Сегодня мы продолжим тестировать качество антивирусных продуктов, а именно займемся исследованием такой технологии как анализ поведения программы во время её исполнения (HIPS). Поскольку многие посчитали тестирование возможностей лишь одной проактивной защиты слишком субъективным (О возможностях антивирусов. Часть 1), то самое время проверить, на что же способны антивирусы в полевых условиях на самом деле.
Для наших тестов будем использовать всё тот же классический Trojan-Downloader из предыдущей части. Загружать и исполнять он будет небезызвестного SSH клиента Putty. Формально программа вредоносным ПО называться не может, однако технология HIPS просто обязана отреагировать на поведение данного исполняемого файла. Как она это сделает – мы сейчас и проверим.
Что ж, установим подопытные образцы антивирусных продуктов на виртуальную машину и начнём тестирование. В нём примут участие следующие антивирусные продукты: KIS, Avast, Avira, NOD32, Northon, ESET Smart Security, AVG, Panda, Dr.WEB и Comodo. Пойдём в алфавитном порядке.
Итак, наш первый испытуемый — это Avast, один из самых известных бесплатных антивирусов. Запускаем наш тестовый исполняемый файл и через несколько секунд перед нами появляется окошко Putty. Avast не справился с заданием, и получает чистую двойку по пятибалльной шкале.
Вторым по списку идёт широко известный за рубежом AVG. Запускаем файл… и… никакой реакции от антивируса – Putty загружен и запущен! Сказать больше нечего.
Следом идёт ещё один бесплатный антивирус Avira. Открываем папку и…
…даже не успеваем запустить файл. Доблестная Avira заблаговременно заблокировала доступ к файлу и попыталась его удалить. Причём выдала до боли знакомое предупреждение о наличии в файле некого TR/Crypt.XPACK.Gen. Для тех, кто ещё не знает, как Avira детектит малварь, выкладываю ссылку для ознакомления. Учитывая все эти факты, результаты данного антивируса выглядят несколько подозрительно, хотя формально Avira и справилась с заданием. Так что поставим ей пока троечку, с плюсом, за старание. Если кому интересно, Avira также частенько ругается на чистые файлы, скомпилированные VS С++ 2010 с настройками не по умолчанию, а недавно, вообще, приняла собственную DLL за вредоносной программу.
Следующим в нашем списке стоит антивирус Comodo. Запускаем файл…
…и видим следующее предупреждение. Причем наша программа впоследствии ничего не смогла скачать и запустить. Антивирус справился с заданием на отлично.
Настала очередь Dr.WEB. Запускаем файл…
…и видим стандартное предупреждение о сетевой активности программы (странно, если бы его не было). Поэтому наша оценка данного продукта – твёрдая четвёрка, может даже с плюсом.
Далее идёт ESET Smart Security. Но о нём и говорить нечего. Он не справился с заданием.
Теперь приступим к тестированию Kaspersky Internet Security. Открываем папку…
…и не успеваем запустить файл, как антивирус выдаёт предупреждение. Причём он правильно определил тип вредоносного ПО ещё до того, как мы его запустили. Поэтому KIS получает пятёрку с плюсом.
К сожалению, все последующие антивирусы, такие как McAfee, NOD32, Northon и Panda никак не отреагировали на запуск файла и не справились с заданием, за что и получают неудовлетворительные оценки
Финальная же таблица с результатами выглядит следующим образом:
P.S. Настало время проверить антивирусы на скорость добавления сигнатур вредоносного ПО. Неделю назад наш финальный семпл вызывал негативную реакцию 6 антивирусов из 43. Теперь же наблюдаем следующую картину:
Потрясающая реакция – предупреждение выдали 21 антивирус из 43. Выводы можете сделать сами.
Для наших тестов будем использовать всё тот же классический Trojan-Downloader из предыдущей части. Загружать и исполнять он будет небезызвестного SSH клиента Putty. Формально программа вредоносным ПО называться не может, однако технология HIPS просто обязана отреагировать на поведение данного исполняемого файла. Как она это сделает – мы сейчас и проверим.
Что ж, установим подопытные образцы антивирусных продуктов на виртуальную машину и начнём тестирование. В нём примут участие следующие антивирусные продукты: KIS, Avast, Avira, NOD32, Northon, ESET Smart Security, AVG, Panda, Dr.WEB и Comodo. Пойдём в алфавитном порядке.
Итак, наш первый испытуемый — это Avast, один из самых известных бесплатных антивирусов. Запускаем наш тестовый исполняемый файл и через несколько секунд перед нами появляется окошко Putty. Avast не справился с заданием, и получает чистую двойку по пятибалльной шкале.
Вторым по списку идёт широко известный за рубежом AVG. Запускаем файл… и… никакой реакции от антивируса – Putty загружен и запущен! Сказать больше нечего.
Следом идёт ещё один бесплатный антивирус Avira. Открываем папку и…
…даже не успеваем запустить файл. Доблестная Avira заблаговременно заблокировала доступ к файлу и попыталась его удалить. Причём выдала до боли знакомое предупреждение о наличии в файле некого TR/Crypt.XPACK.Gen. Для тех, кто ещё не знает, как Avira детектит малварь, выкладываю ссылку для ознакомления. Учитывая все эти факты, результаты данного антивируса выглядят несколько подозрительно, хотя формально Avira и справилась с заданием. Так что поставим ей пока троечку, с плюсом, за старание. Если кому интересно, Avira также частенько ругается на чистые файлы, скомпилированные VS С++ 2010 с настройками не по умолчанию, а недавно, вообще, приняла собственную DLL за вредоносной программу.
Следующим в нашем списке стоит антивирус Comodo. Запускаем файл…
…и видим следующее предупреждение. Причем наша программа впоследствии ничего не смогла скачать и запустить. Антивирус справился с заданием на отлично.
Настала очередь Dr.WEB. Запускаем файл…
…и видим стандартное предупреждение о сетевой активности программы (странно, если бы его не было). Поэтому наша оценка данного продукта – твёрдая четвёрка, может даже с плюсом.
Далее идёт ESET Smart Security. Но о нём и говорить нечего. Он не справился с заданием.
Теперь приступим к тестированию Kaspersky Internet Security. Открываем папку…
…и не успеваем запустить файл, как антивирус выдаёт предупреждение. Причём он правильно определил тип вредоносного ПО ещё до того, как мы его запустили. Поэтому KIS получает пятёрку с плюсом.
К сожалению, все последующие антивирусы, такие как McAfee, NOD32, Northon и Panda никак не отреагировали на запуск файла и не справились с заданием, за что и получают неудовлетворительные оценки
Финальная же таблица с результатами выглядит следующим образом:
P.S. Настало время проверить антивирусы на скорость добавления сигнатур вредоносного ПО. Неделю назад наш финальный семпл вызывал негативную реакцию 6 антивирусов из 43. Теперь же наблюдаем следующую картину:
Потрясающая реакция – предупреждение выдали 21 антивирус из 43. Выводы можете сделать сами.