В данной статье мы проверим режим реального времени свободных антивирусов. Все антивирусы были взяты с SourceForge. Для проверки резидентного модуля будем использовать 4 вредоносных программы, а точнее, 3 трояна и 1 вирус. Также для проверки эффективности проверим папку с 11 000 вирусов.
И так, были использованы следующие свободные антивирусы:
- J.L Antivirus 4.0c;
- GPM_Antivirus_setup_v12_db;
- OS Antivirus 1.70;
- Moon Secure AV version 1.0.0.132(Stable);
- clamwin 0.97.8 и clamsentinel 1.20.
- Amiti Free Antivirus
Для проверки будем использовать:
- Trojan.Packed.22496
- Trojan.Carberp.10
- Trojan.Carberp.14
- Win32.HLLW.Dungcoi.1
- Папка с 11000 вирусами.
Установка и проверка свободных антивирусов
J.L Antivirus
Приступаем к установке. Во время установки видим сообщение о том, что данная программа является проектом с открытым исходным кодом. Установка завершена, запускаем программу.
Программа успешно запустилась. Далее при попытке обновить базу сигнатур вечно выпадали ошибки. Долго промучившись проблему решить не удалось. Также наблюдались проблемы со сканированием по запросу. Создалось впечатление, что программа не работает вообще.
В связи с этим программа была исключена.
GPM Antivirus
Программа была успешно установлена. При установке также была сказано, что лицензия программы gnu gpl. Запускаем программу.
На первый взгляд программа внушает доверие, как минимум в сравнении с предыдущей. Запускаем обновление программы.
Тут мы столкнулись с глобальной проблемой. При обновлении компьютер завис напрочь. Данная проблема наблюдается каждый при обновлении или запуске сканирования. Было проверена на двух разных компьютерах.
В связи с этим программа была исключена.
OS Antivirus
На SourceForge указано, что это проект с открытым исходным кодом. При установке не было вообще окна с лицензионным соглашением. Программа просит зарегистрироваться, при регистрации просит указать код.
В связи с этим программа была исключена.
Moon Secure AV
При установке видим окно лицензионного соглашения с надписью GNU GPL. Программа установлена. Запускаем антивирус и обновляем.
Программа успешно обновилась. Ради интереса проверим папку с 4-мя вредоносными программами.
При проверки обнаружилась следующая проблема, сканирование запускалось, но файлы не проверялись.
В связи с этим программа была исключена.
ClamWin и ClamSentinel
ClamWin программа достаточно удобная, но к сожалению в ней отсутствует монитор. Данную проблему решает ClamSentinel. Это отдельная программа, которая ставиться поверх ClamWin, и добавляет проверку в режиме реального времени. ClamWin можно нейти здесь, а Clam Sentinel тут.
Обе программы были успешно установлены. В обоих программах имеется пометка о лицензии GNU GPl.
Обновляем базу сигнатур угроз.
База успешно обновлена. Программы работают без ошибок. Для проверки работоспособности ClamWin, проверим папку с 4-мя "вирусами".
Все 4 угрозы успешно детектированы. Действия для них применены не были, поэтому они пока еще на месте.
Перейдем к тестированию ClamSentinel.
Запускаем Trojan.Carberp.10.
Троян успешно попал в память компьютера, но все его действия были заблокированы свободным антивирусом. Затем троян был удален ото всюду.
Запускаем Trojan.Carberp.14.
Опять троян успешно попал в память, и благо все его действия антивирус успешно заблокировал, а также полностью удалил троян.
Запускаем Win32.HLLW.Dungcoi.1.
Это уже достаточно серьезный вирус. Многие с ним сталкивались, и они знают, как его трудно вытравить из системы. Вирус попал в память, и тут проблема, у него несколько процессов, которые друг друга восстанавливают. Антивирус пытается их удалить по одному, но безуспешно. Как можно видеть на следующей картинке, fun.exe, dc.exe и sviq.exe по прежнему в памяти.
Когда стало ясно, что сам он может не справиться, было принято решение помочь ему используя его инструменты. Запускаем сканирование всего компьютера используя ClamWin.
У нас была распакована папка с 11000 вирусами, после проверки там осталось 669 вирусов. Следует отметить, что это достаточно высокий показатель, хотя и не повод делать серьезные выводы.
Но к сожалению, наш вирус все еще в памяти.
Было принято решение запустить следующую вредоносную программу.
Запускаем Trojan.Packed.22496.
В простонародье называется баннер. Антивирус сразу же фиксирует доступ к реестру. и хлоп, вылез баннер.
Многие антивирусы сканируют память при запуске системы, поэтому было принято решение перезагрузить компьютер. Нажимаем Ctrl + Alt + Del, и тыкаем перезагрузить. После перезагрузки видим следующую картину.
Как видим не хватает ярлыков и панели задач, т.е. не запустился explorer, но открылась папка мои документы. Вызываем диспетчер задач и запускаем Explorer.exe, как видите он больше не блокируется.
Так как explorer не запустилась, создалось впечатление, что заменены ключи реестра shell и userinit.
Как видим к ключу Shell добавлена запись, но не заменена основная. Добавленная запись относится к предыдущему вирусу. Следовательно наш баннер сидел в автозагрузке, и так как он не запустился - антивирус его успешно удалил.
На наше удивление, после перезагрузки отсутствует и наш предыдущий вирус. Получается, что антивирус его все таки удалил.
Для уверенности проверили систему используя Dr.web cureit - следов наших четырех вирусов найдено не было. Следовательно наш антивирус хорошо сработал.
Вывод
Из семи программ работоспособны всего две. В Clam Sentinel реализована проверка при изменении, в касперском при изменении и доступе, разница на лицо. Вирусы успешно попадают в память компьютера, и от туда пытаются действовать. Достаточно плохая ситуация, так как вирус действуя из памяти может попробовать отключить антивирус, а изучив самозащиту нашего антивируса можно сказать, что для него это крайне плачевно.
Свободный антивирус может обеспечивать защиту от вирусов, но он работает на основании базы ClamAV, а там вирусы появляются с задержкой. Clam Sentinel достойный продукт. Однако, если есть риски, то лучше разориться и купить хороший антивирус.
mrKaban
6 июня 2021 г. 11:13
Статью стоит обновить, но в каком плане - я нашел рабочую версию moon secure, просто нужно скачивать не последнюю. Тут еще был Amiti Antivirus, но из-за того, что на SourceForge есть версия, в которой указана лицензия gnu gpl. В итоге убрал, так как она сама программа не обновлялась, ну и не понятно, то ли украли код и так опубликовали, то ли для рекламы, но основной продукт условно-бесплатный. Immunet в списке отсутствует в связи с тем, что это тестирование именно свободных антивирусов, а тестов условно-бесплатных и платных антивирусов и так много.
gnf
6 июня 2021 г. 6:16
А как же immunet? Да, он не свободный, но базируется на ClamAV, и показывает очень достойные результаты
mrkaban
8 января 2018 г. 0:10
Разумно, но приходится признать тот факт, что свободные антивирусы менее эффективны. И есть другой момент, Амити антивирус на начальном этапе был свободным, а сейчас стал проприетарным, разработчики имеют право менять лицензию следующей версии, а без обновлений старая никому не нужна. GPM Antivirus добавлять на сайт не хотел, но разработчик потог заставить его работать))) поэтому все таки добавил. Из свободных, стабильно свободный и стабильный по эффективности это связка ClamWin + Clam Sentinel, но они очень плохо находят новые вирусы. Думаю есть смысл настроить локальную политику безопасности, при помощи средств системы или доп прог, и запретить запуск исполняемых файлов из временных папок, флэшек, и других мест, от куда они не должны запускаться.
GtaSaKompanion
7 января 2018 г. 23:08
Дело не в деньгах, а в том, что приходится использовать проприетарщину. Темболее, доверять компании, которая ведет скрытую разработку вирусного ПО и продает свой продукт для устранения созданных ею же проблем, попутно крадя конфиденциальные данные как-то совсем не хочется!
Федор
4 октября 2015 г. 14:33
Я думал, что свободный антивирус всего один, ну clamwin. О оказывается вон сколько много их))) правда работают из них далеко не все. Хорошо, что хотя бы такие есть. Может быть лет так через 10 они станут очень крутыми антивирусами!=))
mrkaban
18 марта 2015 г. 21:39
Статье около года, однако ситуация с указанными антивирусами совсем не поменялась, появился только еще один антивирус, которого нет в этом списке - [url=//xn--90abhbolvbbfgb9aje4m.xn--p1ai/%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C/%D0%B0%D0%BD%D1%82%D0%B8%D0%B2%D0%B8%D1%80%D1%83%D1%81%D1%8B/amiti-antivirus-%D1%81%D0%B2%D0%BE%D0%B1%D0%BE%D0%B4%D0%BD%D1%8B%D0%B9-%D0%B0%D0%BD%D1%82%D0%B8%D0%B2%D0%B8%D1%80%D1%83%D1%81.html]amiti antivirus[/url]. А он, показывает большую эффективность чем clamwin + clamsentinel, и имеет значительно более эффективные резидентные модули.