9 мая 2021 г. 11:18 Русский Статья

В данной статье мы проверим режим реального времени свободных антивирусов. Все антивирусы были взяты с SourceForge. Для проверки резидентного модуля будем использовать 4 вредоносных программы, а точнее, 3 трояна и 1 вирус. Также для проверки эффективности проверим папку с 11 000 вирусов.

И так, были использованы следующие свободные антивирусы:

  • J.L Antivirus 4.0c;
  • GPM_Antivirus_setup_v12_db;
  • OS Antivirus 1.70;
  • Moon Secure AV version 1.0.0.132(Stable);
  • clamwin 0.97.8 и clamsentinel 1.20.
  • Amiti Free Antivirus

Для проверки будем использовать:

  • Trojan.Packed.22496
  • Trojan.Carberp.10
  • Trojan.Carberp.14
  • Win32.HLLW.Dungcoi.1
  • Папка с 11000 вирусами.

 Установка и проверка свободных антивирусов

 J.L Antivirus

Приступаем к установке. Во время установки видим сообщение о том, что данная программа является проектом с открытым исходным кодом.  Установка завершена, запускаем программу.

Основное окно J.L Antivirus

Программа успешно запустилась. Далее при попытке обновить базу сигнатур вечно выпадали ошибки. Долго промучившись проблему решить не удалось. Также наблюдались проблемы со сканированием по запросу. Создалось впечатление, что программа не работает вообще. 

В связи с этим программа была исключена.

 

GPM Antivirus

Программа была успешно установлена. При установке также была сказано, что лицензия программы gnu gpl. Запускаем программу.

Основное окно GPM Antivirus

На первый взгляд программа внушает доверие, как минимум в сравнении с предыдущей. Запускаем обновление программы.

Обновление баз GPM Antivirus

Тут мы столкнулись с глобальной проблемой. При обновлении компьютер завис напрочь. Данная проблема наблюдается каждый при обновлении или запуске сканирования. Было проверена на двух разных компьютерах.

В связи с этим программа была исключена.

 

OS Antivirus

На SourceForge указано, что это проект с открытым исходным кодом. При установке не было вообще окна с лицензионным соглашением. Программа просит зарегистрироваться, при регистрации просит указать код.

В связи с этим программа была исключена.

 

Moon Secure AV

При установке видим окно лицензионного соглашения с надписью GNU GPL. Программа установлена. Запускаем антивирус и обновляем.

Статус обновления Moon Secure AV

Программа успешно обновилась. Ради интереса проверим папку с 4-мя вредоносными программами.

Проверка на вирусы Moon Secure AV

При проверки обнаружилась следующая проблема, сканирование запускалось, но файлы не проверялись.

В связи с этим программа была исключена.

ClamWin и ClamSentinel

ClamWin программа достаточно удобная, но к сожалению в ней отсутствует монитор. Данную проблему решает ClamSentinel. Это отдельная программа, которая ставиться поверх ClamWin, и добавляет проверку в режиме реального времени. ClamWin можно нейти здесь, а Clam Sentinel тут.

Обе программы были успешно установлены. В обоих программах имеется пометка о лицензии GNU GPl.

Обновляем базу сигнатур угроз.

Обновление ClamWin и ClamSentinel

База успешно обновлена. Программы работают без ошибок. Для проверки работоспособности ClamWin, проверим папку с 4-мя "вирусами".

Проверка ClamWin

Все 4 угрозы успешно детектированы. Действия для них применены не были, поэтому они пока еще на месте.

Перейдем к тестированию ClamSentinel.

Запускаем Trojan.Carberp.10.

Запуск Trojan.Carberp.10

Троян успешно попал в память компьютера, но все его действия были заблокированы свободным антивирусом. Затем троян был удален ото всюду.

Запускаем Trojan.Carberp.14.

Опять троян успешно попал в память, и благо все его действия антивирус успешно заблокировал, а также полностью удалил троян.

Запускаем Win32.HLLW.Dungcoi.1.

Это уже достаточно серьезный вирус. Многие с ним сталкивались, и они знают, как его трудно вытравить из системы. Вирус попал в память, и тут проблема, у него несколько процессов, которые друг друга восстанавливают. Антивирус пытается их удалить по одному, но безуспешно. Как можно видеть на следующей картинке, fun.exe, dc.exe и sviq.exe по прежнему в памяти.

Вирусы в диспетчере задач

Когда стало ясно, что сам он может не справиться, было принято решение помочь ему используя его инструменты. Запускаем сканирование всего компьютера используя ClamWin.

Сканирование всего компьютера в ClamWin

У нас была распакована папка с 11000 вирусами, после проверки там осталось 669 вирусов. Следует отметить, что это достаточно высокий показатель, хотя и не повод делать серьезные выводы.

Но к сожалению, наш вирус все еще в памяти.

Вирусы в памяти

Было принято решение запустить следующую вредоносную программу.

Запускаем Trojan.Packed.22496.

В простонародье называется баннер. Антивирус сразу же фиксирует доступ к реестру. и хлоп, вылез баннер.

Компьютер заблокирован

Многие антивирусы сканируют память при запуске системы, поэтому было принято решение перезагрузить компьютер. Нажимаем Ctrl + Alt + Del, и тыкаем перезагрузить. После перезагрузки видим следующую картину.

Окно мои документы и отсутствие меню пуск и панели задач

Как видим не хватает ярлыков и панели задач, т.е. не запустился explorer, но открылась папка мои документы. Вызываем диспетчер задач и запускаем Explorer.exe, как видите он больше не блокируется.

Запуск проводника Windows

Так как explorer не запустилась, создалось впечатление, что заменены ключи реестра shell и userinit.

Проверка ключей реестра

Как видим к ключу Shell добавлена запись, но не заменена основная. Добавленная запись относится к предыдущему вирусу. Следовательно наш баннер сидел в автозагрузке, и так как он не запустился - антивирус его успешно удалил.

Поиск вирусов в диспетчере задач

На наше удивление, после перезагрузки отсутствует и наш предыдущий вирус. Получается, что антивирус его все таки удалил.

Для уверенности проверили систему используя Dr.web cureit - следов наших четырех вирусов найдено не было. Следовательно наш антивирус хорошо сработал.

Вывод

Из семи программ работоспособны всего две. В Clam Sentinel реализована проверка при изменении, в касперском при изменении и доступе, разница на лицо. Вирусы успешно попадают в память компьютера, и от туда пытаются действовать. Достаточно плохая ситуация, так как вирус действуя из памяти может попробовать отключить антивирус, а изучив самозащиту нашего антивируса можно сказать, что для него это крайне плачевно. 

Свободный антивирус может обеспечивать защиту от вирусов, но он работает на основании базы ClamAV, а там вирусы появляются с задержкой. Clam Sentinel достойный продукт. Однако, если есть риски, то лучше разориться и купить хороший антивирус.