AV Report

(11 novembre)

Dopo poco più di sei mesi di attività e oltre 200 file infetti ricevuti e da noi mandati alle software-house produttrici di antivirus, abbiamo deciso di raccogliere in questa pagina le prime impressioni che ne abbiamo ricavato. Il giudizio che esprimiamo, che é del tutto soggettivo e non ha in alcun modo i requisiti di rigorosità scientifica delle elaborazioni statistiche, é basato esclusivamente sui file infetti che ci sono stati inviati: sulla capacità(*) degli antivirus di riconoscerli, sulla rapidità con cui viene aggiornato il database virale e sulla personale impressione del rapporto azienda/utente.

Questi file sono prevalentemente quelli con cui ci si infetta navigando in internet ed è quindi nell'ambito di questa ristretta categoria di malware che devono essere collocati i risultati da noi trovati. Alcune incongruenze, come il fatto che alcuni blasonati antivirus hanno una percentuale di riconoscimento sorprendentemente bassa, possono essere spiegati con il fatto che i malware da noi ricevuti sono quasi sempre molto recenti, verso i quali pesa molto l´euristica del prodotto.

A scanso di equivoci precisiamo che SuspectFile non è collegato ad alcuna azienda produttrice di antivirus e che nessuna di esse ci ha commissionato questo test.

Le regole base che ogni buon internauta deve seguire sono quelle di dotarsi di un firewall, di un sistema operativo aggiornato e di un buon antivirus. Già, l’antivirus, ecco un dilemma che prima o poi ognuno di noi si pone: quale scegliere? E soprattutto in base a quali caratteristiche dev’essere scelto? Sicuramente deve avere almeno queste tre:

  1. Un motore di scansione veloce ed affidabile
  2. Il rilascio delle impronte virali con cadenza giornaliera
  3. Un’ottima euristica

Purtroppo non sempre queste tre caratteristiche possono essere trovate contemporaneamente all’interno di un antivirus ed inoltre, a complicare la vita di noi utenti, può capitare che alcune Software House possano anche considerare non pericolosi programmi adware, è il caso della Sophos e della Computer Associates (eTrust).Scegliere l’antivirus che ci proteggerà non è mai stata cosa semplice, noi speriamo che i dati che qui vi presentiamo vi aiutino a fare la scelta con meno difficoltà.

Il report qui di seguito prende in considerazione 26 prodotti per la sicurezza. Fra i prodotti messi a confronto sono stati inseriti anche alcuni anti-malware in quanto possono essere considerati sicuramente "qualcosa in più di un semplice anti-malware". La comparazione ha voluto tenere conto di alcuni fattori:

In questo primo test, che ha per oggetto 200 malware, principalmente trojan e adware (cioè quei componenti associati a malware che si possono incontrare più facilmente "navigando internet" e che sono ad oggi la principale fonte d’infezione) pochi sono gli antivirus che ci hanno sorpreso positivamente, molti invece ci sono sembrati quelli che non garantiscono un’adeguata protezione. Fra i pochi prodotti capaci di darci una sicurezza tale sentirci sicuri durante la navigazione spiccando senza dubbio Panda, Fortinet, Kaspersky, Nod32 e BitDefender, mentre fra quelli freeware la scelta si riduce in pratica ad un solo prodotto, AntivirPe\Avira.

Più di ogni altra parola vale forse un grafico, che illustra la percentuale di file infetti riconosciuti dai 26 prodotti. Per ciascuno di essi poi, di seguito, daremo il nostro personale (e quindi soggettivo) giudizio. Se qualche lettore vuole commentare i nostri risultati può farlo liberamente sul Blog, oppure anche sul Forum, dopo registrazione


Avira/AntivirPE Motore di scansione veloce, richiede poche risorse al sistema e le impronte virali vengono rilasciate con cadenza giornaliera. Garantisce un’ottima copertura contro spyware, trojan programmi adware e soprattutto dialer, è questo un prodotto da consigliare assolutamente quando si parla di prodotto free. Ottima euristica, è molto migliorato nella grafica e questo rende meno difficoltoso l’uso da parte dell’utente. Ottimo infine il supporto che l’azienda dà all’utente qualora venga inviato un file infetto.

Authentium Poche le note positive, sempre in ritardo con il rilascio delle firme ha una bassa percentuale di rilevamento e quindi copertura sui malware. Sicuramente un prodotto che deve migliorare molto.

Avast La nota positiva è quella che non richiede molte risorse al sistema, seppur con un motore di scansione veloce non riesce ancora ad essere totalmente affidabile, bassa la percentuale dei samples riconosciuti fra quelli che abbiamo inviato. Poco affidabile nel riconoscimento di programmi adware, offre viceversa davvero un’ottima copertura contro i dialer.

AVG Si è migliorato molto anche se non riesce ancora a dare una copertura affidabile contro i malware. Molti sono stati i samples non riconosciuti associati a programmi adware, ma nonostante questo rimane, dopo Avira/AntivirPE, il prodotto free che meglio ha impressionato per rilevamento trojan e backdoor.

Bitdefender E’ sicuramente fra i prodotti più affidabili, forse ancora un po’ troppo lento durante la scansione del sistema, riesce ad offrire una più che buona copertura contro i malware. Ottima la capacità di rimozione dei file infetti.

CAT-QuickHeal Quello che ha di positivo è l’euristica, non ha invece ancora "un importante" database capace di riconoscere gran parte dei malware, bassa infatti la percentuale di riconoscimento soprattutto dei dialer e di programmi adware.

ClamAV E’ fra quelli con la minor percentuale di riconoscimento, più che buona la percentuale di worm riconosciuti ma bassa, purtroppo, la percentuale di dialer, trojan e spyware riconosciuto. Nonostante l’egregio lavoro svolto in questi anni, rimane forse un prodotto che più di tutti deve migliorare. Peccato.

DrWeb E’ questo un prodotto relativamente giovane ma che già è riuscito ad essere fra quei software che uno si sente di poter consigliare. Ottimo motore di scansione, rilascio giornaliero delle impronte virali, ottimo rapporto azienda/cliente. Dopo il nostro invio di file infetti non riconosciuti dal loro antivirus, il tempo di rilascio delle firme è fra quelli più veloci inoltre, cosa rarissima e quasi mai riscontrata con altre aziende, l’utente viene sempre avvisato attraverso email qualora le venga inviato un file da analizzare. Anche per DrWeb una nota positiva per quanto riguarda il riconoscimento dei dialer.

eTrust (InoculateIT/Vet) Se il riconoscimento di dialer, adware, spyware e trojan fosse paragonabile all’ottimo rapporto utente/azienda sarebbe sicuramente un prodotto da consigliare. Non ci sono piaciuti i motori di scansione così come le risorse che richiede al sistema. Spesso ci hanno risposto che un programma adware può non considerarsi dannoso, ma quello che più ci ha sorpreso è come un file associato ad un dialer (E-nrgyPlus.exe) sia per la CA un file non potenzialmente pericoloso e vedere poi altri antivirus riconoscere lo stesso file come infetto da:

Quali caratteristiche deve avere un file per essere considerato dannoso, se per la CA nemmeno un dialer può costituire pericolo?

Ewido (AVG antispyware) Potrebbe essere considerato tranquillamente un vero e proprio antivirus, ha aggiornamenti giornalieri ed un database di tutto rispetto. L’ottimo e veloce motore di scansione e le minime risorse chieste al sistema lo rende un prodotto affidabile ed è senz’altro un prodotto che ci sentiamo di consigliare se abbinato però ad un buon antivirus. Davvero ottima la percentuale di dialer riconosciuta.

Fortinet Che dire... fa della sua euristica il proprio cavallo di battaglia, sicuramente in assoluto quella che più ci ha impressionato positivamente, buona la cadenza con cui vengono rilasciate le firme, ottima la percentuale (la più alta insieme a Panda) dei malware riconosciuti. Unico neo, forse, sono le risorse che occupa soprattutto durante la scansione del disco. Da segnalare il fatto che entra in conflitto con Zone Alarm.

F-Prot La bassa percentuale di malware riconosciuto fa di questo software un prodotto sicuramente da non consigliare, anche per ciò che riguarda il motore di scansione la situazione non è migliorata. Non lo consigliamo.

Ikarus Vedi Authentium

Kaspersky Dalla versione 6 si è molto migliorato nel motore di scansione ora più veloce, migliorate anche (per fortuna!) le risorse impegnate. Firme aggiornate con cadenza quasi maniacale, anche ogni due ore, risulta essere il prodotto con la più alta percentuale di trojan riconosciuto. Ottimo il rapporto utente/azienda. Numerose le funzioni messe a disposizione dell’utente ed una su tutte merita d’essere menzionata: la "Difesa Proattiva", una sorta di Filemon e Regmon (SysInternals), capace di monitorare tutto il sistema operativo qualora un qualsiasi software, file o chiave di registro vengano aggiunti nel sistema. Altra nota positiva presente in tutte le versioni 6 è il controllo dei rootkit.

McAfee Altro prodotto che sicuramente, proprio per il nome che ha, pensavamo riuscisse a rilevare una più alta percentuale di malware, le risorse impegnate sono sopra una media accettabile. Buona l’euristica ed il rapporto utente/azienda.

Microsoft Da quando ha rilevato Giant Antispyware, l’attuale anti-spyware di casa Microsoft, le cose sono certamente peggiorate. Quello che prometteva d’essere uno dei migliori anti-malware è passato ad essere uno dei peggiori e meno affidabili. Pochi i malware riconosciuti, risulta fra quelli con la più bassa percentuale rilevata. Pessimo prodotto.

Nod32 Che dire, ottimo prodotto. Più che buona la percentuale di malware rilevato, buonissima l’euristica così come il rapporto utente/azienda. Poche le risorse impegnate, sicuramente uno fra i prodotti da consigliare

Norman E’ uno di quegli antivirus che certo "non lascia il segno", si salva per le poche risorse impegnate e per la discreta euristica. Nulla di più.

Panda Prodotto con i contro-fiocchi. Ottimo in tutto: risorse impegnate, euristica, motore di scansione, rapporto utente/azienda. Come euristica è secondo solo a Fortinet ma ha dalla sua parte tutte le altre componenti che fa di un antivirus un antivirus completo. Da consigliare assolutamente.

Sophos E’ davvero un peccato che un prodotto di fama mondiale si perda in valutazioni del tutto arbitrarie. Un adware è già di per se’ un software pericoloso, poco importa se nella licenza d’uso vengano evidenziate queste caratteristiche. Per la Sophos questo ha invece importanza rilevante ecco perché molti software adware vengono ignorati durante la scansione. Anche se il rapporto utente/azienda è ottimo non rientra fra quegli antivirus che ci sentiamo di consigliare.

Symantec Che dire. Molte le lamentele lette nei vari forum per le risorse che occupa (anche noi lo confermiamo) e per un database forse povero di firme che rilevino spyware, hijacker o programmi adware. Il nostro test infatti lo conferma Rimane comunque fra i pochi antivirus che grazie all’ottima euristica riesce a sopperire alle proprie deficienze. Ottimo il rapporto utente/azienda.

The Hacker E’ uno di quei prodotti che in cuor nostro non ci sentiamo di consigliare, le poche firme presenti nel database lo rendo poco affidabile nonostante siano passati quasi 15 anni dal suo primo sviluppo. Buono il rapporto utente/azienda.

UNA Di buono sono le poche risorse impegnate, per il resto rimane un antivirus poco affidabile sulla falsa riga di Norman. Buona comunque l’euristica. E’ un prodotto relativamente giovane ed ha quindi margini di miglioramento.

VBA32 Pur avendo una più che buona percentuale di rilevamento di malware non ci sentiamo di consigliarlo, ancora troppo bassa la percentuale di trojan che è riuscito ad individuare. Le troppe risorse impegnate è l’altro motivo che ci spinge a consigliarvi un altro prodotto.

VirusBuster Nasce come l’alternativa ai più blasonati antivirus, si perde strada facendo. Pessima la percentuale di malware che è riuscito a trovare, riuscendo a fare peggio anche dell’antispyware di casa Microsoft.

SuspectFile Team


(*)sulla base del rapporto di Virustotal, Online Malware Scan, Virus.org

Do you want to help SuspectFile?

Layout by reb