Webroot Software ha rilasciato, nelle scorse settimane, Spy Sweeper con Antivirus. Si tratta dell’ultima versione dell’antispyware dell’azienda statunitense che integra anche la protezione antivirus frutto dell’accordo stretto con l’inglese Sophos.
I clienti di Webroot, società da tempo attiva nello sviluppo di software antispyware per aziende, utenti individuali e PMI, possono ora trarre vantaggio da un’unica interfaccia semplice da gestire che consente l’accesso alle duplici possibilità di protezione del sistema.
Si chiama “Phileas V” il sistema di scansione integrato in Spy Sweeper che va alla ricerca di spyware e malware: lanciato nel Gennaio 2005 è stato via a via migliorato grazie all’implementazione di un database di definizioni reso sempre più ricco.
La filosofia che intendono seguire i programmatori di Spy Sweeper è l'”install and forget” ossia “installa e dimentica”: il programma, cioé, una volta installato dovrebbe sorvergliare autonomamente il sistema senza proporre all’utente avvisi e finestre pop-up. E’ comunque possibile, come nel caso degli altri software della categoria, richiedere anche una scansione manuale del sistema (veloce, approfondita oppure “personalizzata”).
Gli sforzi principali sono stati riposti da Webroot nel ridurre l’impatto di Spy Sweeper sulle performance generali del personal computer oltre che nell’amalgamare la tecnologia antivirus di Sophos con il motore antispyware proprietario. L’integrazione tra i due prodotti è eccellente: attraverso la medesima interfaccia, l’utente ha la possibilità di aggiornare e configurare entrambi i componenti oltre a programmare scansioni automatiche.
La soluzione antivirus proposta da Sophos ha ottenuto il riconoscimento VB100% da Virus Bulletin nonché le certificazioni ICSA Labs e West Coast Labs.
Per quanto riguarda l’analisi antispyware, il comportamento di “Spy Sweeper con Antivirus” ricalca quello introdotto da Webroot con il lancio della quinta versione del software: al termine della scansione viene proposta una finestra riassuntiva che riassume i dettagli collegati alle eventuali minacce individuate sul sistema in uso. Per ciascuna di esse viene indicato il livello di pericolosità con la possibilità di documentarsi ulteriormente online cliccando sull’apposito link.
Tra le note negative, abbiamo rilevato una scansione del disco piuttosto lenta, dovuta in gran parte al fatto che oltre ad un esame antispyware viene compiuta la verifica della presenza di virus ed altri componenti nocivi. Pur disattivando la scansione antivirus, il motore antispyware si è mostrato più lento di qualche minuto rispetto alle precedenti versioni del prodotto (su un sistema “pulito”, appena configurato, l’antispyware di Spy Sweeper ha impiegato circa 10 minuti per portare a termine la procedura di analisi del contenuto del disco).
Per ciascun elemento inserito in lista, l’utente può controllare i file che lo compongono e le modifiche da esso apportate al registro di Windows.
Se necessario, Spy Sweeper richiede un riavvio dell’intero sistema in modo da eliminare definitivamente gli “ospiti indesiderati” di più difficoltosa rimozione.
La finestra delle opzioni è particolarmente ricca di possibilità di personalizzazione. Le varie schede cosnentono di regolare in profondità il comportamento del motore di scansione di Spy Sweeper.
La scheda Schedule, ad esempio, consente di programmare una scansione completa del sistema oppure di aree specifiche dello stesso; attraverso la scheda Always Apply l’utente può invece indicare a Spy Sweeper il comportamento che deve tenere allorquando dovesse incontrare alcune tipologie di minacce.
Dalla scheda Sweep, cliccando sul link Change settings, è possibile comunicare a Spy Sweeper quali aree del sistema debbano essere prese in esame e se debba essere attivata anche la scansione antirootkit (pulsante Advanced options).
La sezione Shields di Spy Sweeper offre una panoramica delle difese che risultano al momento attive e di quali protezioni aggiuntive possono essere abilitate: un’icona di colore azzurro indica che il modulo antispyware del software di Webroot sta monitorando il sistema riguardo tale particolare aspetto viene costantemente posto sotto controllo. La presenza di un’icona di colore giallo, invece, informa l’utente che la relativa area del sistema è monitorata dall’antivirus di Sophos integrato in Spy Sweeper.
Il comportamento del software in fase di analisi può essere personalizzato da parte dell’utente (si viene comunque avvisati nel momento in cui si tentasse di disattivare componenti importanti che ponessero a rischio di infezione il sistema in uso). Spy Sweeper è in grado di sorvegliare la configurazione di Internet Explorer prevenendo la modifica non autorizzata dell’elenco dei siti web preferiti, delle impostazioni di sicurezza del browser, del motore di ricerca e della home page predefiniti (comportamento comune a molti malware) nonché l’installazione di oggetti BHO potenzialmente nocivi (ved. questa pagina per approfondire l’argomento).
Tra le varie opzioni, Spy Sweeper controlla per default l’installazione di controlli ActiveX e l’uso di “Alternate Data Streams”. Quest’ultima caratteristica, propria del file system NTFS, viene da qualche tempo ampiamente sfruttata da malware e rootkit per celare la propria presenza una volta insediatisi su di un sistema.
Sui file system NTFS le informazioni su file e cartelle vengono registrate all’interno di una speciale tabella detta “Master File Table” (MFT). A ciascun file presente sul disco possono essere associati diversi attributi che ne rispecchiano il contenuto, conservano la data di modifica o di accesso ed altri dettagli. Ai dati che caratterizzano tradizionalmente un file è possibile affiancare anche delle informazioni alternative. Un esempio possono essere le informazioni relative all’autore, alle parole chiave, all’oggetto talvolta mostrate nella finestra delle proprietà di un file.
Gli ADS consentono quindi di “allegare” a dei file già presenti sul disco fisso, delle informazioni “ausiliarie” che risultano invisibili all’utente ed a gran parte dei software. Windows, tra l’altro, non offre strumenti utilizzabili dall’interfaccia classica per gestire gli ADS.
Gli ADS sono quindi sempre più spesso usati da malware e rootkit per nascondere i propri componenti nocivi, “allegandoli”, ad esempio, a file di Windows assolutamente benigni.
Il software Streams di SysInternals (azienda acquisita da Microsoft) consente di verificare la presenza di eventuali ADS sul proprio sistema. Il programma opera da riga di comando DOS: utilizzando la sintassi STREAMS -s c:\
è ad esempio possibile controllare se sull’unità C: vi sono file dotati di flussi di dati alternativi (ADS). Il comando STREAMS -s -d c:\
consente di eliminarli.
E’ importante sottolineare come Spy Sweeper offra una protezione costante da minacce che sfruttino gli ADS per nascondere le proprie attività.
Durante i nostri test, Spy Sweeper ha mantenuto il nostro sistema pulito proteggendolo dai tentativi d’installazione operati da malware e spyware di diverso genere.
Cosa comune ad altri software della categoria, è il mancato riconoscimento di alcuni keylogger.
SpySweeper si è comportato egregiamente nel proteggere il sistema dalle minacce provenienti dalla Rete e si è mostrato poco esoso in termini di risorse di sistema. Piuttosto lenta, invece, la scansione antivirus ed antispyware.
SpySweeper con Antivirus non consente il controllo in tempo reale del contenuto dei messaggi di posta elettronica: gli allegati nocivi vengono comunque riconosciti nel momento in cui l’utente tenti di accedervi manualmente.
SpySweeper con Antivirus costa 39,95 Euro. Webroot offre anche la possibilità di acquistare tre licenze in abbonamento al costo di 49,95 Euro.
Facendo riferimento a questa pagina, Webroot permette di effettuare una scansione gratuita del proprio sistema utilizzando il motore di Spy Sweeper.