Мы проверим в бою два британских авера, новый китайский антивирь с собственным движком и занятную чешскую разработку в стадии бета-версии. Все они доступны бесплатно и предлагают дополнительные уровни защиты, помимо базовой проверки системы. Смогут ли эти антивирусы одолеть полчища троянов и червей, которые мы им приготовили? Наши тесты других антивирусов Kaspersky Free, Avira Free, AVG Free и Avast! Free Comodo, Qihoo 360, Panda и Windows Defender Clam Sentinel, FortiClient, Tencent и NANO Антивирус Ad-Aware, Crystal Security, Sophos Home и ZoneAlarm Firewall Anvi Smart Defender Free, Baidu Antivirus, Immunet AntiVirus и Zillya! Bitdefender, Clearsight, Rising, Roboscan F-Secure Anti-Virus, G Data AntiVirus, eScan Anti-Virus, Webroot SecureAnywhere Kaspersky Total Security, Dr.Web Security Space, Norton Security Premium, K7 Ultimate Security Методика тестирования Для проверки каждого антивируса мы обеспечили максимально сходные условия. Сначала в VirtualBox создали тестовую виртуалку с чистой Windows 10 Pro (1909). Потом установили все обновления (кроме проблемных), настроили автоматический вход и автоподключение сетевой папки, отключили «Защитник Windows» и антивирус основной ОС. Затем мы сделали клоны виртуальной машины — свой для каждого авера. Непосредственно перед тестом антивирусы обновлялись. Их настройки оставались в дефолтных, поскольку именно так их и будет запускать большинство пользователей. Исключения были сделаны только в сторону повышения вероятности детекта. Мы убедились, что включена защита в реальном времени, а также отключили лимит для файлов по размеру и расширению, чтобы гарантированно проверялись все подряд. INFO Автор благодарит VX Heaven за предоставленные образцы. Краткое описание тестовых наборов со зловредами всех мастей приведено ниже. Основная часть: 100 бэкдоров для Windows; 100 сетевых червей (IM, IRC, email, P2P и другие); 100 троянов для Windows (банкеры, кликеры, даунлоадеры, дропперы и прочее); 100 компонентов навязчивой рекламы. Дополнительная часть: 100 бэкдоров для Linux; 37 руткитов для Windows; 87 зловредов, для которых на момент составления подборки отсутствовали сигнатуры. Они определялись только некоторыми эвристическими анализаторами; 49 примеров вредоносного кода для процессорных архитектур, отличных от x86 (MIPS, Motorola MC68K, SPARC, PowerPC). Базовая часть подборки нужна для проверки реакции антивируса на типовые угрозы для Windows, а вспомогательная позволяет оценить уровень эвристики и кросс-платформенной защиты. WARNING Все тесты выполнялись только в исследовательских целях. Необходимые файлы были загружены с общедоступных ресурсов. Разработчики протестированных антивирусов получили автоматические уведомления о результатах сканирования. Редакция и автор не несут ответственности за любой возможный вред. Huorong Internet Security Китайских антивирусов расплодилась уйма, однако разработчик Huorong Security был аккредитован Microsoft как доверенный поставщик антивирусного софта для Windows и хотя бы этим заслужил внимание. С официального сайта была загружена версия 5.0.37.6 от 16 ноября 2019 года размером 18,5 Мбайт. В ней заявлена полная поддержка 32- и 64-битных версий Windows от XP до 10. К сожалению, поддержки русского языка пока нет. Huorong Internet Security — главное окно и выбор языка После установки Huorong Internet Security обновился до версии 5.0.39.2. Антивирус занял около 40 Мбайт на диске и слабо нагружал систему даже при активации всех дополнительных компонентов защиты. Они включают в себя проактивный модуль, анализатор веб-трафика, систему обнаружения вторжений на хосте (HIPS) и файрвол. Два последних снижают риск добавления компьютера в ботнет и распространения заразы по локальной сети, блокируя аномальный трафик в любом направлении. Huorong — настройки антивируса и дополнительных компонентов Еще один актуальный компонент — защита от распространенных способов несанкционированного удаленного доступа (например, он детектит и блокирует брут пароля админского аккаунта). Также доступен контроль доступа приложений с возможностью задать свои правила для всех программ и вспомогательные инструменты безопасности. Среди них интересен модуль защиты от уязвимостей. Он препятствует применению известных эксплоитов, что особенно актуально для противодействия APT и таргетированным атакам. Huorong — набор встроенных утилит для анализа и очистки системы Huorong Internet Security использует собственный антивирусный движок под названием Cobra. Информации о нем найти не удалось. Известно лишь то, что он запускает проверяемый код в изолированной среде HVM (виртуальной машине Huorong). Тем интереснее будет его испытать! Тесты Антивирус Huorong не смог проверить ни один тестовый каталог в сетевой папке. Он просто зависал, бесконечно крутя анимацию сияющего щита. Никакого индикатора прогресса, никакой статистики — вообще ничего информативного при этом не выводилось. Тогда мы создали в корне диска C: подкаталог V и скопировали бэкдоры туда. Huorong позволил это сделать, но тут же опомнился и стал показывать во всплывающем окне, сколько разной заразы он обнаружил. Всплывающее окно Huorong во время проверки Нашел он немного: 52 штуки, а 48 из 100 бэкдоров остались на системном разделе. Huorong оставил почти половину зловредов Еще хуже антивирь «справился» с троянами, определив только 39 образцов, а 61 из 100 избежали детекта. Далее скриншоты не привожу, они все однотипные. С подборкой сетевых червей все тоже оказалось плачевно: он поместил в карантин 48 штук, а 52 из 100 остались нетронутыми. Из компонентов навязчивой рекламы Huorong распознал меньше половины: 49 отправились в карантин, а 51 из 100 остались на диске. Статистика детекта в основном раунде: Backdoors — 52%; NetWorms — 48%; Trojans — 39%; Adware — 49%. Проще говоря, Huorong определяет все типы угроз через одну. Более того, он делает это в несколько этапов. На каждой выборке из ста файлов антивирус трижды показывал всплывающее окно и заново подсчитывал число малварей, обнаруженных в той же папке. Проверить сразу всю он не может и, пока обнюхивает одних зловредов, никак не блокирует доступ к другим. В дополнительном раунде антивирус также не смог реабилитироваться. Из 37 руткитов он проигнорировал 22, а среди 87 малоизвестных угроз пропустил почти все, оставив 79 штук. Huorong не распознал ни одной угрозы среди написанных для процессорных архитектур, отличных от x86/x86-64. Эвристика и продвинутая защита у Huorong тоже оказались ни к черту. Сначала мы решили, что и зловредов для Linux он не увидит, но китайский антивирь немного подумал и удалил из подборки линуксовых малварей одну (99 остались). Лучше бы он вообще этого не делал — сошел бы за средний виндовый авер без претензий на защиту других платформ. Статистика детекта в дополнительном раунде: RootKITs — 40%; Heuristic — 9%; Linux malware — 1%; non-x86 threats — 0%. В общем, антивирус с основной задачей справился плохо. Отметим еще и следующие условные недостатки: нет возможности проверить трафик HTTPS (но нет и риска выполнения атаки типа «Касперский посередине» благодаря установке своего сертификата); нет средств облачной проверки, поэтому Huorong дольше реагирует на свежие угрозы. С другой стороны, ваши файлы останутся вашими, а не отправятся в облако «на анализ», когда вздумается антивирусу.