запустили из архива джава-скрипт, антивирус не шелохнулся. Только спустя секунд десять он отрапортовал, что какой-то вредоносный объект во временной папке пользователя (копия скрипта) удален.

READ  Zeus открываем кейсы

После повторного запуска скрипта ситуация повторилась, а секунд через пять антивирус все-таки прибил архив с заразой. Первый же образец (протрояненный файл .docx уже с корректным расширением) F-Secure упорно игнорировал.

Результат восемь из десяти в первом раунде и девять из десяти во втором.

G Data Internet Security 25.4.0.1

Сначала мы собирались протестировать G Data AntiVirus. Его офлайновый дистрибутив занимает 230 Мбайт, но при этом он не самодостаточен. Часть компонентов все равно загружается из Сети. Во время этого увлекательного процесса нам показали несколько рекламных баннеров по кругу и сообщили об ошибке. На последнем этапе инсталлятор вдруг переставал видеть интернет-подключение проверяли несколько раз.

Поэтому пришлось ставить вместо него G Data Internet Security один из комплексных продуктов с антивирусом на движке Bitdefender. Он предлагается как триал на 30 дней с возможностью использования в Windows 710 любой разрядности. Среди поддерживаемых языков русского нет. Зато есть облачная проверка (CloseGap) и отдельный компонент для безопасных платежей онлайн (BankGuard).

Веб-инсталлятор занимает 15 Мбайт. Он скачивает полгига дистрибутивных файлов и спустя пять минут все-таки устанавливает антивирус но пользоваться им нельзя до перезагрузки. Видимо, из-за глубокой интеграции в систему.

В состав G Data IS входит масса дополнительных компонентов: файрвол, утилита гарантированного удаления файлов, менеджер автозапуска, родительский контроль и облачный бэкап. Резервное копирование на локальные носители поддерживается только для версии Total Security.

Во время первого этапа тестирования G Data обнаружил вредоносные компоненты на шести из десяти инфицированных и фишинговых сайтов.

Сообщения антивируса были достаточно информативными и появлялись практически сразу по мере загрузки веб-страницы. Однако в четырех случаях G Data вообще никак не среагировал на опасные сайты. Заражения не произошло только благодаря отключенным по умолчанию плагинам в Edge и голой операционке без типового набора офисных программ.

При локальной проверке антивирус реабилитировался, обнаружив десять из десяти инфицированных файлов еще на этапе распаковки архива и до их попадания в каталог Загрузки.

Если в таком режиме выбрать вариант действия удалить для всех зараженных файлов, то они не удаляются (исходный диск подключен только для чтения). Вместо этого создается копия файла с расширением .vir, а доступ к нему блокируется средствами антивируса. Только при повторном обращении к уже распакованным файлам их можно действительно удалить через антивирус.

Webroot Secure Anywhere 9.0.17.28

Антивирус получил свое название из-за возможности удаленного управления через веб-консоль. После регистрации на сайте пользователь попадает в личный кабинет, откуда может просматривать статистику работы антивируса на всех своих устройствах и даже отправлять им команды. Правда, в конфигурации Windows 10 по умолчанию эти команды игнорируются. Ни заблокировать, ни перезагрузить компьютер удаленно через веб-консоль Webroot не удается.

Как и во многих других комбайнах, в составе Webroot есть дополнительные утилиты: удаления файлов с затиранием освободившихся секторов случайными данными, менеджер активных процессов и другие. Часть функций (например, резервное копирование в облако) доступны только после регистрации на сайте, а менеджер паролей не работает в MS Edge. Интересным отличием стала встроенная песочница изолированная среда SafeStart для запуска потенциально опасных программ.

READ  Акционерная общество

Во время первого этапа тестирования выяснилось, что Webroot не проверяет код загружаемых веб-страниц. Он просто смотрит репутационную характеристику сайта по базе своего облачного сервиса и блокирует доступ к адресам из черного списка.

Если же вредоносного сайта в этом перечне нет, то все содержимое веб-страниц спокойно передается в браузер. Поэтому тут бессмысленно говорить о проценте срабатываний. Эксплоиты, многоуровневые редиректы, спам в iframe, всплывающие окна, фишинговые ссылки, попытки загрузить инфицированные файлы на компьютер все это никак не блокировалось Webroot. Один из вредоносных сайтов совпал по оформлению с главным окном антивируса.

Во время второго этапа антивирус повел себя лишь чуть лучше. При извлечении инфицированных образцов из архива Webroot позволил им записаться в каталог Загрузки. После чего он выдал всплывающее окно об обнаружении одной угрозы и тут же перезагрузил компьютер безо всяких запросов.

После перезапуска в каталоге Загрузки остались три образца зловредов: первый, девятый и десятый. Их проверка вручную не изменила вердикт Webroot он счел файлы безопасными. Тогда мы переименовали и запустили десятый семпл. Троян-вымогатель семейства Locky успешно создал ключи в секции автозапуска, после чего тестовый компьютер завис.

После перезагрузки система едва отзывалась на команды, но через несколько минут Webroot определил трояна в разных местах уже как активную угрозу.

Для удаления трояна потребовалось еще две проверки и очередная перезагрузка. Два других зловреда Webroot так и не увидел.

Выводы

Антивирус от eScan интересен возможностью использовать его в любой версии Windows от новой десятки до древней Win 2000. Однако его размер бьет все рекорды, а эффективность оставляет желать лучшего. Он быстро реагирует на локальные угрозы, но плохо справляется с проверкой веб-страниц.

F-Secure гораздо меньше по размеру, но обладает и меньшей функциональностью. Проверка веб-страниц работает на JS и плохо совместима с Edge. Она часто мешает доступу к сайтам, но порой пропускает фишинговые ссылки и зараженные компоненты веб-страниц. Для локальной проверки реакция F-Secure очень медленная. Вредоносные файлы успевают попасть на компьютер, а некоторые (два из десяти в нашем тесте) он просто игнорирует.

Продукты G Data также далеки от идеала, но хоть как-то работают. Инсталлятор антивируса, правда, оказался глючным (он так и не установился в чистой винде), а вот комплект Internet Security особых нареканий не вызывал. Он неплохо проверяет веб-страницы, показывая довольно информативные предупреждения с возможностью выбора действия. Локальные угрозы он и вовсе опознал еще на этапе распаковки архива.

Антивирус Webroot использует знакомую по решениям Sophos и Fortinet схему управления через веб-консоль, но сильно уступает им по качеству. Сайты он фактически не проверяет, ограничиваясь репутационной характеристикой. Некоторые локальные угрозы не видит в упор до тех пор, пока они не перейдут в активную фазу. Это единственный антивирус, который в сегодняшнем тесте трижды перезагрузил систему и позволил заразить ее.
[ro-youtube-content count=’1′]Паста с premium отсека[/ro-youtube-content]

About

View all posts by