?

Log in

No account? Create an account
Моё фото в 43 года

yudenisov


Журнал Ю. А. Денисова

Посвященный компьютерам и не только


Об Avast Free Antivirus 19.4
Моё фото в 43 года
yudenisov
Хочу рассказать о «непревзойдённой защите» антивируса Avast! Я не знаю, была ли какая-то позитивная реакция на критику со стороны сообщества пользователей, но одна реакция точно прослеживается — антивирус вновь стал отправлять на карантин все утилиты без разбору. Так, у меня были ложные срабатывания антивируса на упаковщик UPX, архиватор 7zip, программы из пакета UnxUtils. В них точно нет антивирусов! Что уж говорить о программах «двойного назначения», которые пишу я сам.

Остановлюсь на этом подробнее. Я пишу программное обеспечение для администрирования компьютеров, которое, в принципе, может быть использовано не по назначению «во вред пользователю». Но это неизбежно для такого рода программ. Так вот, программа Avast не видит вредоносных модулей, представляющие действительную угрозу безопасности, такие как скрипты отключения антивирусной защиты, создания фейковых учётных записей, открывающие порты брандмауэра и тому подобные. Зато антивирус видит зло в инсталляторах этих программ, и реагирует даже на вполне безопасные модули. В отличие от антивируса Касперского, который сразу определяет эти модули как модули двойного назначения, и предлагает их удалить, ничего не занося в карантин.

Особенно мне не повезло с крипторами, энкодерами и т.п. для Metasploit. Metasploit -- программа для генерации троянцев, распространяемая официально и поэтому в своей незащищённой основе обнаруживается антивирусами. Именно поэтому, с целью успешного прохождения теста на проникновение, её модули советуют кодировать крипторами и энкодерами. Кодирование может проходить по разным алгоритмам, но в основе лежит один метод: кодирование по маске оператором XOR и модуль восстановления закодированного тела вируса обратным методом. Так вот, похоже, Avast реагирует вообще на все попытки применения операции XOR к большому объёму бинарных данных. Иначе невозможно объяснить, каким образом он считает «злонамеренной» программу, например, putty, которая подверглась XOR кодированию любым криптором, даже самым новым. Нормальные антивирусы такую заразу пропускают, и правильно делают. Поскольку не доказано обратного, любой код, который отсутствует в антивирусных базах, не может быть признан злонамеренным. Для Аваста, похоже, это правило не действует. Он действует по принципу: «Был бы человек, а статья найдётся...» А, в принципе, некоторые эксплоиты из Metasploit не должны вообще попадать в антивирусные базы, именно из-за своего размера (несколько килобайт). На таком куске кода сложно определить сигнатуру, подходящую именно для вируса, не перепутав её с настоящей «здоровой» программой.

Так что Аваст разочаровывает меня всё больше и больше. Беда в том, что известных бесплатных альтернатив у него практически нет. Да, все антивирусные компании выпускают бесплатные сканеры, но вот бесплатных программ с проактивной защитой у них нет. А покупать антивирус, чтобы через трое суток столкнуться с одной из тех неприятностей (ложного срабатывания), характерных для Аваста, мне не хочется. Тем более, что у меня три года была купленна подписка на Avast Internet Security, и она мне ничего, кроме головной боли, не принесла. Замечал всё те же ложные срабатывания, плюс прибавились шалости со стороны брандмауэра!

Сейчас и раньше одним из лучших я нахожу антивирус Касперского. Именно по чистоте и полноте обнаружения вирусов. Но он очень прожорливый к ресурсам, плюс его бесплатная версия не обеспечивает проактивной защиты. Поэтому я всё никак к нему не вернусь... :-( Но, мне кажется, это дело времени.До того момента, как аваст станет блокировать мои рабочие программы. :-)