SuspectFile - L'identificavirus

• Upload a file
• About us
• Companies
• Report
• Software
• SystemScan
• New Malwares
• Forum
• Blog
• Thursday, 20 June 2013

AV Report

(15 ottobre 2007)

Dopo quasi un anno (qui il report del novembre 2006), ecco una nuova comparazione che il team di SuspectFile ha voluto fare per poter capire e far capire a chi ci segue quali miglioramenti ci sono stati nella rilevazione dei malware. A scanso di equivoci ricordiamo ancora una volta che SuspectFile non è collegato ad alcuna azienda produttrice di antivirus e che nessuna di esse ci ha commissionato questo test.

Ricordiamo inoltre che i file da noi presi in considerazione sono prevalentemente quelli con cui ci si infetta navigando in internet ed è quindi nell'ambito di questa ristretta categoria di malware che devono essere collocati i risultati da noi trovati. Alcune incongruenze, come il fatto che alcuni blasonati antivirus hanno una percentuale di riconoscimento sorprendentemente bassa, possono essere spiegati con il fatto che i malware da noi ricevuti sono quasi sempre molto recenti, verso i quali pesa molto l´euristica del prodotto.

Il test si è basato ancora una volta su circa 200 nuovi file che ci sono stati inviati. Del tutto simile al precedente ha voluto tenere in considerazione sempre i medesimi fattori:

• Motore di scansione
• Frequenza rilascio impronte virali
• Euristica
• Capacità rimozione malware
• Risorse impegnate
• Facilità d’uso
• Supporto utente
• Difesa o tecnologia proattiva

A queste principali caratteristiche, come si può vedere, se n’è aggiunta una di fondamentale importanza: la difesa proattiva. Ottima ci è parsa quella di Kaspersky*, Nod32 e Panda.

Ma cosa è la difesa proattiva, a cosa serve?
La difesa proattiva o tecnologia proattiva è uno strumento indispensabile per combattere i malware del “giorno zero” (“zero day”), malware rilasciati ancor prima che una vulnerabilità sia stata resa pubblica o corretta, comunque prima che le software-house abbiano rilasciato le proprie impronte virali. La difesa proattiva infatti non si basa sulle impronte virali, bensì sul controllo comportamentale delle applicazioni. Ecco perché ogni antivirus dovrebbe essere dotato di un modulo HIPS (Host Intrusion Prevention System).

Ecco qui riassunti in un unico grafico i risultati da noi trovati^(*). Più sotto riportiamo il nostro personale giudizio e impressioni su ciascun antivirus. Se qualche lettore vuole commentare le nostre conclusioni, può farlo liberamente sul Blog, oppure anche sul Forum, dopo registrazione

---

Avira/AntivirPE Rimane il numero uno fra i prodotti free, il motore di scansione continua ad essere fra quelli più veloci facendo “arrossire” molti prodotti più blasonati a pagamento. Il costante rilascio di firme, anche 4 volte al giorno, ci lascia capire quale e quanta serietà ci sia dietro questo prodotto. Ottima, come sempre, la copertura contro dialer e programmi adware. Il rapporto utente/azienda è fra i migliori. Una sola annotazione sull’euristica che a volte la troppa solerzia lo spinge ad identificare come malevoli file del tutto legittimi.

Authentium Nessun miglioramento rispetto la comparazione effettuata lo scorso anno, solo qualche file in più rilevato. Il ritardo con cui vengono rilasciate le firme rimane il problema principale. Altra nota negativa è il rapporto inesistente fra utente/azienda.

Avast Continua ad essere un antivirus dove la caratteristica migliore risulta essere le esigue risorse impegnate. Buono continua ad essere il riconoscimento dei dialer, bassa però la percentuale totale di malware riconosciuti. Nessun tipo di rapporto fra utente/azienda. Peccato.

AVG/AVG antispyware: Prodotti speculari almeno per ciò che riguarda il numero di malware rilevati, gli unici fra i free ad essere migliorati. La percentuale di rilevamento è cresiuta, l’impiego di risorse rimane ad un livello più che accettabile. Continua a distinguersi sia per il rilevamento dei trojan sia per quello delle backdoor. Non sempre costante il rapporto utente/azienda.

Bitdefender Nonostante sia cresciuto il rilevamento dei malware, questo prodotto ha dalla sua la pecca d’avere un motore di scansione troppo lento, è comunque un prodotto da consigliare.

CAT-QuickHeal Se in passato l’euristica riusciva a sopperire le proprie lacune, ora la stessa funzione rappresenta il suo punto debole. Troppi I falsi positivi dovuti ad errate valutazioni. Continua ad avere un database scarso, così come per il rilascio delle impronte virali assai discontinuo.

ClamAV Continua il problema del rilevamento di spyware, dialer e trojan. Come per la precedente comparazione il rilevamento dei worm risulta essere la sua cosa migliore, troppo poco per poterlo consigliare.

DrWeb Primo fra le note negative del test. La percentuale di malware riconosciuto è scesa rispetto lo scorso anno. Continua comunque ad essere fra i migliori per quanto riguarda il riconoscimento dei dialer. Buono il rapporto utente/azienda.

eTrust (InoculateIT/Vet) Nessun miglioramento apprezzabile è stato fatto. Basso il riconoscimento del malware, sia che si tratti di trojan, spyware e soprattutto dialer. Alte le risorse impegnate.

Fortinet Rimane un buon prodotto, ma è peggiorato nell’euristica. Troppi I falsi positivi rispetto la precedente comparazione. Ancora troppe le risorse impegnate soprattutto durante la scansione del disco. Si è abbassata notevolmente la percentuale di backdoor rilevate, buono invece nel complesso il rilevamento dei dialer.

F-Prot Ancora troppo bassa la percentuale di malware riconosciuto, è un prodotto che non ci sentiamo di consigliare.

F-Secure Buon prodotto, affidabile contro trojan e spyware offre una più che discreta protezione anche contro i dialer. Forse troppe le risorse impegnate durante la scansione del disco. Infine costante il rilascio delle firme.

Ikarus Ecco un prodotto che meglio di tutti è migliorato arrivando addirittura a riconoscere una percentuale quasi doppia rispetto il precedente test. Il motore di scansione così come le risorse impegnate sono più che accettabili, buona la cadenza delle firme rilasciate. In quest’anno è stato fatto indubbiamente un ottimo lavoro, ci auguriamo che non si perda strada facendo. Deve senza dubbio migliorare il rapporto utente/azienda, nessuna e-mail di risposta ricevuta dopo l’invio dei file.

Kaspersky Continua ad essere un prodotto molto affidabile che ci sentiamo di consigliarvi, il rilascio delle firme è costante. Migliorato ulteriormente il motore di scansione ora ancora più veloce, le risorse impegnate continuano a rimenere all’interno di una percentuale molto bassa. E’ un po’ scaduto nel rapporto utente/azienda. Se prima, per avere una e-mail di risposta, si dovevano attendere solo alcune ore adesso i tempi d’attesa si sono molto allungati. *La “Difesa Proattiva” ottima per certi versi ha, a nostro modesto parere, la pecca di voler interagire forse un po’ troppo con l’utente. Se da una parte la cosa può essere positiva, dall’altra un consenso sbagliato da parte di un utente non esperto potrebbe causare danni alla macchina.

McAfee Ha migliorato il rilevamento dei malware anche se la percentuale, proprio per il nome che porta, rimane ancora troppo bassa. Si distingue come sempre per il rilevamento dei trojan e delle backdoor. Ancora alte le risorse impegnate. Buono il rapporto utente/azienda.

Microsoft I miglioramenti che ci sono stati, pochi veramente rispetto il precedente test, non fanno di questo prodotto un programma su cui possiamo contare. No si distingue nemmeno per il rilevamento degli spyware, molti dei quali lasciati passare tranquillamente durante il test.

Nod32 Continua ad essere un ottimo prodotto, migliorato nella rilevazione dei malware rispetto il nostro precedente test. Ottima come sempre l’euristica e soprattutto la “Difesa Proattiva”, fra le migliori. Scarse davvero le risorse impegnate, molto veloce il motore di scansione e ottimo il rapporto utente/azienda. E’ questo un prodotto da consigliare.

Norman Peggiorato rispetto il precedente test nella rilevazione dei malware, buona nel complesso però la rilevazione dei dialer. L’euristica rimane la cosa migliore di questo prodotto. Troppo poco.

Panda Nulla è cambiato rispetto lo scorso anno, era e rimane il prodotto di punta. Il migliore. Se vogliamo affidarci ad un prodotto sicuro questo è quello che serve ad ogni tipo d’utente, esperto e non. Primo nell’euristica, non abbiamo riscontrato nessun tipo di falso positivo. La “Difesa Proattiva” è quella che meglio in assoluto ci ha impressionato. Negli ultimi 5 anni questo prodotto ha fatto balzi da gigante. Infine il rapporto utente/azienda è la ciliegina sulla torta. Prodotto da consigliare assolutamente.

Sophos Seppur migliorato nel rilevamento dei malware resta una delle delusione non fosse altro per il nome e la fama che ha. Scaduto il rapporto utente/azienda ora quasi del tutto inesistente. Per una loro e-mail di risposta ora si possono attendere anche 10/15 giorni, saremmo curiosi di sapere se questo sia dovuto al gran numero di sample ricevuti o se la causa sia dovuta invece al minor numero di risorse dedicate. Peccato.

Symantec Le numerose risorse impegnate e certamente il basso numero di malware rilevati ha fatto sì che questo prodotto fosse in passato uno di quei prodotti che poco veniva consigliato. L’ultima release ha migliorato e non di poco sia le risorse che occupa sia il numero di malware rilevati, crediamo che ancora qualcosa dev’essere rivisto. Ottima come sempre l’euristica, fra le migliori. Ottimo infine il rapporto utente/azienda.

The Hacker Peggiorato rispetto il test effettuato nel Novembre 2006, poco “importante” il suo database. Resta la convinzione che maggiori sforzi si possano fare e che un così ”vecchio” prodotto possa finalmente emergere. Più che buono il rapporto utente/azienda.

VBA32 Buona in questo test la percentuale di malware rilevato, non fosse altro per la capacità di migliorarsi di quasi un terzo rispetto un anno fa. Buona la percentuale di backdoor rilevata. Si deve comunque migliorare.

VirIT La scelta d’inserire anche questo prodotto nel nostro test non è del tutto casuale, anzi. Spesso VirIT si è rilevata la migliore soluzione per afforntare e risolvere problemi legati a rootkit, LinkOptimizer ne è l’esempio. Là dove più blasonati antivirus fallivano, ecco che lui riusciva a risolvere l’infezione. Sicuramente ha un database da implementare ulteriormente, resta il fatto che negli ultimi mesi ha fatto molti progressi. Ottimo e veloce il motore di scansione, è un prodotto che fà della propria essenzialità uno dei cavalli di battaglia. Poche le risorse impegnate. Il rapporto utente/azienda è da considerarsi fra i migliori.

VirusBuster Un maggiore rilevamento di malware rispetto lo scorso test non fà di questo prodotto uno di quei prodotti che ci sentiamo di consigliare. E’ un po’ migliorato nel rapporto utente/azienda anche se il rilascio delle firme e quindi il proprio database deve molto migliorare.

SuspectFile Team

(*)sulla base del rapporto di Virustotal, Online Malware Scan, Virus.org

Do you want to help SuspectFile?

Comments or questions? E-mail: info@suspectfile.com © 2006

From 24-01-2006 this site has been visited 302331 times