Обзор и тестирование Webroot SecureAnywhere AntiVirus (2016)

Большинство пользователей имеют поверхностное представление о работе антивируса. Он сверяет файлы в системе с набором определений зловредов и в случае совпадения поднимает тревогу? В действительности, практически все антивирусные продукты имеют дополнительные механизмы защиты, хотя могут использовать также традиционные сигнатурные методы обнаружения. Версия Webroot SecureAnywhere AntiVirus 2016 года имеет совершенно другой подход, который позволяет очень быстро проводить сканирования, занимать крошечное дисковое пространство и все-равно предлагать высокоэффективную защиту. Webroot смог поразить редакцию PCMag.

Годовая подписка на продукт обойдется в 39,99 долларов, а доплатив еще 10 долларов можно получить сразу три лицензии. Эти лицензии можно использовать для установки защиты на ПК Windows и Mac. Mac-версия практически ничем не отличается от обозреваемой версии для Windows.

Главное окно программы оформлено в зеленых тонах и содержит панель со статистикой последних сканирований, а также кнопку для незамедлительного запуска проверки. Пользователь может даже не обращаться к этой кнопке, ведь Webroot проводит анализ системы при установке и каждый день планово сканирует компьютер. Другая крупная панель относится к форуму пользователей Webroot и включает кнопку, чтобы присоединиться к обсуждению. Доступ к остальным функциям безопасности антивируса осуществляется с помощью панели справа.

Принцип работы

Облачные сервера Webroot содержат гигантскую базу данных известных надежных и вредоносных программ. Это гораздо удобнее, чем работать с локальной базой данных, которую нужно постоянно обновлять. При установке Webroot запрашивает из базы данных информацию о приложениях, которые антивирус обнаружил в системе. Если программа безопасна, продукт не реагирует, но, если программа представляет опасность, продукт удалит ее следы из системы.

Что на счет неизвестных программ? Это очень интересный случай. Когда Webroot сталкивается с неизвестной программой, он отправляет подробные телеметрические сведения на сервера в штаб-квартиру вендора и ведет пристальный мониторинг над активностью приложения. Каждое действие регистрируется в журнале для последующего потенциального восстановления. Конечно, последствия некоторых событий невозможно восстановить, например, передача данных внешнему источнику. Тем не менее, Webroot не разрешает неизвестным программам выполнять данный вид активности. Это означает, что безопасная неизвестная программа может потерять часть функциональности на некоторое время, но в реальной жизни, надежные программы очень редко находятся под мониторингом.

В некоторых случаях правила корреляции позволяют серверу сопоставить неизвестную программу с существующей угрозой в режиме реального времени. Иногда исследователи по всему миру займутся детальным анализом файла. Согласно информации представителя Webroot, обычно время ручного анализа специалистом колеблется от 45 до 90 минут.

После того, как программа была проанализирована, сервер уведомляет локальный антивирус Webroot. Если программа оказалась легитимной, она продолжит работу без ограничений. Если был обнаружен вредоносный код, Webroot завершит работу программы и откатит выполненные изменения. Если другой пользователь столкнется с этой же угрозой, реакция будет незамедлительной.

Конечно, если компьютер потеряет подключение к Интернету, Webroot не сможет связываться с облачным сервером. Тем не менее антивирус будет знать, какие из установленных программ являются безопасными, проблем при работе с ними не будет возникать. В данном режиме, все программы, которые еще ни разу не запускались на компьютере при активном антивирусе будут расценены как неизвестные. Когда соединение восстанавливается, Webroot сверяется с сервером, снимает ограничения с безопасных программ, блокирует зловреды и восстанавливает изменения. Согласитесь, при отсутствии подключения к Интернету, шанс подхватить новую угрозу существенно сокращается.

В настоящее время версия Webroot для Mac не поддерживают технологию регистрации и отката изменений. Представитель Webroot пояснил, что разработчики намеренно отказались от данной функции, т.к. не видели в ней необходимость.

Трудности тестирования

Данный метод отложенного действия является очень эффективным при обработке новейших неизвестных вредоносных программ, но он не соответствует требованиям традиционных антивирусных тестов. Исследователи ожидают, что антивирусный продукт сразу принимает меры, блокируя установку новых вредоносных образцов и удаляя активные заражения. В отдельных случаях они могут ждать несколько минут, чтобы убедится в завершении действия антивируса, но анализ Webroot продолжается еще дольше. Он может полностью восстановить вредоносные изменения спустя час после запуска угрозы. Таким образом, тестовый случай рассматривался как неудача. Из-за данных проблем совместимости большинство независимых антивирусных лабораторий не тестируют Webroot.

Только лондонская лаборатория MRG Effitas на регулярной основе тестирует Webroot. В недавней серии тестов Webroot получили сертификацию второго уровня. Это означает, что, хотя некоторым угрозам удалось запуститься, сделанные ими изменения были отменены до и после перезагрузки. Только Kaspersky Anti-Virus (2016) смог получить сертификацию первого уровня, не оставив не единого шанса угрозам.

Другой тест на защиту финансовых транзакций полностью смогли пройти только 4 продукта, включая Webroot и Kaspersky. Еще 14 продуктов от известных вендоров провалили сертификацию.

Тщательная блокировка вредоносных программ

Результаты тестирования защиты от вредоносных программ и ссылок

Установочный файл Webroot является крошеным, занимает менее 1 мегабайта, а полностью распакованная программа занимает лишь немного больше места на диске. Установщик выполняет несколько задач оптимизации и конфигурации, включая сканирование на предмет вредоносных программ. Сканирование компьютера при помощи Webroot занимает около 3-4 минут, и большинство конкурентов не могут соответствовать подобному темпу. Средний показатель времени проверки среди всех протестированных решений на данный момент равен 45 минутам. Если во время сканирования была обнаружена вредоносная программа, Webroot удалит ее и выполнит повторную проверку, чтобы убедиться, что угроза была очищена полностью.

При открытии папки, содержащей текущую коллекцию вредоносного ПО, Webroot не стал реагировать моментально, но перемещение образцов в другую папку сразу привлекло внимание антивируса. Продукт обнаружил и удалил некоторые зловреды, при этом вывел временные уведомления о своих действиях. Через некоторое время, главное окно покраснело и отобразился список других обнаруженных образцов. Для их удаления Webroot запросил сканирование. После очистки антивирус повторно просканировал систему и обнаружил еще несколько угроз. После третьего сканирования система оказалась чистой.

На тот момент все вредоносные образцы тестовой коллекции исчезли из папки, но все легитимные файлы, которые хранились совместно с угрозами остались нетронутыми. Таким образом, Webroot продемонстрировал 100-процентный уровень обнаружения получил максимальные 10 баллов за блокировку. Такой же результат Webroot показал при прошлом тестировании. С новой коллекцией вредоносного ПО, кроме Webroot, была также протестирована Avira Free Antivirus 2016. Avira заблокировала 94 процента зловредов, но оставшиеся после удаления исполняемые следы вредоносных программ позволили продукту набрать только 8,5 баллов за блокировку.

Вторая тестовая папка содержала модифицированные версии вредоносных образцов. Исходные файлы были переименованы, к их исходному коду были добавлены логические нули, а некоторые неисполняемые строки были изменены. Обычно для теста используются модифицированные версии тех угроз, которые были обнаружены в первой стадии тестировании. Так как Webroot обнаружил все вредоносные программы на первом этапе, проводилось полноценное тестирование с неизвестными файлами - модифицированные версии запускались.

Webroot очистил 40 процентов измененных файлов сразу, позволив поэкспериментировать с оставшимися угрозами. Webroot заблокировал некоторые образцы при попытке их запуска и запросил повторное сканирование для остальных объектов. Некоторые программы были запущены в режиме мониторинга, антивирус по умолчанию рассматривал их как подозрительные. По мере запуска файлов, все объекты были идентифицированы как вредоносные. Webroot запросил дополнительную проверку. После третьего сканирования все модифицированные образцы были удалены. Впечатляющий результат!

Гигантская база данных Webroot не только отслеживает опасные файлы, но и отмечает вредоносные веб-сайты. Браузерное расширение Webroot поддерживает Chrome, Firefox и Internet Explorer и предотвращает посещение опасных ресурсов.

Для тестирования данной функциональности в браузере последовательно открывались 100 ссылок с вредоносным содержимым. Webroot заблокировал 84 процента вредоносных загрузок. Доступ к большинству сайтов был заблокирован на сетевом уровне, в других случаях загрузка файла приводила к моментальному добавлению в карантин. Хороший результат, но совместно с Webroot был протестирован антивирус Avira. Avira заблокировала 99 процентов URL, причем все из них на сетевом уровне. С другой стороны, Avira поддерживает работу только с Chrome, Firefox, но не Internet Explorer.

Перед тем, как Avira стала лидером, первенство разделяли McAfee AntiVirus Plus и Norton Security Premium, которые обнаружили по 91 проценту веб-угроз каждый.

Отличная защита от фишинга

Результаты тестирования защиты от фишинга

Фишинг-сайты - мошеннические ресурсы, которые маскируются под надежные сайты, чтобы украсть учетные данные. PayPal, сайты банков, игровые сайты и даже сервисы знакомств - злоумышленники подделывают все подобные ресурсы. После того, как Вы заполните логин и пароль на подобном сайте, ваш аккаунт будет взломан.

Конечно, подобные сайты очень быстро обнаруживаются и добавляются в черные списки, но после появления сайта, но до его уничтожения, киберпреступники успевают обмануть несколько доверчивых жертв. Лучшие инструменты для борьбы с фишингом не полагаются на черные списки, а выполняют анализ реального времени для обнаружения новейших еще неизвестных угроз. Webroot определенно работает в режиме реального времени. После того, как опасная страница начинает загружаться, она сменяется страницей оповещения “Впереди вредоносная атака”.

Для теста отбираются ссылки, которые были представлены, как мошеннические, но еще не были проверены и добавлены в черные списки. Обычно их возраст составляет не более нескольких часов. Каждая ссылка одновременно открывается в 5 браузерах. Один из них защищается тестируемым продуктом, другой - Norton, а еще три браузера Chrome, Firefox и Internet Explorer полагаются на встроенную защиту.

Почти две трети недавних продуктов сработали хуже, чем по крайне мере один из браузеров и примерно четверть из них уступила всем трем браузерам. Webroot смог превзойти Norton на 1 процент. Ранее единственным продуктом, который смог сработать лучше Norton был Bitdefender. Продукт румынского вендора обнаружил на 2 процента больше мошеннических угроз чем решение от Symantec.

Борьба с вымогателями

Функция регистрации действий и отмены изменений должна по идее восстанавливать исходное состояние системы после любых типов атак, даже после шифрования данных программами-вымогателями. На самом деле, компания посвятила совсем немного времени разработчиков для решения проблем с ransomware-угрозами.  прошлом году в штаб-квартире Webroot наглядно демонстрировались возможности восстановления системы после действий вымогателя. Эксперт PCMag решил самостоятельно повторить данный эксперимент.

Первоначально была отобрана программа-вымогатель из тестового набора угроз. Чтобы Webroot не заблокировал угрозу еще до проведения эксперимента, было отключено подключение к Интернету. Увы, хотя зловред отображал информацию о блокировке, в действительности он не зашифровал ни одного файла.

Поэтому была создана простая программа для симулирования вредоносной атаки с шифрованием. Небольшая утилита обнаруживала все текстовые файлы в отдельной папке и зашифровывала содержимое с помощью простого метода XOR. Интересная особенность использования XOR - для расшифровки данных используется та же функция, поэтому при повторном запуске программы информация восстанавливалась к исходному состоянию. В программу были добавлены подозрительные действия - например добавление в автозагрузку системы. После этого, утилита была помещена в систему.

Естественно программы была неизвестной - до компиляции ее никто не видел. Webroot сразу же начал мониторинг активности программы. Затем файлы в папке были зашифрованы, и Webroot был использован для ручной блокировки программы. Антивирус моментально заблокировал объект и при сканировании восстановил исходные файлы. Отличная работа!

Бонусный фаервол

Webroot включает фаервол даже в автономном антивирусе, хотя многие вендоры не следуют данному вектору. Встроенный фаервол не пытается переводить системные порты в скрытый режим, данная функция возлагается на системный брандмауэр. Вам нужно убедиться, что сетевой экран Windows включен.

Кроме того, фаервол не пытается бороться с сетевыми эксплойтами. При тестировании с использованием 30 эксплойтов, сгенерированных инструментом CORE Impact, Webroot никак на них не реагировал. Если система полностью обновлена и пропатчена, эксплойты не причинят реальный ущерб.

Webroot помечает программы как хорошие, плохие и неизвестные. Как и Norton, Webroot не трогает хорошие программы, устраняет плохие программы и выполняет мониторинг неизвестных приложений. Если неизвестная программа попытается передать личные данные в состоянии мониторинга, антивирус не даст этого сделать.

Фаервол вступает в действие, когда Webroot обнаруживает активное заражение, в результате чего главное окно антивируса становится красным. В этот момент продукт зажимает сетевой трафик от неизвестных программ, разрешая пользователю пользоваться обычной активностью, например, серфингом в Интернете.

Если Вы хотите получить классическое поведение фаервола, характеризующееся большим количеством всплывающих окон, нужно покопаться в настройках. Пользователи могут пойти еще дальше и заблокировать сетевой доступ для недоверенных программ.

Одно можно сказать наверняка, киберпреступник не сможет отключить защиту Webroot. Настройки защиты не содержаться в реестре, а два процесса защищены от завершения. Не нашлось способа и для остановки единственной службы фаервола Webroot.

Дополнительные функции

Webroot предлагает дополнительные функции безопасности, для их активации нужно обратиться к настройкам. Если Вы не заинтересованы в этом, можно оставить все как есть.

Защита личных данных предотвращает типичные виды вредоносных атак, включая MITM-атаки, модификацию процесса браузера и кейлоггинг. Защита может применяться к выбранным пользователем приложениям, но Internet Explorer защищен по умолчанию.

Набор инструментов борьбы с вредоносными программами позволяет восстановить исходное состояние системы, удалив измененные зловредом заставки, обои и системные политики. Вы можете также использовать загрузку в Безопасный режим или выполнить моментальную перезагрузку. Опытные пользователи могут вручную удалять зловреды и сопутствующие данные в реестре. При необходимости, пользователь может запустить скрипт удаления, предоставленный технической поддержкой Webroot.

Если Вы хотите проверить, чем занимается Webroot, откройте страницу Отчеты и проверьте текущую активность или историю. Журналы сканирования и журналы обнаружения угроз могут понадобится специалисту технической поддержки. Пользователь может посмотреть все активные процессы в системе и выяснить, какие из находится под мониторингом Webroot.

Среди экспертных функций Webroot предлагает SafeStart Sandbox. Если Вы являетесь опытным исследователем вредоносного ПО, Вы можете использовать инструмент для запуска подозрительной программы с отдельными ограничениями, которые можно задать вручную.

Все еще победитель

Webroot SecureAnywhere AntiVirus довольно давно не тестировался в PCMag. Нужно отметить, что продукт по-прежнему остается победителем в любительских тестах, хотя лаборатории не берутся его оценивать. В испытаниях на блокировку вредоносных программ, защиту от фишинга и блокировку вредоносных ссылок результаты Webroot были идеальными, отличными и хорошими соответственно.

Webroot сохраняет звание “Выбор редакции” в категории коммерческих антивирусов, разделяя его с Bitdefender Antivirus Plus 2016, Kaspersky Anti-Virus (2016) и McAfee AntiVirus Plus (2016).

Обзор Webroot SecureAnywhere AntiVirus (2016): Оценка PCMag

Достоинства

• высокие и очень высокие показатели в любительских тестах;
• восстановление файлов, зашифрованных программами-вымогателями;
• использование крошечного дискового пространства;
• очень быстрое сканирование;
• обработка неизвестных вредоносных программ;
• встроенный фаервол.

Недостатки

• тестировался не всеми независимыми лабораториями.

Общая оценка

Webroot SecureAnywhere AntiVirus остается самым компактным, быстрым антивирусом на рынке, а в собственных тестах PCMag продукт показал отличную эффективность.