Обзор Тестирование антивирусов 2011

[Stesh]

Этап первый, подготовка

Исходные данные

Физический комп с установленной лицензионной Windows XP Pro SP3 Rus

Железо:

В общем железо особой роли и не играет, суть в том, что во время тестов оно не будет меняться.

Windows обновлена всеми заплатками, стоит такой софт (или бесплатный, или триал, конкретно акронис, winrar и радмин)

Акронис будет клонировать чистую систему на второй винт, после чего винт физически отключается, все тесты будут проходить на втором винчестере, после теста система возвращается в исходное положение тем же акронисом.

Радмин - это удаленное управление, там где это возможно (некоторые антивирусы не позволят управлять собой таким образом, но об этом позднее)

Сама система немного протвикана:

Отключены службы

• Беспроводная настройка
• Брандмауэр Windows/Общий доступ к Интернету (ICS)
• Веб-клиент
• Вторичный вход в систему
• Клиент отслеживания изменившихся связей
• Модуль поддержки NetBIOS через TCP/IP
• Обозреватель компьютеров
• Определение оборудования оболочки
• Планировщик заданий
• Сервер
• Служба восстановления системы
• Служба обнаружения SSDP
• Служба сетевого расположения (NLA)
• Удаленный реестр
• Центр обеспечения безопасности

Я считаю, это оптимально для безопасности, не в ущерб юзабилити системы (видеокаталог и прочее работает, инет запускается).

Отключен автозапуск. Еще кое чего по мелочи, не критичного.

Две сетевых карты, одна смотрит в инмарт, через вторую обеспечивается инет на комп, контроль сетевой активности, удаленное управление.

[Stesh]

Выбор вирусов для тестирования.

Что бы не было обидно, тестирование пройдет на вирусах, популярных и отловленных конкретно в нашей сети. Т.е. не будет ни дос-вирусов, ни другой подобной экзотики, зато! попробуем заразить комп некоторыми вирусами и посмотрим на поведение антивиря.

Список вирусов для тестирования довольно грозный (все вирусы - живые, это не семплы, они в том виде, в котором распространяются по сети). С личной коллекции.

Код:

Backdoor.Win32.Agent.aph
Backdoor.Win32.Agent.aqh
Backdoor.Win32.Agent.aqq
Backdoor.Win32.Agent.aqt
Backdoor.Win32.Agent.cjr
Backdoor.Win32.Agent.mui
Backdoor.Win32.Bifrose.avo
Backdoor.Win32.Delf.iuh
Backdoor.Win32.Delf.vjn
Backdoor.Win32.Hupigon.bvvq
Backdoor.Win32.Hupigon.extr
Backdoor.Win32.IRCBot.opx
Backdoor.Win32.Nepoe.c
Backdoor.Win32.Papras.st
Backdoor.Win32.Papras.tb
Backdoor.Win32.PcClient.acak
Backdoor.Win32.PCRASHER.a
Backdoor.Win32.Polka.l
Backdoor.Win32.Prorat.19.ahv
Backdoor.Win32.Small.dym
Backdoor.Win32.Small.hsd
Backdoor.Win32.Small.uz
Backdoor.Win32.TDSS.ano
Backdoor.Win32.VB.mez
Email-Flooder.Win32.Agent.al
Email-Flooder.Win32.Agent.an
Email-Worm.Win32.Joleee.fgg
Hoax.Win32.ArchSMS.jlk
Hoax.Win32.Bravia.l
Net-Worm.Win32.Kido.dam.n
Net-Worm.Win32.Kido.dam.o
Net-Worm.Win32.Kido.ih
Net-Worm.Win32.Kido.ir
P2P-Worm.Win32.Palevo.aary
P2P-Worm.Win32.Palevo.awke
P2P-Worm.Win32.Palevo.jub
Packed.Win32.Black.a
Packed.Win32.Katusha.b
Packed.Win32.Katusha.o
Packed.Win32.Klone.av
Packed.Win32.Klone.aw
Packed.Win32.Klone.bh
Packed.Win32.Klone.h
Packed.Win32.Krap.aq
Packed.Win32.Krap.de
Packed.Win32.Krap.gk
Packed.Win32.Krap.hd
Packed.Win32.PePatch.li
Packed.Win32.PolyCrypt.m
Packed.Win32.TDSS.aa
Packed.Win32.TDSS.c
Packed.Win32.TDSS.z_
Rootkit.Win32.TDSS.bj
Rootkit.Win32.TDSS.ce
Rootkit.Win32.TDSS.cf
Rootkit.Win32.TDSS.mbr
Rootkit.Win64.TDSS.a
Trojan-Banker.Win32.Banz.ewk
Trojan-Banker.Win32.Banz.exe_
Trojan-Clicker.Win32.Agent.ohx
Trojan-Downloader.Win32.Agent.emmw
Trojan-Downloader.Win32.Agent.emvh
Trojan-Downloader.Win32.Agent.emwo
Trojan-Downloader.Win32.Agent.epcd
Trojan-Downloader.Win32.CodecPack.mqm
Trojan-Downloader.Win32.CodecPack.mra
Trojan-Downloader.Win32.CodecPack.mrb
Trojan-Downloader.Win32.FraudLoad.xfwi
Trojan-Downloader.Win32.FraudLoad.xfwy
Trojan-Downloader.Win32.FraudLoad.xfzo
Trojan-Downloader.Win32.Genome.azvb
Trojan-Downloader.Win32.Mufanom.afjo
Trojan-Downloader.Win32.Mufanom.ahyu
Trojan-Downloader.Win32.Small.atwe
Trojan-Downloader.Win32.Small.auic
Trojan-Downloader.Win32.Small.fyn
Trojan-Downloader.Win32.Small.kpg
Trojan-Downloader.Win32.Small.ksc
Trojan-Downloader.Win32.Small.ksd
Trojan-Dropper.Win32.Agent.btzb
Trojan-Dropper.Win32.Agent.cuzk
Trojan-Dropper.Win32.Agent.cvey
Trojan-Dropper.Win32.Agent.cvfv
Trojan-Dropper.Win32.Agent.cvgn
Trojan-Dropper.Win32.Agent.cvgy
Trojan-Dropper.Win32.FrauDrop.bep
Trojan-Dropper.Win32.Pincher.eu
Trojan-Dropper.Win32.Pincher.fa
Trojan-Dropper.Win32.Pincher.fb
Trojan-Dropper.Win32.Scheduler.ui
Trojan-Dropper.Win32.Scheduler.uo
Trojan-Dropper.Win32.Small.enw
Trojan-Dropper.Win32.Small.gei
Trojan-Dropper.Win32.Steps.lg
Trojan-Dropper.Win32.Steps.ls
Trojan-Dropper.Win32.TDSS.ah
Trojan-Dropper.Win32.TDSS.ak
Trojan-Dropper.Win32.TDSS.frv
Trojan-Dropper.Win32.TDSS.fsa
Trojan-Dropper.Win32.TDSS.fsd
Trojan-Dropper.Win32.TDSS.ftw
Trojan-Dropper.Win32.TDSS.h
Trojan-Dropper.Win32.TDSS.htd
Trojan-GameThief.Win32.Magania.cwgq
Trojan-GameThief.Win32.Magania.dttd
Trojan-PSW.Win32.Papras.ace_
Trojan-Ransom.Win32.PornoBlocker.asz
Trojan-Spy.Win32.SpyEyes.alp
Trojan-Spy.Win32.Wemon.zu
Trojan-Spy.Win32.Zbot.aocm
Trojan-Spy.Win32.Zbot.aocy
Trojan-Spy.Win32.Zbot.aodq
Trojan-Spy.Win32.Zbot.aoqs
Trojan-Spy.Win32.Zbot.aoqy
Trojan-Spy.Win32.Zbot.aorc
Trojan-Spy.Win32.Zbot.aown
Trojan-Spy.Win32.Zbot.apfp
Trojan.Win32.Agent.dyur
Trojan.Win32.Agent.ffvx
Trojan.Win32.Agent2.cuon
Trojan.Win32.Antavmu.ipj
Trojan.Win32.Autoit.aco
Trojan.Win32.Autoit.agz
Trojan.Win32.Autoit.xp
Trojan.Win32.BHO.alch
Trojan.Win32.Cosmu.dxj
Trojan.Win32.Cosmu.ebo
Trojan.Win32.Cosmu.eww
Trojan.Win32.Cosmu.kub
Trojan.Win32.FakeAV.fyf
Trojan.Win32.FakeAV.gpl
Trojan.Win32.FakeAV.grs
Trojan.Win32.FraudPack.bgxg
Trojan.Win32.FraudPack.bjuz
Trojan.Win32.FraudPack.bkto
Trojan.Win32.FraudPack.bldd
Trojan.Win32.FraudPack.blgu
Trojan.Win32.FraudPack.blkg
Trojan.Win32.FraudPack.blmf
Trojan.Win32.Inject.avfd
Trojan.Win32.Jorik.SdBot.en
Trojan.Win32.Jorik.Skor.dr
Trojan.Win32.Jorik.SpyEyes.ck
Trojan.Win32.Jorik.SpyEyes.cn
Trojan.Win32.Monder.cxlx
Trojan.Win32.Oficla.ls
Trojan.Win32.Oficla.xh
Trojan.Win32.Pakes.csf
Trojan.Win32.Pasmu.j
Trojan.Win32.Pincav.aifv
Trojan.Win32.Refroso.bift
Trojan.Win32.Scar.cuvu
Trojan.Win32.Swisyn.alky
Trojan.Win32.Swisyn.alvz
Trojan.Win32.Tdss.avdc
Trojan.Win32.Tdss.avdd
Trojan.Win32.TDSS.avkh
Trojan.Win32.Tdss.avmt
Trojan.Win32.TDSS.avsa
Trojan.Win32.Tdss.awfb
Trojan.Win32.Tdss.awfq
Trojan.Win32.TDSS.awxq
Trojan.Win32.TDSS.axgm
Trojan.Win32.TDSS.axhs
Trojan.Win32.TDSS.axtg
Trojan.Win32.Tdss.azxo
Trojan.Win32.Tdss.baao
Trojan.Win32.Tdss.bbkz
Trojan.Win32.TDSS.bkaq
Trojan.Win32.TDSS.bkas
Trojan.Win32.TDSS.bktg
Trojan.Win32.TDSS.bkzq
Trojan.Win32.VB.adwr
Trojan.Win32.VB.aksm
Trojan.Win32.VB.akst
Trojan.Win32.VBKrypt.te
Virus.Win32.Sality.aa
Virus.Win32.Sality.i
Virus.Win32.Sality.v
Virus.Win32.Sality.x
Virus.Win32.Tenga.a
Worm.Win32.AutoIt.xl
Worm.Win32.AutoRun.ake
Worm.Win32.AutoRun.fzd
Worm.Win32.AutoRun.uz
Worm.Win32.VBNA.b
Worm.Win32.Viking.ko

Итого - 187 вирусов.

[Stesh]

Самый первый кандидат - это Avast. Точнее его бесплатная версия, самый популярный в нашей сети антивирус из числа бесплатных.

После загрузки дистрибутива с оффсайта, устанавливаем. Причем удаленно, радмином). Перезагрузка не понадобилась. Обновляем и перегружаем комп (на всякий случай).

[Stesh]

Продолжаем.

После перезагрузки, при рабочем, живом антивире, спокойно упаковал в архив вирусы! - антивирус даже не пикнул ни на один.

Я открыл папку с вирусами - антивирус молчит

Запускаем полное сканирование системы, посмотрим сколько это займет времени и с какими результатами.

[zloykif]

Еще бы опрос прикрутить "какой по вашему мнению антивирус лучше" из тех что тестируются)
Сделаем ставки так сказать =D
ПС: что касается аваста, по личному опыту ну очень много пропускает и после его проверки можно найти еще много чего %)

[Stesh]

 Цитата от zloykif

ще бы опрос прикрутить "какой по вашему мнению антивирус лучше" из тех что тестируются)

Не-не, здесь методично перемоем косточки всем популярным у нас антивирям, посмотрим, кто как себя ведет. Настройки дефолтные, винда стандартная, вирусы родные.

 Цитата от zloykif

что касается аваста, по личному опыту ну очень много пропускает и после его проверки можно найти еще много чего %)

Кажется, на скрине явно показан секрет быстродействия антивиря - он просто не трогает того, чего не запускается. Иначе он бы мне не дал упаковать вирусы, да и просто посмотреть на них тоже не дал бы)

[Stesh]

Сканирование окончено.

Результаты:

13 минут 45 секунд - это очень хороший результат. Обнаружен 151 вирус.

Запихаем в карантин

Посмотрим, что осталось

А осталось у нас 40 вирусов.

Вот они:

• Backdoor.Win32.Agent.aph.exe
• Backdoor.Win32.Agent.aqh.exe
• Backdoor.Win32.Agent.aqq.exe
• Backdoor.Win32.Agent.aqt.exe
• Backdoor.Win32.Agent.cjr.exe
• Backdoor.Win32.Agent.mui.exe
• Backdoor.Win32.Bifrose.avo.exe
• Backdoor.Win32.Delf.iuh.exe
• Backdoor.Win32.Hupigon.bvvq.exe
• Backdoor.Win32.Hupigon.extr.exe
• Backdoor.Win32.PcClient.acak.exe
• Backdoor.Win32.PCRASHER.a.exe
• Backdoor.Win32.Polka.l.exe
• Backdoor.Win32.Prorat.19.ahv.exe
• Backdoor.Win32.Small.dym.exe
• Backdoor.Win32.Small.hsd.exe
• Backdoor.Win32.Small.uz.exe
• Hoax.Win32.ArchSMS.jlk.exe
• Hoax.Win32.Bravia.l.exe
• P2P-Worm.Win32.Palevo.jub.exe
• Packed.Win32.Black.a.exe
• Packed.Win32.Katusha.b.exe
• Packed.Win32.Klone.av.exe
• Packed.Win32.Klone.aw.exe
• Packed.Win32.Klone.bh.exe
• Packed.Win32.Klone.h.exe
• Packed.Win32.Krap.de.exe
• Packed.Win32.Krap.gk.exe
• Packed.Win32.PePatch.li.exe
• Packed.Win32.PolyCrypt.m.exe
• Packed.Win32.TDSS.c.exe
• Rootkit.Win32.TDSS.mbr.exe
• Trojan.Win32.Autoit.aco.exe
• Trojan.Win32.Autoit.xp.exe
• Trojan.Win32.Jorik.SdBot.en.exe
• Trojan.Win32.Scar.cuvu.exe
• Worm.Win32.AutoIt.xl.exe
• Worm.Win32.AutoRun.ake.exe
• Worm.Win32.AutoRun.fzd.exe
• Worm.Win32.AutoRun.uz.exe

[Stesh]

При распаковке архива обратно, антивирус реагирует

Восстановим с карантина такие вирусы:

• Backdoor.Win32.Delf.iuh.exe
• Email-Flooder.Win32.Agent.al.exe
• Net-Worm.Win32.Kido.dam.n.exe
• Net-Worm.Win32.Kido.dam.o.exe
• Net-Worm.Win32.Kido.ih.exe
• Packed.Win32.Klone.av.exe
• Rootkit.Win32.TDSS.a.exe
• Trojan-Spy.Win32.Zbot.apfp.exe
• Trojan.Win32.Jorik.SdBot.en.exe
• Virus.Win32.Sality.aa.exe
• Worm.Win32.Viking.ko.exe
• Worm.Win32.AutoIt.xl

И попробуем их запустить

[Stesh]

В итоге, windows успешно заражена вирусом, экспресс-сканирование ничего не показало. Извольте убедиться.

После перезагрузки имеем тормоза, кучу ошибок, лжеантивирус и прочие прелести при отсутвующем авасте. При попытке лечения синий экран и больше загрузить систему не получилось.

[< LloYd BaNk$ >]

Какие еще антивирусы будут тестироваться?

[zloykif]

Зато у аваста есть 3 плюса
1) УГРОЗ НЕ ОБНАРУЖЕНО - Меньше знаешь крепче спишь
2) Красивые менюшки и озвучка событий
3) И единственный реальный положительный момент это проверка на вирусы до загрузки ОС, такая функция многим антивирусам не помешала бы

[Stesh]

 Цитата от < LloYd BaNk$ >

Какие еще антивирусы будут тестироваться?

Большие, маленькие и два зеленых.

 Цитата от zloykif

Зато у аваста есть 3 плюса

И быстрый. Я же показал - то, что не запускаем - игнорируем. Отсюда и скорость.

Следующий - AVG Free Edition

[< LloYd BaNk$ >]

 Цитата от Stesh

Большие, маленькие и два зеленых.

Ага, с красивыми менюшками и большими "Букавами".
А конкретно сложно сказать?

[Stesh]

AVG. С официального сайта скачиваем web-инсталятор в 4,7 метра, выбираем русский язык, прочие настройки и ставим.
112 метров - некислый дистрибутив.

Скачался/установился быстро, перезагрузки не потребовал.


Обновил антивирусные базы и готов к работе.

На всякий случай перегрузим комп и приступим

[Stesh]

После перезагрузки, при попытке запаковать архив с вирусами, AVG даже притормозил комп, но честно показал угрозу

При попытке открыть папку с вирусами, выпало аналогичное окно

Запускаем полное сканирование компа.

[Nisadoji]

Stesh, не забудь тестануть Microsoft Security Essentials :)

[Stesh]

Полное сканирование компа AVG

Итого: 150 вирусов + 4 шпионских перемещены в хранилище. Заняло сканирование 13 минут 58 секунд.

Кстати, хранилище реализовано в виде простой скрытой папки (так же как и в прежних версиях) - просто переименованные файлы с расширением fil

Не обнаружено 40 вирусов:

• Backdoor.Win32.Agent.aph.exe
• Backdoor.Win32.Agent.aqh.exe
• Backdoor.Win32.Agent.aqq.exe
• Backdoor.Win32.Agent.aqt.exe
• Backdoor.Win32.Agent.cjr.exe
• Backdoor.Win32.Agent.mui.exe
• Backdoor.Win32.Bifrose.avo.exe
• Backdoor.Win32.Delf.iuh.exe
• Backdoor.Win32.Hupigon.bvvq.exe
• Backdoor.Win32.Hupigon.extr.exe
• Backdoor.Win32.Nepoe.c.exe
• Backdoor.Win32.PcClient.acak.exe
• Backdoor.Win32.PCRASHER.a.exe
• Backdoor.Win32.Polka.l.exe
• Backdoor.Win32.Prorat.19.ahv.exe
• Backdoor.Win32.Small.dym.exe
• Backdoor.Win32.Small.hsd.exe
• Backdoor.Win32.Small.uz.exe
• Hoax.Win32.ArchSMS.jlk.exe
• Hoax.Win32.Bravia.l.exe
• P2P-Worm.Win32.Palevo.awke.exe
• P2P-Worm.Win32.Palevo.jub.exe
• Packed.Win32.Black.a.exe
• Packed.Win32.Katusha.b.exe
• Packed.Win32.Klone.av.exe
• Packed.Win32.Klone.aw.exe
• Packed.Win32.Klone.bh.exe
• Packed.Win32.Klone.h.exe
• Packed.Win32.Krap.de.exe
• Packed.Win32.Krap.gk.exe
• Packed.Win32.PePatch.li.exe
• Packed.Win32.PolyCrypt.m.exe
• Packed.Win32.TDSS.c.exe
• Rootkit.Win32.TDSS.mbr.exe
• Trojan.Win32.Autoit.xp.exe
• Virus.Win32.Sality.v.exe
• Virus.Win32.Sality.x.exe
• Worm.Win32.AutoRun.ake.exe
• Worm.Win32.AutoRun.fzd.exe
• Worm.Win32.AutoRun.uz.exe

Пробуем заразить комп вирусами

• Backdoor.Win32.Delf.iuh.exe
• Email-Flooder.Win32.Agent.al.exe
• Net-Worm.Win32.Kido.dam.n.exe
• Net-Worm.Win32.Kido.dam.o.exe
• Net-Worm.Win32.Kido.ih.exe
• Packed.Win32.Klone.av.exe
• Rootkit.Win32.TDSS.a.exe
• Trojan-Spy.Win32.Zbot.apfp.exe
• Trojan.Win32.Jorik.SdBot.en.exe
• Virus.Win32.Sality.aa.exe
• Worm.Win32.Viking.ko.exe
• Worm.Win32.AutoIt.xl

[Stesh]

После заражения и перезагрузки, антивирус не только устоял на ногах, но и пытается лечиться

После попросил перезагрузку, потом долечиваем

[Stesh]

В итоге худо-бедно, но в паре с DrWebCureIt! долечил комп

Минус - визуально тяжелее аваста. Зато убил вирус, который даже не знал )

[Stesh]

Следующий кандидат на тестирование - антивирус Avira, точнее его бесплатная версия

Довольно компактный инсталятор (41 метр), быстренько поставился, обновился, радует проверка критических областей при первом запуске. Интерфейс - англоязычный, официально русского в бесплатной версии нет.

И так, приступим. После перезагрузки (хотя антивирус ее не требовал):

Архив запаковать авира не дала, перехватив вирусы.

Посмотрим, что скажет полное сканирование компа.

[Stesh]

Результаты сканирования удивляют. 18 минут, 222 вируса (откуда? я только 187 ложил), но тем не менее результат - только 4 штуки пропустил

Проверим на устойчивость и на лечение.

Пробуем заразить комп вирусами

• Backdoor.Win32.Delf.iuh.exe
• Email-Flooder.Win32.Agent.al.exe
• Net-Worm.Win32.Kido.dam.n.exe
• Net-Worm.Win32.Kido.dam.o.exe
• Net-Worm.Win32.Kido.ih.exe
• Packed.Win32.Klone.av.exe
• Rootkit.Win32.TDSS.a.exe
• Trojan-Spy.Win32.Zbot.apfp.exe
• Trojan.Win32.Jorik.SdBot.en.exe
• Virus.Win32.Sality.aa.exe
• Worm.Win32.Viking.ko.exe
• Worm.Win32.AutoIt.xl

[Stesh]

А вот с активным заражением у авиры получилось туго. Система упала в синий экран и более с него не поднялась даже в безопасном режиме. Даже аваст держался куда успешней. Подключив винт к исходной системе, была возможность просмотреть и убедиться в успешном заражении, лечить же систему задачи не было.

А вот еще один "классический" пример - имитация имени настоящего файла, авось примелькается и его не заметят

[Stesh]

Следующий антивирус, который мы помучаем - Comodo antivirus. Забегая вперед, замечу, что у этого антивируса уже есть очень сильный механизм проактивной защиты, как у "взрослых" антивирусных решений.

И так. Все начинается с web-инсталятора. Русский язык в наличии.

После установки, антивирус попросил перезагрузку. Это нормальное явление в связи с необходимостью установки драйвера-перехватчика.

Зато после установки, антивирь немедля заблокировал радмин, как потенциально опасную программу. Пришлось разблокировать вручную

Обновил антивирусные базы. Чуток осмотрим антивирус:

А вот и проактивная защита:

Запаковать архив антивирь мне не дал.

Обратите внимание, антивирус заблокировал сам архиватор, как взаимодействующий с вирусами. Все антивирусы ранее блокировали сами вирусы (см на ошибку архиватора "файл недоступен").

Открыть папку с вирусами антивирь мне тоже не дал

Посмотрим, что у него со скоростью и качеством сканирования.

[Stesh]

Продолжаем. Сканирование системы заняло 35 минут 41 секунду. Найдено 179 вирусов

Не найдено 8 вирусов

[Stesh]

Пойдем на хитрость. Заражение COMODO вирусом, который он не знает. Это хороший тест для проактивной защиты.

Дальше в картинках

Пока я не разрешу действие, вирус не может действовать. Разрешаем и получаем:

Опять нужно подтвердить свой выбор - вирус пытается внедриться в систему. Аналогичное поведение с другими вирусами