Stampa Articolo

Aperiodico gratuito di informatica

 

Emsisoft Anti-Malware 5.1: il debellatore di virus

a cura di Alessandro "Ale2695" Frigoli, Alarico "BlackJack" Antoninetti

07/04/2011 - articolo

Sicurezza - Nel già affollato mercato delle soluzioni anti-malware, Emsisoft propone una suite di sicurezza piuttosto interessante. Vediamola nei dettagli.

Emsisoft Anti-Malware è una suite di sicurezza prodotta da Emsisoft e si posiziona come successore del più famoso A2-Squared

Offre un doppio motore di scansione: antivirus (derivato da Ikarus) e antispyware, sviluppato internamente.

Troviamo inoltre la protezione in tempo reale (File Guard), il sistema di rilevamento proattivo contro i malware (Behavior Blocker) e il controllo delle pagine web visitate (Surf Protection).

Installazione e configurazione iniziale

Scarichiamo il programma da qui, ed effettuiamo l'installazione. Nell'ultima schermata, lasciamo selezionata l'opzione Lauch the Anti-Malware Security Wizard:

Apparirà la schermata del wizard di Emsisoft Anti-Malware:

Dovrete scegliere se attivare il software per 3 giorni senza alcuna registrazione, per 30 giorni registrandosi al servizio di Emsisoft, inserire il seriale della licenza completa, oppure attivare la licenza Freeware che disabilita le protezioni in real-time. Dopo aver selezionato la modalità che vi interessa, potrete proseguire

Scegliete se inviare a Emsisoft dei report delle azioni svolte dal software, se attivare l'auto-aggiornamento dei moduli del programma, l'installazione di lingue aggiuntive all'italiano e se abilitare o meno l'installazione di versioni beta (e quindi potenzialmente instabili)

Verranno poi scaricate le definizioni più recenti delle definizioni ed eventualmente le lingue aggiuntive. Una volta finito l'aggiornamento, si passerà alla prima scansione del sistema: cliccate sul pulsante Pulisci il computer Ora:

Come potete vedere, è possibile effettuare in questa fase solo una scansione completa, quindi lasciate selezionata quest'opzione e permettete al software di terminare l'operazione.

Selezionate se attivare i vari moduli di protezione, scaricare ed installare automaticamente gli aggiornamenti e svolgere o meno le scansioni pianificate. A questo punto il wizard è concluso, e possiamo chiudere la finestra premendo il pulsante Chiudi il setup guidato.

Panoramica generale

Il software presenta un'interfaccia grafica piuttosto intuitiva:

Dalla colonna di sinistra sono raggiungibili tutte le funzionalità, raggruppate in comodi sotto-menu e divise a seconda del tipo.

Nella sezione centrale è mostrato lo stato dei vari moduli di protezione in real-time e vi è la possibilità di eseguire le operazioni di scansione ed aggiornamento.

Nella colonna di destra, trovate i comandi per inviare ad Emsisoft file sospetti da far analizzare oltre ad informazioni di carattere generale come la versione del programma e del database delle firme antivirali e la durata del proprio abbonamento, con la conseguente possibilità di effettuare il rinnovo.

Configurazione

Il pannello di configurazione generale è raggiungibile dalla colonna di sinistra, alla voce Impostazioni:

All'interno delle schede che lo compongono, è possibile specificare numerose preferenze circa il funzionamento del software:

• Generale: permette di attivare la protezione real-time, la protezione tramite Captcha alla chiusura, la protezione dei propri processi, l'integrazione con le voci nel menu contestuale di Windows Explorer, la modalità di scansione della Quarantena dopo ogni aggiornamento e la lingua usata dall'interfaccia.
• Scansione Pianificata: in questa scheda è possibile impostare l'ora di avvio, il tipo di scansione, la periodicità (quotidiana, settimanale o mensile) ed i giorni in cui viene effettuata.
• Aggiornamento: autorizza l'invio dei report delle scansioni ad Emsisoft, l'installazione dei nuovi moduli, di lingue aggiuntive e di versioni beta.
• Messaggi: permette di attivare o meno i messaggi pubblicitari pop-up di Emsisoft, i messaggi di avvenuto aggiornamento delle definizioni e se visualizzare o meno i messaggi di riavvio necessario del sistema o dell'applicazione in caso di aggiornamenti ai moduli di sistema.
• Aggiornamento automatico: in questa scheda troviamo il controllo degli aggiornamenti automatici delle firme antivirali. Qui potrete selezionare l'ora o l'intervallo di tempo che deve trascorrere tra un aggiornamento e l'altro, oltre alla periodicità dello stesso.
• Attività di log: attivando questa opzione il programma provvederà alla creazione dei log di scansione, di aggiornamento e delle attività di protezione in real-time.
• Permessi: le opzioni disponibili in questa scheda, consentono di impostare i vari permessi che gli utenti del sistema hanno sul software, compresi gli utenti di dominio.
• Licenza: come suggerisce il nome, è la sezione che consente di gestire le licenze e di rinnovarle se scadute.

Moduli di protezione

Emsisoft Anti-Malware offre principalmente tre diversi moduli di protezione:

• Protezione del File System: scansiona automaticamente i file presenti nel disco rigido, tenendo sotto costante controllo le aree critiche del sistema
• Blocco Azioni: effettua il monitoraggio di tutte le operazioni eseguite dai programmi e dai file scaricati, e, in caso di operazioni potenzialmente pericolose, le blocca mostrando un avviso.
• Protezione Navigazione: tiene sotto controllo tutte le pagine web visitate dall'utente e, se ne riconosce una dannosa, blocca l'accesso mostrando una finestra d'allarme.

Tutti e tre i moduli possono essere configurati dal pannello raggiungibile alla voce Protezione:

Questa sezione è divisa in diverse voci:

• Regole Applicazione: permette di creare delle regole per ogni singola applicazione, attivando o meno la protezione su di essa;
• Bloccaggio Azioni: consente di configurare le opzioni del Blocco Azioni, attivandone o meno i moduli di protezione;
• Avvisi: da qui è possibile settare gli avvisi dei moduli di protezione, attivando o meno la modalità panoramica, che visualizza tutti gli avvisi, oppure la modalità intelligente che riduce gli avvisi allo stretto necessario e che implica un'azione dell'utente;
• Protezione File: sono presenti le opzioni della Protezione File System, da cui si può selezionare quali aree e quali estensioni di file devono essere scansionate, ed è possibile attivare la protezione anche se nessun utente è loggato sul sistema;
• Protezione della Navigazione: è il pannello delle opzioni della Protezione Navigazione, attraverso il quale si possono attivarne o meno i vari moduli;
• Regole Host: permette di aggiungere regole personalizzate a singoli host, impostando le azioni che il software deve effettuare su di essi.

HiJackFree

HiJackFree è un programmino incluso in Emsisoft Anti-Malware che monitora e permette la gestione dei programmi in esecuzione nel sistema, di quelli ad esecuzione automatica, delle connessioni di rete e dei servizi di sistema. È accessibile dalla voce HiJackFree

A sinistra sono presenti le varie sottosezioni del programma, che consentono la gestione dei processi attualmente in esecuzione (Processi), le porte utilizzate dai vari programmi (Porte), i programmi che vengono avviati automaticamente all'avvio del sistema (Esecuzione automatica), i servizi del sistema (Servizi), gli Add-on di Internet Explorer, il File Hosts ed, infine, i controlli ActiveX (Altro).

Selezionando una delle voci presenti, è possibile utilizzare il menu in basso a sinistra per impostarne la priorità, eliminare i riferimenti collegati e salvare una copia di backup.

Attraverso la barra superiore, invece, siamo liberi di salvare il report delle statistiche del sistema e stamparlo.

Motore di Scansione

Il motore di scansione doppio di Emsisoft Anti-Malware è raggiungibile dalla voce Scansione PC

Sono presenti quattro tipi differenti di scansioni:

• Scansione Veloce: scansiona solo i processi in esecuzione ed i cookie creati dai browser;
• Scansione Intelligente: scansiona le cartelle principali del sistema, i processi in esecuzione ed i cookie;
• Scansione Completa: scansiona tutte le cartelle del sistema ed i processi in esecuzione;
• Scansione Personalizzata: permette di settare tutte le impostazioni di scansione manualmente.

Selezionando quest'ultima, sarà possibile impostare tutte le specifiche della scansione:

Potrete selezionare le cartelle e le aree di scansione (Memoria del sistema, Tracking Cookie, Riskware, archivi, file system NTFS) che volete controllare, ed attivare o meno il sistema euristico.

Log

Tutti i log delle scansioni, insieme a quelli degli aggiornamenti automatici e della quarantena, sono divisi per data e consultabili alla voce Logs:

Test

Per testare l'effettiva efficacia della suite abbiamo scaricato alcuni campioni da MegaVirusLab. Più precisamente:

• TR/Crypt.ZPACK.Gen;
• Win32: Ardamax-NV;
• Virus.Win32.Sality.Gen;
• Trojan.Agent/Gen-FakeAlert;
• Trojan-Downloader.Win32.Bagle.avo;
• Trojan-Dropper.Win32.Wlord;
• Trojan.Agent/Gen-FakeAlert;
• PWS: Win32/Magania.gen;
• Heuristic.BehavesLike.Win32.ModifiedUPX.C! 87;
• Beagle;
• Backdoor.Win32.Delf.kzu;
• BackDoor.IRC.Dostan;

I file presenti su MegaVirusLab sono compressi in formato .zip protetto da password. Appena questi vengono scompattati, con un qualsiasi software di decompressione, Emisoft Anti-Malware blocca subito il file e lo sposta in quarantena, informando l'utente attraverso una notifica a pop-up.

La finestra recherà le principali informazioni del virus e le azioni che Emisoft Anti-Malware ha compiuto per prevenire l'infezione. Mostrerà anche la voce Settings tramite la quale modificare tutti i parametri di protezione.

Di seguito vengono mostrati tutti gli avvisi pop-up comparsi durante il processo di scompattazione dei file che abbiamo usato per i test del prodotto.

Aprendo il software sarà possibile visualizzare la sezione Quarantena all'interno della quale potrete procedere con l'eliminazione, il ripristino, l'aggiunta di file, il salvataggio di una copia, la possibilità di inviare e effettuare nuovamente una scansione dei file presenti nell'archivio.

I campioni utilizzati per la stesura di questo articolo, dopo essere stati scompattati, sono stari riconosciuti dalla suite come virus ed immediatamente spostati in quarantena.

Come si può notare, non sono presenti tutti i virus presi in considerazione in questo articolo. Purtroppo, infatti, due campioni di malware non sono stati assolutamente rilevati in seguito alla semplice decompressione. Al tentativo di esecuzione però, Emsisoft Anti-Malware ha mostrato una schermata all'interno della quale venivano descritte le possibili azioni da intraprendere nei confronti del file in quanto corretttamente rilevato come "dannoso".

All'apertura di quello che abbiamo identificato come Heuristic.BehavesLike.Win32.ModifiedUPX.C! 87 è comparsa la schermata sottostante, nella quale sono state selezionate le opzioni di blocco del programma e di spostamento in quarantena.

La medesima finestra è stata visualizzata anche all'apertura del Trojan BackDoor.IRC.Dostan, e ovviamente le azioni intraprese sono state le stesse.

I test sono stati eseguiti su Windows XP SP2 e sono stati superati con risultati discreti.

Oltre ai test di sicurezza con campioni di virus già presenti sulla macchina, si è messa alla prova l'efficienza della protezione durante la navigazione. I risultati sono stati deludenti in quanto con la Protezione Navigazione attiva, veniva bloccato l'accesso ai più svariati siti web non necessariamente legati alla presenza di malware. Uno di questi è l'account di DropBox dedicato ai virus presenti nel MegaVirusLab: se in questo particolare caso la misura presa potrebbe essere condivisibile, non possiamo dire altrettanto del blocco di accesso al servizio di hosting gratuito MegaUpload.com: riteniamo sia una scelta assolutamente scorretta ed inopportuna.

Un piccolo avvertimento agli utenti: quando si apre la pagina di configurazione del software è necessario prestare molta attenzione. Un incauto click sull'elemento sbagliato può mettere in pericolo l'intero PC: la disattivazione (non disinstallazione) della protezione, infatti, risulta essere abbastanza rapida ed avviene senza che sia richiesta alcuna ulteriore conferma.

Considerazioni finali

Emsisoft Anti-Malware 5.1 è, a nostro parere, una buona suite di protezione antimalware.

Dobbiamo ammettere che, prima di provarla, eravamo piuttosto scettici circa le sue reali potenzialità. Con il succedersi delle prove però, ci siamo invece resi conto che rispetto ad un prodotto come A2-Squared, risulta molto più efficiente.

L'impatto sulle prestazioni del sistema è più che accettabile, sia con il programma a riposo che durante le scansioni che normalmente richiedono parecchie risorse.

La protezione web, inoltre, non rallenta minimamente l'apertura delle pagine che, al contrario, risulta fluida e regolare come di conssueto.

Oltre a tutte queste caratteristiche positive, va segnalato il fatto che il software non ha interferito minimamente né con avast! Antivirus, né con Avira AntiVir Free, segno che può essere tranquillamente affiancato a qualsiasi programma antivirus migliorando l'efficacia della protezione del proprio computer.

Una critica va però mossa al fatto che il software mostra una considerevole quantità di pubblicità attraverso la propria interfaccia utente, rendendolo così meno "tecnico" e più confuso.

Il nostro giudizio di massima, tutto sommato, risulta quindi abbastanza positivo.

MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .

Copyright 2008 MegaLab.it - Tutti i diritti sono riservati