L’incremento costante nella sofisticazione delle minacce e delle modalità di diffusione degli spyware associato alla crescita allarmante nel numero di attacchi e accessi non autorizzati, ha indicato il 2005 anno simbolo dello spyware: tale considerazione deriva dallo State of Spyware Report pubblicato da Webroot Software, sviluppatrice di software antispyware. Il 2005 è stato quindi un “annus horribilis”: utenti finali ed aziende, grandi e piccole, hanno subìto un numero elevato di infezioni da parte delle forme di spyware più pericolose. Allarmante la crescita delle forme più insidiose: trojan horse e programmi maligni in grado di registare le attività dell’utente e di ristramettere a terzi, senza alcuna autorizzazione, dati sensibili. Tra terzo e quarto trimestre 2005, il numero di infezioni da trojan horse è salito del 9% per le aziende, e il numero di system monitor è aumentato del 50% per trimestre.
Un antivirus è un software che, una volta installato sul personal computer, si incarica di individuare, neutralizzare ed eliminare virus e malware.
I virus sono veri e propri piccoli programmi in grado di causare, una volta mandati in esecuzione, gravi danni sul personal computer. Fino a qualche tempo fa era possibile fare una distinzione marcata tra le varie tipologie di virus in circolazione. Oggi ciò è diventato problematico perché il confine tra un tipo di virus ed un altro sta divenendo sempre più sfumato. Capita infatti sempre più di frequente che un virus, una volta insediatosi sul sistema, attivi funzionalità di "keylogging" (vengono registrati i dati personali inseriti dall’utente ed inviati a terzi a sua totale insaputa), "backdoor" (viene aperta una speciale porta per la gestione remota, da parte di un aggressore, del sistema "vittima"), "spyware" (le azioni compiute dall’utente e le sue preferenze vengono "spiate" e trasmesse altrove).
Un virus può usare molteplici metodologie d’infezione in modo da ampliare enormemente le sue possibilità di diffusione: può adottare tecniche di persuasione che spingano l’utente ad aprire un allegato infetto, sfruttare vulnerabilità del sistema operativo, del client di posta elettronica adottato oppure di altri software di comunicazione, diffondersi attraverso software per la messaggistica istantanea (anche in questo caso appoggiandosi a vulnerabilità intrinseche o mettendo in pratica tecniche di "social engineering"), attraverso client peer-to-peer sotto forma di falsi file (l’utente apre un file virale che in realtà egli si aspetterebbe fosse un contenuto di tipo benigno), mediante vari tipi di supporto di memorizzazione o attraverso le risorse condivise.
In questo articolo presentiamo GData AntivirusKit 2006, un software antivirus del quale si comincia a sentir parlare anche nel nostro Paese. IlSoftware.it, addirittura nel 2003, è stato il primo sito web italiano a recensire e proporre ai propri lettori il software AntivirusKit di GData (ved. questa pagina). Il prodotto era infatti da tempo apprezzato in Germania ma risultava assolutamente sconosciuto ai più in Italia. Allora, la software house produttrice non aveva ancora iniziato a presentarsi in ambito italiano e sul sito web ufficiale era difficile reperire una versione trial nella nostra lingua. AntivirusKit ha ottenuto numerosi riconoscimenti a livello internazionale ed ottenuto ben 9 premi (VB 100%) da parte di VirusBulletin (ved. questa pagina previa registrazione).
Oggi le cose sono profondamente cambiate e GData ha stretto un accordo con un’agenzia che segue il prodotto sul nostro territorio nazionale e che ci ha fornito il materiale per il test.
AntivirusKit 2006 si distingue, rispetto alla “concorrenza” per due aspetti principali: l’integrazione delle funzionalità DoubleScan ed OutbreakShield. Vediamo di che cosa si tratta.
La tecnologia DoubleScan, comune anche alle precedenti versioni, consiste nell’utilizzo simultaneo di due motori antivirus: l’uno realizzato da Kaspersky, l’altro da BitDefender. I due motori che già da soli offrono un elevato livello di sicurezza grazie alle abilità di riconoscimento virus, permettono di accreditare a AntivirusKit una percentuale di identificazione virus che supera il 99%.
Nella versione da noi testata nel 2003, AntivirusKit utilizzava oltre al motore di Kaspersky anche il RAV di GeCAD Software, azienda rumena acquisita pochi mesi dopo (Giugno 2003) da parte di Microsoft. GData ha quindi optato, per le versioni successive del proprio antivirus, per il motore sviluppato da BitDefender.
OutbreakScan, invece – novità assoluta per la versione 2006 di AntivirusKit – nasce da una semplice constatazione: ogni giorno vengono sviluppati e cominciano a diffondersi (generalmente attraverso la posta elettronica) nuovi virus. Prima che un software antivirus sia in grado di riconoscere automaticamente le nuove minacce possono passare dalle 4 alle 30 ore di tempo (analisi del componente maligno da parte del team di esperti della software house, aggiornamento delle abilità di riconoscimento dell’antivirus, distribuzione delle nuove firme virali a tutti i clienti del prodotto). L’obiettivo di GData è quello di rendere l’antivirus un software maggiormente “reattivo” che possa intercettare minacce ancora sconosciute (per le quali non esistono informazioni nell’archivio delle firme virali) entro pochi secondi.
La tecnologia OutbreakScan è il risultato di un’intesa stretta con la società Commtouch, realtà che s’interessa primariamente dello sviluppo di soluzioni di e-mailing, e si basa – come facilmente intuibile – su un approccio euristico: ogni e-mail che viene scaricata sul personal computer dell’utente, viene in prima istanza analizzata utilizzando i due motori di scansione dell’antivirus (Kaspersky e BitDefender) quindi, qualora non venisse rilevato alcunché di sospetto, il programma passerà ad interrogare il database fornito da Commtouch. Si tratta, quest’ultimo, di un archivio, mantenuto costantemente aggiornato, che tiene traccia del traffico in Rete relativo alla posta elettronica prendendo, come riferimento, un gran numero di sistemi proprietari. Quando il sistema di Commtouch rileva l’arrivo di e-mail dalle caratteristiche molto simili, li memorizza all’interno del database insieme con le informazioni caratteristiche (dimensioni, indirizzi IP, altre peculiarità ed, in generale, le instestazioni del messaggio). Non appena, dopo un certo lasso di tempo, un’e-mail con caratteristiche similari viene ricevuta diverse volte tanto da superare una certa soglia, tale messaggio viene immediatamente classificato come spam oppure come infetto.
AntivirusKit, quindi, dopo aver effettuato una scansione utilizzando la soluzione tradizionale (analisi mediante l’uso delle firme virali), verifica se sul database Commtouch siano presenti e-mail con caratteristiche identiche o molto vicine a quella ricevuta.
Questo tipo approccio si rivela particolarmente efficace: molti malware riescono a diffondersi rapidamente proprio perché gli antivirus “normali” talvolta non riescono ad individuare minacce di recente sviluppo (se non tramite altre funzionalità euristico-comportamentali). In questo modo, gli sviluppatori di virus e malware possono infettare, con alte probabilità di successo, un gran numero di sistemi. La tecnologia OutbreakScan si basa proprio sulla registrazione dei volumi di traffico tipicamente generati da virus e malware non ancora riconosciuti tramite i sistemi classici dai vari antivirus.
Installazione, aggiornamento ed interfaccia
Abbiamo provveduto ad installare AntivirusKit 2006 su un sistema Windows XP “pulito” ed aggiornato al Service Pack 2. La fase d’installazione è semplice ed immediata: è richiesto solo se si desideri scaricare quotidianamente le informazioni sui nuovi virus (aggiornamento delle firme virali) e se attivare un controllo completo del sistema una volta alla settimana.
Al termine dell’installazione è indispensabile riavviare il personal computer rimuovendo il CD ROM d’installazione dal lettore.
Riaccedendo a Windows, si noterà subito – nella traybar – l’icona di AntivirusKit simboleggiante un piccolo scudo. Il primo consiglio consiste nel cliccarvi con il tasto destro del mouse, selezionare la voce Avvia AntivirusKit quindi procedere all’aggiornamento del prodotto cliccando sul pulsante Esegui aggiornamenti.
Per poter procedere, è indispensabile (procedura da effettuare “una tantum”) registrare la propria copia dell’antivirus presso il sito web del produttore facendo riferimento al pulsante Accedi al server.
Una volta introdotto il proprio numero di licenza, cognome, nome ed indirizzo di posta elettronica – dopo la connessione al server di AVK – verranno forniti username e password personali, da utilizzare sempre per l’aggiornamento del prodotto.
Il primo aggiornamento è risultato molto pesante (circa 12 MB complessivamente; devono essere scaricati gli aggiornamenti via a via distribuiti dalla data di rilascio del prodotto sino al momento dell’installazione sul sistema), cosa che potrebbe causare qualche fastidio agli utenti di connessioni lente (non a banda larga) mentre quelli successivi sono poi agili da prelevare (qualche centinaio di KB). Al termine del primo aggiornamento è indispensabile un altro riavvio del sistema.
L’interfaccia utente resta sostanzialmente invariata se confrontata con quella delle precedenti versioni, risulta semplice da utilizzare pur offrendo un buon margine di personalizzazione a beneficio degli utenti più smaliziati.
Dalla finestra principale dell’antivirus, l’utente può fruire di cinque possibilità: visualizzazione della finestra di stato del prodotto (qui è possibile verificare se il motore di scansione sia attivo o meno, se la protezione per la posta elettronica sia abilitata, se il pacchetto risulti aggiornato, se siano attivate tutte le impostazioni di sicurezza, se sia stato effettuata almeno una scansione completo dell’intero sistema); scansione “on-demand” ed aggiornamento (Azione); pianificazione delle operazioni di scansione ed aggiornamento del prodotto; accesso all’area di quarantena (un’area sicura inaccessibile dalla shell di Windows all’interno della quale possono essere posti i file nocivi che non dovessero risultare disinfettabili); visualizzazione del resoconto sulle operazioni compiute da AntivirusKit (Rapporto).
Cliccando sul pulsante Opzioni… si accede ad una finestra contenente un ampio numero di possibilità di configurazione. AntivirusKit offre una protezione a 360° per ciò che riguarda virus e malware in generale a scapito dell’occupazione in memoria RAM. Chi dovesse notare rallentamenti in termini di performance sul personal computer in uso, può pensare di disattivare alcune funzionalità tenendo presente però che il sistema risulterà meno protetto.
Opzioni avanzate, posta elettronica e CD di ripristino
Particolarmente interessante (e purtroppo poco comune ai software antivirus) è il filtro per i contenuti web configurabile accedendo alla scheda Web. Si tratta, questa, di una funzionalità che è talvolta integrata nei migliori “personal firewall” e più spesso nelle suite integrate ma generalmente vacante nei software antivirus. Se attivata, AVK provvederà ad analizzare tutto il contenuto di ciascuna pagina web visitata tramite browser bloccando il download o, peggio, l’installazione di componenti nocivi o potenzialmente pericolosi.
Nel caso di Internet Explorer, ad esempio, molti componenti malware arrivano sovente forma di ActiveX. Un oggetto ActiveX è un programma sviluppato con tecnologia Microsoft che permette essenzialmente di estendere le funzionalità del browser: essi vengono scaricati da Internet Explorer nella cartella Downloaded Program Files. Per evitare problemi è bene eliminare immediatamente ActiveX sospetti, accertandosi ancora una volta – di aver aggiornato e "patchato" sistema operativo e browser (spesso molti siti web “maligni” sfruttano infatti vulnerabilità del browser o del sistema operativo per installarsi automaticamente senza alcuna autorizzazione). Se non si vogliono disabilitare gli ActiveX, una buona idea consiste nell’adozione di un software che sia in grado di filtrarli: AVK si propone proprio questo obiettivo.
Cliccando con il tasto destro del mouse sull’icona di AntivirusKit nella traybar quindi selezionando Statistiche si ottiene un resoconto sul numero degli elementi bloccati.
La scansione “on-demand” (consigliata subito dopo l’installazione del prodotto) non ha evidenziato performance eccellenti in termini velocistici mentre quella in tempo reale ha fatto registrare un ottimo comportamento in fase di individuazione ed eliminazione di un gran numero di minacce.
Punto di forza di AntivirusKit è la scansione della posta elettronica: dall’interfaccia del prodotto, l’utente può decidere su quali account di posta debba essere o meno attivato il controllo “real-time” e decidere se eliminare direttamente gli allegati che dovessero risultare infetti (in queste situazioni l’utente può anche essere informato, mediante la visualizzazione di un apposito messaggio, circa l’eliminazione dell’allegato virale).
Particolarmente interessante l’utilissima funzionalità che permette di creare un CD di avvio (è necessario l’utilizzo del masterizzatore: la procedura guidata non crea immagini ISO) da impiegarsi nel caso in cui si sospetti un’infezione di difficile rimozione con i normali strumenti (protezione in tempo reale). Se il sistema non si avvia (è stato infettato il settore di boot del disco fisso) o se non si riesce ad eliminare una minaccia da ambiente Windows, lasciando inserito all’accensione del personal computer il “CD di ripristino” di AntivirusKit si avranno ottime possibilità di risolvere il problema.
Già il CD ROM d’installazione di AntivirusKit risulta avviabile: lasciandolo inserito all’avvio del personal computer nel lettore CD, sarà possibile accedere a tutti i file memorizzati sul disco fisso ed a tutte le aree del sistema operativo da un ambiente sicuro perché certamente libero da virus. Effettuando il boot dal CD di ripristino di AVK, infatti, verrà completamente saltata la fase di caricamento del sistema operativo installato sul personal computer e quindi anche l’esecuzione di eventuali virus e malware.
Il CD d’installazione di AVK permette di avviare la scansione antivirus da un ambiente sicuro, basato sul kernel Linux così come il “CD di ripristino” creabile in un secondo tempo facendo riferimento all’omonima voce del menù di AntivirusKit.
Creando un “CD di ripristino” ex novo si avrà la possibilità di integrarvi tutte le definizioni antivirus più aggiornate.
Ad ogni modo – ed è questa una possibilità fondamentale che abbiamo particolarmente apprezzato e che è in genere vacante in prodotti antivirus “concorrenti” – avviando il sistema dal CD d’installazione di AVK o dal “CD di ripristino” successivamente creato, l’opzione Scarica firme virali permetterà di effettuare l’aggiornamento del database antivirus adeguandolo all’ultima versione disponibile sui server di GData. Ovviamente, i dati sulle ultime firme virali vengono caricati e mantenuti in memoria per tutto il tempo che si utilizza il CD di ripristino: successivamente, sarà necessario prelevarli di nuovo. Va comunque sottolineato che la funzione per il download delle firme virali da Internet è possibile solo per chi utilizzi router DSL/ISDN o comunque si trovi in una rete locale: l’interfaccia Linux utilizzata nei CD di ripristino di AVK non permette di interfacciarsi con i modem e stabilire connessioni dial-up.
Ci preme ricordare che qualora, pur avendo inserito – all’avvio del personal computer – il CD di ripristino di AVK oppure il CD di installazione dell’antivirus, il sistema non dovesse avviarsi da questi supporti, è assai probabile che nel BIOS non sia impostata la corretta sequenza di boot: riavviate computer, quindi, alla prima schermata, premete ripetutamente il tasto CANC (DEL) sulla tastiera. Comparirà così a video il menù che vi consentirà di regolare le impostazioni del BIOS. In quest’area non vanno mai effettuate modifiche senza conoscerne significato e conseguenze: potreste trovarvi nell’impossibilità di avviare il personal computer o peggio, potreste correre il rischio di danneggiare i dati memorizzati sui dischi fissi. Facciamo riferimento al BIOS Award (il più diffuso). Una volta premuto il tasto CANC (DEL) sulla tastiera, servitevi dei tasti freccia per portarvi sulla voce Advanced BIOS Features quindi premete Invio.
A questo punto, all’interno del nuovo menù che apparirà a video, portatevi in corrispondenza della voce Boot Sequence quindi utilizzate i tasti PagSu/PagGiù (Page up/Page down) per scorrere le varie possibilità offerte. Prima di effettuare modifiche, annotatevi l’impostazione scelta inizialmente: in caso di problemi potrete così agevolmente ripristinarla.
A questo punto regolate la voce Boot Sequence in modo che riporti Floppy, CD ROM, HDD-0 oppure Floppy, CD ROM, SCSI, a seconda che utilizziate dischi IDE o SCSI.
Al posto di un’unica voce Boot Sequence potreste trovarne tre differenti: First Boot Device, Second Boot Device e Third Boot Device (rispettivamente: “prima periferica di avvio”, “seconda periferica di boot”, “terza periferica di boot”). Regolate le tre opzioni affinché, la prima periferica di boot sia l’unità floppy, la seconda l’unità CD ROM, la terza il disco fisso IDE o SCSI. Dopo aver effettuato le variazioni, premete il tasto ESC fino a tornare al menù principale, selezionate la voce Save and Exit Setup e premete il tasto Y (“Yes”) per applicare le modifiche.
Il SecurityAgent di AntivirusKit 2006 è un programma a sé stante che permette di visualizzare informazioni aggiornate sulle ultime minacce diffusesi in Rete e sugli aggiornamenti più recenti. Il software nasce dall’esigenza, da parte degli utenti, di una maggiore e più tempestiva informazione sui virus ai quali possono trovarsi esposti.
SecurityAgent visualizza le notizie proposte da alcuni siti Internet che trattano argomenti collegati con la sicurezza ed un elenco di collegamenti a risorse riguardanti le stesse tematiche. Notiamo con piacere che IlSoftware.it risulta essere uno dei siti web attivi di default.
In conclusione, AntivirusKit 2006 si pone come un’eccellente soluzione antivirus che offre, oltre ad ampie possibilità di personalizzazione – pur mantenendo la semplicità di un programma destinato a tutte le categorie d’utenza -, numerose funzionalità innovative: dai due motori di scansione, alla tecnologia OutbreakScan, all’euristica avanzata, al filtro dei contenuti web nocivi, al CD di ripristino aggiornabile “al volo” con le ultime firme virali. Più che buone le abilità di riconoscimento virus ed il livello di protezione globale fornito (a scapito dell’occupazione in termini di memoria: ne sconsigliamo l’uso su sistemi hardware “datati”).