1. Зміст статті Припустимо, у нас є 49 примірників актуальною малварі, які на все 100% відомі антивірусів...
2. Kaspersky Internet Security
3. Про шифрувальником
4. Dr.Web Security Space
5. Продовження доступно тільки учасникам
6. Варіант 2. Відкрий один матеріал

Зміст статті

Припустимо, у нас є 49 примірників актуальною малварі, які на все 100% відомі антивірусів з сучасними базами. А що б ці антивіруси могли з ними зробити тиждень тому, коли ці зловредів ще не потрапили в руки вірусним аналітикам? Наскільки ефективно працює евристика і проактивний захист сучасних internet security, якщо перевірити її на реальних зловредів? І для цього зовсім не потрібно винаходити машину часу - просто законсервуємо піддослідні антивіруси в віртуалкою без доступу до інтернету, а через тиждень перевіримо їх на колекції новітньої малварі, яка вже детектується цими антивірусами з актуальними базами. Але антивіруси минулого про це, звичайно, ще не знають :).

У якості піддослідних кроликів будемо використовувати KIS, Dr.Web, ESET і Windows Defender. Все, крім останнього, будуть запущені в Win 7. Останній же буде працювати під управлінням Win 10 - є надія, що «десятка» краще захищена і навіть з таким решетом, як Defender, віруси не пройдуть. Що ж, перевіримо.

Ще раз про тестування

Ось що буде перевірятися: виявлення вірусу, блокування запуску вірусу і лікування зараження. Перший тест виконаємо при відключеною захисту - в режимі сканера. Для другого і третього тестів монітор антивіруса буде включений.

Після всього цього ми оновимо бази і порівняємо отриманий детект з попереднім результатом. Так як вірусів багато, «експонати» для перевірки запуску будуть відібрані самим антивірусом. Запустимо ті віруси, які виявляться не видалені в результаті детект-тесту. Нерозумно намагатися запустити вірус, який є в антивірусній базі, - будь-який антивірус заблокує його. Найцікавіше запустити вірус, який антивірусу «незнайомий».

Всі віруси в моїй збірці були розділені на групи: Backdoor, Worm, Virus і так далі. Пізніше буде наведено список всіх «героїв програми». Як бачиш, є з чого вибрати.

Моя добірка вірусів

Все операційки свіжі (спеціально встановлені для цієї статті), а інтернет був відключений відразу після установки антивіруса, щоб бази зі стовідсотковою гарантією залишилися старими.

Kaspersky Internet Security

Почнемо тестування з усім відомого Kaspersky Internet Security. Як видно з скрін нижче, антивірус був встановлений шість днів тому (залишилося 24 дні безкоштовного використання).

Kaspersky Internet Security

Відключаємо антивірус, розпаковуємо архів з вірусами. Антивірус ми не активуємо, але запускаємо вибіркову перевірку (щоб він не став проганяти всі підряд, а сконцентрувався на одній папці) і перевіряємо папку Virus. Пам'ятаю, колись мені в 20-літрову каністру на заправці примудрилися залити 23 літра. Так і у випадку з Касперського - в папці з 49 файлів він примудрився знайти 80!

Результат перевірки

Мабуть, в один файл упаковано декілька інфекцій і антивірус відображає в списку окремо кожну з них. Подивимося докладний звіт.

Детальний звіт

Як видно з скрін, знайдено 45 загроз (з 49). Вірус Trojan.Win32.Waldek.jsu чомусь не був ні видалений, ні поміщений в карантин: антивірус його просто не обробив, хоча і виявив. Всього в папці Virus залишилося 11 файлів.

Залишилося 11 файлів

Найбільше вірусів вціліло в папці RansomWare. Як видно з скріншоту, файли з номерами 2, 4, 7 і 8 антивірус взагалі не чіпав. Цікаво буде подивитися на детект після оновлення баз.

Ще результати Касперського

Що ж, тепер активуємо захист і намагаємося запустити «вижили» віруси з папки Virus. Я запустив перші два файли з папки RansomWare (номера 2 і 4). Файл з номером 2 був розпізнаний як PDM: Trojan.Win32.Generic. Антивірус виявив небезпечну поведінку програми, «точно характеризує її як шкідливу».

Заблокований запуск програми

Запропонував зцілити комп'ютер з перезавантаженням. Погоджуємося. Почалося лікування, антивірус скасував дії шкідливої ​​програми і попутно усунув файл з номером 4.

лікування системи

Результати лікування мені не сподобалися. Після перезавантаження я не отримав чистий систему. Щось намагалося завантажитися, на робочому столі залишилися файли, створені вірусом. Дещо антивірус вичистив, але мені здається, що не всі. Попутно антивірус, звичайно, намагається лікувати створені вірусами об'єкти.

результат лікування Антивірус виявив ще заражені об'єкти

Продовжую запускати файли з папки RansomWare (номера 7 і 8). Відразу після запуску цих файлів, як і в попередньому випадку, моментальної реакції антивіруса не було, що дозволяє програмам розмножуватися. Антивірус почав реагувати вже після того, як віруси спробували відправляти електронні листи. Нічого у них не вийшло - у мене ні поштового клієнта, ні з'єднання з інтернетом!

Запізніла реакція антивіруса

Цікаво, але на файл з номером 8 антивірус Касперського так і не відреагував. Йдемо далі. З папки Scareware запускаю єдиний файл з такою ж назвою. Чекаю кілька хвилин. Від антивіруса реакції ніякої, а вірус тим часом, швидше за все, робить свої темні справи.

З папки TrojanCryptor запускаю файл з ім'ям TrojanCryptor (1). Шифрувальник - важка артилерія. Реакції антивіруса теж не було. Зате з'явилося віконце.

вікно трояна

Про шифрувальником

Троян запустився, реакції від антивіруса начебто немає, але дані залишилися незашифрованими, як і в разі ще з одним учасником цього тесту. А ось один з антивірусів допустив шифрування даних, як ти побачиш далі.

З папки Virus запускаю файли з номерами 4 і 8, потім з папки Worm - файли 6 і 8. Перший чомусь не запустився (помилки допускають не тільки розробники звичайних програм, але і вирусописатели). А на другий Касперський ніяк не відреагував.

Запускаю повну перевірку комп'ютера. Її мета - визначити заражені вірусами об'єкти і спробувати вилікувати комп'ютер. Після перезавантаження подивимося, що вийшло у антивіруса. Чесно кажучи, результати мене не порадували. Антивірус повідомив, що загрози не знайдено. Хоча шкідливі програми на комп'ютері залишилися. Глибоко копати не став - просто відкрив msconfig і подивився на список автозавантаження. Як бачиш, антивірус вичистив далеко не всі.

Загрози не знайдено Не всі видалено

При перезавантаженні комп'ютера Касперський повідомив, що він надумав вилікувати мій комп'ютер, - виявлений активний процес лікування, в результаті якого все-таки був видалений файл Ransomware (8) .exe, а також файл worm (8) .exe.

Антивірус схаменувся

Схоже, що деякі шкідливі файли він вичистив. Після лікування активного зараження KIS знову повідомив, що загроз немає.

Знову загроз немає

Що ж, пора оновлювати бази. Бази оновлені, комп'ютер перезавантажений. Після перезавантаження запустився майстер відновлення після зараження, який запропонував виправити деякі моменти. Після роботи майстра знову перезавантажувати комп'ютер.

Майстер відновлення після зараження

Майстер дещо відновив, а дещо ні. Так, автозапуск очищено. Але не повністю - як видно, бажаючі запуститися ще залишилися. Файли -! RecOveR! *, Створені по всьому диску, теж не були видалені.

Не всі вичищено

Даю антивірусу ще один шанс і знову запускаю повну перевірку - на цей раз з новими базами. Загроз виявлено не було, множинні файли, створені вірусом, так і залишилися на комп'ютері.

Множинні файли, створені вірусом

Тепер повтор тесту на детект. Відключаю захист, розпаковую архів і запускаю вибіркову перевірку папки Virus. Після оновлення баз Касперський нейтралізував всі загрози (49). Загалом, що і слід було очікувати, адже ми спеціально включали в тест тільки справжню малваре, відому «антивірусів майбутнього».

Після оновлення баз всі загрози усунені

Dr.Web Security Space

У лінійці Dr.Web був обраний справжній монстр, інсталяційний файл якого важить 466 Мбайт, - Security Space. Більш компактний продукт Katana не підійшов, тому що в ньому немає сканера.

Продовження доступно тільки учасникам

Варіант 1. Приєднайся до товариства «Xakep.ru», щоб читати всі матеріали на сайті

Членство в співтоваристві протягом зазначеного терміну відкриє тобі доступ до ВСІХ матеріалами «Хакера», збільшить особисту накопичувальну знижку і дозволить накопичувати професійний рейтинг Xakep Score! Детальніше

Варіант 2. Відкрий один матеріал

Зацікавила стаття, але немає можливості стати членом клубу «Xakep.ru»? Тоді цей варіант для тебе! Зверни увагу: цей спосіб підходить тільки для статей, опублікованих більше двох місяців тому.