Тест веб защиты антивирусов
Тестирование AV-Comparatives в марте 2022 года выявило лучшие антивирусы для Windows 10. Испытание на защиту от вредоносного ПО включало проверку уровня обнаружения с запуском нераспознанных угроз и тест на ложные срабатывания
ClamWin Free Antivirus v. 0.99.1 + Clam Sentinel v. 1.22
Бесплатный австралийский антивирус ClamWin работает в среде Windows 98 — Windows 10 и распространяется с открытыми исходными кодами под лицензией GNU GPL. Изначально он представляет собой только сканер по запросу и не имеет модуля защиты в реальном времени. Добавить его можно с помощью другой бесплатной программы — Clam Sentinel, написанной итальянским сторонником СПО Андреа Руссо (Andrea Russo).
Контекстное меню Clam Sentinel
Другие статьи в выпуске:
Установка обоих компонентов проходит быстро (меньше минуты). Есть возможность интеграции ClamWin в проводник Windows и почтовый клиент MS Outlook. На момент теста антивирусная база ClamWin содержала более 4,2 миллиона сигнатур. Вместе с базами антивирус и модуль постоянной защиты занимают на диске 120 Мбайт.
Настройка проверяемых типов файлов
Сразу после установки Clam Sentinel предлагает выбрать контролируемые диски. В его меню выполнена качественная локализация на русский, а все параметры имеют «говорящие» названия. Вручную можно задать массу дополнительных настроек, но мы не советуем включать обнаружение подозрительных изменений в системе. Windows 10 постоянно обновляется и тасует системные файлы в целях оптимизации, поэтому в параноидальном режиме Clam Sentinel будет давать ложные срабатывания постоянно — буквально каждую секунду.
В первом тесте при попытке перейти на зараженную веб-страницу Clam Sentinel успешно обнаружил в джава-скрипте неизвестный ему троян с помощью эвристического анализа и поместил его в карантин, удалив из кеша браузера. Однако во втором тесте он не определил другую угрозу (Trojan-Downloader) ни по сигнатурному, ни по эвристическому анализу. Вредоносный код смог запуститься и произвести изменения в системе.
Clam Sentinel пропустил троян
То же самое произошло в третьем и четвертом тесте. ClamWin проигнорировал загрузку зараженной страницы и загрузку трояна даже при сканировании содержащего его файла вручную.
На попытку скачать и запустить заведомо зараженный исполняемый файл (.exe) Clam Sentinel среагировал сразу после окончания его загрузки. Он успешно определил Trojan.Hupigon и переместил его в карантин.
ClamWin удаляет троян Hupigon
Шестой и седьмой тесты были нужны для оценки защиты от посещения фишинговых сайтов. ClamWin + Clam Sentinel провалили их, никак не воспрепятствовав загрузке поддельных страниц Amazon и AOL.
Clam Sentinel не защищает от фишинга
В тесте с зараженным файлом для мобильной платформы J2ME поведение ClamWin приятно удивило. Антивирус среагировал быстро: инфицированный JAR-файл был моментально вычищен из каталога загрузок. Аналогично получилось и при попытке скачать зараженный файл типа JAR в архиве ZIP. Он был перемещен в карантин еще до того, как я попытался открыть его из окна браузера.
Однако вредоносное приложение для ОС Android ClamWin пропустил как в автоматическом, так и в ручном режиме сканирования. Троянец, рассылающий СМС на короткие номера под видом игры «Говорящий Том», остался им не замечен. Общий результат: 4 из 10 тестов пройдены успешно.
Методология
Тестирование на защиту от вредоносных программ (Malware Protection Test) оценивает способность антивирусов противостоять заражению систему вредоносными файлами до их запуска, во время исполнения и после него. При тестировании каждого антивируса использовалась единая методология. Перед выполнением, все тестовые образцы были подвергнуты проверкам по требованию, которые выполнялись при подключении к Интернету и без доступа к сети. Т.е. образцы, которые не были обнаружены во время данных проверок, были запущены в тестовой системе – при этом был организован доступ к Интернету, чтобы функции поведенческого анализа смогли полноценно работать. Если антивирус не предотвращал заражение и не отменял вредоносные изменения, внесенные конкретным вредоносным образцом, то считалось, что в данном тестовом сценарии продукт потерпел неудачу. Если антивирус спрашивал у пользователя, нужно ли разрешить запуск опасной программы или заблокировать объект, то неправильное решение приводило к заражению системы. Данный тестовый сценарий рассматривался как “User dependent”, т.е. действие над угрозой зависит от решения пользователя.
FortiClient
FortiClient — это канадский агент подключения к VPN с бесплатным антивирусом, веб-фильтром и анализатором уязвимостей. Работает в ОС Windows от XP до 10 и может использоваться независимо от типа подключения к интернету (с или без VPN).
Интерфейс FortiClient
FortiClient блокирует загрузку зараженных веб-страниц
Троян Hupigon проскочил
Forti Client набирает 9/10
Общий результат: 9 из 10 тестов пройдены успешно; защита от фишинга работает.
Zillya!
В отличие от Immunet, украинский антивирус Zillya! v. 2.0.1075 от ALLIT Service позиционируется как самодостаточное средство защиты. Он сразу требует удалить из системы другие антивирусы. Это обычная практика предотвращения конфликтов между компонентами защиты в реальном времени от разных производителей, но стоит убедиться в равноценности замены. При размере дистрибутива 87 Мбайт Zillya! устанавливается быстро — секунд за сорок. Обещалось, что антивирус не будет показывать рекламу, но именно ее мы смотрели сразу после инсталляции в принудительно открытом окне браузера. Предварительный выбор русского языка не повлиял на рекламный текст — он отображался на украинском.
Ще не вмерли віруси!
Обновление антивирусных баз выполнялось гораздо дольше, чем установка программы. Настройки мы оставили по умолчанию за исключением одного пункта: режим оповещений выставили на максимум для удобства наблюдения за реакцией антивируса.
Максимальное оповещение
Как вскоре выяснилось — зря. Никакой реакции не было. Снова десять тестов из десяти были провалены.
Хто не скаче — не троянський кінь!
Результат: 0 из 10.
Введение
Тестирование на защиту от вредоносных программ (Malware Protection Test) включает выполнение вредоносных файлов в системе. В то время как в динамическом тестировании антивирусов основной вектор атак – это Интернет, в тесте на защиту от вредоносных программ векторами могут быть, например, сетевые диски, USB-накопители или сценарии, в которых вредоносная программа уже находится на диске.
Обратите внимание, что лаборатория не рекомендует покупать антивирусное решение на основе исключительно данных индивидуальных испытаний. Пользователи должны учитывать и другие факторы: стоимость, удобство использования, совместимость и поддержку. Установка пробной версии антивируса позволяет провести тестирование в режиме повседневного использования, и на основании данного опыта принять решение о приобретении.
В тестировании принимали участие преимущественно комплексные антивирусы, предназначенные в основном для домашних пользователей. Тем не менее, некоторые вендоры настояли на тестировании своих бесплатных антивирусов.
Во первой половине 2022 года тестовый набор состоял из 10,040 вредоносных образцов. Многие вредоносные экземпляры были собраны после предварительного сбора телеметрических данных с целью выявления новейших широко распространенных угроз, которые представляют серьезную опасность для пользователей. Различные варианты вредоносных программ были сгруппированы, чтобы создать сбалансированный тестовый набор (т.е. избежать чрезмерного представления одного и то же вредоносного образца в наборе). Процесс сбора образцов завершился в конце февраля 2022 года.
Тест на защиту от вредоносных программ
Данный тест на защиту от вредоносных программ (Malware Protection Test) учитывает не только уровни обнаружения участвующих программ, но также их защитные возможности, например, способность предотвратить вредоносные изменения в системе со стороны зловреда. В некоторых случаях антивирусная программа может не обнаружить вредоносный образец, если он находится в неактивном состоянии, но моментально идентифицирует угрозу при запуске. Кроме того, многие антивирусы используют поведенческий анализ для мониторинга и блокировки нежелательных системных изменений, которые обычно свойственны для вредоносных приложений. Данная информация дополняет результаты динамического тестирования антивирусов (Real-World Protection Test), в котором источником вредоносных программ становятся реальные общедоступные URL-адреса. В этом случае веб-фильтры и другие компоненты веб-защиты могут вступить в действие. Тест на защиту от вредоносных программ (Malware Protection Test) воспроизводит ситуацию, когда вредоносная программа поступает из локального источника, например, из локальной сети или съемного USB-устройства флеш-памяти. Оба теста предусматривают запуск вредоносных программ, которые не были идентифицированы функциями защиты, чтобы дать шанс вступить в действие “последней линии обороны”.
Одним из важных аспектов облачных механизмов обнаружения заключается в следующем: авторы вредоносных программ постоянно ищут новые способы для обхода обнаружения и механизмов защиты. Использование облачной защиты позволяет вендорам обнаруживать и классифицировать подозрительные файлы в режиме реального времени с целью защиты от новейших неизвестных видов угроз. Размещение некоторых частей механизма обнаружения в облачном пространстве усложняет авторам вредоносных программ задачу быстрой адаптации к новым правилам обнаружения.
Anvi Smart Defender Free
В описании Anvi Smart Defender Free утверждается, что антивирус использует два движка. На поверку движок оказался один и тот же, просто разделенный на локальный и облачный. Размер инсталлятора невелик — 37 Мбайт. Установка занимает меньше минуты, но во время нее программа требует установить неподписанные драйверы: asd2fsm.sys; asdids.sys и iaioi2c.sys, чем сразу настораживает пользователя.
Anvi устанавливает неподписанные драйверы
Другие статьи в выпуске:
При первом запуске Anvi мы провели рекомендованное быстрое сканирование, а заодно убрали напоминание о нем. Скан чистой «десятки» завершился за шесть минут. При этом было проверено 312 тысяч объектов.
Anvi — быстрое сканирование
На вкладке с настройками проверки в режиме реального времени по умолчанию все компоненты включены. Однако на ней постоянно отображается уведомление о неполной защите компьютера. Это такой своеобразный стимул приобрести платную версию с дополнительными функциями. Пока не купишь все продукты Anvisoft, защита будет считаться недостаточной.
Дополнительные утилиты от Anvisoft
В разделе «Антихакер» запускается проверка на типичные проблемы настроек безопасности. По ее результатам предлагается отключить автозапуск со съемных носителей, службу удаленного администрирования, удалить созданные по умолчанию общие сетевые ресурсы и так далее. Работает этот инструмент примерно как «Мастер поиска и устранения проблем» в AVZ.
Модуль Anvi Anti-Hacker
Поскольку мы решили тестировать все антивирусы в одинаковых условиях и с настройками по умолчанию, то не стали менять эти параметры.
Здесь планировалось подробно описать результаты каждой проверки, но писать оказалось нечего. Антивирус провалил все десять тестов. Поскольку он не смог обнаружить ни одной угрозы, мы не будем приводить дюжину однотипных скриншотов, а ограничимся наиболее показательными.
Anvi игнорирует загрузку вредоносного скрипта со стороннего сайта
В общей сложности Anvi пропустил шесть троянов разных типов, не определил начало загрузки вредоносных файлов, не увидел на сайтах веб-инжекты в зараженных иконках favicon.ico, гифках и файлах JPEG, а также не распознал признаки фишинга. Активного заражения системы не произошло, но это уже заслуга Edge. Логи Anvi Smart Defender Free остались девственно чистыми. Мы даже запустили повторное полное сканирование системы, давая ему шанс реабилитироваться. На этот раз оно заняло 53 минуты. Было проверено 413 тысяч файлов, но количество обнаруженных зловредов по-прежнему осталось нулевым.
Anvi — полное сканирование после десяти проваленных тестов
Результат: 0 из 10. Ломать у Тан Дайлина явно получалось лучше, чем строить.
WARNING
База Clean MX также содержит ссылки на подозрительные веб-сайты, распространяющие новые модификации вредоносных объектов. Поначалу они могут не определяться ни одним антивирусом даже на уровне эвристики. Отрицательный результат на VirusTotal еще не гарантирует безопасность проверенного сайта или файла.
NANO Антивирус
На неуместное употребление маркетологами десятичной приставки «нано» у меня давно выработалась аллергическая реакция. Глаза слезятся, лицо багровеет, а руки чешутся взять топор. Наука ведь требует жертв, верно? Впрочем, хорошо, если название будет единственным недостатком нового отечественного продукта.
Российский антивирус для Windows (XP SP3 — 10) от ООО «НАНО Секьюрити» во время установки требует регистрации даже при активации бесплатной лицензии (хинт: введенные данные не проверяются).
Срок действия цифрового сертификата, выданного NANO Security Ltd, на момент теста истек, однако это не помешало установке последней версии NANO Антивируса.
Сертификат издателя просрочен
Онлайн-инсталлятор загрузил 434 Мбайт, а для их распаковки потребовал 2 Гбайт на диске. Такие требования отчасти объясняются предложением установить до кучи Яндекс.Браузер и другой сопутствующий софт. После установки происходит автоматическое обновление, и мы видим долгожданную рекламу с предложением попробовать версию Pro. Если ты случайно закрыл это окошко — не переживай! Оно еще не раз всплывет.
После ожидаемо скорбного начала мое мнение об этом антивирусе стало меняться в лучшую сторону. У него оказался очень наглядный и строгий интерфейс. Настолько информативные вкладки попадаются редко. Текущее состояние и все настройки в них отображаются как на ладони.
Интерфейс NANO Антивируса
Уведомление о множественных угрозах и выбор действий
Первый тест NANO Антивирус прошел успешно. Зараженная страница не загрузилась, а троянец в джава-скрипте был идентифицирован по сигнатурному совпадению. Второй и третий тесты тоже выполнены на отлично: «наноантивирус» оказался единственным участником эксперимента, полностью распознавшим множественные угрозы, присутствующие в коде одной веб-страницы. Однако следующие два теста NANO Антивирус провалил. Он позволил выполнить зараженный скрипт и запустить троян Hupigon, снова установивший бэкдор.
NANO Антивирус в упор не видит троян
От фишинга NANO Антивирус защитить не смог. Поддельные страницы загружались без предупреждения. Спасовал он и при проверке JAR-файла, ошибочно сообщив о его безопасности. В девятом тесте NANO Антивирус позволил загрузить архив ZIP с зараженным джава-файлом, но обнаружил в нем угрозу при выборочном сканировании по запросу.
Добивание вручную
Так же произошло и в последнем тесте. Протрояненный APK-файл загрузился без проблем, но был идентифицирован как опасный при ручном сканировании.
Обнаружение Trojan.SMS при ручной проверке
Общий результат: 5 из 10 тестов пройдены успешно, при этом в двух случаях для обнаружения угроз потребовалась ручная проверка. Защита от фишинга не работает.
Методика тестирования
В прошлых статьях мы невольно сделали рекламу ресурсу Clean MX, в результате чего он не перенес бремени свалившейся на него славы и перешел в закрытый режим использования. Основатель проекта завален письмами, а где-то в гигабайтах электронной почты до сих пор лежит и наш запрос на доступ. Поэтому список угроз на этот раз составлялся из других источников. Основным стал перечень новых потенциально опасных сайтов от канадского специалиста по безопасности Джейсона Лэма (адрес не приводим, чтобы его веб-страницу не постигла та же участь).
В остальном методика не изменилась. Каждый антивирус был установлен в свою виртуальную машину — клон чистой Windows 10 Pro x86 с последними обновлениями. Поскольку мы тестировали именно поведение антивирусов, «Защитник Windows» и фильтр SmartScreen были отключены. Контроль учетных записей оставался активным, так как он включен у большинства пользователей и не влияет на работу антивирусов, выступая в качестве второй линии обороны. Последние версии бесплатных антивирусов загружались с официальных сайтов и обновлялись непосредственно перед началом эксперимента.
Все тесты выполнялись по отдельности и моделировали поведение рядового пользователя во время веб-серфинга. Браузер Edge открывался на пустой вкладке, после чего в адресную строку вводился URL из предварительно отобранного списка вредоносных сайтов. Далее предпринималась попытка перейти на зараженную страницу, результаты протоколировались.
Тестирование антивирусной защиты
Приведем список бесплатных и хорошо известных тестов, которые могут использовать для симуляции вредоносной атаки:
-
– протестируйте защиту компьютера, создав свой вариант вредоносного ПО – инструмент для тестирования защиты от шифровальщиков – общедоступные инструменты от Microsoft – Fortinet – Европейский институт компьютерных антивирусных исследований (European Institute for Computer Anti-Virus Research) – Организация по стандартам тестирования средств борьбы с вредоносными программами (Anti-Malware Testing Standards Organization) – Check Point – Gibson Research Corp. – Gibson Research Corp. – SpyShelter
Чтобы получить более полную оценку эффективности защиты, используйте ссылки и файлы из нескольких источников. Также не стоит принимать результаты тестов как окончательные.
Обзоры и тестирование антивирусов, программ безопасности. Лучшие антивирусы в 2022 году, результаты тестов и рейтинг AV-Test, AV-Comparatives, MRG Effitas, SE Labs, Virus Bulletin.
Лучший антивирус 2022
Сравнительное тестирование антивирусов для Windows 11
Видео обзоры и тесты на Youtube
Рекомендуем
Тестирование бесплатного антивируса Microsoft Defender на платформе Windows 11. Проверка уровня обнаружения вредоносного ПО и проактивной защиты при запуске нераспознанных угроз
Последние статьи
Лаборатория AV-Comparatives в апреле 2022 года провела тестирование 17 антивирусов на Windows 10 64-bit, проверив уровень быстродействия и влияние на производительность бюджетного компьютера (Core i3 CPU, 4 ГБ RAM, SSD)
Лаборатория AV-Test в 2022 году проводит комплексное тестирование мобильных антивирусов для Android, проверяя уровень защиты, производительность и ложные срабатывания
Лаборатория MRG Effitas проводит расширенное тестирование антивирусов для Android. Серия тестов под названием «Android 360 Degree Assessment Programme» позволяет оценить защиту мобильных антивирусов в реальных сценариях
Тестирование AV-Comparatives в марте 2022 года выявило лучшие антивирусы для Windows 10. Испытание на защиту от вредоносного ПО включало проверку уровня обнаружения с запуском нераспознанных угроз и тест на ложные срабатывания
Результаты динамического тестирования антивирусов для Windows 10, проводимого лабораторией AV-Comparatives в 2022 году. Лучшие антивирусы для комплексной защиты от интернет-угроз
Kaspersky Internet Security, Sophos Home Premium и бесплатные антивирусы Avast Free Antivirus, Microsoft Defender Antivirus показали лучшие результаты в тестировании, проводимом лабораторией SE Labs в 1-ом квартале 2022 года на платформе Windows 10
Лаборатория AV-Test в 2022 году проводит комплексное тестирование антивирусов для Windows 10. В серии испытаний каждый антивирус проверялся на уровень защиты, производительность и ложные срабатывания
Лаборатория AV-TEST использует критерий Юзабилити (Usability) для оценки удобства использования антивирусного решения, что представляет собой тестирование на ложные срабатывания
Насколько использование антивируса влияет на скорость работы защищаемой системы? Эксперты лаборатории AV-TEST изучают влияние на производительность, используя комплексные тесты в реальных условиях.
Насколько эффективно антивирус справляется с реальными угрозами? Вместо теоретической оценки в смоделированных сценариях тестирования, продукты безопасности в испытаниях AV-Test должны отражать реальные атаки
Ежегодный интернет-опрос AV-Comparatives, дает общее представление о том, какими браузерами, операционными системами и антивирусами пользуются респонденты
Лаборатория AV-Test в 2021 году провела комплексное тестирование антивирусов для Windows 10. В серии испытаний каждый антивирус проверялся на уровень защиты, производительность и ложные срабатывания
Лаборатория AV-Comparatives подвела итоги тестирования антивирусов для Windows 10 в 2021 году и вручила награды «Антивирус года», «Выдающийся продукт», «Лучшие антивирусы» и «Одобренная защита для Windows»
Лаборатория AV-Test в 2021 году проводит комплексное тестирование мобильных антивирусов для Android, проверяя уровень защиты, производительность и ложные срабатывания
Комплексные антивирусы Kaspersky Internet Security и Norton LifeLock Security показали лучшие результаты в тестировании, проводимом лабораторией SE Labs в 4-ом квартале 2021 года на платформе Windows 10
Бесплатные антивирусы есть в арсенале многих софтверных компаний. Они выпускаются как реклама платных версий с дополнительными функциями и применяются для сбора статистики (ну и заодно снижают общее количество зараженных компьютеров в мире). Подходы у всех разработчиков разные, и среди них встречаются интересные решения. На этот раз мы проверим ClamWin Free Antivirus с модулем Clam Sentinel, FortiClient for Windows, NANO Антивирус и Tencent PC Manager.
Выводы
ClamWin Free Antivirus и Clam Sentinel оказались любопытной связкой, но не более того. Она пропускает угрозы для Windows через одну, не препятствует загрузке фишинговых страниц, а также игнорирует зараженные приложения для ОС Android. Использовать Clam Sentinel для защиты в реальном времени вряд ли стоит. Зато ClamWin можно применять в качестве дополнительного антивирусного сканера, доступного в виде портейбл-приложения.
FortiClient оказался на удивление эффективным, но малоинформативным и плохо локализованным антивирусным решением. Он распознает угрозы разных типов, включая «непрофильные» для Windows. Также он обеспечил защиту от фишинга и набрал больше всех очков, промахнувшись лишь раз. Однако для заражения компьютера этого раза вполне достаточно, так как дополнительных средств защиты FortiClient не имеет.
Tencent PC Manager оказался китайским антивирусом в плохом смысле этого выражения. В настройках по умолчанию он вообще никак не воспрепятствовал групповому изнасилованию Windows 10 через браузер Edge. Однако при ручной проверке он все же зафиксировал ее побои и даже немного подлечил. Параноидальные настройки заставляют его иногда кричать «Стоп!» в аналогичных ситуациях, но в целом с ними становится только хуже. Антивирус сам начинает истязать диск, по которому все так же почти беспрепятственно скачут табуны освоившихся троянов.
Из протестированных сегодня антивирусов я бы не рекомендовал использовать ни один, если только тебе не хочется испытать новые ощущения. Традиционный обзор положений о приватности в этом обзоре упразднен. Все бесплатные антивирусы отправляют своим разработчикам «анонимную» статистику и образцы файлов. Иногда это можно отключить в настройках, но гарантированно запретить — только отдельным файрволом. При этом перестанет работать облачная проверка и наверняка возникнут другие проблемы — например, с обновлением баз и проверкой лицензий.
Браузер Edge содержит интегрированный компонент Flash Player (от которого Microsoft планирует вскоре отказаться, оставив его только в Internet Explorer), но не поддерживает дополнительные модули. Поэтому Java-код в Windows 10 выполняется средствами JRE через IE v. 11.
На заре MS-DOS писали по несколько десятков компьютерных вирусов в год. Сейчас же их ежедневно клепают сотнями, да и сам термин стал собирательным. Теперь это необязательно саморазмножающиеся программы, а любой код, который сочтут вредоносным. Ирония в том, что антивирусы сами стали похожи на зловреды. Они все более агрессивно интегрируются в систему, своевольничают и достают пользователей рекламой, мало от чего защищая. В этом легко убедиться по материалам наших тестов двадцати бесплатных антивирусов в прошлых номерах, да и сегодняшняя четверка совсем не выглядит «великолепной».
Введение
Тестирование на защиту от вредоносных программ (Malware Protection Test) включает выполнение вредоносных файлов в системе. В то время как в динамическом тестировании антивирусов основной вектор атак – это Интернет, в тесте на защиту от вредоносных программ векторами могут быть, например, сетевые диски, USB-накопители или сценарии, в которых вредоносная программа уже находится на диске.
Обратите внимание, что лаборатория не рекомендует покупать антивирусное решение на основе исключительно данных индивидуальных испытаний. Пользователи должны учитывать и другие факторы: стоимость, удобство использования, совместимость и поддержку. Установка пробной версии антивируса позволяет провести тестирование в режиме повседневного использования, и на основании данного опыта принять решение о приобретении.
В тестировании принимали участие преимущественно комплексные антивирусы, предназначенные в основном для домашних пользователей. Тем не менее, некоторые вендоры настояли на тестировании своих бесплатных антивирусов.
Во первой половине 2022 года тестовый набор состоял из 10,040 вредоносных образцов. Многие вредоносные экземпляры были собраны после предварительного сбора телеметрических данных с целью выявления новейших широко распространенных угроз, которые представляют серьезную опасность для пользователей. Различные варианты вредоносных программ были сгруппированы, чтобы создать сбалансированный тестовый набор (т.е. избежать чрезмерного представления одного и то же вредоносного образца в наборе). Процесс сбора образцов завершился в конце февраля 2022 года.
Тестируемые антивирусы
Все антивирусы были установлены на полностью обновленную систему Microsoft Windows 10 Pro 64-bit. Все продукты были протестированы в начале сентября. Каждый антивирус получил последние обновления и был протестирован с настройками по умолчанию.
Информация о дополнительных сторонних движках / сигнатурах, используемых внутри продуктов: G DATA, Total Defense и VIPRE используют движок Bitdefender. TotalAV использует движок AVIRA. AVG – это ребрендинговая версия Avast.
Baidu Antivirus 2015 Free
Дистрибутив другого китайского антивируса занимает 27 Мбайт. Установка длится всего полминуты. В ходе инсталляции сразу же предлагается присоединиться к программе улучшения качества и выбрать язык, но русского в списке нет.
Байду не жалует русских
Перед началом тестирования мы выполнили обновление и быструю проверку, которая заняла без малого пять минут. При этом было просканировано примерно четыре тысячи объектов файловой системы.
Baidu — быстрое сканирование
Интерфейс довольно наглядный. На вкладке ToolBox можно найти плагины, виджеты и дополнительные инструменты защиты. Мы не стали их использовать, чтобы не нарушать чистоту эксперимента. Перед тестами были включены только основные компоненты защиты, в том числе антивирусный монитор и защита от интернет-угроз.
Дополнительные компоненты Baidu
Нам бы хотелось написать подробнее, но снова оказалось не о чем. Антивирус Baidu оправдал свое название. Как и предыдущий участник тестов, он не распознал ни одной угрозы — даже несмотря на наличие отдельных инструментов для защиты от фишинга и вредоносных загрузок. Ни один из компонентов антивируса не сработал ни разу. Baidu Antivirus не определял зловредов на сайтах ни по сигнатурному, ни по поведенческому, ни по репутационному анализу — вообще никак.
Baidu игнорирует зараженные сайты
Полная проверка после завершения тестов длилась больше полутора часов, но также ничего не дала. Результат: 0 из 10.
WARNING
Все тесты выполнялись только в исследовательских целях. Необходимые файлы были загружены с общедоступных ресурсов. Разработчики протестированных антивирусов получили автоматические уведомления о результатах сканирования. Редакция и автор не несут ответственности за любой возможный вред.
Уровни обнаружения в режимах онлайн и оффлайн
Многие тестируемые антивирусы используют облачные технологии защиты, такие как сервисы репутации или облачные сигнатуры, доступ к которым невозможен без активного подключения к Интернету. За счет выполнения сканирований по требованию в режимах онлайн ONLINE (с доступом к Интернету) и оффлайн OFFLINE (без доступа к Интернету), тест наглядно показывает зависимость каждого продукта от облачных компонентов защиты. В результате можно сделать вывод о том, насколько эффективную защиту предоставляет антивирус, если отсутствует подключение к Интернету. Лаборатория AV-Comparatives рекомендует вендорами, чьи продукты очень жестко привязаны к облачным технологиям, предупреждать пользователей о потере активного подключения, потому что данный факт может серьезно сказаться на качестве предоставляемой защиты. В данном испытании лаборатория проверяла доступность облачных сервисов, но пользователи должны иметь в виду, что далеко не всегда наличие подключения к сети означает, что облачные сервисы доступны и работают корректно.
Лаборатория опубликовала уровни обнаружения тестируемых антивирусов в режимах сканирования онлайн и оффлайн.
Уровень наград в тестировании
AV-Comparatives присваивает тестируемым антивирусам рейтинговые награды, которые основываются на уровне обнаружения угроз и на уровне ложных срабатываний. Так как отчет содержит не только итоговые рейтинги, но и сами уровни обнаружения угроз, то опытные пользователи могут быть менее обеспокоены ложными срабатываниями и могут полагаться исключительно на уровень защиты.
К качественным и достоверным тестированиям антивирусов нужен очень серьезный подход. Специалисты в области компьютерной безопасности используют дорогостоящее оборудование и применяют трудоемкие операции для тестирования эффективности антивирусных продуктов.
Тем не менее, некоторые компании предлагают безопасные решения для пользователей, которые позволяют проверить защиту установленного антивируса. Как правило организации предлагают веб-страницы или загружаемые файлы, которые содержат урезанные, неактивные или имитируемые версии вредоносных приложения. Любой пользователь может использовать данные объекты для поиска уязвимых мест в защите без риска ущерба для системы и данных.
Данные образцы, конечно, не дадут полную картину, но в любом случае окажутся полезны. Например, если вы обновили или изменили основную антивирусную защиту, вы можете провести несколько экспресс-тестов, чтобы проверить активность основных защитных модулей решения.
Обратите внимание, что данные испытания имеет несколько значительных ограничений. Так, например, пользователи не могут убедиться в корректности тестовой процедуры и правильности имитации деятельности вредоносных программ, а также в релевантности методики тестирования по отношению к шаблонам использования и уровню навыков.
С другой стороны, многие пользователи не выработали у себя правильные привычки компьютерной безопасности, а значит они более подвержены риску заражения и компрометации. Этим пользователям нужен более высокий уровень защиты, чем опытным юзерам.
Ни один тест не может учитывать паттерны поведения как продвинутых пользователей, так и новичков. Например, испытания, которые анализируют базовую защиту могут быть достаточными для опытных пользователей, но не полноценными в случае с начинающими пользователями. Следует выбирать тесты, которые соответствуют вашим шаблонам использования и уровню компьютерных знаний.
Вы также должны помнить о потенциальных скрытых действиях, которые могут включать в себя антивирусные приложения. Например, некоторые вендоры могут разрабатывать тесты, которые искусственно подчеркивают сильные стороны продукта.
Tencent PC Manager v.11.4.
Телеком-оператор Tencent (Шэньчжэнь, Китай) утверждает, что его бесплатный антивирус PC Manager одновременно использует четыре антивирусных движка. При проверке оказывается, что первые три — это разделенный на модули Tencent engine (облачный, локальный + сервис восстановления системы), а четвертый — лицензированный у BitDefender. То есть принципиально разных движков в нем все-таки два, но собственный един в трех лицах.
Псевдополноприводной антивирус
При установке антивирус занимает 245 Мбайт. Как и у многих приложений в стиле Metro, все настройки Tencent PC Manager скрываются под небольшой кнопкой в правом верхнем углу экрана. Параметры, настраивающие защиту во время веб-серфинга, находятся в разделах Realtime protection и Download protection. Первый пункт я оставил как есть, а второй настроил так, что антивирус стал проверять все скачиваемые из интернета файлы независимо от их типа.
Настройки Tencent PC Manager
Первые десять тестов Tencent провалил. стоп! Их же всего десять! Неужели мы нашли абсолютного чемпиона наших обзоров, занявшего почетное первое место (с конца)?
Tencent не знает, зачем здесь все эти файлы
Попробуем проверить файлы из каталога «Загрузки» вручную.
Полцарства за коня!
Вот так уже лучше: PC Manager обнаружил трояна в APK-файле. Теперь запустим полную проверку системы.
Сканер Tencent находит часть того, что пропустил его резидентный модуль защиты
Всего было обнаружено шесть угроз, включая зараженные джава-скрипты и изменения в автозагрузке. Клик, и все они успешно устранены. Интересно, почему все это время модуль «защиты» в реальном времени сохранял буддистское спокойствие?
Смотрим настройки по умолчанию еще раз. Видим пункт «Проверять больше типов файлов» — каких именно? Где список расширений проверяемых файлов? Нет его. Зато есть виртуальная машина, в которой антивирус сначала пропустил все десять угроз, а затем устранил шесть из них при ручном сканировании.
Попробуем сделать еще один клон с чистой «десятки» и повторить эксперимент, настроив антивирус Tencent на максимальное обнаружение.
Оказывается, защита есть!
С такой конфигурацией Tencent PC Manager в первом тесте успешно определил вредоносный джава-скрипт. Во втором тесте он обнаружил и устранил множественные угрозы, последовательно сообщив о них отдельными всплывающими окнами. В третьем тесте зараженный скрипт также был помещен в карантин, однако уже следующий тест оказался провален. В пятом тесте троян Hupigon снова прописался в системе. Защита от фишинга (тесты 6 и 7) не сработала. Зараженный JAR-файл тоже загрузился беспрепятственно как в чистом виде, так и внутри ZIP-архива. Протрояненный APK-файл Tencent ошибочно признал чистым.
Параноидальные настройки защиты в реальном времени немного изменили ситуацию. С ними Tencent PC Manager смог предотвратить заражение уже в трех случаях из десяти, при том что сканирование по запросу также определяло шесть угроз.
Общий результат: 0/10 защита в реальном времени (RTP) с настройками по умолчанию; 3/10 для RTP в агрессивном режиме и 6/10 при сканировании вручную.
Это конец!
В конце всех тестов я решил дать антивирусам возможность реабилитироваться и найти пропущенные вредоносные объекты в ходе полного сканирования системы. Если делать поблажку, то уж всем одинаковую. ClamWin, FortiClient и NANO Антивирусу это не помогло — их результаты остались прежними. Tencent PC Manager результаты улучшил, но в целом он ведет себя как опытный вредитель: создает иллюзию защиты, пропуская в настройках по умолчанию абсолютно все. Настраивать параноидальный режим или вручную сканировать файлы пользователь еще должен захотеть.
WARNING
Заражение редко удается распознать по внешним признакам. Многие бэкдоры внедряются скрытно и так же незаметно действуют, успешно обманывая антивирусные сканеры. Даже если антивирус определил и заблокировал какую-то угрозу, нет гарантии, что другая в это же время не получила контроль над системой.
WARNING
Списки вредоносных сайтов были получены из открытых источников. Все тесты выполнялись в исследовательских целях. Они моделировали только защиту от веб-угроз и не могут использоваться для оценки эффективности антивирусов в других сценариях. Автор и редакция не несут ответственности за любые последствия полученной из данной статьи информации.
Методика тестирования
Как и в предыдущий раз, мы настроили виртуальную машину с чистой Windows 10 Pro (32-битная версия 1511, сборка 10586.164) и клонировали ее четырежды. Согласно минимальным системным требованиям, для инсталляции 32-битной версии Windows 10 нужно от 16 Гбайт свободного места. Мы выделили каждой виртуальной машине свой диск размером 25 Гбайт, чтобы гарантированно хватило на установку одного антивируса, пакетов обновлений, хранение временных файлов и размножение зловредов, если они все же прорвут первую линию обороны. Для чистоты эксперимента «Защитник Windows» и фильтр SmartScreen предварительно были отключены, а контроль учетных записей оставался активным.
В каждой виртуалке был установлен свой антивирус. После обновления их работу проверили по общему списку из десяти свежих угроз базы Clean MX. Она содержит адреса потенциально опасных, зараженных и фишинговых веб-страниц, а также сайтов, на которых предлагается скачать протрояненные файлы под видом различных утилит. Мы отобрали угрозы разного типа и предварительно проверили их как через онлайн-сканер VirusTotal, так и в исходном клоне Windows 10 Pro без антивируса. После этого каждый URL открывался в браузере Edge. Результат каждого срабатывания антивируса протоколировался, равно как и его отсутствие.
Immunet AntiVirus 5.0.2
Облачный антивирус Immunet был разработан Cisco. Он устанавливается в ОС Windows XP — 10 любой разрядности и может работать совместно с другими антивирусами. Опционально к нему подключается движок ClamAV, который мы уже тестировали в составе Clam Sentinel.
Крошечный веб-инсталлятор размером в полмегабайта скачивает 16 Мбайт установочных файлов. После установки антивирус занимает 42 Мбайт. Сразу предлагается выполнить быстрое сканирование, на которое мы по традиции соглашаемся. По умолчанию отключены средства проверки ClamAV, а также сканирование архивов и упакованных исполняемых файлов. Это странная политика, но условия тестирования для всех должны быть одинаковы: используем настройки по умолчанию.
Трудно поверить, но и этот антивирус провалил все тесты. Забавно, что на фишинговой странице нам показали занимательную статистику, которая по стилю была похожа на рекламу внутри самого Immunet — в нем тоже приводятся внушительные цифры, взятые с потолка.
Immunet: 22,5 миллиона людей из 7,46 миллиарда защищены
Шесть лет назад редакция PCMag протестировала вторую версию этого антивируса и сформулировала свой вывод мягко: «Фактическое количество заблокированных установок [вредоносного ПО] было близко к 40 процентам. Это дополнительное средство, и компания не рекомендует использовать Immunet Free как единственную антивирусную защиту». Сейчас же мы не рекомендуем его использовать вовсе. Результат: 0 из 10.
Выводы
Итоговый результат напоминает метаадрес: 0.0.0.0. Впервые антивирусы пропустили абсолютно все тестовые угрозы. При этом даже невооруженным глазом мы видели редиректы, загрузку фишинговых страниц и такое, что лучше не видеть. Может, во время тестов сайты уже вылечили? Снова проверяем отобранные ссылки. VirusTotal даже увеличивает число срабатываний.
Статистика VirusTotal по четвертому тесту
Сканер Sucuri показывает скрытые фреймы и загрузку вредоносных джава-скриптов.
Отчет Sucuri о зараженной странице из теста № 5
Анализатор Quttera находит до восемнадцати инфицированных файлов на сайтах из списка.
18 инфицированных файлов на веб-странице из теста № 7
На гифки с сайта в шестом тесте реагирует даже «Защитник Windows», если его включить.
Даже Windows Defender видит зараженную гифку
В них используется интересный механизм сокрытия вредоносного кода. При открытии сайта загружается кнопка equal.jpg и другие гифки, содержащие инжект джава-скрипта. Скрипт последовательно перенаправляет браузер на другие зараженные веб-страницы через iframes. Пример кода ниже:
Как видишь, угрозы были подобраны вполне реальные, и на момент проверки все они были актуальны. Просто никто из участников сегодняшнего тестирования не заметил их в упор. Мы не искали зубастых зловредов и не создавали какой-то особой ситуации — наоборот, имитировали обычный веб-серфинг на новом компьютере. Именно с защитой от веб-угроз участники сегодняшнего теста не справились.
Возможно, они среагировали бы на уже проникших в систему зловредов, но активного заражения не происходило. В одних случаях при загрузке инфицированной веб-страницы возникала ошибка выполнения сценария, а в других просто отсутствовали нужные троянам уязвимые компоненты.
Парадоксально, что отсутствие антивируса может оказаться более надежной защитой, чем установка посредственного. Без прикрытия пользователь действует осторожнее. Кроме того, сторонние антивирусы отключают встроенный «Защитник Windows», но не всегда дотягивают даже до его уровня.
Вопрос о том, как именно защитные программы должны реагировать на веб-угрозы, всегда был спорным. Отмечу лишь, что антивирусы от Fortinet, Kaspersky, Sophos, Symantec и многие другие действуют иначе — с акцентом на превентивные меры. Они проверяют репутацию сайта еще до перехода пользователя на него, а затем сканируют весь код веб-страницы до ее передачи браузеру. В случае опасности они просто заменяют ее своей заглушкой. Если же вместо превентивного алгоритма использовать реактивный (не в смысле быстрый, а срабатывающий при попытке заражения), то мы получим вот таких подслеповатых сторожей. Каких-то троянов они смогут остановить, а каких-то не распознают. Проще не давать пользователю самой возможности «выстрелить себе в ногу».
Обнаружение или Защита
Обозначения в таблице
- Blocked – заблокированные угрозы
- User dependent – действие над угрозой зависит от решения пользователя
- Compromised – пропущенные угрозы
- Protection rate – общий уровень защиты
Пропущенные угрозы в процентах (меньше – лучше)
Используемый тестовый набор содержал 10,040 последних / распространенных вредоносных образца за последние несколько недель / месяцев.
Нажмите на график, чтобы перейти на сайт AV-Comparatives для получения подробной информации по каждому из продуктов.
Обозначения на графике
- Blocked (Блок, % )- заблокированные угрозы
- User dependent (Решение, %) – действие над угрозой зависит от решения пользователя
- Compromised (Пропуск, %) – пропущенные угрозы
- False Positives (Ложные) – ложные срабатывания
Результаты (таблица)
Вендоры | Блок % | Решение % | Пропуск % | Ложные |
---|---|---|---|---|
Avast | 99.98 | 0 | 0.02 | 10 |
AVG | 99.98 | 0 | 0.02 | 10 |
Avira | 99.96 | 0 | 0.04 | 1 |
Bitdefender | 99.99 | 0 | 0.01 | 8 |
ESET | 99.77 | 0 | 0.23 | 0 |
G DATA | 99.99 | 0 | 0.01 | 59 |
K7 | 99.85 | 0 | 0.15 | 25 |
Kaspersky | 99.98 | 0 | 0.02 | 2 |
Malwarebytes | 99.75 | 0 | 0.25 | 7 |
McAfee | 99.97 | 0 | 0.03 | 3 |
Microsoft | 99.96 | 0 | 0.03 | 5 |
NortonLifeLock | 100 | 0 | 0 | 4 |
Panda | 100 | 0 | 0 | 96 |
Total Defense | 99.98 | 0 | 0.02 | 8 |
TotalAV | 99.93 | 0 | 0.07 | 1 |
Trend Micro | 98.61 | 0 | 1.39 | 9 |
VIPRE | 99.98 | 0 | 0.02 | 9 |
Ложные срабатывания
Антивирус, который показывает высокий процент обнаружения угроз, но страдает от ложных срабатываний, не всегда лучше, чем антивирус, который обнаруживает меньше вредоносных файлов, но при этом генерирует меньше ложных тревог.
Читайте также: