Non amo particolarmente la Suite Office di Microsoft, anzi, per meglio dire, la detesto proprio. Purtroppo per i clienti è considerato uno standard (blahhh) e farne a meno è quasi impossibile se si vuole lavorare. Tant’è …

Su una installazione di Windows 7 con Office 2007 mi sono ritrovato con dei file di Excel, contenenti delle macro in un progetto VBA, che si aprono con una lentezza estrema e, con altrettanta lentezza, si chiudono. Dopo varie prove con diverse impostazioni di sicurezzza in Excel, l’unico modo per ottenere una apertura rapida era quello di disabilitare l’esecuzione delle Macro (nonostante avessi rimosso tutta la parte attiva del progetto).

La domanda nasce spontanea: ma se non ci sono macro da eseguire o progetti VBA da pre-compilare … perchè diamine la disabilitazione dell’esecuzione macro ha un effetto sulla velocità di apertura ? Abilitata o meno, non essendoci macro, la velocità dovrebbe essere la stessa.

Dopo lungo peregrinare nelle pagine web alla ricerca di possibili soluzioni al problema ho trovato un post che dichiarava come il problema fosse stato risolto semplicemente disinstallando la toolbar di Google per Internet Explorer. Ma che ‘zzo c’entra ??? (si lo so … ve lo state chiedendo).
Dopo un secondo però ho smesso di farmi domande … Microsoft inserisce pezzi di IE ovunque (motivo per cui è praticamente impossibile disinstallarlo). Quindi mi rimaneva una sola opzione … dal momento che NON ho installato la Google Toolbar … quali altri BHO (Browser Helper Object) ho installato che possono dare fastidio ?.

Sul mio computer uno solo : AVG LinkScanner e AVG On-Line Shield.

Morale della favola … eseguita la rimozone dei componenti incriminati  di AVG e … voilà … Excel 2007 e le macro tornano a funzionare con tempi decenti.
La cosa divertente ? E’ che per farmi del male ho provato a reinstallare AVG cn tutti i moduli di protezione attivi (inclusi LinkScanner e On-Line shield) ed Excel ha continuato a funzionare correttamente.

E’ in distribuzione da qualche giorno la beta di AVG Antivirus (e Internet Security) versione 9.0 che ho deciso di testare.

Come prevedibile il download si è ulteriormente gonfiato arrivando a toccare i 90 Mb  (quanta malinconia nel ricordare i tempi in cui AVG pesava poco più di 30 Mb).

Ho deciso di installare la Beta sopra una esistente installazione di AVG Internet Security 8.5 (ultima build) all’interno di una macchina virtuale (VirtualPc) dotata di Windows XP Pro SP3 completamente aggiornato e con solo AVG installato (a parte ovviamente il sistema operativo). Caratteristica particolare della mia installazione è il fatto che la mia AVG Internet Security è connessa ad un DataCenter AVG (residente su un’altra macchina di rete) versione 8.5.276.

Ho scelto di eseguire l’installazione personalizzata (non quella standard) selezionando TUTTI i componenti del pacchetto Internet Security, compresa la libreria di comunicazione per l’amministrazione remota.

La procedura di installazione non ha dato problemi di sorta : il primo impatto per l’utente è quello di un’interfaccia grafica ritoccata secondo i più moderni canoni gloss. Al momento della richiesta parametri per la stringa di connessione al datacenter, tuttavia, non è stata recuperata la stessa impostazione della vecchia 8.5. Inserendola manualmente comunque viene accettata lo stesso anche se poi, come vedremo avanti, non funzionerà.

Molto apprezzabile il nuovo wizard di prima configurazione del firewall che, con uno stile molto Windows, propone domande molto più intuitive sullo stato di connessione in rete (Computer Autonomo / In Rete / Con Dominio).

Ecco quindi la classica schermata di stato di AVG dopo l’installazione.

Come appare evidente la struttura è molto simile a quella della 8.5 a parte un po’ di restyling delle icone.

Aprendo il taskmanager ecco quello che appare dell’elenco di tutti i servizi riconducibili ad AVG.

In effetti l’occupazione di memoria sembra davvero notevole: tuttavia, come ben specificano quelli di AVG, diversi servizi utilizzano aree di memoria condivisa per cui è impossibile determinare l’occupazione reale di RAM facendo la mera somma della memoria allocata da ogni servizio.

Ma cosa cambia nella sostanza ? In generale il prodotto è stato reso, se possibile, ancora più user friendly (anche se aborro questa definizione).
La prima caratteristica che apprezzeranno sicuramente gli utenti meno esperti riguarda il firewall : le classiche domande che venivano poste da AVG sulla necessità di aprire le porte per questo o quel servizio sono state largamente automatizzate mediante l’utilizzo di un database interno di servizi “attendibili”. Per questo, in numerose occasioni (vedasi il primo avvio di Internet Explorer, o Firefox, o l’apertura di una connessione FTP ecc.) la regola viene creata automaticamente con una notifica simile alla seguente:

Resta comunque la possibilità di configurare manualmente le regole del firewall mediante il solito menu Strumenti -> Impostazioni Firewall che ora, finalmente, riporta il dettaglio del solo profilo attivo, non di tutti.

Un’altra annoyance rimossa è l’inserimento automatico, una buona volta, del servizio Condivisione File e Stampanti per i computer inseriti in dominio.

Apprezzo molto poi il fatto che nelle impostazioni della protezione residente/permanente, l’impostazione predefinita NON prevede la scansione dei file archivio (zip, rar ecc.) che è assolutamente inutile dato che i file vengono poi sottoposti a scansione dopo la loro estrazione.

La velocità di scansione mi è sembrata grossomodo invariata mentre, per quanto riguarda l’efficacia di rilevamento, non so dire se questa sia migliorata o meno, non avendo a disposizione un database di malware adeguato.

Per quanto riguarda l’area di quarantena poi è stata introdotta una modifica: il vecchio percorso “C:\$AVG\$VAULT” all’interno del quale venivano salvate le copie criptate dei file infetti messi in quarantena è stata sostituita dalla creazione di un nuovo nome casuale e i file non sono più inseriti singolarmente con estensione .fil bensì in contenitori di estensione .dat

La cosa che mi terrorizza è, come detto all’inizio dell’articolo, la mancata connessione di AVG 9.0 al datacenter di AVG 8.5: temo infatti che, come per il passaggio dalla 7.5 alla 8, cambi il protocollo di comunicazione e, verosimilmente, anche la porta rendendo quindi impossibile una migrazione trasparente dei client AVG da 8.5 a 9.0 in ambienti di rete di grandi dimensioni.

Ci sono molti servizi on-line che classificano/certificano/testano la bontà degli antivirus in circolazione. E molti vendor di soluzioni per la sicurezza si fregiano dei marchi di certificazione riasciati da questi tester i quali, ovviamente, ci tengono bene a sottolineare di essere “indipendenti”.

Per la verità non ho mai creduto a questa assoluta indipendenza anche in virtù del fatto che a molti consorzi di testing aderiscono in primis le stesse case produttrici di antivirus e quindi … tirate voi le conclusioni.

Per questo, googlando qua e là, mi sono imbattuto in questo articolo (in lingua inglese) nel quale un consulente di una rivista specializzata in argomenti legati alla protezione dei dati, si cala nei panni di un utente medio che vuole fare il suo test sulla efficacia degli antivirus tra quelli che considera papabili per l’acquisto. C’è da dire che l’approccio metodico può sembrare poco scientifico e, come per il caso dei tester ufficiali, si possono spendere mille illazioni sulla astiosità che quella testata (o addirittura il consulente) può nutrire nei confronti di un vendor piuttosto che di un altro.

Eppure, leggendo la descrizione del metodo seguito e, soprattutto, i risultati, sono rimasto sorpreso e anche impressionato. In aggiunta, la lettura dei commenti e le pacate e argomentate risposte dell’autore mi hanno convinto della genuinità delle intenzioni e, quantomeno, della onesta intellettuale di chi si è preso la briga di fare quanto segue.

Ecco quindi la traduzione dell’articolo che vi propongo con la raccomandazione di andarvi a leggere il testo originale e farvi un’idea soprattutto con i commenti che lo seguono.

Di Chaz Sowers:

Ho iniziato la mia ricerca con un’azienda online che recentemente ha stilato la classifica dei migliori 14 antivirus. Dichiaravano di effettuare “test comparativi indipendenti” mentre allo stesso tempo confessano che “dal 2008 fanno pagare un fee per i vari servizi che offrono”.

Datemi dello scettico ma quanto un laboratorio di test accetta denaro da un’azienda che vuol fare testare il suo prodotto, devo per forza dubitare sull’obiettività ed indipendenza dei risultati. Ed anche facendo finta che i risultati possano essere effettivamente obiettivi, lo stesso modello di business escluderebbe automaticamente le aziende che non volessero (o non potessero) pagare per essere testati a loro volta. Da una rapida ricerca online ho trovato oltre 40 prodotti antivirus, molti dei quali prodotti da compagnie mai sentite prima. Già mi chiedevo come i marchi meno conosciuti potessero competere con i brand più famosi.

E siccome già ho un lavoro diverso e non sono stato pagato da nessuno per eseguire questi test, ho deciso di pubblicare i miei risultati.

Potrebbero sorprendervi.

Metodo di test, avvisi e altri dettagli

Il metodo di test che ho deciso di seguire è il massimo dell’obiettività che mi posso permettere, considerando anche il fatto che ho un dichiarato interesse nel trovare il miglior prodotto antivirus per il mio computer. Sicuramente i miei test non hanno valenza di metodo scientifico ma penso che i risultati possano comunque essere validamente pubblicati. Soprattutto tenete a mente una cosa: ero alla ricerca di un prodotto antivirus che potesse identificare e rimuovere il maggior numero possible tra i malware che possiedo. L’aspetto che considero saliente nel test è la rilevazione del più alto numero di impronte malware mentre d’altro canto considero penalizzante un alto numero di falsi positivi.

Software

Ho utilizzato una installazione ex-novo di Windows XP, all’interno di una macchina virtuale gestita da Sun Virtual Box, per eseguire tutti i test. L’installazione di Windows è stata completa installando tutti gli aggiornamenti (compreso il SP3) disponibili alla data del 9 Gennaio 2009. Ogni programma antivirus viene copiato dalla macchina principale alla macchine virtuale tramite una cartella condivisa ed è l’unico software che non fa parte della normale installazione di Windows XP. I dati su cui effettuare i test (l’archivio dei file infestati da malware  ndr) sono tutti su un disco logico D:\ e consistono di 36.438 impronte malware. Tutti i malware sono stati, o sono ancora, parte di infezioni che si sono ditribuite sulla rete (ovvero non sono virus da laboratorio ma sono virus che hanno infettato computer veri). Al termine di ogni test la macchina virtuale è stata ripristinata al suo stato originale.

Hardware

Il sistema utilizzato per l’attività di test è un AMD Sempron 2600-Plus, scheda madre Asus A7N8X-E, 3Gb Ram, hard disk sata Seagate da 190Gb e una scheda video nVidia.
Il sistema operativo della macchina è Ubuntu Linux 8.10 – Intrepid Ibex sulla quale, ovviamente, gira Virtual Box. Quasi tutti gli antivirus hanno girato senza particolari problemi tranne qualche caso che viene riportato nei risultati del test.

Origine

Ho trovato un elenco dei vendor di antovirus  in questo sito, e l’ho integrato con i vendor inseriti anche qui. La pagina Wiki riporta un elenco di 35 voci tra cui vi sono software proprietari, freeware e opensource. Ci sono nomi che conosco da oltre 16 anni come pure altri che non avevo mai sentito prima. Tra queste voci ho eliminato quelli la cui azienda padre non esiste più, quelli che non supportano Windows e quelli per i quali non è stato possibile scaricare una copia di valutazione e, ancora, quelli che sembrano essere alla fine del loro sviluppo. Quello che resta è elencato qui.

Download

Tutti i software antivirus testati sono stati scaricati direttamente dal sito del produttore  (se possibile) o da altre fonti affidabili (C-Net o SourceForge) nel caso in cui il produttore non fornisse un link diretto per il download. In tutti i casi le verisioni del software scaricato erano completamente funzionanti ma limitate temporalmente, esattamente come quelle che scaricate per provarle ed eventualmente acquistarne la licenza. Per le aziende che fornivano anche una versione gratuita del loro prodotto ho comunque scaricato sempre la versione di prova del prodotto commerciale.

Disclaimer

Questi risultati sono  i reali risultati della mia esperienza con questi software e con l’hardware descritto sopra. Non dovrebbero essere utilizzati come unico strumento per la valutazione di un acquisto  di antivirus e nessuno dei prodotti qui esposti è da me caldeggiato.

Risultati

• Arcabit
  Infezioni trovate – 28.944.
  Commenti : questo prodotto antivirus è sviluppato da un’azienda Polacca e dalla GUI si vede. Ci sono alcuni bottoni pessimamente tradotti (es. Pauza al posto di Pause) anche se in definitiva è molto intuitivo e facile da usare. Lo scanner gira forte : solo 27 minuti e 34 secondi per analizzare l’intera cartella dei malware;
• Ashampoo
  Infezioni trovate – 32.291.
  Commenti : Prodotto decente anche se il nome non fa certo una bella figura. Dubito fortemente che il loro prodotto possa essere valutato a livello enterprise perchè è troppo facile scartare a priori un software che si chiama “uno shampoo”. A parte il buffo nome il loro software si è comportato meglio di altri Big (Norton, Panda e Kaspersky);
• Avira
  Infezioni trovate – 35.846.
  Commenti : Ci ha messo circa 2 ore per analizzare l’intera cartella dei malware il che lo mette in media con la velocità di scansione. Il livello di rilevazione è di assoluto rispetto con il 98.37% anche se è da considerare che ha comunque lasciato 582 infezioni sul disco;
• AhnLab
  Infezioni trovate – 21.301.
  Commenti : AhnLab non offre una soluzione di solo antivirus, è una suite di sicurezza completa che integra antivirus, antiphishing e antihacking. Sfortunatamente nell’analizzare la mia base dati questo prodotto è quello che si è comportato peggio tra quelli che hanno rilevato almeno 10.000 infezioni;
• Avast
  Infezioni trovate : 36.124.
  Commenti : Ha trovato 36.124 infezioni ma solo dopo aver eseguito il programma una seconda volta. Al primo giro aveva rilevato troppo poche infezioni così che mi sono deciso a farlo girare una seconda volta. Questa volta il numero di rilevazioni è stato significativo. Onestamente, se non avessi avuto alcuna esperienza precedente con questo antivirus e non lo rispettassi, non avrei eseguito la scansione una seconda volta. Se avessi riportato i risultati della prima scansione si sarebbe classificato drammaticamente ultimo. Dopo due scansioni ha rilevato il 99.14% delle infezioni ma c’è da chiedersi quante persone fanno una scansione completa due volte;
• AVG
  Infezioni trovate – 110.
  Commenti : Si, avete letto bene, AVG ha rilevato solo 110 infezioni. Ho rieseguito la scansione ben 4 volte cambiando le impostazioni per una scansione più approfondita sempre con lo stesso risultato : 110.
• Bit Defender
  Infezioni trovate – 36.105
  Commenti: Dopo una partenza un po’ pesante questo software ha dimostrato tutta la sua abilità e ha trovato il 99.08% del malware per classificarsi in terza posizione;
• Bull Guard
  Infezioni trovate - 31.608
  Commenti: Ha girato piuttosto veloce impiegando solo 15 minuti per segnalare 31.608 infezioni. Tuttavia, quando ho cercato di eliminare le infezioni utilizzando l’interfaccia il computer si è bloccato.
• CA
  Infezioni trovate – 24.996
  Commenti: Sfortunatamente CA ha rilevato solo il 68.59% delle impronte malware. C’è da chiedersi quali aziende utilizzano CA per la loro protezione interna.
• Clam
  Infezioni Trovate – 22.247
  Commenti: Nonostante sia un gran sostenitore del software opensource temo che un indice di rilevamento pari al 75% sia un po’ troppo basso per tenere questo prodotto in seria considerazione. Se lascia sul campo il 25% delle infezioni (ovvero 9.109 sample) credo che molte persone non ci penseranno due volte se spendere qualche euro per una protezione extra.
• Comodo
  Infezioni Trovate – 36.492
  Commenti: Di gran lunga il più veloce antivirus da me testato: solo 6 minuti per controllare tutta la cartella del malware da me inserito. Tuttavia tanta velocità sembra avere un prezzo: lo scanner ha infatti rilevato 54 infezioni in più di quelle che erano presenti.
• Dr. Web
  Infezioni trovate - 34.114
  Commenti: Interfaccia spartana e incasinata. Ciononostante il software ha rilevato il 93.62% di tutto il malware. E ci ha messo solo 14 minuti. Sono rimasto impressionato!
• Dr. Web CureIt
  Infezioni trovate —
  Commenti: Questa è la versione gratuita di Dr. Web dal quale eredita la stessa interfaccia spartana che in definitiva si riduce ad un bottone “on/off”. Il software promette di effettuare una scansione “veloce e sicura” delle infezioni del computer. Tuttavia nel mio caso, dopo aver lavorato per 7 ore e 10 minuti, ha trovato ben 137.286 infezioni in 7.711 file. Proiettando questi dati ci avrebbe messo 34 ore per analizzare tutta la mia base dati di malware trovando oltre 600.000 infezioni. Ho staccato la spina.
• eScan
  Infezioni trovate - 36.146
  Commenti: Con un risultato a sorpresa questo vendor sconosciuto (almeno a me) ha trovato il secondo numero più alto di infezioni. La velocità di scansione è nella media ma ha comunque superato molti altri brand molto conosciuti attestandosi sul 99.19% del rilevamento. Secondo posto assoluto.
• ESET
  Infezioni trovate - 23.746
  Commenti: Dopo 4 ore di scansione per controllare l’intera cartella l’accuratezza di questo prodotto lo porta a classificarsi nella metà bassa della lista. Ha riconosciuto solo il 65% di tutto il malware. L’antivirus open Clam si è classificato meglio.
• File Sentry
  Infezioni trovate - 111
  Commenti: Si, dopo aver eseguito la scansione due volte, dopo averlo disinstallato e reinstallato due volte, questo antivirus ha riconosciuto solo 111 impronte malware. Mi chiedo se AVG e File Sentry utilizzino lo stesso motore di scansione. Ciò spiegherebbe il bassissimo numero di infezioni trovate da entrambi, anche se non spiega il perchè di una così pessima prestazione.
• F-Prot
  Infezioni Trovate - 32.635
  Commenti: E’ apparso un errore che dice che “il numero massimo di occorrenze è stato raggiunto”. L’elenco riportato nell’interfaccia aveva circa 500 voci quando è apparso l’errore. Quindi lo scanner ha continuato la sua attività per un totale di 12 ore e 5 minuti per controllare tutti i file.
• F-Secure
  Infezioni trovate - 36.692*
  Commenti: Al quarto tentativo di installazione finalmente sono riuscito a farlo funzionare per far girare la scansione. Le precedenti tre installazioni si interrompevano in punti diversi senza dare messaggi di errore o di notifica. Dopo che la scansione ha terminato il suo ciclo, ha trovato altri 2.642 file (da dove ?) e ha trovato 254 istanze di malware in più rispetto a quelle presenti nel computer.
• G Data
  Infezioni trovate – 36.423
  Commenti: Il risultato migliore di tutte lo soluzioni AV qui testate con un indice di rilevazione pari al 99.95% di tutto il malware contenuto nei miei file. Il rovescio della medaglia è che è tutto in tedesco e la GUI è un po’ incasinata.
• Hacker Eliminator
  Infezioni trovate – 1
  Commenti: Si, questo software ha trovato solo 1 malware. Forse questa è una limitazione della versione di prova perchè è apparso un messaggio che informava che “non verranno rimosse le infezioni finchè non si acquista la licenza”. A parte questo si è comportato meglio di quanto non abbia fatto in un altro test dove ha rilevato zero infezioni.
• Hauri
  Infezioni trovate – 35.325
  Commenti:  Lo scanner ha controllato 63.828 file ma ce ne erano solo 36.438 da controllare. L’unica possibile spiegazione che riesco a darmi è che abbia effettuato la scansione anche dei 27.390 file nella directory di Windows. Comunque, stando ai risultati, ha rilevato il 97.21% del malware della mia collezione.
• Kaspersky
  Infezioni trovate – 20.289
  Commenti: Ho letto molto su Kaspersky e devo ammettere che le mie aspettative su questo prodotto erano molto alte. Purtroppo anche questo è un’altro esempio di brand famoso che non è riuscito ad impressionarmi. Il software ha rilevato solo il 55,68% del malware.
• McAfee
  Infezioni trovate – 36.512
  Commenti: McAfee ha trovato 74 infezioni in più di quelle presenti nel computer. Assumendo che i 74 file extra possano essere dei “falsi positivi” questo prodotto è quello che ne ha rilevati di più.
• Norton (Symantec)
  Infezioni trovate – 20.404
  Commenti : Il programma si installa facilmente e gira veloce terminando il ciclo di scansione in soli 25 minuti. Tuttavia mi ha sorpreso il basso numero di infezioni rilevate quindi ho ripristinato la macchina virtuale e reinstallato il software per la seconda volta: stessi risultati. Quindi ho riprovato una terza volta e ancora una volta è stato rilevato solo il 56% di tutto il malware.
• Panda
  Infezioni trovate – 31.719
  Commenti: Dopo sedici ore, 4 tentativi di installazione e 7 reboot dal momento in cui ho iniziato a testare questo prodotto, finalmente sono riuscito a lanciare una scansione. Ha rilevato solo l’87% del malware presente. Un mucchio di lavoro per uno scarso risultato.
• PC Tools
  Infezioni trovate – 30.023
  Commenti: Se si esclude che Dr Phil e www.MajorGeeks.com lo consigliano vivamente, questo antivirus ha trovato solo il  82,39% del malware nel mio computer. Non molto meglio di Clam (l’altro prodotto gratuito) e molto lontano da quello che installerei per la mia protezione.
• Protector
  Infezioni trovate —
  Commenti: Ero eccitato all’idea di testare un antivirus indiano. Sfortunatamente questo software mostra un messaggio ad ogni infezioni trovata richiedendo all’utente di cliccare per continuare. Ovviamente non avevo intenzione di cliccare per 36.438 volte. Ho staccato la spina!
• Rising Software
  Infezioni trovate – 27.991
  Commenti: Stavo quasi per rinunciare quando finalmente sono riuscito ad installarlo ed a lanciare la scansione. Nonostante questo antivirus sia tra i più veloci (con solo 47 minuti per controllare tutti i miei file) ha rilevato come infetti solo 27.991 dei miei 36.438 file.
• Sophos
  Infezioni trovate —
  Commenti: Il software blocca il computer e non sono stato in grado di lanciare il test. Come per altri casi ho tentato di reinstallare il programma utilizzando opzioni differenti ma sempre con lo stesso risultato. E’ come se cercasse di interrogare un servizio che non era attivo ma per qualche motivo o il programma terminava senza messaggi oppure bloccava il computer.
• Trend Micro
  Infezioni trovate – 35.182
  Commenti: Non so cosa voglia dire il programma quando dichiara di aver controllato 35.001 file quando ne avrebbe dovuti contare 36.438. Inoltre dichiara di aver trovato 35.182 rischi nel computer ma non li ha eliminati.
• Trust Port
  Infezioni trovate – 36.171
  Commenti: Nonostante il loro sito web dichiari un indice di rilevamento pari al 99.9% questo software ha trovato solo il 99.26% delle mie infezioni. Tuttavia mi ha davvero impressionato. Utilizzano una tecnica composta di 4 differenti motori di scansione che inseriscono nel loro software (AVG, DrWeb, Norman, e Virus Blok ADA). Certamente una scelta eccellente ma ancora seconda rispetto a G Data in termini di percentuali di rilevamento.
• Virus Blok ADA (VBA)
  Infezioni trovate – 22.417
  Commenti: Il software ha un’interfaccia davvero spartana e non sembra che fornisca un rapporto finale sulle attività eseguite. E dal momento che questo av ha trovato solo il 61.52% del malware, francamente l’assenza di un report mi interessa poco.
• Zondex
  Infezioni trovate —
  Commenti: Questo software arriva dall’australia. L’interfaccia è molto stile Windows 3.1 e non è possibile impostare molti settaggi come per gli altri prodotti. Per due volte l’interfaccia è andata in crash e, al riavvio, ha occupato la CPU al 100%.
• Zone Alarm
  Infezioni trovate —
  Commenti: E’ stato il più lento tra gli antivirus testati controllando solo 162 file all’ora (2.7 al minuto). Mi chiedevo il perchè di tanta lentezza fino a quando ho controllato i log del mio firewall su Ubuntu. Apparentemente il software “chiama casa” stabilendo una connessione internet per ogni possibile infezione trovata. A questo ritmo ci sarebbero voluti 9 giorni per completare la scansione. Ho staccato la spina dopo 30 ore.

Prodotti non testati (e perchè)

• Inca: Anche conosciuto come nProtect. Il sito è quasi completamente in Koreano e mentre cercavo di trovare un link per scaricarlo tra le pochissime parole tradotte in inglese, il sito mi ha scaricato uno script Java che ha mandato la CPU al 100%. Ho abbandonato l’idea di scaricarlo.
• Graugon: Un programma che usa il motore di Clam. Ho giò testato l’originale ClamAV e quindi ho deciso di non effettuare un ulteriore test.
• Norman: TrustPort utilizza già il motore Norman ed essendo quindi, in qualche modo, già stato sottposto a test ho ritenuto inutile fare un’altra prova. Tra l’altro non sembra che dispongano di una versione di valutazione.
• Virus Chaser: Un altro antivirus dalla Cina. Per lo più il sito è ben tradotto in inglese ma per qualche motivo il link per scaricare il software o è rotto o è stato deliberatamente danneggiato. Ho provato diverse volte senza successo.
• Microsoft OneCare: Lasciando perdere le facili battute sul gigante del software, questo prodotto è al termine della sua vita. Microsoft ha già annunciato di voler rilasciare una nuova versione del suo antimalware nome in codice “Morro”. Dal momento che ho deciso all’inizio del test di non provare i software prossimi al fine vita, Microsoft è stata lasciata fuori.

Classifica — Antivirus — Numero di file identificati –Percentuale del totale

• 1. — G Data — 36,423 — 99.95 %
• 2. — Trust Port — 36,171 — 99.26 %
• 3. — eScan — 36,146 — 99.20 %
• 5. — BitDefender — 36,105 — 99.08 %
• 6. — Avira — 35,846 — 98.37 %
• 7. — Hauri — 35,325 — 96.94 %
• 8. — Trend Micro — 35,182 — 96.55 %
• 9. — DrWeb — 34,114 — 93.62 %
• 10. — F-Prot — 32,635 — 89.56 %
• 11. — Ashampoo — 32,291 — 88.61 %
• 12. — Panda — 31,719 — 87.04 %
• 13. — BullGuard — 31,608 — 86.74 %
• 14. — PCTools — 30,023 — 82.39 %
• 15. — Arcabit — 28,944 — 79.43 %
• 16. — Rising Software — 27,991 — 76.81 %
• 17. — Clam — 27,247 — 74.77 %
• 18. — CA — 24,996 — 68.59 %
• 19. — ESET — 23,746 — 65.16 %
• 20. — VBA — 22,417 — 61.52 %
• 21. — AhnLab — 21,301 — 58.45 %
• 22. — Norton (Symantec) — 20,404 — 55.99 %
• 23. — Kaspersky — 20,289 — 55.68 %
• 25. — File Sentry — 111 — 3.04 %
• 26. — AVG — 110 — 3.01 %
• 27. — Hacker Eliminator — 1 — 0 %
• 4 o 24 — Avast — Attenzione ! Leggete l’esito del test per AVAST perchè ci sono stati due risultati differenti.

I seguenti antivirus sono stati esclusi perchè hanno riportato più malware di quello esistente sul computer: Comodo, DrWeb CureIt, F-Secure e McAfee.

I seguenti antivirus sono stati esclusi perchè hanno creato vari problemi nel computer virtuale utilizzato per il test : Protector, Sophos, Zondex e Zone Alarm. Non offro spiegazioni sul perchè possano non aver funzionato correttamente, mi limito a segnalare i problemi che si sono verificati nel mio ambito di test.

Un buon modo per testare programmi di varia natura, navigare “allegramente” o comunque effettuare qualsiasi tipo di operazione per la quale non si desidera avere impatti sul proprio pc vero, è quello di utilizzare un virtualizzatore per crearsi un nuovo pc dentro il pc. I due sistemi di virtualizzazione più usati dagli utenti Windows sono VirtualBox e VirtualPc di cui ho già detto in precedenti post.

I sistemi di virtualizzazione hanno il pregio di “isolare” completamente il computer virtuale dal computer vero e, in linea di principio, qualsiasi eventuale infezione che potrebbe beccarsi il computer virtuale, non verrebbe automaticamente trasmessa al computer vero. Tuttavia abbassare completamente la guardia potrebbe non essere una buona idea: ci sono alcune considerazioni da fare che possono aiutarvi a comprendere se e quando decidere di installare un software antivirus anche all’interno del computer virtuale.

Il sistema virtuale è un computer a tutti gli effetti: semplificando un po’ (ma non troppo) è come se avessimo installato un nuovo computer fisico accanto al nostro e li avessimo collegati in rete. E’ facile intuire che se prevediamo di trasferire file dal computer virtuale a quello vero (mediante ad esempio la funzionalità di cartelle condivise) dovremo preoccuparci di quanto siano sicuri i file e se siano stati o meno già sottoposti a scansione antivirus. In questo caso potremmo anche fare a meno di installare un antivirus sul computer virtuale ma certamente non potremmo prescindere da averne installato uno (costantemente aggiornato) sul computer vero.

Questa impostazione tuttavia ha un limite ovvero la tecnica con cui si propagano le infezioni: è sempre più raro infatti che i virus si propaghino tramite il classico passaggio di file. Come insegna la recentissima infezione di Conficker / Downadup il malware può inserirsi direttamente nel computer da infettare tramite connessioni di rete non protette sfruttando vulnerabilità note e non corrette del sistema operativo. In questo caso il nostro computer virtuale non protetto potrebbe essere la classica “porta lasciata aperta ai ladri”  e diventare il punto iniziale di propagazione dell’infezione che potrebbe estendersi al computer vero e, se ce ne sono, agli altri computer presenti nella LAN. Contro questi tipi di infezione un antivirus classico (basato sulla ricerca di impronte virali all’interno dei file) non è quasi mai sufficiente: è sempre consigliabile disporre di un firewall (che impedisca l’accesso alle comunicazioni non desiderate) oltre a mantenere sempre aggiornato il sistema operativo “virtuale” (WindowsUpdate).

Il discorso non cambia molto anche se il sistema virtuale che desideriamo installare è Linux: se da un lato è vero che le possibili infezioni per Linux sono quasi zero è altrettanto vero che file infetti possono essere scaricati e passati al sistema Windows ospitante creando quindi un pericoloso punto di infezione.

Insomma, una corretta protezione antivirus deve sempre tenere conto dell’intero ambito in cui decidiamo di operare, della qualità dei file che intendiamo manipolare, di come cerchiamo di evitare di distribuire file infetti (anche se per noi innocui) ecc. E sempre tanto buon senso.

Sempre più deluso dal mio tradizionale antivirus, che come tutti avrete capito è (stato) AVG, mi sono rimboccato le maniche alla ricerca di qualcosa che lo potesse sostituire validamente. L’obiettivo della mia ricerca non era certo l’ormai impossibile velocità del software di protezione quanto piuttosto un programma decentemente stabile, altamente configurabile e, soprattutto, efficace nell’individuare i virus: troppi, infatti, sono i missed samples di AVG e le numerose instabilità che si sono manifestate negli ultimi mesi.

Spulciando il sito di av-comparatives ho letto i dati relativi ai test effettuati su TrustPort. Le impressioni sono state due : una positiva legata all’alto numero di virus individuati, la seconda negativa dato che appare essere uno dei più lenti e pesanti. Per la seconda … pazienza, mi sono da tempo rassegnato a non inseguire la chimera dell’antivirus super veloce. Mi ha intrigato invece il fatto che TrustPort non è un antivirus “classico” come quelli, per intenderci, in cui il produttore sviluppa un proprio motore di scansione: TrustPort ha avuto l’idea (non nuova in verità) di creare un software di protezione che sfrutta diversi motori di scansione forniti da diversi produttori. Fondamentalmente TrustPort è la risposta – affermativa – a tutti quelli che chiedono se è possibile installare due (o più) antivirus sullo stesso computer. La logica di una scelta del genere è di facile comprensione : nessun antivirus, ripeto nessuno, riesce ad individuare il 100% delle impronte virali note e tutti “sbagliano” qualcosa ovviamente in casi sempre differenti. L’elenco delle impronte virali “perse” in ogni test dai vari antivirus è sempre diverso da produttore a produttore quindi è logico pensare che quello che non trova l’antivirus “A” verrà invece, con discreta probabilità, trovato dall’antivirus “B”. Ecco … la logica di TrustPort è proprio questa: unire le forze di diversi antivirus per ridurre il rischio di perdere qualcosa per strada e, quindi, di rimanere infettati. Certamente tutto questo ha un costo specialmente in termini di prestazioni del computer: un antivirus = risorse(x) => 2 antivirus = risorse(x)*2

Visitando il sito del produttore ho visto che, in linea con i maggiori brand, l’antivirus è offerto come prodotto stand-alone oppure, opzionalmente, in bundle con una serie di strumenti per la sicurezza dei dati (Personal Firewall, Distruggi Documenti e utilità di cifratura) che va sotto il nome di TrustPort PC Security. Essendo disponibile in trial (versione di prova per 30 giorni) ho deciso di scaricare quest’ultima: esiste già anche con l’interfaccia tradotta in italiano. Preparatevi … sono oltre 190Mb di download.

L’ho quindi installato sul mio Windows Vista ( il mio pc se avesse un’anima mi maledirebbe ). Il processo di installazione è andato senza problemi di sorta, con la solita sequenza di maschere wizard che aiutano nella primissime impostazioni. La suite PC Security di TrustPort è dotata di diversi moduli : Antivirus, Personal Firewall, DataShredder (letteralmente distruggidocumenti) con il quale è possibile eliminare in maniera sicura i file dal proprio hard-disk, Disk Protection che permette di creare dischi virtuali cifrati e gestirne le credenziali di accesso, eSign ed Archive Encryption che permettono la generazione e lo storage di certificati di crittografia personale per applicare ai file ed alle comunicazioni via e-mail firme elettroniche e criptatura dei dati.

Durante l’installazione ho notato che ognuno dei moduli indicati andrà ad installarsi in una directory dedicata dell’area Programmi: questa impostazione può risultare poco pulita dato che, generalmente, ogni vendor crea una sua sottodirectory e, all’interno di essa piazza i propri prodotti.

Terminato il processo di installazione vengono avviati automaticamente due wizard che permettono l’impostazione dei motori antivirus da utilizzare (la suite PCSecurity viene distributa dotata dei motori Norman, AVG, Ewido, Dr.Web e VirusBlokAda): è possibile indicare la priorità di scansione e in quale “area” attivarli. Sono tre, infatti, le aree di protezione da configurare: la Protezione Permanente (ovvero il modulo che sottopone a scansione in tempo reale l’intero sistema di accesso ai file), la Scansione Manuale (per effettuare scansioni su richiesta di aree di storage) e la Protezione Internet che effettua la scansione di tutti i contenuti ricevuti via Http e via email.
Il secondo wizard riguarda il primo aggiornamento dei motori antivirus: subito dopo l’installazione parte di download di altri 43 Mb di aggiornamenti !! Devo dire che la massa di dati in download non depone certo a favore del prodotto anche se, del resto, l’ampia diffusione della banda larga non dovrebbe creare particolari problemi alla maggioranza degli utenti. Serve solo un po’ di pazienza.
Al termine del download gli aggiornamenti vengono applicati e la procedura di setup, dopo aver lanciato l’integrazione dell’antivirus nel sistema (menu contestuali ed aggancio al Centro di Sicurezza di Windows) richiede il classico riavvio.

Alla ripartenza, dopo il login, mi accorgo subito che il computer è certamente rallentato ma niente di tragico. In pochi secondi parte lo splash screen di attivazione dell’antivirus e quasi subito cominciano ad apparire le classiche schermate di dialogo del firewall che chiede autorizzazioni per le applicazioni che cercano di comunicare con l’esterno. Nella traybar di windows vi sono due nuove icone: un classico “scudetto” che indica lo stato della protezione e un logo TrustPort (TP) tramite il quale appare un menu di avvio rapido delle funzionalità di configurazione dei vari “moduli”. Avrei preferito una sola icona … pazienza.

Tramite lo scudetto è anche possibile avviare una piccola finestra di statistiche in tempo reale (con trasparenza regolabile) che visualizza i contatori dei file sottoposti a scansione, di quelli infetti, di quelli messi in quarantena ecc.

Il feeling iniziale è di robustezza granitica (anche in termini di peso): aprendo il pannello di configurazione principale (TrustPort Center) apprezzo subito un’interfaccia “old-style” che mi fa pensare come i ragazzi di TrustPort abbiano preferito rinunciare a tanti effetti glossy, shaded ed animazioncine varie puntando invece su una GUI più tecnica e piena di switch di configurazione. Decisamente facile l’accesso alle impostazioni dell’antivirus ed in particolare alla configurazione delle azioni da eseguire in caso di rilevamento di infezioni. Molto più “ostico” dei concorrenti, invece, il pannello di configurazione del firewall dove le regole vengono gestite con un linguaggio molto tecnico e poco consono agli utenti meno esperti (del resto semplificare la configurazione di un firewall non è cosa facile).

Molto apprezzata la gestione delle esclusioni dalla Protezione Permanente : quasi tutti gli antivirus permettono di escludere determinate directory dalla protezione in tempo reale e TrustPort si spinge oltre. Permette anche di escludere dalla protezione determinati processi basando la selezione sull’immagine dell’eseguibile. Per esempio: se abbiamo montato a bordo della macchina un indexer dei file (come GoogleDesktop) è possibile escludere il processo dalla protezione permanente in modo che tutti i file “toccati” dall’indexer non vengano sottposti a scansione. Questa caratteristica è molto utile per un fine-tuning delle risorse richieste dall’antivirus (del resto gli indicizzatori non eseguono mai file).

Provo quindi a navigare sul sito eicar.org per provare il download del malware test file: quando clicco sul download appare immediatamente nel browser una pagina generata da TrustPort che mi informa che il download è stato bloccato. Molto bene ! Con AVG succedeva invece che la classica finestrina di inizio download di Internet Explorer apparisse comunque e solo in un secondo momento ricevevo l’avviso di file infetto.

L’esecuzione di una scansione completa del computer, che ho configurato con tutti i motori attivi, dura parecchio (oltre 2 ore per il controllo del solo disco C occupato per 15Gb) però ha rilevato infezioni che il mio AVG non aveva “visto”: moltissime erano nell’area di shadowing di ripristino del sistema (e quindi innocue fino a quando non avessi tentato un ripristino) però c’erano !

Non mi dilungo sull’esame degli altri moduli : posso solo dire che, per le mie esigenze, TrustPort mi ha fatto un’ottima impressione.