Dopo aver provato NOD32 nei vari test annuali, ed averne ricavato delle impressioni abbastanza contrastanti, mi ero ripromesso di provare più a fondo il programma. Finalmente è arrivato il momento.
Grazie ad una segnalazione di un utente del nostro forum, vengo a sapere dell'esistenza di una guida realizzata dal forum, Wilderssecurity, in cui si spiega come configurare correttamente NOD32.
A differenza di quasi tutti gli altri antivirus che, una volta installati, sono pronti all'uso (o quasi), per NOD32 è necessario, dopo l'installazione, una riconfigurazione piuttosto pesante.
La versione del programma usata per l'articolo è la 2.7, in questi giorni è in uscita la versione 3 in cui sono cambiate molte cose, sia a livello grafico, che nella semplificazione, e unione, di molte opzioni di configurazione. Appena sarà disponibile la versione in italiano, cercheremo di provarla e aggiornare l'articolo.
Vediamo i vari passaggi, osservando la differenza di prestazioni nel test finale.
Eseguiamo adesso un'installazione tipica; poi ci occuperemo di tutte le varie fasi della configurazione del programma.
Selezionando l'installazione Esperta, potrete già configurare alcune impostazioni del programma, oppure disattivare dei moduli che non vi servono (per esempio l'EMON).
Installazione tipica
Accettate le condizioni d'uso della licenza e premete Avanti.
Scegliete il tipo di collegamento ad Internet che utilizzate, nel mio caso ero in una rete aziendale con proxy.
Se non siete sicuri del vostro tipo di collegamento, potete optare per le stesse impostazioni configurate in Internet Explorer.
Oppure, selezionando Uso un server proxy, inserite i valori della vostra rete.
Qui potete inviare ad Eset le informazioni sui virus trovati nel vostro PC; in tal caso riceverete segnalazioni di nuovi allarmi.
Andando nel Setup avanzato potete selezionare i dati da inviare ad Eset per un ulteriore controllo e per le statistiche sulla diffusione dei virus.
Se attivate questo controllo sulle Applicazioni potenzialmente indesiderate, si procederà ad una verifica di applicazioni come RealVnc o tool amministrativi di rete, ossia programmi di solito sicuri, ma potenzialmente pericolosi.
Lasciate la selezione della protezione antivirus in automatico, in modo che l'antivirus sia caricato ad ogni avvio del computer, e premete Avanti.
Scegliete Avanti e riavviate il computer.
Configurazione
Dopo il riavvio del PC, fate un click con il tasto destro del mouse sull'icona di NOD32 che si trova nella systray.
Nel Control Center è possibile configurare tutte le funzioni principali necessarie per avere la migliore protezione possibile dai virus.
Per prima cosa, scaricate l'aggiornamento delle definizioni dell'antivirus.
Se avete problemi a collegarvi, o non lo avete fatto durante l'installazione del programma, andate nel Setup degli aggiornamenti e selezionate poi Esteso.
Potete ricontrollare il tipo di impostazioni usate per la connessione.
In particolare gli indirizzi del proxy e il nome e password dell'utente autorizzato a collegarsi.
In Pianifica potete impostare la frequenza degli aggiornamenti e schedulare le varie operazioni di scansione.
Date un nome all'operazione; potete impostare la frequenza di aggiornamento ad una volta al giorno, oppure ripetutamente, più volte durante la giornata.
In questo caso fissate una frequenza oraria con cui eseguire la ricerca degli aggiornamenti.
Impostate il programma in modo che l'operazione sia eseguita appena possibile: qualora non siate collegati nel momento previsto, l'operazione si completerà alla prima occasione.
Vi apparirà il rapporto delle varie impostazioni. Se è tutto regolare, premete Fine per uscire.
Procediamo quindi alla configurazione dei vari moduli del programma.
Amon
Amon è lo scanner in tempo reale del vostro computer. Esso verifica la presenza di virus nelle varie cartelle del disco fisso, nonché il tentativo da parte di nuovi virus di infettare il vostro PC, così da poterli bloccare prima che facciano danni.
Se dovete effettuare qualche operazione particolare e l'antivirus vi crea problemi, premendo Modulo residente (AMON) abilitato è possibile arrestare il controllo in tempo reale del computer.
Selezionate Impostazioni per arrivare alla configurazione di Amon.
Nelle Estensioni potete creare una lista di file che non devono essere controllati.
Potete inserire tutti i file che non vengono di solito infettati o quelli di grosse dimensioni, così da velocizzare il controllo.
Se scegliete anche Applicazioni potenzialmente insicure, potrebbero venir segnalati, e rimossi, programmi come Vnc o i tool amministrativi di rete.
Nelle Azioni potete scegliere di vedere sempre i messaggi di allarme con la selezione delle possibili azioni, oppure di ripulire i file infetti automaticamente.
La scelta deve essere effettuata in base al vostro grado di conoscenza del computer e alla vostra abilità nel trattare con i virus. Personalmente, io preferisco sempre vedere quali file sono stati infettati, poiché la rimozione in automatico di un file di sistema o di un documento importante potrebbe essere molto seccante.
Nell'Esclusione potete inserire una lista di file o cartelle che non devono mai essere controllate.
La voce Esclusione sembra quasi un doppione delle Estensioni suddette, mediante cui si potevano escludere gruppi di file in base, appunto, alla loro estensione. Perché non unire queste due voci per semplificare i numerosi passaggi?
Basta premere Aggiungi e inserire i nomi di file o cartelle a vostra discrezione.
In Sicurezza lasciate tutte le impostazioni di default.
Selezionando Permetti arresto manuale, potete bloccare il controllo in tempo reale. Tuttavia, potrebbe accadervi l'inconveniente di dover riavviare il PC per riattivarlo, com'è successo sul mio computer con Windows XP.
Si abilita anche il pulsante Stop/Avvia, che di solito non è selezionabile.
Dmon
Il Dmon esegue il controllo dei documenti di Microsoft Office, e verifica tutte le macro e gli script potenzialmente pericolosi.
Selezionate Impostazioni.
Anche qui, l'abilitazione di Applicazioni potenzialmente insicure potrebbe portare al blocco di alcuni tool amministrativi di rete.
Selezionate adesso le Azioni che deve intraprendere NOD32 quando individua un virus. Vi sono quattro settori da controllare: File, Archivi, Archivi autoestraenti ed Eseguibili compressi.
Ricordatevi di impostare la stessa configurazione nelle quattro opzioni dei file da controllare, e di confermare alla fine con Ok.
Prima è necessario disinfettare il file. Se proprio non è possibile rimuovere il virus, solo a questo punto si procederà alla cancellazione del file. Inserite anche le impostazioni per creare una copia del file nella cartella di quarantena dei virus, che di default si trova in C: \Programmi\Eset\infected.
Questa opzione è utile per recuperare qualche file infetto ma necessario, o per chi vuole studiare nuovi virus, a cominciare dalla stessa Eset.
Ogni tanto, svuotate la cartella della quarantena. In questo modo terrete il PC più pulito e libererete spazio sul disco.
Emon
Emon è il controllo delle e-mail spedite con Microsoft Outlook (non con Outlook Express). Quindi, se non utilizzate questo programma, potete disabilitare il relativo controllo.
Selezionate Impostazioni.
Abilitate anche il Controllo dei messaggi in solo testo e dei messaggi in RTF.
In Individuazione, abilitate le Applicazioni potenzialmente insicure con il solito avviso per i tool amministrativi.
Nelle Estensioni potete costruire un elenco di file da non verificare e abilitare Controlla file senza estensione.
Per le azioni da intraprendere in caso di virus, valgono le regole già viste in precedenza.
Ripetete questa configurazione anche per gli altri tre tipi di file e confermate tutto con Ok.
Nelle Notifiche è possibile impostare (nel Modello aggiunto all’oggetto di e-mail infette) l'avviso che deve essere inserito nelle e-mail infette, in entrata o uscita dal vostro PC.
Nell'Ambiente potete selezionare il tipo di azione a cui ricorrere in caso di e-mail infetta. L'azione consigliata è quella di cancellarla, ma se si tratta di e-mail importanti, potreste spostarle in una cartella separata (Infected Items) per tentare di curarle in un momento successivo.
Nei Rapporti potete impostare il tipo di dettaglio e il numero di file da registrare durante le scansioni di controllo.
Se non vi interessano i report, disabilitate la funzione o abbassate il livello dei dettagli per velocizzare la scansione.
Imon
L'Imon verifica tutto il traffico proveniente dalla rete Internet, posta elettronica compresa.
Premete Setup per accedere alla configurazione.
Nel POP3 impostate la porta usata dal vostro server di posta per collegarsi ad Internet, di solito è la 110, e anche un messaggio personalizzato da aggiungere alle e-mail nel caso siano infette.
Nel Setup compatibilità, la Massima efficienza garantisce una maggiore protezione dai virus e la Massima compatibilità rende più semplice la spedizione delle e-mail verso alcuni provider, che potrebbero non dialogare bene con il vostro programma di posta elettronica.
Variate questo livello solo se avete problemi a spedire le e-mail con il programma di posta che usate.
Nella sezione Http potete modificare le Azioni da intraprendere ogni volta che un sito cerca di scaricare in automatico un file sul vostro computer.
La scelta dipende, anche qui, dal vostro grado di conoscenza del computer: bloccare in automatico un file potrebbe anche impedire la visualizzazione di un sito; vedere un messaggio d'allarme, che vi avvisa del tentativo di scaricare un eseguibile infetto, vi consente di bloccarlo.
Cliccate sul pulsante Setup, nel Setup Compatibilità.
La Massima efficienza garantisce una maggiore protezione dai pericoli; in caso di problemi nel collegamento o in caso di mancato funzionamento di alcuni programmi, potete passare in Massima efficienza, che garantisce un livello più basso di sicurezza (il che non implica un rischio più elevato di infezioni).
Modificate i livelli dei vari programmi in Massima efficienza solo in caso di problemi con alcuni di essi.
Avanzato
In Avanzato mettete il flag in Salva tentativi di intrusione nel rapporto virus, in modo da tenere traccia di eventuali problemi con attacchi da Internet (consigliato, ma non indispensabile).
Il pulsante Ripara adesso permette di sistemare problemi alla configurazione della rete (Winsock), rimuovendo eventuali modifiche eseguite da virus o malware.
Quindi premete Setup.
Nel Setup dello scanner abilitate le Applicazioni potenzialmente insicure. Nelle Estensioni potete predisporre una lista di file da non controllare.
Nelle Azioni dello scanner questa volta abbiamo cinque controlli da configurare: File, Archivi, Archivi autoestraenti, Eseguibili compressi e le E-mail.
In caso di virus particolarmente resistenti e non disinfettabili, potrebbe essere utile disconnettere il collegamento, bloccando così eventuali download di altri file infetti dalla rete.
Infine premete Ok.
Scansione posta
La scansione della posta avviene tramite il modulo IMON, che controlla tutto il traffico che viaggia attraverso Internet, posta elettronica compresa.
Se lo avete abilitato nel settaggio del POP3, questo è il tipo di messaggio che viene aggiunto in fondo alle e-mail spedite con Thunderbird, quando non vengono trovati virus.
Non ho potuto verificare il comportamento del programma in caso di virus: qualsiasi file infetto, che ho provato a spedirmi, era regolarmente cancellato dal provider stesso.
NOD32 scanner on-demand
È la scansione manuale del disco, o di parte di esso, alla ricerca di file infetti sfuggiti ai precedenti controlli.
Andate su Esegui NOD32 per configurare un'altra serie di valori.
Selezionate i dischi rigidi o le cartelle da controllare.
Nel Setup abilitate le opzioni, in modo che vengano controllati tutti i file; nelle Estensioni potete inserire una lista di file da non controllare.
Abilitate l'Euristica estesa, che dovrebbe identificare virus nuovi e sconosciuti.
Attenzione: la scansione euristica potrebbe provocare qualche falso allarme.
Azioni
Nelle Azioni, impostate come si deve comportare NOD32 allorché individui un virus. Il settaggio deve essere ripetuto per tutti i tipi di file.
Consiglio: in prima battuta, provate sempre a disinfettare il file; solo dopo, se non riuscite a ripulirlo, provvederete alla cancellazione.
Non è molto chiaro quale sia l'azione da intraprendere in caso di virus non disinfettabile nel settore di boot.
"Sostituisci", ma cosa?
Se trova un virus in memoria, le possibilità di scelta non sono molte: Richiedi azione o Nessuna azione. Magari, aggiungere un "Riavvia il computer che cancello il virus" potrebbe essere più utile.
Una volta impostate le varie configurazioni, è necessario salvarle.
Nei Profili potete crearvi dei profili differenziati, a seconda dei controlli da eseguire. Inoltre, è possibile impostare una password per bloccare le modifiche alla configurazione di NOD32.
Premete Profilo per salvare le modifiche apportate.
Ricordatevi di impostare la configurazione per ogni profilo presente, se ne usate più di uno.
Rapporti
Nei Rapporti trovate il risultato delle varie scansioni e degli aggiornamenti dell'antivirus.
Nella Quarantena trovate tutti i file infetti che sono stati rimossi.
In caso di falsi allarmi o di file importanti cancellati per errore, è possibile ripristinare i file per tentare di curarli.
Peccato manchi una funzione di svuotamento automatico! Infatti, bisogna selezionare a mano tutti i file e poi cancellarli uno ad uno.
Pianificazione operazioni
Potete aggiungere o rimuovere operazioni schedulate, come gli aggiornamenti automatici o le scansioni programmate.
Informazioni
Mostra solo alcuni dati relativi al programma, come il tipo di licenza, le versioni dei vari componenti dell'antivirus e il livello del database di aggiornamento.
Nel Setup del sistema NOD32 potete impostare un'altra serie di opzioni.
Nel Setup si può impostare la password, così da impedire la modifica delle impostazioni.
Selezionando Non mostrare lo splash screen all’avvio, si rimuove la schermata iniziale di NOD32 all'apertura del computer, cosa che ad alcuni può non piacere.
Nelle Notifiche potete configurare i dati per l'invio di e-mail o di messaggi via rete agli amministratori centralizzati, nel caso in cui vengano trovati virus.
Nel ThreatSense.Net scegliete se inviare o meno ad Eset i file infetti e quelli sospetti, non immediatamente riconosciuti dall'antivirus. Così facendo, aiuterete la casa madre ad enucleare i problemi determinati dai nuovi virus.
La disabilitazione di questa funzione non comporta nessun problema per il vostro antivirus. La scelta di partecipare o meno a questa iniziativa è rimessa completamente alla vostra discrezione.
Se lasciate le impostazioni di default, il programma, prima di procedere alla spedizione di ogni file, vi chiederà sempre il permesso.
La stessa cosa vale per l'invio delle statistiche.
Trial to full
Se, dopo la prova, decidete di acquistare il programma, andate su Aggiornamento e scegliete Versione Completa.
Premete Acquista ora. Verrete collegati al sito di Eset, dove, inserendo i dati richiesti, riceverete il numero di serie per sbloccare il programma e trasformarlo in una versione completa.
I prezzi del programma, al 26 Ottobre 2007, sono quelli riportati qui sotto.
Il test
Ho voluto mettere alla prova NOD32 con una buona dose di malware di vario genere. Il test è stato suddiviso in quattro fasi, ripetute con NOD32 in configurazione standard e con tutte le opzioni al massimo, come abbiamo visto nell'articolo.
La prima prova si è tradotta in un test di rilevazione dei virus durante la copia da un disco all'altro, seguita da una scansione, con rimozione, dei file infetti appena copiati.
Altra prova è stata quella di avviare i file eseguibili non eliminati al precedente controllo, per studiare le reazioni di NOD32.
Infine, ho effettuato una scansione completa del disco con alcuni virus attivi.
Scansione in tempo reale
Parto da una cartella piena di virus, adware, spyware e qualche dialer, contenuti in file compressi ed eseguibili; sono 291 file in totale (durante la prova mi accorgo che 14 di questi file non erano più riconosciuti come infetti).
Lancio la copia dei file dal disco D: \ al disco C: \. Durante questa fase ne intercetta solo 4, che elimina.
Questa prova è stata ripetuta più volte e il risultato non cambia.
Scansione dei file senza virus attivi
Lancio una scansione sui file appena copiati.
Al termine non riconosce alcuni file come infetti, ma sospetta che siano nuovi virus, quindi chiede di inviare i file ad Eset per un'ulteriore analisi.
La cosa strana è che, tra questi file, vi erano dei vecchi virus dos (come mi era già successo durante i test annuali).
Nel rapporto di scansione potete vedere cosa è stato trovato e quali azioni sono state intraprese.
Nel totale, i virus trovati ammontano a 1129.
Premendo Controlla, viene effettuata una verifica dei file infetti, senza alcuna rimozione. Con Disinfetta, eseguite il controllo e la pulizia dei virus trovati.
Sono stati ripuliti 248 file infetti.
Non è riuscito a controllare due archivi protetti da password. Il primo era infetto, l'altro no.
I file infetti rimasti sono 25: 4 adware, 2 dialer, e 19 virus. Di questi file, 10 sono eseguibili, 7 dll, 1 script vbs, 1 driver rootkit e 6 file particolari che fanno parte di virus.
Protezione in tempo reale
Ho provato a lanciare i vari eseguibili rimasti: solo in due casi di trojan dialer nod ha avuto una reazione; i restanti file sono stati ignorati. Altri due eseguibili si piazzano in memoria attivi, ma non vengono segnalati.
Test su PC infetto
Disabilito l'antivirus e mando in esecuzione numerosi virus e rootkit, di cui almeno 7 sono attivi in memoria.
Subito dopo riattivo l'antivirus e partono le prime segnalazioni sulla presenza dei virus in memoria.
Anche se tento di cancellare i file, non ottengo risultati. La rimozione viene rimandata al prossimo riavvio del computer.
Nonostante tutti gli allarmi, il programma non ha rimosso alcunché. Quindi riavvio il computer, perché completi le operazioni.
Appena accesso, il PC intercetta altri tre eseguibili infetti e tenta di rimuoverli.
Tra i virus che avevo lanciato, c'erano alcune varianti del rootkit Bagle, che di solito disattiva completamente gli antivirus di qualsiasi tipo.
NOD32, almeno in questa configurazione, è riuscito a resistere al virus.
Non tutto è stato però rimosso.
NOD32 ha un comportamento, direi, strano: in alcuni casi bisogna lanciare la scansione manuale del singolo file prima che segnali il virus.
Con questo ed altri file, basta posizionarsi con il mouse sopra il file infetto perché venga rimosso.
Questo virus era stato segnalato al riavvio del PC e sembrava fosse stato rimosso, ma in realtà era ancora presente.
Eseguo una nuova scansione completa con buoni risultati.
Il numero di virus e file infetti trovati è aumentato, poiché in memoria sono stati attivati alcuni virus, che a loro volta hanno generato dei nuovi file infetti non presenti in precedenza.
Rimuove i virus anche nel ripristino della configurazione, cartella di solito difficilmente accessibile.
Configurazione di default
Per studiare le differenze di prestazioni tra le due configurazioni di Nod, reinstallo l'antivirus con le opzioni di default, senza applicare nessuna delle modifiche apportate in precedenza. Quindi ripeto le prove già eseguite.
Nel copia e incolla dei file infetti, ne rileva solo tre e rimuove in automatico i virus trovati.
Anche il controllo in tempo reale è molto meno presente. I file infetti, che prima bastava selezionare con il mouse per far scattare l'antivirus, ora vengono ignorati.
Peggiora anche il risultato della scansione dei file infetti: 802 rilevazioni contro 1129.
Quando parte la disinfestazione, cominciano anche i messaggi di richiesta conferma, quasi ad ogni virus.
In questa configurazione non rimuove alcunché: dovrei cancellare i file infetti a mano, uno ad uno.
Abilito alcune opzioni minime, in modo che il programma trovi e rimuova i virus da solo, in piena autonomia.
Dopo aver apportato qualche modifica, ripeto la scansione. Trova 810 virus.
Non vengono individuati 64 file.
Nel controllo di questi file nessun virus viene rilevato, nonostante siano infetti.
Test su PC infetto
Disabilito l'antivirus e mando in esecuzione i file infetti, che avevo utilizzato il precedenza.
Come mi era già successo durante il test dei programmi antirootkit, i virus rootkit hanno un comportamento diverso da quello visto in precedenza. Dopo l'attivazione di alcuni virus, iniziano a comparire messaggi di applicazione non compatibile con qualsiasi programma tentassi di avviare, antivirus compreso. A questo punto, sono costretto a riavviare il computer.
Al riavvio del PC, il virus Bagle ha disattivato e cancellato l'antivirus.
Provo a reinstallarlo e provoco un crash del sistema, con schermata blu al riavvio del computer, tanto che ho dovuto rimuovere il virus riavviando il PC con il MegaLabcd.
Poco soddisfatto dell'esito negativo, ripeto questa prova. Non utilizzo più i virus rootkit del Bagle, ma attivo altri tipi di malware.
Faccio ripartire l'antivirus, che rileva il virus lsasss.exe attivo in memoria; tuttavia, non mi viene data nessuna possibile azione.
Ci sono 6 virus attivi in memoria. Avvio una scansione completa del disco: ciakaisen.exe, che è una versione di trojan clicker, e SmilEmail.exe, un altro trojan, non vengono riconosciuti. NOD32 li elimina solo quando lancio la scansione del singolo file.
In termini di risultato, la scansione del disco è piuttosto bassa.
Rimangono 64 virus non riconosciuti dalla scansione completa.
Lancio una scansione solo sui file rimanenti. Il programma trova altri 36 virus.
Perché non li ha trovati durante la scansione precedente?
Scendiamo a 28 virus.
Attivando gli eseguibili rimasti, non si registrano reazioni da parte di NOD32.
Consumo RAM
N.B. Il consumo di RAM a riposo e durante la scansione può variare da computer a computer.
Configurazione massima
A riposo, sono presenti due moduli.
Durante la scansione i moduli salgono a tre, per un consumo iniziale intorno ai 50-55 MB di RAM, che sale superando i 60 MB.
Configurazione standard
Il consumo di RAM a riposo, con configurazione standard, è di gran lunga inferiore. Eppure, NOD32 si è dimostrato molto meno efficace.
Il consumo di RAM è minore anche durante la scansione.
Meno RAM usata in configurazione di default, ma risultati pessimi.
Note finali
La tipologia di impostazioni e di azioni che l'antivirus deve intraprendere dipende molto dal vostro grado di conoscenza del PC.
Un'impostazione per cui l'antivirus esegue tutto in automatico è l'ideale per un utente poco pratico, o che non si fida delle sue scelte.
Tuttavia, una configurazione del genere non si addice ad un utente più smaliziato, che voglia conoscere in prima persona i problemi del suo PC, magari per risolverli lui stesso, senza lasciare decidere nulla al programma.
Le opinioni degli utilizzatori di NOD32 non sono omogenee.
Alcuni lo ritengono il miglior antivirus in assoluto, superiore anche a Kaspersky; altri, invece, lo bocciano senza pietà, perché sono stati infettati e non sono riusciti a ripulire il PC.
Dopo questa prova, posso avanzare un'ipotesi: probabilmente, gli utenti scontenti non avevano configurato correttamente NOD32, con la conseguenza che tanti virus risultavano invisibili o quasi.
La differenza di risultati, in termini di pulizia e prevenzione, tra la configurazione standard e quella con la massima protezione mi ha stupito molto negativamente.
Molti utenti che navigano su Internet non hanno le conoscenze adatte, il tempo e la voglia di impostare tante configurazioni per un programma. Sopratutto, pensano che un antivirus appena installato debba già offrire una valida protezione: NOD32 in configurazione tipica, invece, non sembra proprio in grado di darla.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati