• Главная
  • Карта сайта
Не найдено

Тест антивірусів: невідомі загрози з майбутнього. Відчуваємо KIS, Dr.Web Security Space, ESET Smart Security і Windows Defender

  1. Зміст статті Припустимо, у нас є 49 примірників актуальною малварі, які на все 100% відомі антивірусів...
  2. Kaspersky Internet Security
  3. Про шифрувальником
  4. Dr.Web Security Space
  5. Продовження доступно тільки учасникам
  6. Варіант 2. Відкрий один матеріал

Зміст статті

Припустимо, у нас є 49 примірників актуальною малварі, які на все 100% відомі антивірусів з сучасними базами. А що б ці антивіруси могли з ними зробити тиждень тому, коли ці зловредів ще не потрапили в руки вірусним аналітикам? Наскільки ефективно працює евристика і проактивний захист сучасних internet security, якщо перевірити її на реальних зловредів? І для цього зовсім не потрібно винаходити машину часу - просто законсервуємо піддослідні антивіруси в віртуалкою без доступу до інтернету, а через тиждень перевіримо їх на колекції новітньої малварі, яка вже детектується цими антивірусами з актуальними базами. Але антивіруси минулого про це, звичайно, ще не знають :).

У якості піддослідних кроликів будемо використовувати KIS, Dr.Web, ESET і Windows Defender. Все, крім останнього, будуть запущені в Win 7. Останній же буде працювати під управлінням Win 10 - є надія, що «десятка» краще захищена і навіть з таким решетом, як Defender, віруси не пройдуть. Що ж, перевіримо.

Ще раз про тестування

Ось що буде перевірятися: виявлення вірусу, блокування запуску вірусу і лікування зараження. Перший тест виконаємо при відключеною захисту - в режимі сканера. Для другого і третього тестів монітор антивіруса буде включений.

Після всього цього ми оновимо бази і порівняємо отриманий детект з попереднім результатом. Так як вірусів багато, «експонати» для перевірки запуску будуть відібрані самим антивірусом. Запустимо ті віруси, які виявляться не видалені в результаті детект-тесту. Нерозумно намагатися запустити вірус, який є в антивірусній базі, - будь-який антивірус заблокує його. Найцікавіше запустити вірус, який антивірусу «незнайомий».

Всі віруси в моїй збірці були розділені на групи: Backdoor, Worm, Virus і так далі. Пізніше буде наведено список всіх «героїв програми». Як бачиш, є з чого вибрати.

Як бачиш, є з чого вибрати

Моя добірка вірусів

Все операційки свіжі (спеціально встановлені для цієї статті), а інтернет був відключений відразу після установки антивіруса, щоб бази зі стовідсотковою гарантією залишилися старими.

Kaspersky Internet Security

Почнемо тестування з усім відомого Kaspersky Internet Security. Як видно з скрін нижче, антивірус був встановлений шість днів тому (залишилося 24 дні безкоштовного використання).

Як видно з скрін нижче, антивірус був встановлений шість днів тому (залишилося 24 дні безкоштовного використання)

Kaspersky Internet Security

Відключаємо антивірус, розпаковуємо архів з вірусами. Антивірус ми не активуємо, але запускаємо вибіркову перевірку (щоб він не став проганяти всі підряд, а сконцентрувався на одній папці) і перевіряємо папку Virus. Пам'ятаю, колись мені в 20-літрову каністру на заправці примудрилися залити 23 літра. Так і у випадку з Касперського - в папці з 49 файлів він примудрився знайти 80!

Результат перевірки

Мабуть, в один файл упаковано декілька інфекцій і антивірус відображає в списку окремо кожну з них. Подивимося докладний звіт.

Детальний звіт

Як видно з скрін, знайдено 45 загроз (з 49). Вірус Trojan.Win32.Waldek.jsu чомусь не був ні видалений, ні поміщений в карантин: антивірус його просто не обробив, хоча і виявив. Всього в папці Virus залишилося 11 файлів.

Залишилося 11 файлів

Найбільше вірусів вціліло в папці RansomWare. Як видно з скріншоту, файли з номерами 2, 4, 7 і 8 антивірус взагалі не чіпав. Цікаво буде подивитися на детект після оновлення баз.

Ще результати Касперського

Що ж, тепер активуємо захист і намагаємося запустити «вижили» віруси з папки Virus. Я запустив перші два файли з папки RansomWare (номера 2 і 4). Файл з номером 2 був розпізнаний як PDM: Trojan.Win32.Generic. Антивірус виявив небезпечну поведінку програми, «точно характеризує її як шкідливу».

Заблокований запуск програми

Запропонував зцілити комп'ютер з перезавантаженням. Погоджуємося. Почалося лікування, антивірус скасував дії шкідливої ​​програми і попутно усунув файл з номером 4.

лікування системи

Результати лікування мені не сподобалися. Після перезавантаження я не отримав чистий систему. Щось намагалося завантажитися, на робочому столі залишилися файли, створені вірусом. Дещо антивірус вичистив, але мені здається, що не всі. Попутно антивірус, звичайно, намагається лікувати створені вірусами об'єкти.

результат лікування результат лікування   Антивірус виявив ще заражені об'єкти Антивірус виявив ще заражені об'єкти

Продовжую запускати файли з папки RansomWare (номера 7 і 8). Відразу після запуску цих файлів, як і в попередньому випадку, моментальної реакції антивіруса не було, що дозволяє програмам розмножуватися. Антивірус почав реагувати вже після того, як віруси спробували відправляти електронні листи. Нічого у них не вийшло - у мене ні поштового клієнта, ні з'єднання з інтернетом!

Запізніла реакція антивіруса

Цікаво, але на файл з номером 8 антивірус Касперського так і не відреагував. Йдемо далі. З папки Scareware запускаю єдиний файл з такою ж назвою. Чекаю кілька хвилин. Від антивіруса реакції ніякої, а вірус тим часом, швидше за все, робить свої темні справи.

З папки TrojanCryptor запускаю файл з ім'ям TrojanCryptor (1). Шифрувальник - важка артилерія. Реакції антивіруса теж не було. Зате з'явилося віконце.

Зате з'явилося віконце

вікно трояна

Про шифрувальником

Троян запустився, реакції від антивіруса начебто немає, але дані залишилися незашифрованими, як і в разі ще з одним учасником цього тесту. А ось один з антивірусів допустив шифрування даних, як ти побачиш далі.

З папки Virus запускаю файли з номерами 4 і 8, потім з папки Worm - файли 6 і 8. Перший чомусь не запустився (помилки допускають не тільки розробники звичайних програм, але і вирусописатели). А на другий Касперський ніяк не відреагував.

Запускаю повну перевірку комп'ютера. Її мета - визначити заражені вірусами об'єкти і спробувати вилікувати комп'ютер. Після перезавантаження подивимося, що вийшло у антивіруса. Чесно кажучи, результати мене не порадували. Антивірус повідомив, що загрози не знайдено. Хоча шкідливі програми на комп'ютері залишилися. Глибоко копати не став - просто відкрив msconfig і подивився на список автозавантаження. Як бачиш, антивірус вичистив далеко не всі.

Як бачиш, антивірус вичистив далеко не всі

Загрози не знайдено Загрози не знайдено   Не всі видалено Не всі видалено

При перезавантаженні комп'ютера Касперський повідомив, що він надумав вилікувати мій комп'ютер, - виявлений активний процес лікування, в результаті якого все-таки був видалений файл Ransomware (8) .exe, а також файл worm (8) .exe.

Антивірус схаменувся

Схоже, що деякі шкідливі файли він вичистив. Після лікування активного зараження KIS знову повідомив, що загроз немає.

Знову загроз немає

Що ж, пора оновлювати бази. Бази оновлені, комп'ютер перезавантажений. Після перезавантаження запустився майстер відновлення після зараження, який запропонував виправити деякі моменти. Після роботи майстра знову перезавантажувати комп'ютер.

Майстер відновлення після зараження

Майстер дещо відновив, а дещо ні. Так, автозапуск очищено. Але не повністю - як видно, бажаючі запуститися ще залишилися. Файли -! RecOveR! *, Створені по всьому диску, теж не були видалені.

Не всі вичищено

Даю антивірусу ще один шанс і знову запускаю повну перевірку - на цей раз з новими базами. Загроз виявлено не було, множинні файли, створені вірусом, так і залишилися на комп'ютері.

Множинні файли, створені вірусом

Тепер повтор тесту на детект. Відключаю захист, розпаковую архів і запускаю вибіркову перевірку папки Virus. Після оновлення баз Касперський нейтралізував всі загрози (49). Загалом, що і слід було очікувати, адже ми спеціально включали в тест тільки справжню малваре, відому «антивірусів майбутнього».

Після оновлення баз всі загрози усунені

Dr.Web Security Space

У лінійці Dr.Web був обраний справжній монстр, інсталяційний файл якого важить 466 Мбайт, - Security Space. Більш компактний продукт Katana не підійшов, тому що в ньому немає сканера.

Продовження доступно тільки учасникам

Варіант 1. Приєднайся до товариства «Xakep.ru», щоб читати всі матеріали на сайті

Членство в співтоваристві протягом зазначеного терміну відкриє тобі доступ до ВСІХ матеріалами «Хакера», збільшить особисту накопичувальну знижку і дозволить накопичувати професійний рейтинг Xakep Score! Детальніше

Варіант 2. Відкрий один матеріал

Зацікавила стаття, але немає можливості стати членом клубу «Xakep.ru»? Тоді цей варіант для тебе! Зверни увагу: цей спосіб підходить тільки для статей, опублікованих більше двох місяців тому.


А що б ці антивіруси могли з ними зробити тиждень тому, коли ці зловредів ще не потрапили в руки вірусним аналітикам?
Наскільки ефективно працює евристика і проактивний захист сучасних internet security, якщо перевірити її на реальних зловредів?
Ru»?
Новости
Провайдеры:
  • 08.09.2015

    Batyevka.NET предоставляет услуги доступа к сети Интернет на территории Соломенского района г. Киева.Наша миссия —... 
    Читать полностью

  • 08.09.2015
    IPNET

    Компания IPNET — это крупнейший оператор и технологический лидер на рынке телекоммуникаций Киева. Мы предоставляем... 
    Читать полностью

  • 08.09.2015
    Boryspil.Net

    Интернет-провайдер «Boryspil.net» начал свою работу в 2008 году и на данный момент является одним из крупнейших поставщиков... 
    Читать полностью

  • 08.09.2015
    4OKNET

    Наша компания работает в сфере телекоммуникационных услуг, а именно — предоставлении доступа в сеть интернет.Уже... 
    Читать полностью

  • 08.09.2015
    Телегруп

    ДП «Телегруп-Украина» – IT-компания с 15-летним опытом работы на рынке телекоммуникационных услуг, а также официальный... 
    Читать полностью

  • 08.09.2015
    Софтлинк

    Высокая скоростьМы являемся участником Украинского центра обмена трафиком (UA — IX) с включением 10 Гбит / сек... 
    Читать полностью