Многие разработчики защитных программ выпускают бесплатные антивирусы. Даже ЗАО «Лаборатория Касперского» представила халявный вариант — Kaspersky Free. Насколько базовых функций достаточно для предотвращения заражения в реальных условиях — например, при веб-серфинге? Чем приходится расплачиваться за бесплатный сыр? Давай выясним это.

Методика тестирования

Всем участникам экспериментa мы обеспечили максимально идентичные условия. Средствами VirtualBox была создана тестовая система — виртуальная машина с чистой ОС Windows 7 в редакции «Максимальная» с первым сервис-паком и всеми обновлениями. Затем ее трижды клонировали и в каждый из клонов установили только один антивирус. Анализ изменений и текущей активности проводился портейбл-софтом (TCPView, Autoruns с плагином VirusTotal через API, ProcessExplorer, Regshot, AVZ и другими утилитами из аптечки сисадмина).

Источниками угроз послужили сайты из базы Clean MX, помеченные как зараженные и/или потенциально опасные. Для теста отбирались только активные сайты, добавленные за последние сутки. Мы их по очереди посещали через браузер IE и протоколировали результаты срабатывания антивирусов (если они были). На время теста антивирус и файрвол в хост-системе были отключены.

Все тесты проводились в настройках по умолчанию. Любой бесплатный антивирус лишь снижает вероятность заражения, но не исключает ее полностью. Для повышения безопасности следует использовать более агрессивные настройки и дополнительные инструменты — файрвол, средства проактивной защиты, изоляции потенциально опасного кода, антифишинг и другие. В платных антивирусах большинство из них уже интегрировано, однако при желании можно самостоятельно сделать подобный набор из бесплатных утилит.

Как и любые программы, менеджеры виртуальных машин тоже содержат ошибки. Используя различные уязвимости, зловреды могут выйти за пределы тестовой системы и заразить основную операционку. Будьте внимательны!

1Kaspersky Free

Объем дистрибутива версии 16.0.1.445 сoставляет 147,8 Мбайт. После установки и обновления Kaspersky Free занимает на диске 232 Мбайт. Он обеспечивает базовую защиту, в которую входят антивирусный сканер, резидентный монитор, автоматическое обновление, средства управления карантином и просмотра отчетов. Дополнительные функции отмечены как нeактивные — это своеобразная реклама полной версии KIS и KTS.

Модули Kaspersky Free
Модули Kaspersky Free

При первом запуске на главной странице антивируса появляется полноразмерное окошко с предложением регистрации. Можно кликнуть на неприметную кнопку с изображением шестеренки в левом нижнем углу, и оно исчезнет. Правда, потом напоминание о регистрации будет постоянно появляться снова в виде всплывающих сообщений. Дополнительно при первом запуске в браузере по умолчанию открывается страничка магазина Google Play с предложением уcтановить Kaspersky Internet Security, а в сам браузер встраивается Kaspersky Protection Toolbar. Отказаться от его интеграции на этапе установки невозможно — в инсталляторе просто нет никаких настроек. Однако тулбар можно дезактивировать средствами самого браузера.

Kaspersky Free заблокировал доступ к зараженному сайту
Kaspersky Free заблокировал доступ к зараженному сайту

В нашем тесте Kaspersky Free не пропустил ни одной реальной угрозы. Часть вредоносных сайтов блокировалась фильтром Microsoft SmartScreen, а доступ к другим запрещал антивирус. Иногда они срабатывали одновременно.

Одновременное срабатывание Kaspersky Free и MS SmartScreen
Одновременное срабатывание Kaspersky Free и MS SmartScreen

Однако антивирус недостаточно жестко мешает пользователю «выстрелить себе в ногу». Если выбрать в списке загрузок ранее заблокированный смартскрином потенциально опасный экзешник и запустить его принудительно, Kaspersky Free позволит это сделать с буддистским равнодушием. Он разрешает установку программы с недействительной цифровой подписью, на которую ругаются 17 антивирусов онлайн-сканера VirusTotal.

Kaspersky Free разрешает локальный запуск программы, на которую ругается онлайн
Kaspersky Free разрешает локальный запуск программы, на которую ругается онлайн

Причем сам Kaspersky распознает его на VirusTotal как Downloader.Win32.Bundl.aq, но игнорирует при локальной проверке бесплатной версией. Пусть это и не вирус, а средство доставки «боевой нагрузки», пользователю от этого не легче.

2Avira Free Antivirus 2016

Антивирус Avira Free также имеет ограниченную функциональность и довольно назойливо рекламирует переход на платную версию. Реклама различных продуктов Avira сыпется как из рога изобилия еще во время установки веб-инсталлятором. Наверное, поэтому она была чертовски долгой. Устав наблюдать за индикатором прогресса, я успел дописать другую статью.

Длительность установки Avira бьет все рекорды
Длительность установки Avira бьет все рекорды

После установки Avira заняла 1329 Мбайт вместе с базами, причем только половина этого места приходилась на каталог \Program Files\Avira\. Остальное было в \ProgramData\Avira и других местах. В состав Avira Free входит программный файрвол (что редкость для бесплатных антивирусов), но его наличие не объясняет столь высоких аппетитов к дисковому пространству.

Сам интерфейс тоже вызывает удивление. Вся установка отображается по-русски. После нажатия на иконку в трее язык превращается в русско-английский, а в главном окне становится просто английским. Не беда, но странно видеть такую поверхностную локализацию.

Интерфейс Avira Free
Интерфейс Avira Free

Исполняемый файл с Downloader.Win32.Bundl.aq антивирус позволил скачать. При его принудительном запуске появилось сообщение о том, что файл анализируется Avira. Спустя несколько секунд он опрометчиво был признан безопасным.

Ложно-отрицательное срабатывание Avira
Ложно-отрицательное срабатывание Avira

Обнаружив вредоносный java-скрипт, Avira показала предупреждение. По случайности оно совпало с оформлением сайта и выглядело как его часть — неопытный пользователь может не заметить.

Ненавязчивые сообщения Avira
Ненавязчивые сообщения Avira

После нажатия Remove скрипт был заблокирован и редиректа на фишинговую страницу не произошло. Затем Avira сразу запустила быстрое сканирование системы — считаю, это оправданная дополнительная мера.

Упакованные в ZIP зловреды Avira тоже сперва не заметила и обнаружила лишь после ручной распаковки архива.

Avira не проверила скачанный ZIP до его открытия
Avira не проверила скачанный ZIP до его открытия

После принудительной загрузки заблокированного смарт-скрином исполняемого файла Avira определила, что он относится к категории PUA (потенциально нежелательных программ).

Avira обнаружила PUA
Avira обнаружила PUA

При попытке перехода на страницу, содержащую несколько эксплоитов, Avira сразу показывает предупреждение, но позволяет загрузить контент. Заражения при этом не происходит.

Avira блокирует отдельные элементы зараженных веб-страниц
Avira блокирует отдельные элементы зараженных веб-страниц

Так же как и Kaspersky Free, иногда антивирус Avira срабатывал вместе с фильтром SmartScreen.

Совместная блокировка Avira и MSS
Совместная блокировка Avira и MSS

3AVG Antivirus Free Edition

Чешский антивирус AVG претерпел существенные изменения с осени прошлого года. Сейчас это фактически утилита для сбора данных о пользователе с некоторой антивирусной функциональностью. На диске AVG Free занимает 192 Мбайт, но эта величина быстро возрастает по мере кеширования данных, отправляемых на серверы компании. По официальной версии, это делается для облачной проверки и анализа подозрительных файлов. Вот только что можно подозревать в чистой ОС, где, кроме антивируса AVG Free, нет никаких сторонних приложений и пользовательских файлов?

Интерфейс AVG Free
Интерфейс AVG Free

Сама установка проходит быстро и почти без рекламы, но в инсталляторе есть подвох. На очередном этапе в нем предлагается установить пробную 30-дневную версию платного антивируса вместо изначально выбранного бесплатного. Надо вручную выбрать AVG Free и продолжить установку.

Навязывание пробной версии AVG
Навязывание пробной версии AVG

Сразу после установки AVG Free во всплывающем окне предлагается инсталлировать тулбар AVG SafeGuard by Ask и сделать Ask поисковиком по умолчанию, а в браузере открывается страничка с рекламой приложения AVG для Android.

Потенциально опасный экзешник, который проигнорировал Kaspersky Free, AVG заблокировал еще при попытке его скачать. Защита от дурака сработала явно лучше.

AVG блокирует загрузку опасного файла
AVG блокирует загрузку опасного файла

Другой вредоносный исполняемый файл AVG позволил скачать и лишь потом распознал в нем угрозу.

AVG обнаружил инфицированный файл
AVG обнаружил инфицированный файл

При этом вредоносные файлы в архиве ZIP были обнаружены AVG только после ручной распаковки архива.

AVG не дружит с архивами
AVG не дружит с архивами

На веб-страницах часто встречаются вредоносные джава-скрипты, которые пытаются перенаправить пользователя на другую страницу или заразить его компьютер. AVG их обнаруживает и выводит запрос о блокировке, но после сообщения «угроза успешно удалена» все равно происходит редирект на фишинговый сайт, который уже блокируется средствами SmartScreen… если повезет.

Иногда на сайтах встречается сразу несколько угроз. В таком случае AVG показывает суммарную информацию и обычно предлагает выбрать желаемое действие. Иногда он запрещает все элементы сам. В таком случае действия не требуются — можно лишь просмотреть описание найденной заразы.

AVG нашел эксплоиты
AVG нашел эксплоиты

Одну из веб-страниц, которую считают зараженной шесть антивирусов на VirusTotal, AVG проигнорировал. Он обнаружил заразу, лишь когда она оказалась на жестком диске и пыталась активизироваться.

AVG среагировал с опозданием
AVG среагировал с опозданием

4Avast! Free Antivirus (11.1.2245)

При установке Avast! также надо быть внимательным: по умолчанию отмечена установка Google Chrome и Google Toolbar для IE. После установки без дополнительных компонентов антивирус занимает 604 Мбайт — много, но вдвое меньше Avira Free.

Скрытой рекламы полно даже в главном окне антивируса. Обещанный подарок оказывается формальной скидкой на платные продукты. На вкладке «Инструменты» указаны не дополнительные модули защиты, а рекламные ссылки на их описание. Стоит кликнуть одну из них, как предложение выбрать вариант дополнительной платной защиты надолго поселится в главном окне Avast.

При попытке вручную запустить заблокированный MSS экзешник со стороны Avast! не встречаем никакого сопротивления. Потенциально опасный файл (даунлоадер) с недействительной подписью игнорируется антивирусом.

Avast! не считает файл опасным, и зря
Avast! не считает файл опасным, и зря

Вредоносный джава-скрипт и эксплоиты Avast! блокирует сразу, при этом зараженные веб-страницы не загружаются вообще. Однако сообщение о найденных угрозах выглядит не информативно — оно одинаковое для разных зловредов и не позволяет даже судить об их количестве.

Avast! заблокировал JS
Avast! заблокировал JS

Архив со зловредами Avast! позволил скачать, но проверил его самостоятельно и сразу обнаружил угрозу — еще до моей попытки посмотреть список загрузок.

Avast! распознал угрозу в архиве
Avast! распознал угрозу в архиве

Еще один исполняемый файл, который на VirusTotal детектируют как вредоносный 34 антивируса, Avast! проигнорировал. Он молча позволил скачать и принудительно запустить его, обходя блокировку MSS.

Avast! пропустил вредоносный объект
Avast! пропустил вредоносный объект

Следы Большого Брата

С подачи Microsoft, выпустившей «Шпиокна 10», практика открытой слежки за пользователями становится у софтмейкеров общепринятой. Она прямо указывается в пользовательском соглашении, но кто же его читает? Например, у Avira этот пункт выглядит так:

«Мы можем собирать, хранить и использовать данные, позволяющие установить вашу личность, ваше устройство (как определено ниже) и взаимодействие вашего устройства с другими устройствами (например, ID устройства, IP-адрес устройства, место, контент, языковые предпочтения, IMEI-код устройства, бренд и модель устройства, статус батареи, версию ОС устройства, номер телефона устройства, номер SIM, имя сетевого провайдера, статус памяти, гео-информацию на основании местоположения по GPS/Wi-Fi/сеть и любые другие технические сведения… Некоторая часть этой информации может использоваться для вашей идентификации, включая, без ограничения: имя, адрес, номер телефона, адрес email, номер карточки социального страхования, информацию о кредитной карте, изображение лица, образец голоса или биометрические данные (все вместе «Личная информация») и может включать в себя данные, хранящиеся на вашем устройстве. Мы также можем передавать вашу личную информацию в другие страны, где расположено оборудование провайдеров нашего продукта».

У других разработчиков формулировки немного отличаются, но общий принцип остается прежним. Они собирают все данные, которые технически возможно получить. Поскольку антивирус глубоко интегрируется в ОС, устанавливает собственные драйверы и перехватывает системные вызовы, он имеет доступ ко всей информации — в том числе зашифрованной, поскольку ее хотя бы раз расшифровывал сам пользователь.

На этом фоне обнадеживает заявление Евгения Касперского, которое он сделал, анонсируя выпуск бесплатного антивируса имени себя:

«Он будет построен на тех же технологиях, что и платные персональные продукты… Без слежки за пользователем в рекламных целях и торговли его конфиденциальностью. Никакой такой фигни — только защита», — писал он в ЖЖ.

Впрочем, и здесь не обходится без доли лукавства. Сам Kaspersky Free собирает только общую обезличенную статистику, вроде количества найденных угроз по их типам. Однако в нем по умолчанию включен облачный сервис Kaspersky Security Network, а KSN известен своими аппетитами к сбору информации. В него отправляются подробные логи, которые включают список установленных программ вместе с путями, детальный мониторинг работы пользователя, списки запущенных процессов, статистику использования приложений и другие приватные данные. Отключить его можно на соответствующей вкладке.

Тайный агент KSNоре
Тайный агент KSNоре

Выводы

Как видно из этого небольшого эксперимента, все бесплатные антивирусы реагировали на одни и те же угрозы немного по-разному. Одни блокировали переход по ссылке, отобразив предупреждение на раннем этапе. Другие не дали скачать зараженный файл или предотвратили запуск вредоносного скрипта, а третьи среагировали только на локальный запуск зловреда или вообще пропустили его. Дело здесь не в том, что платный антивирус лучше бесплатного от того же разработчика — у них одинаковый движок и базы. Просто в платных версиях используются дополнительные модули защиты, благодаря которым угрозы распознаются и блокируются не только по сигнатурному анализу.

Kaspersky Free в целом не вызвал существенных нареканий. Он очень похож на урезанный KIS, из которого убрали опциональные компоненты и защиту от дурака, добавив рекламы и спрятав поглубже KSN.

Avira отличилась чудовищно долгой установкой и прожорливостью. Она занимала больше всех места, а компьютер с ней ощутимо тормозил на элементарных операциях. С архивами она практически не работает. Во всяком случае, не проверяет скачанные из интернета до их ручной распаковки.

Avast! проигнорировал пару серьезных угроз (пользователю хватит и одной) и тоже изобилует хитрой рекламой. Обнаруживаемые зловреды он блокирует сразу, но понять, что произошло, без детального анализа лога невозможно. Сообщения антивируса выглядят однотипно и не подразумевают выбора со стороны пользователя — обычно это просто уведомления о принятом решении.

AVG в целом выглядит адекватно, однако политика компании в отношении данных пользователя оставляет желать лучшего. Если бы не ультиматум о сборе сведений, его можно было бы рекомендовать как неплохой бесплатный антивирус.