Dr web хороший ли антивирус 2021
Обновлено: 05.07.2024
В январе антивирусные продукты Dr.Web для Android зафиксировали на защищаемых устройствах на 11,32% меньше угроз по сравнению с декабрем прошлого года. Число обнаруженных вредоносных приложений снизилось на 11,5%, а рекламных ― на 15,93%. При этом количество выявленных нежелательных и потенциально опасных программ возросло на 11,66% и 7,26% соответственно. Согласно полученной статистике, наиболее часто пользователи сталкивались с троянами, демонстрировавшими рекламу, а также с вредоносными приложениями, которые загружали другое ПО и выполняли произвольный код.
В течение предыдущего месяца вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play множество угроз. Среди них ― многочисленные модификации рекламных модулей семейства Adware.NewDich, которые распространялись в составе программ для ОС Android. Кроме того, были выявлены новые трояны семейства Android.FakeApp, загружавшие мошеннические сайты, а также вредоносные приложения семейства Android.Joker, подписывавшие пользователей на дорогостоящие мобильные услуги и выполнявшие произвольный код.
Вместе с тем наши специалисты зафиксировали очередные атаки с применением банковских троянов. Один из них был найден в поддельном банковском приложении, размещенном в Google Play, другие распространялись через вредоносные сайты, созданные злоумышленниками.
ГЛАВНЫЕ ТЕНДЕНЦИИ ЯНВАРЯ
- Снижение общего числа угроз, зафиксированных на Android-устройствах
- Обнаружение множества новых вредоносных и нежелательных программ в каталоге Google Play
Угроза месяца
В начале января вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play приложения со встроенными в них рекламными модулями семейства Adware.NewDich, которые по команде управляющего сервера загружают в браузере различные веб-сайты. Это могут быть как безобидные интернет-ресурсы, так и сайты с рекламой или мошеннические сайты, используемые для фишинга. Их загрузка происходит, когда пользователи не работают с приложениями, содержащими Adware.NewDich. Из-за этого становится сложнее определить причину странного поведения Android-устройств.
Примеры приложений, в которых были найдены такие рекламные модули:
Примеры загружаемых ими сайтов:
Среди разнообразия веб-ресурсов, загружаемых модулями Adware.NewDich, часто встречаются страницы партнерских и рекламных сервисов, которые перенаправляют пользователей на разделы размещенных в Google Play программ. Одной из них было приложение под названием YBT Exchange, якобы предназначенное для работы с одной из криптобирж. Однако вирусные аналитики компании «Доктор Веб» выяснили, что это не что иное как банковский троян ― он получил имя Android.Banker.3684. В его функции входил перехват вводимых логинов, паролей, одноразовых проверочных кодов, а также содержимого поступающих уведомлений, для чего троян запрашивал соответствующее системное разрешение. После нашего обращения в корпорацию Google банкер был удален из каталога.
Вирусные аналитики «Доктор Веб» выяснили, что различные модификации этих модулей присутствовали как минимум в 21 программе. Исследование показало, что с большой долей вероятности их владельцы непосредственно связаны и с разработкой Adware.NewDich. После того как рекламная платформа привлекла внимание специалистов по информационной безопасности, ее администраторы запаниковали и начали выпускать обновления приложений, в которых старались «сбить» детектирование антивирусов или полностью исключали из них рекламный модуль. Одна из затронутых программ в дальнейшем была удалена из каталога. Вместе с тем ничто не мешает злоумышленникам выпускать новые версии ПО, в которых Adware.NewDich будет присутствовать вновь, что уже несколько раз наблюдали наши специалисты.
Список программ с обнаруженными в них модулями Adware.NewDich:
| Имя пакета | Наличие модуля Adware.NewDich | Приложение удалено из Google Play |
|---|---|---|
| com.qrcodescanner.barcodescanner | Присутствовал в последней актуальной версии 1.75 | Да |
| com.speak.better.correctspelling | Присутствует в актуальной версии 679.0 | Нет |
| com.correct.spelling.learn.english | Присутствует в актуальной версии 50.0 | Нет |
| com.bluetooth.autoconnect.anybtdevices | Присутствует в актуальной версии 2.5 | Нет |
| com.bluetooth.share.app | Присутствует в актуальной версии 1.8 | Нет |
| org.strong.booster.cleaner.fixer | Отсутствует в актуальной версии 5.9 | Нет |
| com.smartwatch.bluetooth.sync.notifications | Отсутствует в актуальной версии 85.0 | Нет |
| com.blogspot.bidatop.nigeriacurrentaffairs2018 | Присутствует в актуальной версии 3.2 | Нет |
| com.theantivirus.cleanerandbooster | Отсутствует в актуальной версии 9.3 | Нет |
| com.clean.booster.optimizer | Отсутствует в актуальной версии 9.1 | Нет |
| flashlight.free.light.bright.torch | Отсутствует в актуальной версии 66.0 | Нет |
| com.meow.animal.translator | Отсутствует в актуальной версии 1.9 | Нет |
| com.gogamegone.superfileexplorer | Отсутствует в актуальной версии 2.0 | Нет |
| com.super.battery.full.alarm | Отсутствует в актуальной версии 2.2 | Нет |
| com.apps.best.notepad.writing | Отсутствует в актуальной версии 7.7 | Нет |
| ksmart.watch.connecting | Отсутствует в актуальной версии 32.0 | Нет |
| com.average.heart.rate | Отсутствует в актуальной версии 7.0 | Нет |
| com.apps.best.alam.clocks | Отсутствует в актуальной версии 4.7 | Нет |
| com.booster.game.accelerator.top | Отсутствует в актуальной версии 2.1 | Нет |
| org.booster.accelerator.optimizer.colorful | Отсутствует в актуальной версии 61.0 | Нет |
| com.color.game.booster | Отсутствует в актуальной версии 2.1 | Нет |
- встроены в полнофункциональные приложения, чтобы не вызывать подозрений у пользователей;
- их активность проявляется с некоторой задержкой (до нескольких дней) после запуска содержащих их программ;
- загрузка рекламируемых сайтов выполняется, когда приложения, в которые встроены модули, закрыты, и пользователи не работают с ними;
- злоумышленники постоянно контролируют, обнаруживают ли антивирусы данные модули, оперативно вносят в них изменения и выпускают обновленные версии, чтобы противостоять детектированию.
По данным антивирусных продуктов Dr.Web для Android
Android.RemoteCode.284.origin Вредоносная программа, которая загружает и выполняет произвольный код. В зависимости от модификации она также может загружать различные веб-сайты, переходить по ссылкам, нажимать на рекламные баннеры, подписывать пользователей на платные услуги и выполнять другие действия. Android.HiddenAds.1994 Android.HiddenAds.518.origin Трояны, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог. Android.Triada.510.origin Многофункциональный троян, выполняющий разнообразные вредоносные действия. Относится к семейству троянских приложений, проникающих в процессы всех работающих программ. Различные представители этого семейства могут встречаться в прошивках Android-устройств, куда злоумышленники внедряют их на этапе производства. Кроме того, некоторые их модификации могут эксплуатировать уязвимости, чтобы получить доступ к защищенным системным файлам и директориям. Android.Click.348.origin Вредоносное приложение, которое самостоятельно загружает веб-сайты, нажимает на рекламные баннеры и переходит по ссылкам. Может распространяться под видом безобидных программ, не вызывая подозрений у пользователей.
Tool.SilentInstaller.6.origin Tool.SilentInstaller.7.origin Tool.SilentInstaller.13.origin Tool.SilentInstaller.14.origin Потенциально опасные программные платформы, которые позволяют приложениям запускать apk-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему. Tool.Obfuscapk.1 Детектирование приложений, защищенных утилитой-обфускатором Obfuscapk. Эта утилита используется для автоматической модификации и запутывания исходного кода Android-приложений, чтобы усложнить их обратный инжиниринг. Злоумышленники применяют ее для защиты вредоносных и других опасных программ от обнаружения антивирусами.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
Угрозы в Google Play
Помимо приложений с рекламными модулями Adware.NewDich в январе специалисты «Доктор Веб» выявили в каталоге Google Play множество новых троянов семейства Android.FakeApp, которые распространялись под видом ПО с информацией о социальных выплатах, льготах, возврате НДС и других денежных компенсациях. При этом среди них встречались и другие модификации — например, выдаваемые за программы для поиска информации о лотереях и получения подарков от популярных блогеров.
Как и другие аналогичные трояны, обнаруженные ранее, последние версии загружали мошеннические сайты, где потенциальным жертвам сообщалось о якобы доступных для них выплатах от государства. Для «получения» денег им предлагалось указать персональную информацию, а также оплатить работу юристов, оформление документов, госпошлину или комиссию за перевод на банковский счет. На самом деле никаких средств пользователи не получали, и злоумышленники похищали у них конфиденциальные данные и деньги.
Некоторые модификации этих вредоносных приложений периодически демонстрировали уведомления, в которых также сообщалось о доступных выплатах и компенсациях. Таким образом киберпреступники пытались привлечь дополнительное внимание потенциальных жертв, чтобы те чаще переходили на мошеннические сайты.
Примеры сайтов, загружаемых различными модификациями троянов Android.FakeApp:
Примеры мошеннических уведомлений с информацией о «выплатах» и «компенсациях», которые демонстрируют эти вредоносные приложения:
Среди выявленных угроз оказался и новый троян, добавленный в вирусную базу Dr.Web как Android.Banker.3679. Он распространялся под видом приложения для работы с бонусной программой Esfera банка Santander и предназначался для бразильских пользователей. Основными функциями Android.Banker.3679 являлись фишинг и кража конфиденциальных данных, а его целью было банковское приложение Santander Empresas.
После установки и запуска троян запрашивал доступ к специальным возможностям ОС Android — якобы для продолжения работы с приложением. На самом деле они были нужны ему для автоматического выполнения вредоносных действий. Если жертва соглашалась предоставить ему необходимые полномочия, банкер получал контроль над устройством и мог самостоятельно нажимать на различные элементы меню, кнопки, считывать содержимое окон приложений и т. д.
Первый раз я встретился с антивирусами в 6 классе школы, где в компьютерном классе был один компьютер на Windows. На остальных мы изучали Basic и там был установлен DOS. Windows стало быть стоял только на учительском компьютере. Там стоял Антивирус Касперского, и этот зонтик, который запускался с системой минуты две, надолго начал ассоциироваться у меня с невероятными тормозами всей системы.
Всем привет! Меня зовут Артур, и вы на канале "Продавец цифровой техники". Я все знаю о компьютерах, мобильных телефонах и прочей электронике. И если вы хотите получать больше таких статей себе в ленту, то обязательно подписывайтесь на канал! Лучи добра вам за это!
В течении всей моей истории пользования компьютером было несколько мнений насчет антивирусов. Примерно до выхода Windows 7 я просто не признавал антивирусы, потому что они ужасно тормозили систему. Когда вышла Windows 7, то компьютеры стали более-менее мощными, а сама система была очень стабильной. Поэтому установленный на нее антивирус хоть и тормозил систему, но учитывая громкие в то время вирусы, был оправданным решением. Блокировщики системы требовали перевести деньги за разблокировку, и условный базовый Avast в этом помогал. В то время кстати я всем ставил Avast, считая его более-менее не требовательным антивирусом с хорошей защитой.
С выходом Windows 10 все изменилось. Не сразу, но со временем я понял, что стандартный антивирус Microsoft Defender справляется со всем. Моё предположение подтвердили многочисленные исследования от лабораторий, где стандартный антивирус, идущий в комплекте с системой не уступает, или уступает, но не сильно самым лучшим антивирусам на рынке.
Когда вы покупаете ноутбук или даже компьютер, то можете увидеть в комплекте с системой демонстрационные варианты Norton Internet Security или McAfee. Их можно и нужно смело удалять, потому что они во-первых демонстрационные и платные по сути, во-вторых, не сильно отличаются от стандартного антивируса.
Единственное, что я могу посоветовать тем, кому реально есть что терять, на кого ведут охоту хакеры или конкуренты по бизнесу, так это Kaspersky Internet Security. Да, в полной версии программы есть более серьезная защита ваших банковских карт, мессенджеров, маскировка IP и прочие дополнительные защиты.
Остальным же пользователям я рекомендую оставить стандартный Защитник Windows. Плюс дополнительно меня защищает Yandex Protector, который встроен в Я.Браузер и не дает скачать вредоносное программное обеспечение.
В расширенном динамическом тестировании антивирусов Advanced Threat Protection Test 2021 (Enhanced Real-World Test) исследователи AV-Comparatives используют хакерские инструменты и техники взлома, которые позволяют злоумышленникам получать доступ к внутренним компьютерным системам.
Тестируемые антивирусы
В расширенном динамическом тестировании (Enhanced Real-World Test) принимали участие следующие вендоры. Антивирусы данных вендоров хорошо зарекомендовали себя во внутреннем предварительном тестировании. Компании-разработчики были достаточно уверены в возможностях своих антивирусов при противостоянии бесфайловым атакам и приняли решения участвовать в открытом тестировании. Все остальные разработчики антивирусов, участвующих в основной серии испытаний, отказались от тестирования.
Все потребительские антивирусы тестировались со стандартными настройками (настройками по умолчанию).
Общая информация
Термин «Постоянная серьезная угроза» (Advanced Persistent Threat, APT) обычно используется для описания таргетированных или целевых атак, направленных на взлом информационной системы и применяющих сложные методы и техники кибернападения. Среди конечных целей таких атак может быть кража, искажение или повреждение конфиденциальной информации или создание возможностей для саботажа, который, в свою очередь, может привести к финансовым и репутационным потерям целевых организаций. Подобные атаки отличаются узкой направленностью и использованием специализированных инструментов, таких как обфусцированный вредоносный код, злонамеренное использование легитимных системных инструментов или бесфайловый вредоносный код.
В расширенном динамическом тестировании (Enhanced Real-World Test) исследователи AV-Comparatives используют хакерские инструменты и техники взлома, которые позволяют злоумышленникам получать доступ к внутренним компьютерным системам организации. Данные атаки можно описать по модели Cybersecurity Kill Chain, разработанной компанией Lockheed Martin, выделив 7 различных фаз, каждая из которых имеет свой индикатор компрометации (Indicator of Compromise, IOC). Во всех тестах используется набор так называемых «тактик, методов и процедур» (Tactics, Techniques, Procedures, TTP), приведенных в базе знаний MITRE ATT&CK. В финальный отчет также включены результаты испытания на ложные срабатывания.
В качестве целевых систем использовались полностью пропатченные 64-разрядные системы Windows 10. На каждой из систем был установлен свой антивирус. В корпоративном тестировании использовалась стандартная учетная запись пользователя, а в потребительском тестировании – учетная запись администратора устройства. По этой причине (а также из-за других настроек) результаты потребительского теста не могут быть напрямую сопоставимы с результатами корпоративного теста.
Как только жертва запускает полезную нагрузку, устанавливается канал связи с контрольным центром (Command and Control Channel, C2). Для этого на машине атакующего должен быть запущен прослушивающий модуль (listener). В этой роли может выступать Metasploit Listener, доступный в системе Kali Linux. С помощью С2-канала злоумышленник получает неограниченный доступ к взломанной системе. Функциональность и стабильность удаленного контроля оценивалась индивидуально в каждом тестовом случае.
В тестировании использовалось 15 различных атак. В будущих тестах в общедоступных отчетах планируется предоставить более подробную информацию о сложности испытания и тестовом покрытии. В данном тестировании основное внимание уделялось защите, а не обнаружению.
Вендорам, принимающим участие в основной серии испытаний AV-Comparatives (AV Main-Test-Series), была предоставлена возможность отказаться от данного теста, до запуска открытого тестирования, поэтому не все компании-разработчики учитывались в данном тесте.
Область тестирования
Расширенное динамическое тестирование показывает, как успешно тестируемые антивирусы справляются с узкоспециализированными таргетированными методами атаки. Испытание не учитывает общий уровень безопасности или эффективность защиты от вредоносных программ, загружаемых из Интернета или распространяемых через портативные устройства хранения.
Результаты теста следует рассматривать как дополнение к результатам динамического тестирования (Real-World Protection Test) и теста на защиту от вредоносных программ (Malware Protection Test), а не полную им замену. Таким образом, при оценке эффективности каждого отдельного антивируса следует учитывать результаты других тестов серии Main-Test. Данный тест показывает, защищает ли антивирус от определенных методов атаки и эксплуатации, используемых в ATP. Пользователи, которые обеспокоены такими видами атак, должны рассмотреть результаты потребительских антивирусов, участвующих в данном тестировании. Ожидается, что в следующем году количество участников Enhanced Real-World Test увеличится.
Различия между “MITRE ATT&CK test” и “AV-Comparatives Advanced Threat Protection Test”
Расширенное динамическое тестирование AV-Comparatives серьезно отличается от “MITRE test”, хотя в нем также используются элементы матрицы MITRE ATT&CK. "MITRE test" оценивает решения защиты конечных точек от сложных угроз Endpoint Detection and Response (EDR) в тех сценариях, когда вендоры выполняют активный мониторинг текущих атак в режиме реального времени. Для этого в сфере кибербезопасности есть отдельный термин – “red and blue team testing”. Основное внимание уделяется обнаружению и регистрации атакующих процессов (видимость), оповещению системных администраторов и предоставлению вспомогательных данных для ручной локализации угроз и противодействия угрозам.
При подготовке к "MITRE test" вендоры переводят свои антивирусы в режим «регистратора» (“log-only”), чтобы узнать как можно больше информации о цепочки атаки. Данные испытания имеют свое применение и предоставляют очень ценные данные. Тем не менее, оценка защиты отдельных систем от заражений, повреждения системы и данных не является целью данного теста. Кроме того, тест MITRE лишен какой-либо системы рейтинга, а просто предоставляет исходные данные для последующего анализа.
В тестировании AV-Comparatives Advanced Threat Protection Test исследователи пытаются выяснить, как эффективно решение безопасности защищает систему при повседневном использовании. Критически важный момент – сможет ли тестируемый антивирус защитить систему от атаки в целом. Все остальное вторично: какой именно компонент заблокировал атаку и на каком этапе атака была приостановлена, при условии, что тестовая система не была взломана (данная информация может появиться в будущих тестах). В данном тесте лаборатория также учитывала ложные срабатывания.
Процедура тестирования
Скрипты, содержащие вредоносный код, такие как VBS, JS или макросы MS Office, могли выполнить и установить бесфайловый бэкдор на компьютере жертвы и установить подключение к командному центру (С2 канал) злоумышленника, которые обычно использовал другое физическое расположение и мог находиться в другой стране. Кроме данных распространенных сценариев, доставлять бесфайловые вредоносные нагрузки можно с помощью эксплойтов, удаленных вызовов (PSexec, wmic), планировщика задач, ключей реестра, одноплатного компьютера Arduino (USB RubberDucky) или WMI вызовов. Для этого можно использовать встроенные инструменты Windows, например PowerShell. Данные методы позволяют разместить вредоносную программу из Интернета непосредственно в памяти целевой системы и развивать атаку в локальной сети с помощью встроенных инструментов операционной системы. Кроме того, злоумышленник может сделать угрозы устойчивыми на машине жертвы. В данном тесте не применялись портативные исполняемые (Portable executable, PE) угрозы
Бесфайловые атаки
Векторы атаки и цели
В тестах на проникновение (Penetration tests) мы видим, как некоторые векторы атаки могут быть еще не полностью охвачены антивирусными решениями, и многие популярные решения безопасности обеспечивают недостаточную защиту. Некоторые корпоративные решения защиты получают улучшения в данной области и в некоторых сценариях срабатывают лучше. Команда AV-Comparatives считает, что в потребительских антивирусах следует улучшить защиту от подобных видов атак, потому что обычные пользователи также могут подвергаться этим атакам. Абсолютно любой человек может стать мишенью, например с целью «доксинга» (публикации конфиденциальной личной информации) в качестве акта мести. Взлом домашних компьютеров сотрудников компании также может быть очевидным путем доступа к корпоративным данным.
Методы атаки
Тест на ложные срабатывания
Антивирус, который блокирует 100% вредоносных атак, но также блокирует и абсолютно безопасные (не вредоносные) действия, может оказаться очень деструктивным. AV-Comparatives проводит испытание на ложные срабатывания в рамках расширенного динамического тестирования, чтобы выяснить, может ли антивирус отличить вредоносные действия от безопасных. В противном случае, антивирус может полностью блокировать 100% вредоносных атак, которые используют вложения электронной почты, скрипты или макросы, просто за счет блокировки данных функций. В этом случае большинство пользователей не смогут выполнять повседневные задачи. Следовательно, результаты теста на ложноположительные срабатывания принимались во внимание при подсчете итоговых баллов антивирусов.
Важно отметить, что постоянное предупреждение пользователя об открытии безобидных вложений электронной почты может привести к сценарию «мальчик который кричал волки». Пользователи, которые сталкиваются с рядом избыточных предупреждений, рано или поздно предположат, что все предупреждения являются ложными, и проигнорируют подлинное предупреждение при его появлении.
Тестовые сценарии
AV-Comparatives использовали пять различных фаз начального доступа (Initial Access Phases), распределенных между 15 тестовыми сценариями (например, 3 тестовых сценария использовались с целевым фишингом через вложения электронной почты).
-
: "Злоумышленники могут взломать или иным образом использовать организации, имеющие доступ к предполагаемым жертвам. Доступ через доверенные отношения с третьей стороной использует существующую связь, которая может быть не защищена или подвергаться меньшей проверке, чем стандартные механизмы получения доступа к сети". : "Злоумышленники могут украсть учетные данные конкретного пользователя или учетной записи службы с помощью методов доступа к учетным данным или получить учетные данные на более ранних этапах разведки с помощью социальной инженерии [. ]". : "Злоумышленники могут проникать в системы [. ] путем копирования вредоносного ПО на съемный носитель [. ] и переименования его в легитимный файл, чтобы обманом заставить пользователей выполнить его на отдельной системе. [. ]" : "Спирфишинг вложений – это [. ] использование вредоносных программ, прикрепленных к электронному письму. [. ]" : "Спирфишинг со ссылкой [. ] использует ссылки для загрузки вредоносного ПО, содержащегося в электронном письме [. ]".
Ниже приводится краткое описание 15 тестовых сценариев, использованных в данном тестировании:
- Эта угроза внедряется через "Доверительные отношения". PowerShell Empire был использован для создания HTA-файла, который выполняет включенную в него поэтапную полезную нагрузку PowerShell.
- Эта угроза внедряется через "Доверительные отношения". PowerShell Empire использовался для создания сценария JavaScript, выполняющего закодированную в base64 полезную нагрузку PowerShell.
- Эта угроза внедряется через "Доверительные отношения". Используется сценарий PowerShell, содержащий обход AMSI и отдельную полезную нагрузку PowerShell Empire.
- Эта угроза внедряется через "Действительные учетные записи". Доверенная Windows утилита MS Build используется для выполнения полезной нагрузки PowerShell Empire (включая обход AMSI) путем включения вредоносного макроса.
- Эта угроза внедряется через "Действительные учетные записи". С помощью BAT-файла выполняется закодированная и частично обфусцированная поэтапная полезная нагрузка PowerShell Empire.
- Эта угроза внедряется через "Доверительные отношения". Используется сценарий PowerShell, содержащий полезную нагрузку PoshC2 и отдельный обход AMSI.
- Эта угроза внедряется через съемный носитель. Обфусцированная полезная нагрузка PoshC2 PowerShell выполняется с помощью макросов Microsoft Office.
- Эта угроза внедряется через съемный носитель. VBScript используется для выполнения закодированной в Base64 полезной нагрузки PoshC2 PowerShell.
- Эта угроза внедряется через съемный носитель. Файл ярлыка .LNK используется для загрузки и выполнения сильно обфусцированной полезной нагрузки PoshC2 PowerShell.
- Эта угроза внедряется с помощью целевого фишинга через вложение письма. VBScript используется для загрузки и выполнения обфусцированной полезной нагрузки PoshC2 .XSL в оперативной памяти клиента.
- Эта угроза внедряется с помощью целевого фишинга через вложение письма. Используется чистый исполняемый файл PuTTY x64, заспамленный срежиссированным шеллкодом Metasploit x64.
- Эта угроза внедряется с помощью целевого фишинга через вложение письма. PE-файл, использующий метаданные adobe.exe для маскировки, выполняет шеллкод Metasploit Meterpreter.
- Эта угроза внедряется с помощью целевого фишинга через ссылку. Используется JavaScript, исполняющий шеллкод Metasploit Meterpreter путем боковой загрузки DLL.
- Эта угроза внедряется с помощью целевого фишинга через ссылку письма. PE-файл, использующий метаданные werfault.exe для маскировки, выполняет XOR-кодированный поэтапный шеллкод Metasploit Meterpreter.
- Эта угроза внедряется с помощью целевого фишинга через ссылку. Используется сценарий JavaScript, который с помощью rundll32 выполняет шеллкод Metasploit Meterpreter, используя боковую загрузку DLL.
Тест на ложные срабатывания: Были использованы различные сценарии ложных срабатываний, чтобы проверить, не блокирует ли какой-либо продукт определенные действия (например, блокируя политикой вложения электронной почты, коммуникации, скрипты и т.д.). Ни один из протестированных продуктов не показал чрезмерной блокировки в использованных сценариях тестирования на ложную тревогу.
Если бы в ходе тестирования наблюдалось, как продукты адаптируют свою защиту к тестовой среде AV-Comparatives, лаборатория использовала бы контрмеры для обхода этих адаптаций, чтобы убедиться, что каждый продукт действительно может обнаружить атаку, а не тестовую ситуацию.
Результаты тестирования
Обозначения
| Угроза обнаружена, сессия С2 не была установлена, система защищена | 1 балл | |
| Предупреждение не показывалось, сессия С2 не была установлена, система защищена | 1 балл | |
| Угроза не была обнаружена, сессия С2 успешно установлена | 0 баллов | |
| Результат защиты недействителен, поскольку были заблокированы и не вредоносные скрипты/функции | N/A |
Исследователи AV-Comparatives считают, что основная цель защитной системы (AV, EPP или EDR) заключается в том, чтобы обнаружить и предотвратить развитие устойчивых угроз и других типов вредоносного ПО как можно быстрее. Другими словами, если APT распознается до или сразу же после запуска и подключение к командному центру предотвращается, то нет необходимости предотвращать действия после эксплуатации. Хорошая охранная сигнализация должна срабатывать, когда преступники врываются в ваш дом, а не когда они начинают воровать ваши вещи.
Антивирус, который блокирует определенные функции, например, почтовые вложения или скрипты, получит классификацию “Tested”. Тем не менее, ни один из протестированных антивирус не продемонстрировал такое поведение в сценариях с ошибочными срабатываниями / блокировкой функциональности.
Примечания по потребительским антивирусам
В данном разделе приводится дополнительная информация, представляющая интерес читателям.
Тестовые сценарии
Этапы обнаружения/блокировки
- Предварительное выполнение (PRE): когда угроза не запущена и неактивна в системе.
- При выполнении (ON): сразу после запуска угрозы.
- После выполнения (POST): после того, как угроза была запущена и ее действия были распознаны.
Примечания
-
, AVG Free Antivirus: В одном случае "песочница" сообщила, что файл безопасен. Затем, когда угроза уже работала в памяти, она была обнаружена, но стабильное C2-соединение все равно оставалось открытым, и атака продолжалась без ограничений. : В одном случае, когда угроза уже была запущена в памяти, она была обнаружена, но стабильное C2-соединение все равно оставалось открытым, и атака продолжалась без ограничений. : Некоторые обнаружения произошли только после выполнения угроз. : Обнаружения происходили либо до, либо во время выполнения угроз. : Некоторые обнаружения произошли до выполнения. В одном случае, когда угроза была удалена, было отмечено необычное поведение – по этому случаю компания Kaspersky проводит расследование. : Большинство обнаружений произошло во время выполнения угроз. : У VIPRE были такие же пропуски, как и у Bitdefender и G Data (поскольку они оба используют движок Bitdefender наряду со своими собственными движками).
Разработчики всех тестируемых антивирусов постоянно вносят улучшения в свои продукты, поэтому можно ожидать, что многие из пропущенных атак, использованных в тесте, уже покрыты.
Уровень наград в тестировании защиты от целевых атак
Исходя из своего опыта, лаборатория AV-Comparatives отмечает, что многие потребительские антивирусные программы не обеспечивают эффективную защиты от типов угроз, используемых в данном тестировании. По этой причине, если потребительский антивирус обнаруживает хотя бы 5 из 15 угроз, то уже заслуживает награду за «Advanced Threat Protection». Точные критерии награждения приведены ниже:
Мы подобрали семь лучших бесплатных антивирусов, которые помогут защитить ваш компьютер от опасностей Всемирной паутины.
Коронавирус загнал в дома немало офисных работников, и теперь на домашних компьютеров многих пользователей хранится не только личная, но и зачастую весьма важная служебная информация. Поэтому неудивительно, что сейчас безопасность домашнего компьютера становится как никогда актуальна. А лучший способ не попасться в сети хакеров — это использование надежного антивируса.
Dr.Web CureIt
Вы не хотите устанавливать на компьютер какой-то новый антивирус? Не хотите, чтобы он постоянно работал, отнимая совсем небезграничные ресурсы системы? Тогда обратите внимание на Dr.Web CureIt.
Эта простая утилита буквально незаменима, когда вы хотите проверить свой компьютер на вирусы. Программа быстро просканирует любой накопитель, его раздел или директорию, позволив вам самостоятельно выбрать объекты для проверки. Ко всему прочему, она умеет сканировать оперативную память, точки восстановления, да и вообще все места, где может засесть зловред.
Dr.Web CureIt работает быстро и эффективно, умея находить даже те вирусы, которые может пропустить ваш штатный антивирус. Она использует простейший интерфейс, автоматически переходящий на язык вашей системы. При этом утилита не требует ни установки, ни обновления — перед каждой проверкой вам достаточно скачать ее свежую сборку с самыми актуальными базами. Ну а работать с ней можно даже с флешки.
Иными словами, это не совсем полноценный антивирус, а скорее утилита для проверки компьютеров при подозрении на вирус. Она не сможет защитить ваш ПК от заражения, но поможет вылечить его или удалить вредоносное ПО. И в этом Dr.Web CureIt, пожалуй, нет равных.
Avast Free Antivirus
При этом возможности Avast Free Antivirus не ограничиваются лишь защитой компьютера. Он умеет сканировать домашнюю Wi-Fi сеть, находя в ней посторонних и обнаруживая уязвимости самой сети. Особую ценность программе придают высокие оценки, традиционно выставляющиеся антивирусу независимыми лабораториями. Они отмечают близкую к 100% надежность защиты от вредоносного ПО, отличную производительность антивируса и его простой интерфейс. В последнем вы, кстати, можете убедиться и самостоятельно.
Конечно, Avast Free Antivirus лишен некоторых особенностей платного Premium Security, самая интересная функция которого — безопасный запуск подозрительных программ в песочнице. Но для бесплатной утилиты его возможности выглядят просто отлично.
AVG AntiVirus Free
Написав о Avast Free Antivirus, мы не можем не вспомнить и о еще одном бесплатном антивирусе для Windows 7 и более свежих версий ОС, во многом похожем на него — это AVG AntiVirus Free. Как и разработка Avast, этот антивирус очень бережно относится к системным ресурсам, отлично работая даже на слабом ПК. Антивирус также эффективно находит вредоносное ПК, при этом умея распознавать и блокировать его еще на стадии загрузки. Он автоматически блокирует небезопасные ссылки, загрузки и вложения электронной почты и эффективно защищает от программ-вымогателей.
К слову, отличия платного AVG Internet Security от бесплатного AVG AntiVirus Free не настолько уж велики. Платная утилита защищает от попыток наблюдать за вами через веб-камеру и от перехода на поддельные сайты для совершения покупок, а также имеет усовершенствованный брандмауэр.
Что касается эффективности антивируса при обнаружении зловредов, то, по оценкам независимых лабораторий, она близка к 100%, а скорость его работы еще выше, чем у чрезвычайно быстрого Avast Free Antivirus.
Kaspersky Security Cloud Free
Каждый россиянин наверняка слышал о лаборатории Касперского — разработчике одного из самых эффективных антивирусных решений в мире. Помимо обычного Kaspersky Internet Security у него есть и бесплатная утилита Kaspersky Security Cloud Free, и именно о ней мы и поговорим в нашей статье.
Kaspersky Security Cloud Free — это, пожалуй, самый эффективный бесплатный антивирус для Windows 7 и более старших версий операционной системы, но его высокая чувствительность имеет и свои недостатки. Главный из них — постоянный контроль любой активности и очень частые уведомления о кажущихся ему подозрительными действиях. При этом он значительно сильнее грузит систему, замедляя работу компьютера, и не отличается быстротой сканирования.
Мы бы назвали Kaspersky Security Cloud Free идеальным решением для начинающих пользователей или пожилых людей. Он действительно может избавить вас от многих неприятностей, таящихся во всемирной паутине. Но для многих продвинутых пользователей такая гиперопека может показаться излишней, особенно если за нее приходится платить замедлением работы компьютера.
Bitdefender Antivirus Free Edition
Продолжим топ бесплатных антивирусов чуть менее распространенным в России, но не менее интересным решением от румынской компании Bitdefender. Ее антивирусный движок используется такими компаниями, как 360 Total Security и F-Secure, а пару лет назад Роскачество совместно со специалистами Международной ассамблеи организаций потребительских испытаний (ICRT) признало BitDefender лучшим антивирусом.
Конечно, Bitdefender Antivirus Free Edition сильно уступает платным антивирусам компании по набору функций, но его эффективность от этого ничуть не пострадала. Он отлично справляется со своими прямыми обязанностями по обнаружению вредоносного программного обеспечения и не слишком требователен к системным ресурсам.
Утилита умеет отслеживать и блокировать фишинговые сайты, которые маскируются, чтобы украсть ваши данные. Причем алгоритм работы программы учитывает подозрительное поведение веб-страниц, делая работу функции более гибкой.
Единственный минус Bitdefender Antivirus Free Edition в немного менее дружелюбном интерфейсе. Правда, это больше касается платных вариантов антивируса.
360 Total Security
Наш рейтинг бесплатных антивирусов продолжает 360 Total Security. Он настолько же эффективен, что и Bitdefender Antivirus Free Edition по той простой причине, что это ПО использует фирменный антивирусный движок Bitdefender. Хотя, если быть до конца точным, он использует аж три антивирусных движка. Bitdefender и Avira отвечают непосредственно за работу антивируса. QVM II автоматически проверяет и уничтожает вирус. 360 Cloud Engine проверяет контрольные суммы файла и обеспечивает защиту системы в режиме реального времени, а System Repair восстанавливает систему после удаления вирусов.
Таким образом, у нас получается отличное комплексное решение. Причем это проявляется не только в возможностях софта, но и в том, что антивирус доступен в версиях для Windows, Mac и мобильных устройств под управлением iOS и Android. В общем, для большинства гаджетов, которыми пользуются современные люди.
Bitdefender Antivirus Free Edition дает возможность выбора из четырех режимов защиты: «Производительность», «Баланс», «Безопасность» и «Пользовательский». Каждый из них имеет свой уровень защиты от вредоносных программ, фишинговых атак и бэкдоров, а последний режим предусматривает тонкую настройку всех параметров работы. Что до «вспомогательных» функций решения, то с его помощью можно оптимизировать работу систему, ускорив загрузку компьютера и проверить безопасность беспроводной сети.
Защитник Windows
Но по большей части, возможностей Защитника Windows достаточно для большинства разбирающихся в особенностях интернета пользователей.
Главное преимущество Защитника — это его тесная интеграция с операционной системой. Этот легкий и шустрый антивирус по своей эффективности немного уступает большинству сторонних решений, пропуская некоторые угрозы безопасности. Но это вполне компенсируется малым числом ложных срабатываний и чрезвычайной простотой работы — антивирус уже предустановлен в Window 10, и не требует никаких действий со стороны пользователя. Правда, мы бы советовали использовать Защитник Windows в связке с утилитами вроде Dr.Web CureIt, сканируя ПК раз в 1-2 недели для поиска вирусов.
Проблемы с Защитником Windows начинаются тогда, когда вы решаете изменить ему с другим антивирусом. Многие из нас прекрасно знают, что двум антивирусам сложно ужиться на одном компьютере. Поэтому перед установкой стороннего решения, не забудьте отключить штатный Защитник.
Вся сложность этого как раз в тесной интеграции Защитника с Windows, из-за которой полностью избавиться от этого продукта достаточно проблематично. Если же вы твердо намерены использовать сторонний антивирус, мы рекомендуем вам ознакомиться с подробной инструкцией по отключению Защитника Windows.
Мы хотим помочь вам с выбором лучших платных и бесплатных антивирусных инструментов в этом руководстве. Возможно, вы уже знакомы с такими именами, как Norton, McAfee, Avira и Avast, но стоят ли они того? Что ж, мы протестировали и проверили все лучшие антивирусы 2021 года — будь то бесплатные или платные от крупнейших компаний в области кибербезопасности. Следовательно, вы можете положиться на наши рекомендации и быть уверены, что найдете лучшие в своем классе решения для защиты и защиты ваших устройств.
Лучшие антивирусы 2021 года
Systweak Antivirus
Systweak Antivirus включает все необходимые инструменты, которые делают его одним из лучших антивирусных программ для Windows. Разработан с использованием передовых алгоритмов для эффективного минимизации риска в кратчайшие сроки, контроля любого ущерба и точного устранения беспорядка, вызванного кибератакой. Лучшая антивирусная утилита имеет отличную защиту в реальном времени, несколько режимов сканирования для комплексной защиты для обнаружения вредоносного контента и других ссылок для использования, а также инструменты для безопасного просмотра веб-страниц . Надежное решение для обеспечения безопасности ПК может быстро бороться с несколькими типами заражений, которые не только повреждают ваше устройство, но и значительно замедляют работу вашей системы.
Удобный интерфейс
Простая установка и использование антивирусной программы
Многослойный механизм защиты
Актуальная база данных для борьбы с существующими и новыми типами онлайн-угроз
Значительно повысить производительность системы
Способен обнаруживать и удалять ПНП
Предлагает расширение для браузера для блокировки рекламы
Полная круглосуточная техническая поддержка
60-дневная гарантия возврата денег.
Отсутствие настройки
Доступно только для Windows
Norton 360 Deluxe
- Общий рейтинг: 9,5 / 10
- Ключевые особенности: неограниченный доступ к VPN, менеджер паролей, безопасное облачное хранилище 10 ГБ
- Поддерживаемые платформы: Windows, Mac, Android и iOS
- Цена: 49,99 долларов США на один год.
- Охватываемые устройства: пять устройств (независимо от платформы)
Norton 360 Deluxe предлагает все, что вы можете пожелать от идеального антивирусного решения. Обладая такими функциями, как диспетчер паролей, утилита резервного копирования, родительский контроль , решение VPN и онлайн-хранилище , Norton 360 предлагает три различных уровня защиты идентификаторов, а также первоклассную защиту от вредоносных программ, чтобы стать полноценным пакетом безопасности и конфиденциальности. Что делает Norton лучшим антивирусным программным обеспечением на рынке? Он всегда в курсе последних угроз вредоносного ПО. Следовательно, никакой потенциальный существующий или новый вирус не может атаковать вашу систему.
Комплексный подход к обеспечению общей защиты
Классический интерфейс с множеством настроек
Двусторонняя защита брандмауэром
Имеет фирменное расширение Safe Web для браузера
Предоставляет пользователям 50 ГБ онлайн-хранилища
Пять одновременных VPN-подключений
60-дневная гарантия удовлетворения
Полная круглосуточная техническая поддержка
Механизм сканирования вредоносных программ использует много системных ресурсов
Может дорого обойтись с дополнительными функциями
Сильное замедление во время полного сканирования
Bitdefender Antivirus Plus
- Общий рейтинг: 9,5 / 10
- Ключевые особенности: дополнительный VPN, защита / исправление программ-вымогателей и Safepay
- Цена: 59,99 долларов в год.
- Охватываемые устройства: три устройства.
Может повлиять на производительность
Незначительные проблемы с удалением программ-вымогателей
Kaspersky AntiVirus
- Общий рейтинг: 9,3 / 10
- Ключевые моменты: автоматическое сканирование, предотвращение заражения криптовалютой.
- Поддерживаемые платформы: только Windows
- Цена: 25,05 доллара на два года
- Охватываемые устройства: пять устройств.
Простое в использовании антивирусное решение
Самый эффективный пакет безопасности
Защита от всех вирусов в режиме реального времени
Улучшенная защита от расширенных угроз
Хороший результат в нашем тесте защиты от фишинга
Отличный антивирусный движок
Полный пакет предлагает лучшее соотношение цены и качества
Avast Pro
- Общий рейтинг: 9,3 / 10
- Ключевые особенности: защита веб-камеры, защита загрузки, безопасный браузер.
- Поддерживаемые платформы: Windows, macOS, Linux, Android и iOS
- Цена: 69,99 долларов США в год за 1 устройство / 89,99 долларов США в год за 10 устройств.
Avast Pro предлагает множество функций, которые достаточно важны, чтобы смущать конкурентов, по крайней мере, когда дело доходит до его моделей ценообразования. С Avast pro вы получаете базовую защиту от вредоносных программ с безопасным просмотром, защитой сети и мониторингом поведения . Кроме того, он также предлагает режим песочницы для тестирования подозрительных файлов и менеджер паролей . Программное обеспечение интернет-безопасности наполнено расширениями Avast, включая блокировку трекеров, защиту расширений, AdBlock и антифишинг.
Очистка диска
Общее улучшение производительности ПК
Инспектор Wi-Fi устраняет проблемы с безопасностью
Предлагает отличную защиту сети
Сканирование устройств в домашних / общественных сетях Wi-Fi на наличие уязвимостей
Содержит видеоуроки
Слабая техподдержка
Немного дороже, чем другие лучшие антивирусные программы, упомянутые здесь
McAfee Total Protection
- Общий рейтинг: 9,3 / 10
- Ключевые особенности: безопасный просмотр веб-страниц, менеджер паролей с VPN * и защита от кражи личных данных.
- Поддерживаемые платформы: Windows, Mac, Android и iOS
- Цена: $ 49,99 на 1 год
- Охватываемые устройства: десять устройств.
Лучшая кроссплатформенная безопасность в Интернете
Универсальный антивирус по доступной цене
Мониторинг даркнета для поиска конфиденциальной информации
Интернет-ускорение для улучшения работы в Интернете
24 * 7 поддержка клиентов
Влияет на производительность системы
* VPN включен, но продается отдельно
Intego
- Общий рейтинг: 9/10
- Ключевые особенности: VirusBarrier, NetBarrier, стиральная машина Mac, персональное резервное копирование
- Поддерживаемые платформы: Mac и iOS
- Цена: 79,99 долларов за один Mac / 120 долларов за пять компьютеров Mac.
Ищете наилучшую возможную защиту? Попробуйте не что иное, как Intego Mac Premium Bundle X9. Он предлагает множество предложений по безопасности, которые без проблем удовлетворяют современные потребности в безопасности . Лучшее антивирусное программное обеспечение включает в себя специальный набор модулей, включая NetUpdate (обновления определений), NetBarrier (брандмауэр), стиральную машину (поиск дубликатов файлов), ContentBarrier (родительский контроль) и общие утилиты файловой системы.
Его защита от вредоносных программ на высшем уровне
Сертифицирован для полной защиты Mac
Встроенный полнофункциональный брандмауэр
Предлагает защиту в реальном времени
Быстро сканирует файлы при доступе к ним
Антишпионское ПО / трояны / фишинг / червь / руткит
Иногда не обнаруживает вредоносные ссылки
Не поддерживает сканирование на вирусы USB
Webroot SecureAnywhere AntiVirus
- Общий рейтинг: 8,8 / 10
- Ключевые особенности: защита идентификаторов, защита от фишинга в реальном времени, мониторинг брандмауэра
- Поддерживаемые платформы: Windows и Mac.
Быстрое / глубокое сканирование для полной защиты
Предлагает песочницу для тестирования подозрительных приложений.
Способен блокировать вредоносные ссылки
Не конфликтует с другими программами безопасности
Никаких трудоемких сканирований
Лучшее антивирусное программное обеспечение для защиты от последних краж личных данных
ESET NOD32 Antivirus
Простой в использовании интерфейс
Доступное разнообразие планов
Функции защиты от спама
Тщательно проверяйте загружаемые файлы на предмет отсутствия угроз
Особенности современного обнаружения вредоносных программ
Не ест много системных ресурсов
Лучшее антивирусное программное обеспечение для базовой защиты
Нет круглосуточной техподдержки
Обновление для нескольких устройств стоит дорого
Работает только как антивирус, без дополнительных инструментов
F-Secure Antivirus Safe
- Общий рейтинг: 8,6 / 10
- Ключевые особенности: защита браузера и банковских операций, защита от программ-вымогателей, родительский контроль.
- Поддерживаемые платформы: Windows, Mac, Android и iOS
- Цена: 68,12 долларов США за три устройства в год
- Охватываемые устройства: семь устройств
Хороший пользовательский интерфейс
30-дневная бесплатная пробная версия
Быстрое сканирование
Finder, чтобы найти потерянные устройства
Такие инструменты, как фильтрация URL-адресов, банковская защита, родительский контроль и др.
Лучший мультиплатформенный антивирус 2021 года
Какое антивирусное программное обеспечение в 2021 году будет лучшим?
Читайте также: