Prevx Edge: ecco l'anti-malware di prossima generazione
Prevx Edge è l'ultimo prodotto di casa Prevx rilasciato il 14 Novembre 2008.
Si tratta di un software un po' particolare, se paragonato agli altri anti-malware in circolazione.
Il suo punto di forza è sicuramente l'uso di un database di firme virali comunitario, e non locale.
In questo modo la reattività di risposta alle nuove minacce aumenta a dismisura, visto che non è più necessario che ogni computer effettui l'update ogni volta che viene reso disponibile un aggiornamento. Il software si collegherà al database online per controllare se un file è stato classificato come Sicuro, infetto o sconosciuto.
Se il file risultasse sconosciuto, Prevx Edge provvederà ad eseguirlo sul computer dell'utente, monitorandone costantemente il comportamento. Quando determinate regole - studiate apposta per capire la natura del file - vengono infrante, il processo viene terminato e lo stato del file viene aggiornato da sconosciuto a malevolo.
Questo, come ho appena spiegato, ha sicuramente dei lati positivi, ma se un computer non disponesse di una rete attiva, magari per un guasto alla linea, Prevx non avrebbe la possibilità di riconoscere gli eventuali malware presenti nel sistema. Se invece fosse un software nocivo a bloccare la rete, Prevx tenterà di risolvere il problema "da solo".
Il fatto che Prevx Edge comunichi con i suoi server per controllare la natura di un file, ha scatenato un acceso dibattito per stabilire se davvero il software scarichi solo le firme virali o invii ai server anche informazioni riservate.
Marco Giuliani (Malware Analyst Prevx) ha sempre affermato che nessun dato personale o sensibile viene raccolto dai computer degli utenti, se non qualche informazione anonima utile alla società a fini statistici o all'identificazione di nuove minacce.
Mentre eseguivo una scansione, ho provato a catturare i pacchetti transitanti tra il mio computer e i server Prevx. Dal canto mio, non trovo nulla che possa ricondurre a informazioni personali e riservate, trovate comunque in allegato il log dello sniffer.
Interessante anche la funzionalità di monitor in real-time del Master Boot Record, per prevenire infezioni in esso. Si tratta del primo software al mondo che integra questa funzionalità. Oltre a questo, dispone ovviamente anche di un controllo in tempo reale del sistema in uso.
Specializzato nella prevenzione, rilevazione e rimozione di rootkit, durante le prove che ho fatto è riuscito a riconoscere qualunque rootkit che ho utilizzato, anche se installato e completamente funzionante sul sistema in uso.
I file posti in quarantena sono criptati per prevenire che i malware possano uscire da essa e ripropagarsi, mentre lo spazio occupato su disco dal software antimalware è inferiore a un MegaByte.
Un'altra caratteristica chiave di Prevx Edge è la possibilità di affiancarlo ad altri software di simil natura. Prevx non ha nessuna intenzione di imporsi, consiglia anzi di affiancare i suoi software ad altri antimalware, sebbene, come provano i nostri test, non sia strettamente necessario.
L'unica pecca del software è la non disponibilità di una versione trial. È infatti disponibile una versione gratuita, ma non è in grado di rimuovere le minacce trovate, che invece necessitano di una versione completa (€25 per licenza annuale).
Installazione
Nel caso di Prevx Edge, l'installazione è un rapido procedimento automatizzato. Dopo aver lanciato l'eseguibile d'installazione, ci troveremo davanti a una finestra simile alla seguente.
Dopo aver spuntato la clausola relativa alla licenza, possiamo premere Next per procedere con l'installazione.
Al termine di quest'ultima, verrà lanciata una scansione del sistema in cerca di malware, al termine della quale la protezione in real-time sarà inizializzata.
Configurazione
A seguito dell'installazione di Prevx Edge, comparirà una nuova icona nella System Tray che ne simboleggierà il funzionamento. Sarà verde in caso non siano state rilevate minacce, rossa se invece vi sono malware nel computer.
Basta un doppio clic sull'icona per aprire l'interfaccia utente di Edge.
Dalla voce Impostazioni, accederemo a una vasta area dedicata alla configurazione di Edge.
Proseguendo in Configurazione di base, possiamo modificare alcune tra le opzioni più basilari del software, anche se sono già settate al meglio. L'unica voce che forse vale la pena di abilitare è l'ultima, Password protect configuration options.
Dalla voce Scansione Avanzata, possiamo invece selezionare una specifica cartella o file (Add File/Folder) da analizzare in cerca di malware. Per lanciare la scansione basterà premere Scan Now.
Prevx Edge, come tutti i software simili, permette di aggiungere delle eccezioni. I file facenti parte di questi eccezioni non saranno scansionati. Per aggiungerne, basta cliccare su Configurazione Manuale e selezionare il file per cui aggiungere la regola.
Con la voce Salva file di Log possiamo visionare e salvare il log dell'ultima scansione effettuata.
Tornando al menu principale, spostiamoci sulla voce Configura Edge.
Dalla voce Impostazioni Euristica, possiamo modificare il livello dell'euristica di Prevx Edge.
Infine, tornando ancora al menu principale e selezionando la voce Scheduler, possiamo pianificare una scansione del computer stabilendo ora e data.
Il Test
Marco Giuliani ci ha gentilmente concesso una versione completa di Prevx Edge a scopo di test. Oltre a esporre tutte le sue funzionalità e impostazioni, ho voluto vedere anche come se la cavava dal lato rilevazioni e rimozione.
Per lanciare una scansione del computer basta, dall'interfaccia principale, cliccare su Analizza Ora. Scansioni veramente molto rapide, due minuti circa per scansionare la partizione di sistema.
Dopo aver installato Edge, ho provato a lanciare numerosi file infetti, ma li bloccava tutti ancora prima che potessero fare danni. Solo un paio di malware sono riusciti a passare.
Provo anche con Bagle, pensando che almeno lui riuscirà a fare qualche danno. Appena lanciato l'eseguibile, Edge lo blocca.
Lascio passare allora l'infezione, ma subito mi rileva winupgro.exe e non lo fa andare molto lontano, sebbene altri file infetti siano già stati creati. A questo punto, qualunque altro antivirus era già scomparso.
Bagle riesce comunque a riavviarmi il computer, ma con mia grande sorpresa Prevx Edge è ancora in piedi al riavvio. Mi avvisa dell'installazione del rootkit.
Lancio una scansione per rimuovere tutti i file infetti che finora ho lasciato passare, e trova anche qualche malware di quelli che avevo provato a lanciare prima e che erano passati.
Mi avvisa che c'è una voce nociva nel file hosts, che gli impedirebbe di funzionare correttamente.
Rimuove tutto senza problemi.
Visto che non riesco a infettarmi come vorrei, disinstallo Edge e lancio un paio di rootkit e altrettanti malware normali.
Un rogue scaricato da non so quale malware, si fa subito conoscere invitandomi a comprare Spyware Guard 2008.
GMER intanto mi segnala due servizi nascosti e qualche altra modifica in giro per il sistema.
Riavvio, reinstallo Edge e lancio una nuova scansione.
Rileva di tutto, persino chiavi e valori di registro.
Appena procedo con la rimozione, si accorge che ci sono dei rootkit attivi in memoria e mi deve riavviare il computer per rimuoverli.
Dopo uno o due riavvii permane solo qualche rimasuglio, di cui la maggior parte sono rinominati e inattivi. Provvede a rimuovere anche loro.
Con una scansione, HijackThis mi informa che ci sono modifiche al file hosts.
GMER intanto non segnala più rootkit, ma rimane una chiave di registro relativa al servizio nascosto di un rootkit che non è stata rimossa. Visto che comunque i file che richiama sono stati rimossi, è innocua.
Conclusioni
Grazie alla sua euristica studiata nei dettagli, Prevx Edge è capace di identificare le minacce dell'ultimo giorno (Zero Day) e dell'ultima ora (Zero Hour).
Inoltre, può essere affiancato a qualunque altro software antimalware, anche se entrambi hanno la protezione in tempo real-time attiva.
Si tratta sicuramente di un prodotto valido, per il quale i soldi investiti saranno sicuramente meglio spesi che per alcuni altri antivirus, e che potrebbe garantire la protezione di un computer anche da solo.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati