В данной статье мы проверим режим реального времени свободных антивирусов. Все антивирусы были взяты с SourceForge. Для проверки резидентного модуля будем использовать 4 вредоносных программы, а точнее, 3 трояна и 1 вирус. Также для проверки эффективности проверим папку с 11 000 вирусов.
И так, были использованы следующие свободные антивирусы:
- J.L Antivirus 4.0c;
- GPM_Antivirus_setup_v12_db;
- OS Antivirus 1.70;
- Moon Secure AV version 1.0.0.132(Stable);
- clamwin 0.97.8 и clamsentinel 1.20.
- Amiti Free Antivirus
Для проверки будем использовать:
- Trojan.Packed.22496
- Trojan.Carberp.10
- Trojan.Carberp.14
- Win32.HLLW.Dungcoi.1
- Папка с 11000 вирусами.
Установка и проверка свободных антивирусов
J.L Antivirus
Приступаем к установке. Во время установки видим сообщение о том, что данная программа является проектом с открытым исходным кодом. Установка завершена, запускаем программу.
Программа успешно запустилась. Далее при попытке обновить базу сигнатур вечно выпадали ошибки. Долго промучившись проблему решить не удалось. Также наблюдались проблемы со сканированием по запросу. Создалось впечатление, что программа не работает вообще.
В связи с этим программа была исключена.
GPM Antivirus
Программа была успешно установлена. При установке также была сказано, что лицензия программы gnu gpl. Запускаем программу.
На первый взгляд программа внушает доверие, как минимум в сравнении с предыдущей. Запускаем обновление программы.
Тут мы столкнулись с глобальной проблемой. При обновлении компьютер завис напрочь. Данная проблема наблюдается каждый при обновлении или запуске сканирования. Было проверена на двух разных компьютерах.
В связи с этим программа была исключена.
OS Antivirus
На SourceForge указано, что это проект с открытым исходным кодом. При установке не было вообще окна с лицензионным соглашением. Программа просит зарегистрироваться, при регистрации просит указать код.
В связи с этим программа была исключена.
Moon Secure AV
При установке видим окно лицензионного соглашения с надписью GNU GPL. Программа установлена. Запускаем антивирус и обновляем.
Программа успешно обновилась. Ради интереса проверим папку с 4-мя вредоносными программами.
При проверки обнаружилась следующая проблема, сканирование запускалось, но файлы не проверялись.
В связи с этим программа была исключена.
ClamWin и ClamSentinel
ClamWin программа достаточно удобная, но к сожалению в ней отсутствует монитор. Данную проблему решает ClamSentinel. Это отдельная программа, которая ставиться поверх ClamWin, и добавляет проверку в режиме реального времени. ClamWin можно нейти здесь, а Clam Sentinel тут.
Обе программы были успешно установлены. В обоих программах имеется пометка о лицензии GNU GPl.
Обновляем базу сигнатур угроз.
База успешно обновлена. Программы работают без ошибок. Для проверки работоспособности ClamWin, проверим папку с 4-мя "вирусами".
Все 4 угрозы успешно детектированы. Действия для них применены не были, поэтому они пока еще на месте.
Перейдем к тестированию ClamSentinel.
Запускаем Trojan.Carberp.10.
Троян успешно попал в память компьютера, но все его действия были заблокированы свободным антивирусом. Затем троян был удален ото всюду.
Запускаем Trojan.Carberp.14.
Опять троян успешно попал в память, и благо все его действия антивирус успешно заблокировал, а также полностью удалил троян.
Запускаем Win32.HLLW.Dungcoi.1.
Это уже достаточно серьезный вирус. Многие с ним сталкивались, и они знают, как его трудно вытравить из системы. Вирус попал в память, и тут проблема, у него несколько процессов, которые друг друга восстанавливают. Антивирус пытается их удалить по одному, но безуспешно. Как можно видеть на следующей картинке, fun.exe, dc.exe и sviq.exe по прежнему в памяти.
Когда стало ясно, что сам он может не справиться, было принято решение помочь ему используя его инструменты. Запускаем сканирование всего компьютера используя ClamWin.
У нас была распакована папка с 11000 вирусами, после проверки там осталось 669 вирусов. Следует отметить, что это достаточно высокий показатель, хотя и не повод делать серьезные выводы.
Но к сожалению, наш вирус все еще в памяти.
Было принято решение запустить следующую вредоносную программу.
Запускаем Trojan.Packed.22496.
В простонародье называется баннер. Антивирус сразу же фиксирует доступ к реестру. и хлоп, вылез баннер.
Многие антивирусы сканируют память при запуске системы, поэтому было принято решение перезагрузить компьютер. Нажимаем Ctrl + Alt + Del, и тыкаем перезагрузить. После перезагрузки видим следующую картину.
Как видим не хватает ярлыков и панели задач, т.е. не запустился explorer, но открылась папка мои документы. Вызываем диспетчер задач и запускаем Explorer.exe, как видите он больше не блокируется.
Так как explorer не запустилась, создалось впечатление, что заменены ключи реестра shell и userinit.
Как видим к ключу Shell добавлена запись, но не заменена основная. Добавленная запись относится к предыдущему вирусу. Следовательно наш баннер сидел в автозагрузке, и так как он не запустился - антивирус его успешно удалил.
На наше удивление, после перезагрузки отсутствует и наш предыдущий вирус. Получается, что антивирус его все таки удалил.
Для уверенности проверили систему используя Dr.web cureit - следов наших четырех вирусов найдено не было. Следовательно наш антивирус хорошо сработал.
Если кто-то хочет ознакомиться с логами ClamSentinel - привожу ссылки на них:
- ClamSentinel_MemoryScanLog.txt;
- ClamSentinel_MessagesLog.txt;
- ClamSentinel_QuarantineLog.txt;
- ClamSentinel_RealTimeLog.txt.
Amiti free antivirus
Изучить описание и скачать amiti free antivirus вы можете тут. Скачивает антивирус, нам попалась версия 3.05. Запускаем установку антивируса. Поскольку этот антивирус добавляется в статью через некоторое время, мы будем проверять его на других вирусах. Они более новые, и их больше.
Как можете видеть, амити антивирус действительно распространяется по лицензии GNU GPL.
При установке он загружает дополнительные файлы, основная часть которых база данных.
Установка завершена.
Далее мы обновили антивирусную базу, переключили в настройках язык на русский.
Однако, тут обнаружилась проблема. Сама система работала отлично, а вот антивирус работал с очень большими задержками. Открывались окно с большой задержкой, реагировал на нажатия с большой задержкой. Было принято решение увеличить оперативную память виртуальной машины, но это не решило проблему. Решили продолжить. Запускаем один из вирусов, и вылез баннер.
Перезагрузили компьютер в надежде, что антивирус что-нибудь попробует сделать, но нет. Удаляем баннер и запускаем следующий вирус.
Как можете видеть fun.exe успешно работает в системе, загружает через интернет своих братьев, а антивирус ему совсем не мешает. Поскольку данный антивирус уже тестировался нами стало ясно, что что-то тут не так. Тогда он работал без таких задержек в отклике. Тогда было принято решение скачать и установить предыдущую версию. Была загружена и установлена полная версия установщика версии 2.05. И amiti antivirus перестал работать с задержками, стал функционировать просто отлично. Ниже можете увидеть список вирусов, которые мы хотим запустить, но это основной список.
Все вирусы были успешно обнаружены и заблокированы, а далее по нажатию пользователя успешно удалены.
Далее мы решили просканировать папку с 11000 вирусов, точнее не 11000, а 11900 приблизительно. Со стандартными настройками.
После проверки осталось 7105 вредоносных файлов. Утверждать, что абсолютно все файлы там вирусы нельзя, так как даже платные антивирусы оставляют в этой папке около тысячи файлов.
Далее идем изменять настройки механизмов. Настраиваем все на максимум.
Далее еще раз проверяем папку файлами.
После этой проверки осталось 669 файлов, столько же, сколько оставалось после проверки ClamWin.
Было решено попробовать запустить еще ряд вирусов из дополнительных списков. И антивирус обнаружил и заблокировал все, кроме вот этих трех:
Модуль проверки в режиме реального времени смог обнаруживать и заблокировать очень большое количество вирусов, а этим может похвастаться может не каждый платный антивирус.
Вывод
Из семи программ работоспособны всего три. В Clam Sentinel реализована проверка при изменении, в касперском при изменении и доступе, разница на лицо. Вирусы успешно попадают в память компьютера, и от туда пытаются действовать. Достаточно плохая ситуация, так как вирус действуя из памяти может попробовать отключить антивирус, а изучив самозащиту нашего антивируса можно сказать, что для него это крайне плачевно. Amiti free antivirus обеспечивает достаточно надежную защиту в режиме реального времени, так как он успешно заблокировал 37 из 40 вирусов, а это очень большой показатель, даже по сравнению с платным антивирусом. Название трех пропущенных угроз вы можете посмотреть выше, но их обнаруживают далеко не все платные антивирусы, и часто они проходят через потенциально опасные.
Свободный антивирус может обеспечивать защиту от вирусов, но все таки, оба успешно прошедших проверку продукта работают на основании базы ClamAV, а там вирусы появляются с задержкой. Clam Sentinel достойный продукт, но все таки лучше использовать Amiti Antivirus, так как его модуль проверки в режиме реального времени работает не хуже, чем у многих платных антивирусов. Однако, если есть риски, то лучше разориться и купить хороший антивирус.
Комментарии
Думаю есть смысл настроить локальную политику безопасности, при помощи средств системы или доп прог, и запретить запуск исполняемых файлов из временных папок, флэшек, и других мест, от куда они не должны запускаться.