Dlaczego „Windows Defender i mózg” NIE wystarczą? – Testy antywirusów

W sieci szalenie popularne jest stwierdzenie, które pojawia się absolutnie zawsze kiedy omawiany jest temat antywirusów, brzmi ono „Windows Defender i mózg wystarczy” – ale czy na pewno? Natychmiast odpowiadam: Windows Defender NIE wystarczy. A sugerowanie takiego rozwiązania innym użytkownikom w sieci świadczy o niewiedzy tego, który to promuje, jego głupocie i nieznania podstawowych zasad ochrony komputerów. Jest więc to działanie wybitnie szkodzące. W tym artykule przedstawię swoje argumenty, dlaczego Windows Defender nie wystarczy, a mózg ma w przypadku PCtów i stron internetowych małe znaczenie. W celu udowodnienia swojej tezy (i z ciekawości) przeprowadziłem testy antywirusów, które musiały się konfrontować z realnym zagrożeniem (wirusami, adware itp.). Artykuł pisany doświadczeniem własnym autora i na podstawie wyników testów.

Z tego artykułu dowiesz się:

• Jak właściwie działa antywirus.
• Dlaczego Windows Defender nie działa tak jak powinien.
• Dlaczego złapanie zagrożenia przez komputer w wielu przypadkach jest niezależne od naszego mózgu.
• Poznasz wyniki moich testów antywirusów oraz jak one przebiegały.
• W czym jest lepsza reszta antywirusów.
• Dowiesz się, który darmowy antywirus zapewni Ci kosmicznie lepszą ochronę od Windows Defendera…

Artykuł zawiera sporo opinii autora, który po przeprowadzeniu testów świadomie wyśmiewa stwierdzenie „Windows Defender i mózg wystarczą”.

Fun fact: Najbardziej popularny antywirus to… *werbel* … Windows Defender… A to okno jest w jego barwach.

Geneza Windows Defendera

Niedawno przeczytałem, gdy jeden komputerowiec radzi drugiemu – lajkowi (tymczasem obaj to lajki), żeby cieszył się z tego, że jego komputer posiada tak wspaniałego i PŁATNEGO antywirusa jak Windows Defender oraz żeby nie szukał innych, bo ochronę ma więcej niż wspaniałą. Aż się uśmiechnąłem 🙂

Chciałbym z tej okazji coś sprecyzować. Windows Defender to absolutnie podstawowa forma ochrony komputera, dlatego domyślnie każdy Windows go posiada. Jest to podstawowa, a zarazem prymitywna na dzisiejsze standardy ochrona. Nie znajdziemy w nim żadnych wodotrysków, jak w przypadku antywirusów firm, które z likwidowania wirusów żyją.

Przykro mi (wcale nie), ale muszę wspomnieć – Microsoft (od Windows Defenedera) tworzy szeroką gamę wszelkiego oprogramowania – od systemu Windows, pakietu Microsoft office, po rozwiązania dla serwerów. Zdecydowana większość z tych rozwiązań to programy funkcyjne i same systemy. Firma ta nie żyje z usuwania wirusów, jak robią to Avast, Eset, Kaspersky czy inne, niewymienione firmy antywirusowe. Myślenie więc, że Microsoft myśli tylko o ochronie swoich produktów jest co najmniej troszeczkę dziwne. Co jak co, ale powinien myśleć o sprzedaży swoich produktów, aktualizacji oraz tworzeniu nowych. Więc wszelkie znane luki w zabezpieczeniach swoich produktów będzie owszem usuwał, ale nie jest to jego priorytetem i to należy zaznaczyć. Już same fundamenty Windows Defendera dają wiele do myślenia – ale po kolei.

Wirusy są pisane pod Windows Defendera.

Jak już wspomniałem – użytkownicy Windows Defendera to lajki w sprawach ochrony komputera. Często również żyją z przekonania, że najwybitniejszy antywirus, jakim jest (według nich) Windows Defender to panaceum na wszelkie niebezpieczeństwo. Tak więc nie mają oni powodów, by zmieniać antywirusa. Cyberprzestępcy o tym fakcie doskonale wiedzą i tworzą wirusy pod tego konkretnego antywirusa i ten konkretny system. Oszczędza to im pracy, a i luki jest łatwiej wykryć – często są na wyciągnięcie ręki. Taki cyberprzępca raduje się więc na widok rzeszy ludzi, którzy nie zabezpieczają komputera lepiej od większości. Napisze on wirusa raz i ma pod ręką świetne kanały dystrybucji.

Pomyślmy sobie więc, że ktoś posiada antywirusa innego niż Windows Defender. Tutaj cyberprzestępca miałby niesamowity problem, bo musiałby ominąć i zabezpieczenia Windowsa, i zabezpieczenia antywirusa innej firmy, którego działanie nie jest mu do końca znane – aż się odechciewa na samą myśl, że trzeba mu będzie podjąć się takiego wyzwania. A i nie wiadomo czy to wyjdzie, bo w międzyczasie może pojawić się aktualizacja bazy wirusów, i jego cały misterny plan pójdzie do kosza.

Tak więc hipotetyczny cyberprzestępca z naturalnych powodów woli iść tą pierwszą, korzystniejszą drogą. Roboty w teorii mniej, a i więcej docelowych użytkowników jego oprogramowania – jakim jest wirus. Grupa docelowa takiego wirusa to największa grupa, jaka istnieje – WD to najpopularniejszy antywirus. Cóż, każdy orze jak może, jeden z pisania programów, drugi z przekrętów, haraczy i wyłudzeń 🙂

Jeżeli ktoś nie dowierza, że Windows Defender ma podstawowe luki w zabezpieczeniach, wpiszcie sobie „Microsoft wyeliminował 12-letnią lukę w zabezpieczeniach Windows Defender” w Google. Dobrze słyszeliście, 12-letnią! Lepiej późno niż wcale. Szkoda tylko, że przez 12 lat Defender posiadał lukę, która tylko ułatwia działanie twórcom szkodliwego oprogramowania.

Jak działa antywirus?

Jest to program z ze specjalnymi uprawnieniami, który sprawdza zawartość plików znajdujących się w komputerze. Sprawdzając pliki porównuje je ze swoją indywidualną bazą wirusów – jeżeli któryś fragment się zgadza, to natychmiast (w założeniu) taki plik zostaje poddany kwarantannie, czyli przeniesiony do środowiska, w którym nie zaszkodzi on komputerowi. Jeśli plik trafi na kwarantannę, użytkownik może jeszcze przywrócić dany plik, lecz jeżeli nie zrobi tego w określonym czasie, antywirus sam usunie plik.

Antywirusy posiadają często również opcję naprawy/leczenia/regeneracji plików – czyli usunięcia fragmentów kodu, które mogły zostać zaimplementowane przez wirusa. Dotyczy to plików programów itp.

Każdy plik w komputerze, nawet dźwiękowy lub obrazowy, składa się z długich ciągów znaków – swojego kodu, który komputer rozumie i zamienia na obraz wizualny lub dźwięk. Tak więc każdy plik może zostać przez antywirusa zeskanowany.

Sposoby sprawdzania plików są zależne od antywirusa. Każdy podchodzi inaczej do szybkiego skanowania oraz pełnego (wszystkich plików znajdujących się na komputerze). Wszelkie dodatkowe udogodnienia zależą od antywirusa.

Windows Defender – czego mu brakuje?

Właściwie to ma on wszystko to, co podstawowy antywirus powinien posiadać – bazę wirusów oraz wszelkie opcje skanowania komputera.

Jednak na dzisiejsze standardy to zdecydowanie za mało – dzisiaj nasze komputery łapią wirusy za pośrednictwem przeglądarki i niewłaściwych stron internetowych – na których mogliśmy się dostać przypadkowo, np. z przekierowania z reklamy itp. Wystarczy bowiem, że przeglądarka uruchomi niewłaściwą stronę – w tym samym czasie może nam ściągnąć jakieś adware lub trojana. Przeglądarka robi to nieświadomie – jest przekonana, że te pliki są niezbędne do uruchomienia danej strony lub to użytkownik zlecił ich pobranie (w rzeczywistości było inaczej). Wszystko dzieje się „za kurtyną”, bowiem przeglądarka o ściągniętych wirusach nie informuje.

Windows Defender najpopularniejsze wirusy raczej wykryje za pomocą pełnego skanowania (z moich testów wynika, że nie wszędzie – o tym później), ale wykrywa je po fakcie zainfekowania komputera za pośrednictwem przeglądarki. Więc najważniejszą rzeczą, której brakuje Windows Defenderowi to brak ochrony dowolnej przeglądarki w czasie rzeczywistym. Ta funkcja występuje jedynie w przeglądarce systemowej Edge, jednak statystyki mówią jasno – dzisaj mało kto z niej korzysta. Zdecydowana większość użytkowników korzysta z przeglądarki Chrome, gdzie ochrona Windows Defendera nie sięga.

Dzisiaj darmowe antywirusy oferują ochronę przeglądarki, również bez instalowania żadnych dodatkowych wtyczek. Takie rozwiązanie zapobiegnie pobraniu wirusa, zanim zainfekuje on komputer. Windows Defender tego nam nie da – może jedynie w przeglądarce Edge…

Ochrona w przeglądarce Chrome to działanie symboliczne

Niegdyś ustawiłem najwyższą dostępną w przeglądarce Chrome wbudowaną ochronę i zacząłem ją testować.

Z takim ustawieniem wchodzę na zainfekowaną stronę i … moje ulubione adware o nazwie „not-a-virus” ominęło zabezpieczenia przeglądarki jak chce 🙂

Dopiero mój antywirus (zdecydowanie nie Windows Defender) na ściągane adware zareagował, blokując je wszystkie. Przeglądarka nie zareagowała, a ponadto otworzyła im furtkę – wpuszczając je na dysk komputera. Do pobrania wielu szkodliwych plików wystarczyło kilka sekund na niebezpiecznej stronie.

(!) Nie należy polegać na zabezpieczeniach samej przeglądarki, choćby to tak pięknie opisywali jak w ustawieniach Chrome: „Przewiduje niebezpieczne zdarzenia i ostrzega Cię przed nimi, zanim nastąpią„.

Przy okazji – użytkownik może na stronę trafić choćby z przekierowania, to z kolei może trwać sekundę lub dwie. W ciągu 4 sekund – jak pokazuje późniejszy test – na komputer może trafić wiele szkodliwego oprogramowania. Twierdzenie więc, że mózg wystarczy jeżeli z każdej strony, reklamy, itp. można trafić na stronę z wirusami, jest więc bardzo nie na miejscu. Człowiek nie może się skupiać cały czas, czasami przeszukujemy strony, pragnąc odpowiedzi tak bardzo, że nie zwracamy uwagi, co właściwie klikamy. Wystarczy kolejne kilka sekund, aby komputer nabawił się wirusa. Dlatego właśnie należy mieć antywirusa, który i w takich sytuacjach będzie czuwał. Mózg nie ma tutaj większego znaczenia, wirusy trafiają na komputer w ukryciu, by się dopiero potem ukazać.

Test antywirusów, w tym Windows Defendera

Wszystko stało się z przypadku, jednak sprawy potoczyły się tak, że wyszedł z tego całkiem ciekawy test z nieoczywistym wynikiem. Testowałem następujące antywirusy:

• Windows Defender (Windows 10 Home – ten w Pro lub Enterprise się różni),
• Eset (wersja pełna),
• Avast (wersja darmowa)
• Kaspersky (wersja darmowa).

Test antywirusów – (nie)konwencjonalne zagrożenie

Jak przebiegał pierwszy test?

Na mój komputer testowy przed zainstalowaniem antywirusów trafił wirus – Trojan. Następnie testowałem reakcje każdego antywirusa.

Przypadek jednak chciał (albo i nie), że system Windows postanowił zrobić sobie Backup systemu i umieścił w nim testowego Wirusa. To podchwytliwe działanie sprawiło, że tylko jeden z wymienionych antywirusów wykrył Trojana w backupie systemu, reszta go nie wykryła (mimo uruchamiania pełnych skanowań we wszystkich antywirusach).

Raport z testu:

Windows Defender był pierwszy w kolejce: wykrył Trojana praktycznie natychmiast – jak wzorowy antywirus. Jednak miał on pewien problem, otóż gdy doszło do momentu, w którym kazałem mu usunąć zagrożenie, on się crashował i wyłączał. Doszło do tego, że co każdą taką próbę usunięcia wykrytego już zagrożenia musiałem restartować komputer, gdyż przycięcie się Defendera nie oznaczało przycięcia się samego antywirusa, a całego systemu. Finalnie po kilku próbach nie usunął on zagrożenia, nie był w stanie. Włączyłem skanowanie w trybie offline (przy uruchamianiu systemu) efekt był ten sam – na końcu nie neutralizował zagrożenia. To moim zdaniem skreśla go kompletnie. O odnalezieniu zagrożenia w backupie nie było mowy.

Eset był jako drugi. Jak należy na antywirusa, wykrył popularne zagrożenie, jakim był trojan (pełne skanowanie). Nie odnalazł jednak zagrożenia w backupie.

Avast był trzeci. Odnalazł zagrożenie w ramach pełnego skanowania. Również nie odnalazł zagrożenia w backupie.

Kaspersky był ostatni. Natychmiast wykrył zagrożenie. W ramach pełnego skanowania jako jedyny z antywirusów wykrył wirusa umieszczonego w skompresowanej kopii zapasowej systemu Windows.

Analiza wyników testu:

Wszystkie antywirusy znalazły zagrożenie na zainfekowanym dysku komputera. Jednak tylko jeden (Kaspersky) szukał zagrożenia w kopii zapasowej systemu Windows. To go mocno wyróżnia, gdyż inne antywirusy zdawały się z jakiegoś powodu ignorować kopię (mimo jej skanowania) – i jakby domniemywać, że jest ona niezainfekowana już z góry.

Fakt, że system zrobił kopię zapasową akurat z wirusem, może wydawać się mało prawdopodobny. Jednak pamiętajmy, że nie każdy wirus jest od razu wykrywany. Potrzeba do tego często przeprowadzenia pełnego skanowania, a to nie jest przeprowadzane często, gdyż potrafi trwać wiele godzin. Rzadkie skany komputera w poszukiwania wirusów tworzą większe prawdopodobieństwo zaimplementowania przez system wirusa również do kopii zapasowej.

Dodatkowy test

Dodatkowym testem było wejście na niebezpieczne strony internetowe. I to właściwie tyle – wystarczy jak wspominałem wystarczy na nie wejść, aby komputer został zainfekowany wirusem. W tym teście sprawdzałem jedynie Windows Defendera oraz zwycięzcę poprzedniego testu – Kasperskiego.

• Przeglądarka Google Chrome była ustawiona na najwyższy poziom ochrony (który nie działa).
• Strony z wirusami usiłują na siłę sprowadzić wirusa na komputer. Nie ograniczają się do jednego wirusa – czym dłużej przebywamy na stonie, tym więcej różnym wirusów się pobiera.
• Kaspersky jest w wersji darmowej.

Raport z testu dodatkowego

Windows Defender: nie wykrył żadnego zagrożenia gdy otworzyłem niebezpieczną stronę. Przeglądarka umożliwiła samoczynne pobranie się wirusów na dysk komputera. Po wizycie na stronie uruchomiłem szybkie skanowanie – nie wykryło żadnego wirusa. Następnie kazałem uruchomić pełne skanowanie – to z kolei wykryło zagrożenie. Windows Defender był tym razem w stanie sam usunąć zagrożenie – bez crasha.

Kaspersky: zagrożenie (x12) zostało wykryte natychmiast po wejściu na niebezpieczną stronę. Kaspersky wydawał komunikat za komunikatem o niebezpieczeństwie.

Po wszystkim zostało uruchomione pełne skanowanie Kasperskim, nic nie wykryło. Oznacza to, że całe zagrożenie zostało zatrzymane, zanim pojawiło się na komputerze.

Analiza wyników testu dodatkowego:

(!) Windows Defender nie wspiera aktywnej ochrony w przeglądarkach innych niż Edge (wtedy tego nie wiedziałem – dlatego nie przetasowałem go tylko w Chrome). Z drugiej jednak strony mało kto dzisiaj korzysta i chce korzystać z przeglądarki Edge, więc uważam, że antywirus powinien móc się dostosować do dzisiejszych trendów. Tym bardziej że w momencie wydania Edge to Chrome już królowało na rynku przeglądarek systemu Windows.

(!) Kaspersky wydał wtyczkę dedykowaną do przeglądarki Chrome, jednak do testu celowo nie została ona zainstalowana. Sprawdzane były tylko „czyste” antywirusy.

Windows Defender poległ w aktywnej ochronie przeglądarki Chrome. Nie zapobiegł nieautoryzowanemu pobieraniu, ponadto szybkie skanowanie nie było w stanie wykryć zagrożenia. Dopiero pełne skanowanie odkryło zagrożenie. To kompletnie deklasyfikuje tego antywirusa jeżeli chodzi o ochronę, gdyż lepiej zapobiegać niż leczyć. WD wpuścił niebezpieczne oprogramowanie, po czym dopiero na rozkaz użytkownika (pełne skanowanie uruchomione manualnie) wykrył jakiekolwiek zagrożenie. Bez polecenia pełnego skanowani, mógłby niczego nie wykryć.

Kaspersky wykrył nieautoryzowane pobieranie natychmiast i je zablokował, zanim zostało ukończone. Nawet pomimo braku zainstalowania zalecanej przez twórców wtyczki do przeglądarki Chrome. Spisał się wzorowo, ochrona nie wymagała żadnej ingerencji użytkownika – komputer jest stale chroniony.

Szybkie skanowanie to za mało.

Testy doprowadziły do kolejnego wniosku, a właściwie to mnie upewniły. Szybkie skanowanie w przypadku antywirusów nie działa. Przynajmniej nie jest w stanie wykrywać wszystkiego. Krótkie skanowanie kompletnie omijało to co pobrała testowa przeglądarka.

Szybko nie znaczy dobrze. Jednak użytkownicy, myśląc „skanowanie” wybierają szybki skan. Ponadto same antywirusy promują takie skanowanie na pierwszym planie. Pełne skanowanie nie jest często dostępne na pierwszy rzut oka, trzeba pogrzebać w ustawieniach.

(!) Jeżeli włączasz szybkie skanowanie, to nie spodziewaj się wykrycia całego zła, jakie czai się na komputerze.

Bazy wirusów podobne

Wszystkie antywirusy charakteryzują się (w moim mniemaniu) podobnymi bazami wirusów. Mianowicie wykrywają zagrożenie, które jest znane na świecie.

(!) Samo posiadanie dużej bazy próbek wirusów to jedno, a jej wykorzystywanie to drugie.Bez automatycznego wykorzystania antywirus nie chroni, a jedynie zwalcza późniejsze problemy.

Windows Defender posiadał odpowiednią bazę, jednak w przypadku przeglądarki wykorzystywał ją dopiero z okazji pełnego skanowania. To prowadzi do wniosku, że ten antywirus nie zapobiega, a zwalcza wirusy na zainfekowanym już komputerze. W przypadku najbardziej szkodliwych wirusów będzie już za późno na pełne skanowanie.

Wielkie zagrożenie w sposobie skanowania wirusów

Faktem przemawiającym za tym, że każdy antywirus sprawdza inaczej, jest niezauważenie zagrożenia w kopii zapasowej systemu Windows przez większość testowanych antywirusów. Tylko jeden (Kaspersky) ją przeskanował pod kątem wirusów.

Mam po tym teście wrażenie, że twórcy antywirusów podchodzą z założenia, że kopia nie może zawierać wirusów. Wielkie uznanie dla Kasperskiego w wersji free, który skrupulatnie kopię systemu zeskanował i wykrył zagrożenie.

Windows Defender i mózg nie wystarczy

Jak widać na przykładzie testów, instalacja innego darmowego antywirusa nic nie kosztuje, a może uratować komuś pliki, pieniądze oraz prywatność. Wielu jednak z czystej niewiedzy korzysta z Windows Defendera. Być może dlatego, że wykorzystuje on o 0,05 % mniej procesora niż reszta antywirusów 🙂 Pytanie jednak, czy dzisiejsze komputery, z superwydajnymi, drogimi jednostkami CPU odczuwają jakąkolwiek zmianę w płynności działania, jeżeli uruchomią Eseta, a nie Defendera?

Mam nadzieję, że będę widział mniej komentarzy typu „Windows Defender i mózg wystarczy”, bo ta akcja zachęcająca używanie antywirusa, pod którego pisane są najnowsze wirusy, przypomina powstanie nowego nurtu wiary… Trochę śmiesznego – jeżeli ktoś patrzy z boku – gorzej, jeżeli ktoś przez nią straci.

Jeżeli mimo wszystko pragniesz używać tylko Windows Defendera i mózgu, używaj przeglądarki Edge, gdyż wtedy WD (według dokumentacji) zapewnia sensowniejszą ochronę. Używanie WD wraz z Chrome jest pchaniem kija w mrowisko, przez brak ochrony przeglądarki 🙂

Jaki jest najlepszy darmowy antywirus?

Spośród antywirusów, które testowałem będzie to Kaspersky, z uwagi na to, że jako jedyny wykrył wirusa w Backupie. Poza tą kwestią (bardzo istotną), reszta antywirusów (Eset, Avast) – wykluczając Windows Defendera, poradziła sobie nieźle. Jednak mieć większą ochronę, a nie mieć to jest różnica, dlatego jestem za Kasperskim, który oferuje „to coś” więcej. Dodatkowo przemawia za nim fakt, iż wersja testowana przeze mnie jest w pełni darmowa.

Może w przyszłości sprawdzę jeszcze inny zestaw antywirusów i wtedy pojawi się jeszcze lepszy – jednak do tego muszę opracować nowy sposób próby (jak wirus w backupie).

(!) Test nie brał pod uwagę naprawdę istotnego zagrożenia – np. wirusów kodujących dyski. Te mogą zadziałać niemalże natychmiast. Jednak umiejętność antywirusów radzenia sobie z mniejszym zagrożeniem może przekładać się również na te większe.

Test był dosyć ograniczony (4 zawodników, potem 2) z uwagi na fakt, że pełne skanowanie trwa nawet kilka godzin, a tu było do sprawdzenia kilka antywirusów 🙂