www.MegaLab.it

Capacità di rilevamento e di rimozione

Per testare la capacità di rilevamento dell'antivirus abbiamo eseguito la scansione di un archivio di circa 4.000 file, della dimensione complessiva di circa 1 GB, contenente malware di varia tipologia: erano presenti worm, trojan, dialer, adware, rogue software (si ringrazia crazy.cat per l'invio di questa vasta collezione).

Per completare la scansione di tutto l'archivio, che è stato eseguito su un sistema di prova equipaggiato con Windows XP, l'antivirus ha impiegato una dozzina di minuti: scansione abbastanza veloce nonostante l'alto numero di infezioni presenti (successivamente è stata eseguita la scansione in un sistema più recente, e AVG ha impiegato la metà del tempo ad analizzare i medesimi file).

Sono rilevati 3966 malware, di cui 269 sono identificati come spyware. Il consiglio è, comunque, quello di non dare troppo peso al numero di rilevamenti: ogni antivirus infatti classifica le infezioni trovate a modo suo, e spesso in un unico file possono essere trovati (come ho verificato con AVG) più malware; pertanto, consiglio di focalizzare l'attenzione sul numero di file non rilevati.

Eseguo la rimozione delle infezioni trovate, che impiega ben 17 minuti. Il programma non riesce a rimuovere 6 minacce, sebbene nessun malware sia attivo in memoria.

Nonostante questi ultimi dati siano non molto positivi, appare evidente qualche miglioramento del programma sotto questo punto di vista rispetto alla scorsa versione (si veda la prima parte del test effettuato della nona release per credere).

Non si registranoproblemi per l'eccessivo consumo di risorse o per blocchi causati dal programma.

Qualche tempo dopo, però, eseguendo il medesimo test in un'altra macchina, AVG si blocca durante la rimozione dei file, dopo aver rimosso nemmeno un terzo delle infezioni rilevate, obbligandoci ad un riavvio forzato del sistema (Windows 7 32 bit).

Nella cartella rimangono ancora 541 file, corrispondenti a rimasugli di malware non del tutto debellati, qualche rogue software, alcuni programmi che installano adware ed anche qualche trojan.

Questo è uno dei rogue sfuggiti alla scansione e al controllo in real-time di AVG:

Se si tenta di eseguire qualche malware tra quelli non rilevati, a volte esso si avvia indisturbato, altre viene bloccato da uno dei componenti di AVG se il suo comportamento viene giudicato pericoloso.

Alcuni file sono riconosciuti come run-time packers e sono ritenuti sospetti e bloccati dalla protezione in tempo reale.

Alcuni file che tentano di installare un adware vengono invece intercettati e bloccati durante il processo di installazione.

Altri eseguibili, una volta avviati, vengono ritenuti pericolosi e bloccati dalla Protezione dell'Identità.

È stata eseguita anche una scansione con la versione gratuita di Avira AntiVir dei malware non rilevati dal controllo di AVG.

Alla fine della scansione, sono 465 i rilevamenti.

Dopo la pulizia eseguita da AntiVir, rimangono solo 85 file nella cartella, la maggior parte dei quali sono innocui rimasugli di malware debellati e adware vecchi e poco pericolosi.

Viene rimosso anche il rogue di cui prima ho riportato lo screenshot, che era ancora attivo in memoria.

Per completezza e correttezza, si è deciso di eseguire con AntiVir la scansione della collezione completa dei malware, ovvero degli stessi 4000+ file che abbiamo scansionato con AVG.

La scansione in questo caso dura 21 minuti (ricordiamo che il sistema era piuttosto datato): AVG si dimostra quindi più veloce dell'antivirus tedesco in questo frangente; le rilevazioni sono 4382.

Tutte le infezioni sono rimosse in un paio di minuti senza alcun genere di errore. Alla fine della scansione, rimangono 103 file nella cartella; gran parte di questi non sono rilevati nemmeno da AVG: probabilmente non sono stati inseriti nel database dei due antivirus perché non ritenuti dannosi (erano presenti molti installer di toolbar e programmi cinesi semi-sconosciuti di funzionalità dubbie).

Molti file, analogamente ad AVG, se vengono avviati sono intercettati e bloccati da AntiVir.

AVG batte Avira per quanto riguarda la velocità di scansione, ma perde nettamente se si prendono in considerazione la capacità di rilevamento e quella di rimozione.

Tra le novità di questa versione 2011, si parlava anche dell'implementazione della tecnologia cloud: ho provato ad analizzare la collezione di malware sia connesso alla rete (in modo che AVG avesse la possibilità di connettersi ai server se necessario), sia offline (in questo modo la scansione in the cloud era impossibile da eseguire), poiché tra le opzioni non ho trovato nulla che facesse riferimento a questa tecnologia: il numero di rilevamenti è stato esattamento lo stesso.

Probabilmente sarebbe più appropriato testare il cloud utilizzando minacce zero-day.

La protezione in tempo reale

Se viene aperta la cartella contenente i malware, la protezione in real-time di AVG mi segnala la presenza di alcune infezioni. Man mano che vengono eliminati i malware che rileva, ci avvisa della presenza di altri.

Selezioniamo una ventina di virus dall'archivio (due sample di Bagle e altri malware prelevati a caso) e proviamo ad avviarli.

18 i file sono eliminati appena tento di avviarli.

Per tre file, invece, che propongono una specie di installazione guidata fasulla per veicolare malware, la rimozione delle infezioni avviene durante il processo di installazione. Anche il firewall agisce nel caso di una minaccia che voleva connettersi ad Internet, proponendomi una finestra per decidere come gestire la richiesta.

Firewall che però, per qualche strano motivo, durante i nostri test ha automaticamente permesso la connessione a un virus, rilevato come infetto da Avira (l'antivirus di AVG invece non lo segnalava).

La difesa in tempo reale si è dimostrata abbastanza reattiva ed efficace.

Test su sistema infetto

Disattiviamo la protezione in real-time di AVG in modo da attivare in memoria qualche virus: la protezione in tempo reale, infatti, altrimenti avrebbe bloccato le minacce.

Scelgo tre malware a caso dalla collezione e li avviamo; tra essi c'è anche un rogue software.

Successivamente, riavviamo il sistema e riattiviamo la protezione di AVG: in pochi secondi, l'antivirus rileva i tre virus attivi in memoria e riesce a estirpare i loro processi senza errori.

Senza il loro eseguibile attivo in memoria, i tre malware non si attivano più ed i rimasugli rimasti nel disco sono innocui: evito così di analizzare il sistema alla ricerca dei componenti rimasti ed attivo, sempre con la protezione in tempo reale dell'antivirus disattivata, un sample di Bagle.

Senza nemmeno riavviare il sistema, Bagle ha già messo fuori uso ogni funzione di AVG, che risulta inutilizzabile.

Dopo di che, ripristino lo stato del sistema precedente all'attivazione dei virus, in modo che AVG torni pienamente operativo, e apriamo una decina di virus scelti a caso. Dopo il riavvio del sistema, questi sono i processi attivi in memoria relativi alle infezioni.

Pochi secondi dopo l'attivazione della protezione real-time, AVG rileva alcune delle minacce attive che rimuove. Gli errori che vedete nello screenshot sono dovuti all'eliminazione che AVG vorrebbe compiere sei volte per il medesimo file, ignoriamo il motivo di questo comportamento.

Qualche infezione ha compromesso parzialmente qualche componente di AVG: il firewall infatti risulta disattivo ed impossibile da avviare.

Eseguiamo poi una scansione completa del sistema: AVG elimina le infezioni trovate senza errori.

La maggior parte delle infezioni sono rimosse, ma rimane attivo in memoria ancora il processo malevolo IEXPLORER.EXE.

Riavviamo il sistema. La protezione in tempo reale ci segnala la presenza di un backdoor che avevamo già rimosso precedentemente, segno che un'infezione è radicata nel sistema e che alcuni file generano nuovamente l'eseguibile infetto in caso esso venga rimosso.

Dopo la pulizia compiuta da AVG, vogliamo verificare quali infezioni rimangano nel sistema, così proviamo a disinstallare la suite, con l'intenzione di installare nuovamente AntiVir. La disinstallazione del programma, che è stato compromesso da qualche malware, però fallisce e, a causa dei conflitti che verrebbero a generarsi, sono impossibilitato ad installare l'antivirus tedesco.

Decidiamo di scaricare allora Kaspersky Virus Removal Tool, strumento sempre molto utile e valido.

Avviamo quindi la scansione, mentre essa procede la protezione residente di AVG, che era attiva, rileva numerose infezioni nella cartella System Volume Information, che il tool stava scansionando. Strano, eseguendo una scansione completa del sistema con AVG, la suite non rilevava la presenza di queste minacce.

Disattiviamo allora il Ripristino Configurazione di Sistema ed eliminiamo con AVG le infezioni. Riavviato il computer, però, questi file si riformano e AVG segnala sempre la presenza del backdoor che si rigenera una volta eliminato; il processo IEXPLORER.EXE, inoltre, è sempre attivo in memoria.

Disattiviamo ogni protezione di AVG e completiamo la scansione con Kaspersky, che rileva le stesse infezioni in System Volume Information di AVG, oltre che al solito backdoor identificato nel processo di Windows msconfig.exe.

Iniziamo la rimozione delle minacce con il tool, e scopriamo, con sorpresa, che l'eseguibile è collegato a moltissimi altri file, tra cui il processo ancora attivo in memoria IEXPLORER.EXE e anche qualche file di AVG era stato infettato.

Kaspersky provvede alla disinfezione di tutti i componenti infettati e termina il processo con successo.

Riavviamo il computer, ed il sistema è ripulito: AVG non segnala più la presenza del backdoor e nessun processo malevolo compare più nel task manager.

Prova un po' incerta di AVG, che si comporta bene con molti virus ma che cade senza opposizione a Bagle e non riesce ad estirpare un virus piuttosto insidioso.