Kaspersky Free vs RAA или дарёному коню в копыта не заглядывают :)

Запись опубликовал Sandynist · 30 июля, 2016

20 701 просмотр

Добрый вечер!

Эта заметка посвящается всем тем пользователям, у которых не хватило денег на покупку лицензии для антивируса и они решили воспользоваться бесплатным антивирусным решением.

Предыстория такова: больше недели тому назад один из попавшихся мне на глаза опасных по моему мнению скриптов (шифровальщик RAA) я дважды безуспешно отправил в Лабораторию Касперского на исследования через почту newvirus@kaspersky.com

Оба раза пришёл стандартный ответ авторобота, о том, что файл будет передан на исследование в антивирусную лабораторию. Никакого эффекта это не дало, скрипт, несмотря на свои вредоносные действия, вообще никак не детектировался продуктами Лаборатории Касперского, это было проверено на KTS и на KES10. Естественно срабатывали правила контроля активности, скрипт помещался в слабые ограничения или недоверенные, соответственно никакого шифрования файлов не происходило.

Не удовлетворившись результатом, я обратился на Фейсбуке к одному из сотрудников KL с просьбой проверить номера запросов — [KLAN-4733379059] и [KLAN-4726601605]. После этого свершилось чудо Через день скрипт стал детектироваться как троян дженерик в KTS и на KES он тоже стал удаляться каким-то из компонентов.

В итоге я решил проверить — а как же реагирует на него бесплатная версия Kaspersky Free, а также решил попутно проверить нескольких его антивирусных аналогов, которые распространяются бесплатно.

Итак тестовая среда: Win XP SP3 на VMware Workstation, все антивирусы скачивались, устанавливались и обновлялись, затем была перезагрузка системы, создание точки отката и после этого проверка на противодействие шифровальщику.

1) Kaspersky Free: никакого сопротивления не оказал, файлы оказались зашифрованы.

2) Аваст Free категорически отказался запускаться на виртуальной машине, видимо придётся проводить дополнительное тестирование в реальных условиях

3) Avira Free: никакой реакции на шифровальщика, все файлы зашифрованы.

4) Comodo Free: запускает скрипт в песочнице, никакого шифрования файлов не происходит (естественно у пользователя есть возможность не поверить антивирусу и в следующий раз запустить скрипт без песочницы, но это действие уже оставим на совести пользователя).

Если мне не изменяет мой склероз, то Лаборатория Касперского 3—5 лет тому назад отказалась от технологии песочницы как от слишком затратной и ресурсоёмкой процедуры. Как видим у конкурентов всё работает, причём в бесплатных версиях продуктов.

5) 360 Total Security: скрипт не запустился и ничего не смог зашифровать.

6) NANO Антивирус : из всех испытуемых продуктов задетектировал этот скрипт базами,
что не было для меня сюрпризом, так как неделю назад скрипт проверялся на Вирустотале, там у этого антивируса (одного из очень немногих) был отмечен детект скрипта.

7) Baidu Antivirus 2015: никакой реакции на шифровальщика, всё как у Авиры и Kaspersky Free.

Решил добавить тест на этом антивирусе, хотя не особенно надеялся на какой-то успех — ничем выдающимся Байду не отличился, единственное, что достал всех русскоязычных пользователей своей версией на китайском языке, которая распространяется как при помощи операционной системы (например, если истекла лицензия на текущий антивирус, то Windows 7 первым предлагает загрузить именно Baidu), так и некими злоумышленниками через ссылки и письма.

8) Для полноты эксперимента проверил этот же скрипт на KAV 2017 (то есть платном антивирусе от Лаборатории Касперского), отмечается детектирование, поднимается алерт об опасности.

Теперь меня мучает следующая мысль — насколько оправданно то, что функционал в Kaspersky Free зарезали настолько, что он стал намного хуже, чем его бесплатные конкуренты?

Ведь многие пользователи доверяют бренду Kaspersky Lab, но на самом деле такая «защита» не защищает от самых современных угроз. Пока этот вопрос чисто риторический, я понимаю — программисты хотят есть и кормить свою семью, руководство стремится увеличить прибыли компании, но насколько всё это оправдывает выпуск беззубых антивирусных продуктов?

Update: 31.07.2016

Провёл дополнительное тестирование вредоносного файла на устаревшем продукте для корпоративных пользователей — WKS 6 MP4 (версия 6.0.4.1611). Несмотря на какие-то попытки продукта отреагировать на заражение, все файлы в итоге зашифрованы.

Update: 03.08.2016
Пришла рассылка от партнёра Лаборатории Касперского, как раз в тему:

Ещё немаловажное уточнение — в вирлабе Лаборатории Касперского наконец-то провели работу над ошибками, теперь скрипт-шифровальщик на WKS MP4 сразу же блокируется при запуске с вердиктом Trojan-Ransom.JS.RaaCrypt.e.

Kaspersky Free теперь тоже не даёт запустить этот скрипт, вердикт правда не успел рассмотреть при запуске, поэтому пришлось потом лезть искать в отчётах данное событие.