Stampa Articolo

Aperiodico gratuito di informatica

20090921201357_2116157778_20090921201328_161660962_sl_mse.png

Microsoft Security Essentials: guida e prova pratica del nuovo antivirus gratuito

a cura di crazy.cat

05/10/2009 - articolo

Sicurezza - Microsoft regala ai propri utenti un antivirus gratuito. Ma è veramente uno strumento valido? Vediamo di conoscerlo meglio.

Microsoft, visto lo scarso (praticamente "nullo"), successo del proprio antivirus a pagamento Windows Live OneCare, ha deciso di ritirarlo dal commercio, unirlo a Windows Defender e trasformarlo in un prodotto gratuito.

Nasce così il progetto chiamato inizialmente Morro, arrivato poi al grande pubblico con il nome finale di Microsoft Security Essentials (nel resto dell'articolo lo chiameremo MSE).

Il programma è in italiano e, da qualche giorno, è disponibile gratuitamente per tutti gli utenti in possesso di una copia regolarmente registrata di Windows XP a 32 bit o di Vista/7 sia a 32 che 64 bit.

Download e installazione

Per scaricare il programma collegatevi a questo indirizzo, selezionate la lingua (se non volete l'italiano) e il vostro sistema operativo

Dopo aver accettato le condizioni d'uso, dovete validare la vostra copia di Windows: premete il tasto Convalida e aspettate qualche secondo.

Se avete altri programmi di sicurezza installati, Microsoft ne consiglia la rimozione.

Al termine dell'installazione non è necessario riavviare il PC.

Avvio e prima scansione

Per iniziare si scaricano subito gli aggiornamenti del programma.

Dopo l'aggiornamento parte un'analisi rapida, che lascio fare senza modificare nessuna impostazione.

Tale scansione rileva un problema in un file di sistema di Windows Vista, per lui non ancora classificato: l'antivirus mi chiede di inviarlo ai laboratori Microsoft per ulteriori verifiche.

Temendo che mi potesse essere sfuggita qualche infezione che avesse alterato il file, lo faccio analizzare su Virustotal.com ma il risultato è negativo come mi aspettavo.

Sono due, a volte tre quando si apre MpCmdRun.exe, i programmi attivi durante la scansione fatta su un sistema pulito. Il MsMpEng.exe rimane intorno ai 50-60 MB di RAM utilizzata e valori di CPU abbastanza contenuti.

Lo stesso file, MsMpEng.exe, si comporta in maniera molto diversa quando il sistema è infetto, ma questo lo vedremo dopo.

Durante l'analisi non ci sono indicazioni inerenti il tempo previsto per ultimare la procedura o su cosa è stato trovato di infetto e pericoloso: bisogna sempre aspettare la fine dell'analisi.

Alla fine lo Stato computer diventa rosso e A rischio per la presenza di una potenziale minaccia.

Dal report emerge che si tratta del "pericolosissimo" software freeware Batchx che serve a trasformare file batch in eseguibili.

Faccio analizzare anche questo file sul sito di Virustotal e solo altri tre antivirus lo rilevano come pericoloso: dato che due sono A-squared e Ikarus, altri due programmi noti per le loro false rilevazioni, considererei questo un falso positivo.

Altra dubbia rilevazione riconosciuta nel file My-lockbox programma freeware per il criptaggio dei dati.

Questa volta almeno ci sono degli antivirus più famosi che individuano lo stesso dubbio problema.

Per completezza ho fatto analizzare il comportamento del file sul sito di Threatexpert.com.

Impostazioni

Nelle Impostazioni, piuttosto scarse e già fissate ad un buon livello di protezione, possiamo scegliere quando far eseguire un analisi completa del computer, giorno e ora, se rapida o completa e farla avviare quando non stiamo usando il PC in modo da non rallentare il nostro lavoro.

Ogni volta che cambiate una impostazione ricordatevi di salvare le modifiche fatte.

Nelle Azioni predefinite da compiere in caso di rilevazione possiamo scegliere due o tre possibilità in base alla gravità della minaccia rilevata.

Rimuovi e Quarantena per i livelli di attenzione Grave e Alto, si aggiunge anche il consenti per il Medio e Basso.

Visto che sembra subire qualche falsa rilevazione consiglierei la scelta della Quarantena per tutti i livelli, in questo modo, almeno si può andare a recuperare eventuali file importanti rimossi per errore.

Della protezione in tempo reale direi proprio di non modificare niente in modo da avere il massimo controllo su tutti i file e programmi, allegati di posta compresi.

Nei File e percorsi esclusi e Tipi di file esclusi, è possibile impostare l'esclusione dal controllo in tempo reale di singoli file, o gruppi di file in base alla loro estensione.

Potete magari escludere dal controllo un video, o un immagine ghost del PC, file di grosse dimensioni che possono solo rallentare il controllo e che difficilmente saranno infetti.

I Processi esclusi tenderei a non utilizzarli visto che si possono inserire solo file potenzialmente infettabili come i Cmd, Bat, Pif, scf, Exe, com e scr.

Nelle impostazioni Avanzate ci sono le uniche due cose che modificherei, l'Analisi delle unità rimovibili durante il controllo completo e la Creazione di un punto di ripristino da farsi prima di avviare la rimozione dei malware trovati (se utilizzate la quarantena questo direi che non vi serve).

Per concludere c'è la partecipazione, considerabile "quasi obbligata", a Microsoft SpyNet, ovvero la comunity che studia il malware e le nuove infezioni. Potete scegliere solo quanti dati inviare a Microsoft, se Livello base o avanzato.

Nella Cronologia abbiamo tutte le azioni intraprese durante le scansioni e i vari malware trovati.

Scansione con virus

Per mettere alla prova MSE, comincio a copiare un buon numero di file infetti nel computer, senza attivarne nessuno per il momento, e lancio un controllo completo del PC.

La scansione richiede parecchio tempo: un ora e diciotto minuti per circa 15 GB di dati da analizzare, e dice che rileva 1206 minacce potenziali.

La cosa strana è che quando passo alla schermata principale si sale a 2237 potenziali minacce. I due numeri non corrispondono.

La finestra del report finale, quella che si apre cliccando su Mostra dettagli, è sicuramente da migliorare: più di tre virus alla volta non si possono visualizzare.

Molti malware vengono riuniti sotto un unico elemento rilevato: si potrebbe così spiegare il numero non altissimo di rilevazioni.

Lancio una nuova scansione solo della cartella contenente i virus e il numero delle potenziali minacce sale a 1563, contro le 1206 rilevate prima.

Cambiano anche le minacce rilevate nella schermata principale.

Rifaccio una terza scansione, sempre utilizzando lo stesso campione di malware, e, sorpresa, il numero dei problemi trovati cambia ancora.

È molto ottimistica la frase che "L'operazione può richiedere alcuni secondi". Se la scansione è stata molto lunga, la rimozione dei virus è veramente infinita.

Il più grosso problema è che durante la scansione e soprattutto nella rimozione dei virus il consumo di RAM e l'utilizzo della CPU sono decisamente alti.

Visto che la rimozione dei virus è stata lunghissima, l'utilizzo del PC in quel frangente era praticamente impossibile.

Tutti gli adware vengono considerati a rischio medio e bisogna selezionare un'azione, se non l'abbiamo impostata nelle opzioni di configurazione.

I virus rimasti

Dopo aver fatto pulizia con MSE rimangono un buon numero di malware di vario tipo e decido di eseguirne alcuni, le reazioni di MSE sono minime per non dire nulle, segnala solo l'estrazione di alcune librerie dll e poco altro.

Quando vado a fare un controllo del disco, dopo aver avviato tutti i malware rimasti, saltano fuori parecchi file infetti che non erano stati segnalati dalla protezione in tempo reale.

I download dal Web

Non se la cava invece male nel controllo dei download dal web intercettando moltissimi dei malware che ho tentato di scaricare e riconoscendo anche quello che rimane nella cache del browser.

Non sono riuscito a verificare il comportamento con la posta visto che il provider non mi lasciava passare i virus che tentavo di spedire.

Scansione su PC infetto

Disattivo la protezione in tempo reale di MSE, lancio alcuni virus e attivo un paio di rootkit, piuttosto vecchi, copio un numero limitato di malware nel computer, giusto per simulare una possibile infezione (e per non dover aspettare ore per completare la rimozione dei file infetti).

I due rookit che avevo attivato vengono rapidamente intercettati appena inizio la scansione e chiede un riavvio del PC per rimuoverli.

Dopo il riavvio ripeto una scansione completa del PC. In questo caso il consumo di RAM e CPU, con pochi virus presenti, sembra rimanere su livelli accettabili. MSE riconosce e rimuove anche i virus che avast aveva messo in quarantena durante una precedente scansione.

Un errore quando ha tentato di rimuovere un file infetto, ma senza successo

MSE e gli altri antivirus freeware

Per avere un paragone con gli altri principali antivirus freeware, Avira, avast e AVG, decido di analizzare il campione totale e quelli non riconosciuti da MSE.

avast

Sul campione totale dei virus avast ne ha rilevati 11510.

Mentre dei virus rimasti di MSE ne segnala 357.

AVG

AVG per controllare la cartella contenente tutti i virus utilizzati ha impiegato meno di 10 minuti.

Nel test dei virus rimasti da MSE sono 227 le rilevazioni fatte da AVG.

Avira

Avira mi da 11308 rilevazioni in soli due minuti e due secondi.

Sono invece 430 i virus rimasti secondo Avira in quelli non visti da MSE.

A discolpa di MSE bisogna dire che i virus rimasti sono, nella maggior parte, abbastanza vecchi e quelli nuovi non sono tra i più pericolosi.

Confrontando i tempi di scansione del pacchetto dei malware MSE supera ad ogni scansione i 40 minuti.

Conclusioni

Vediamo prima i pro e i contro del programma.

Pro:

Gratuito per gli utenti in possesso di una copia regolare di Windows
In Italiano
Utilizzabile anche in piccole ditte che non vogliano sostenere i costi relativi alle licenze degli antivirus
Il database delle firme dei virus sembra essere piuttosto buono, almeno sui virus di nuova generazione.

Contro:

Lento in scansione
Lento e pesante in rimozione quando ci sono tanti virus
Report dei problemi trovati piuttosto scarso e confuso
Le funzioni di euristica sembrano essere assenti o molto scarse.
Manca la possibilità di salvare il report per poterlo analizzare.
La finestra del report virus non è ingrandibile, ne minimizzabile nella barra delle applicazioni quando parte la rimozione dei virus. Si può solo trascinarla per lo schermo in modo che dia meno fastidio.
Ho ripetuto la scansione più volte prima di riuscire a rimuovere tutto: ogni tanto trovava qualche virus nuovo.

Dall'unione di un antivirus come Windows Live OneCare, software a pagamento che non aveva convinto nessuno ed aveva una percentuale di mercato vicina allo zero, con Windows Defender non è che mi aspettassi miracoli.

Per il momento, Microsoft Security Essentials mi sembra molto acerbo e prima di bocciarlo del tutto vorrei aspettare qualche nuova release (sempre che Microsoft abbia intenzione di lavorarci ancora sopra).

Quello che non sono proprio riuscito a capire sono le differenze nei risultati delle scansioni: il campione di malware è lo stesso, ma i conti finali non corrispondono mai.

Diciamo che per il momento, per un utilizzo casalingo da navigatori incalliti, è ancora meglio affidarsi ad antivirus gratuiti (se non vogliamo spendere) che abbiano già una certa storia alle spalle e di cui possiamo fidarci.

Non è escluso che in futuro Microsoft Security Essentials possa ancora migliorare e, nel caso, torneremo ad occuparcene.

MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .