D’ora in poi non ci saranno più account utente per le licenze. Al contrario, Emsisoft sta passando a un semplice sistema basato su chiavi.

Nuova interfaccia utente

Dopo un download di 97,2 MB e una semplice installazione multilingue, nella finestra di benvenuto è possibile scegliere se testare il software per 30 giorni, inserire la chiave di licenza o utilizzare la versione freeware.

Ciò che si nota immediatamente è che il cavallo di Troia color oro nell’interfaccia è stato rimosso. Viene visualizzata una nuova interfaccia utente chiara e viene avviata una procedura guidata per la configurazione delle impostazioni.

La procedura guidata per la sicurezza

In questa finestra viene chiesto se si desidera partecipare alle interazioni del cloud o aggiornare le lingue aggiuntive. La rete cloud viene utilizzata per gli oggetti trovati. Se si lascia attivata questa opzione, il malware trovato sul computer verrà automaticamente inviato alla rete cloud per generare nuovo malware e distribuirlo rapidamente a tutti gli utenti di Emsisoft Anti-Malware. Ho disattivato le “lingue aggiuntive” e gli aggiornamenti beta, poiché il tedesco è perfettamente sufficiente per me e non mi interessano le beta.

Una volta selezionati, gli aggiornamenti e le firme disponibili vengono cercati, scaricati e installati. L’Assistente per la sicurezza di Emsisoft Anti-Malware vuole ora eseguire subito una scansione del PC. Continuare con “Scansiona il PC ora”. È possibile scegliere tra ‘Scansione rapida’, ‘Scansione intelligente’, ‘Scansione dettagliata’ o ‘Scansione propria’. Le descrizioni comprensibili si trovano sotto il modulo di scansione e anche nella finestra a destra.

È anche possibile aggiungere subito delle eccezioni in “Modifica eccezioni” – in questo caso lo faccio con i file della scansione antivirus ESET NOD32 (egui.exe, ekrn.exe) che è in esecuzione sul sistema e infine seleziono “Scansione dettagliata”.

I test

Sono stati testati 2 notebook:
PC1 – notebook Hewlett-Packard, Intel Core i5 con Windows 7 Professional SP1 (32 bit), un disco rigido, dimensioni del disco rigido 215 GB, di cui 159 GB utilizzati.

PC2 – Computer portatile Samsung, Intel Core Centrino Duo con 2 dischi rigidi
1° disco rigido (C:) 144 GB, di cui 52 GB occupati con Windows Vista Business SP2 (32-bit)
2° disco rigido (D:) 143 GB, di cui 42,7 GB occupati da Windows 7 Professional SP1 (32 bit).
Scansione da Windows Vista.

La scansione inizia con il PC1 e copre un totale di 569.639 oggetti; durante la scansione viene visualizzata una simpatica animazione. Dopo 19 minuti e 47 secondi la “Scansione dettagliata” con PC1 è terminata. Emsisoft ha trovato 3 oggetti ad alto rischio, 1 oggetto a medio rischio e 1 oggetto a basso rischio, l’elenco dei risultati mi mostra in diversi colori. Il rosso indica un rischio elevato, il giallo un rischio medio e il grigio un rischio basso. Le terminazioni E1 ed E2 identificano il motore di scansione che ha rilevato il file come dannoso. E1 è il motore anti-malware interno ed E2 è il motore antivirus di Ikarus.

Su VirusTotal.com ho trovato il file EndProcess.exe, che si trova nella directory “C:\hp in” e a cui Emsisoft ha attribuito una valutazione di “basso rischio”. A mio modesto parere, il file dovrebbe appartenere a Hewlett-Packard. VirusTotal lo classifica come “goodware”.

Se si clicca sul link “Riskware.Win32.KillApp!E1” nella finestra anti-malware, si apre una pagina web informativa di Emsisoft che spiega cosa sia un riskware (programma a rischio) e quali programmi siano classificati come riskware – ad esempio client di chat IRC, client SMTP, server proxy, server FTP, server web ecc. E: “Altri strumenti creati per bloccare i processi, nascondere le finestre o leggere automaticamente i parametri di sistema”.

Il file HP EndProcess.exe rientra nell’affermazione “per uccidere i processi” in quanto viene utilizzato per uccidere i processi e può spegnere il computer se necessario.
*Falso positivo

La voce “Adware.Win32.Agent!E1” viene rilevata come adware, anche se posso affermare con certezza al 100% che si tratta del mio sfondo animato del desktop di Hewlett-Packard.
*Falso positivo

Sposto le 3 voci Java in quarantena. Questi messaggi Java sono complicati a causa delle falle di sicurezza che appaiono di tanto in tanto. Tuttavia, la versione 6, i cui file sono stati criticati in questa sede, è stata disinstallata da tempo e sostituita dalla versione 7.

Le prime due voci vengono “aggiunte alle eccezioni” con un clic destro. Nella stessa finestra è possibile visualizzare il file di log alla voce “Visualizza rapporto”.

Dopo 10 ore e al 95%, Emsisoft Anti-Malware non ha ancora finito con il PC2. Finora sono stati scansionati 622.964 oggetti sull’unità C:, ora la scansione è bloccata sull’unità D:. Sono stati trovati 32 oggetti.

Le prime 3 voci di tracciamento (radmin) appartengono al software di controllo remoto “Radmin” (manutenzione remota), che è stato installato deliberatamente. Il “TrojanDownloader.Win32.GhostRA(dmin)”, ad esempio, a cui Emsisoft allude qui e altri programmi di sicurezza, ha anche voci di registro completamente diverse.

*Falso positivo

La voce Riskware.PSWTool.Win32.Asterisk!E2 è uno strumento in grado di visualizzare le password con asterischi in chiaro – “X-Pass”.

*Falso positivo

Riskware.ProductKey!E2 è uno strumento di Nirsoft che visualizza i codici prodotto dei programmi installati: Nirsoft ProduKey.

*Falso Positivo*

not-a-virus:RiskTool.Win32.HideWindows!E2 e Riskware.RiskTool.Win32.HideWindows!E2 appartengono a un programma di console (cmdow.exe) progettato da WinTotal per il WebSite-Watcher utilizzato dal team di Software Archive: WebSite-Watcher di Aigne
*Falso positivo

Tutte le voci vengono “aggiunte alle eccezioni” con un clic destro.
Poiché lo scanner non ha ancora analizzato il disco rigido D: e ci sono solo le opzioni “Pausa”, “Continua” o “Annulla”, credo di dover decidere per “Annulla”, perché anche con “Continua” non si muove nulla. Ricominciamo, tutti meritano una seconda possibilità. Ho disinstallato il software di controllo remoto “Radmin”. Le voci aggiunte alle eccezioni tramite il tasto destro del mouse sono state accettate da Anti-Malware, anche se poi ho dovuto annullarle.

Il rapporto nella directory “C:\Users\Username\Documents\Anti-MalwareReports” elenca le impostazioni di scansione utilizzate, il metodo di scansione, gli oggetti, l’inizio e la fine della scansione, la data, la durata, ecc.

Dopo la prima scansione, il pulsante “Avanti” della procedura guidata di sicurezza porta alla categoria successiva, “Prevenzione malware”.

Qui vengono visualizzate le impostazioni delle 3 protezioni in tempo reale (protezione dei file, analisi del comportamento e protezione della navigazione). In “Modifica regole applicazione” nell’analisi del comportamento si trova il software antivirus che è stato aggiunto all’elenco delle eccezioni prima di avviare la scansione dettagliata. Qui è possibile aggiungere, modificare o eliminare altre regole. Nelle “Impostazioni” di “Scarica e installa automaticamente nuovi aggiornamenti” è possibile stabilire quando controllare gli aggiornamenti. È inoltre possibile modificare le scansioni pianificate nelle “Impostazioni”.

Per ora lascio le impostazioni predefinite e faccio clic su “Avanti”. La procedura guidata di sicurezza è terminata e si può uscire facendo clic su “Esci dalla procedura guidata”.

Il virus di prova

Prima di passare alle altre impostazioni, la curiosità ha la meglio: Emsisoft può essere ingannato da un semplice virus di prova Eicar? Ed ecco che il virus di prova con l’estensione “com” è stato bloccato già al momento del download. Con l’estensione “zip”, invece, è stato bloccato solo quando è stato scompattato sul disco rigido. Una precedente scansione manuale del file zip aveva persino mostrato che non erano stati trovati oggetti sospetti.

Le impostazioni

Dopo aver chiuso la procedura guidata di sicurezza, si apre l’interfaccia utente con un piccolo pulsante di menu a margine che ospita le voci Stato di sicurezza, “Scansione PC”, Quarantena, Registro, Guardia e Impostazioni. In “Scansione PC” è possibile impostare l’azione da eseguire al termine della scansione.

È possibile scegliere tra “Mostra solo il rapporto”, “Metti in quarantena gli elementi trovati” o “Spegni il PC”. Nella voce di menu Quarantena, gli oggetti possono essere inviati per l’analisi, ripristinati, sottoposti a nuova scansione o infine eliminati. L’elenco di quarantena può essere salvato. Alla voce di menu Registro è possibile controllare i rapporti di protezione, quarantena e aggiornamento, eliminarli o rimuovere singole o tutte le voci dai rispettivi elenchi. Alla voce di menu Protezione è possibile aggiungere, modificare o eliminare altre eccezioni nella scheda “Regole di applicazione”. Nella scheda “Guard” (nella demo “Analisi comportamentale”) è possibile vedere da cosa Emsisoft Anti-Malware protegge l’utente. Una nuova aggiunta nella versione 6.0 è “Modifiche ai criteri di sicurezza del sistema”.

Nella scheda “Allarmi” è possibile impostare la sensibilità in percentuale e quindi influenzare la visualizzazione di un messaggio in caso di ritrovamento di oggetti. È possibile scegliere tra “Riduzione intelligente degli allarmi” o “Riduzione degli allarmi basata sulla comunità”.

Riduzione intelligente degli allarmi: Anti-Malware cerca di riconoscere se un programma segnalato è benigno in base a un’analisi tecnica del file del programma. Se la riduzione intelligente degli avvisi non è attivata, all’avvio di programmi come Internet Explorer o Firefox vengono emessi messaggi di avviso. Se la riduzione intelligente degli avvisi è attivata, Emsisoft Anti-Malware riconosce che si tratta di programmi legittimi e non emette alcun messaggio di avviso.

Riduzione degli avvisi basata sulla comunità: attraverso una richiesta online alla rete Cloud Anti-Malware, le decisioni di tutti gli utenti di Emsisoft Anti-Malware riguardo al programma segnalato vengono interrogate e visualizzate a colori in un grafico. Anti-Malware visualizza quindi una raccomandazione su come procedere con il programma.

La modalità Paranoid segnala ulteriori avvii di programmi e applicazioni con un comportamento “sospetto” o simile a un malware, ma che non sono necessariamente pericolosi. Questa opzione è disattivata per impostazione predefinita perché produce molti falsi allarmi.

La scheda File Guard è responsabile della scansione dei file, ad esempio durante l’avvio, la modifica o la creazione del file, durante il download da Internet o la lettura del file.

La scheda “Surf Protection” è un ulteriore livello di sicurezza che segnala i siti web sospetti durante la navigazione. Le opzioni di monitoraggio degli host possono essere impostate individualmente selezionando “Non bloccare”, “Avvisa”, “Blocca con informazioni” e “Blocca invisibile”.

Nella scheda “Regole Host” è possibile aggiungere siti web sospetti, come siti di phishing o di sfruttamento, da bloccare, oppure siti web affidabili che non dovrebbero essere bloccati. L’elenco già integrato dovrebbe essere attivato. Le regole possono essere modificate, aggiunte o eliminate.

Alla voce di menu Impostazioni, sotto la scheda “Generale”, si trova la protezione Captcha. L’opzione attivata garantisce che la protezione non possa essere terminata senza autorizzazione da altri programmi o tramite il task manager. Se la protezione viene terminata, è necessario inserire il codice captcha. È lecito chiedersi quale sia la sicurezza offerta da questa funzione aggiuntiva, visto che i codici captcha vengono spesso violati – si veda una delle ultime notizie di Heise.

L’opzione “Attiva l’autoprotezione” offre una protezione contro il malware che tenta di terminare o disattivare Emsisoft Anti-Malware inosservato – dovrebbe essere utilizzata tassativamente.

Nella scheda “Popup” è possibile scegliere se leggere le ultime notizie di Emsisoft durante il download degli aggiornamenti, se ricevere i messaggi popup degli aggiornamenti che appaiono nella barra delle applicazioni e per quanto tempo in secondi devono essere visibili. Quando il sistema viene riavviato, viene visualizzato un piccolo avviso quando sono state scaricate nuove firme, come accade spesso con altri scanner di virus o spyware. Questo non può essere nascosto.

Nella scheda “Autorizzazione”, l’amministratore può vietare ai singoli utenti di modificare la configurazione di Emsisoft Anti-Malware se esistono più account utente di Windows. Le impostazioni predefinite consentono a ogni utente di utilizzare tutte le funzioni senza restrizioni.

HiJackFree

Lo strumento HiJackFree è accessibile tramite il menu contestuale dell’icona dello scudo di protezione nella barra di systray. Lo strumento è in inglese e può essere scaricato e utilizzato gratuitamente anche da utenti privati. Il cavallo di Troia color oro è di nuovo presente in questa interfaccia. Lo strumento elenca in particolare i processi attivi, le porte, le voci di avvio automatico e i servizi.

In “Processi”, le voci sono codificate per colore. Le voci verdi sono processi benigni. Le voci gialle possono essere benigne o dannose, per lo più si tratta di programmi che Emsisoft HiJackFree non conosce ancora. Le voci rosse potrebbero essere dannose e le voci bianche sono processi per i quali non sono state trovate informazioni online. È possibile eseguire un’analisi online facendo clic sull’icona “Analisi online” nell’angolo in alto a destra e cercare nell’elenco o impostare dei filtri. Facendo clic sul processo nell’elenco, è possibile ottenere ulteriori informazioni nella finestra inferiore o fare clic su “Visualizza proprietà del file” per richiamare le proprietà del file. È possibile eliminare la voce o il file contrassegnato o chiudere il processo, ma è sempre consigliabile attivare “Salva backup”.

È anche possibile assegnare una priorità ai processi. Tuttavia, è necessario procedere con cautela nell’uso di questo strumento. Solo se siete assolutamente sicuri che il processo, il programma della porta, la voce di avvio automatico o il servizio appartengano al malware, dovreste agire.

Le voci dei componenti aggiuntivi di Internet Explorer, delle barre degli strumenti di IE, delle estensioni della shell (voci del menu contestuale di IE), dei ganci della shell, dei BHO (Browser Helper Objects) e degli ActiveX (ad esempio Flash Player) sono elencate in Altri. Le voci degli LSP (Layered Service Provider) sono visualizzate in un’altra sottocartella. Gli LSP sono prerequisiti a livello di WinSock per consentire a Windows di stabilire una connessione a Internet. I flussi di dati in entrata e in uscita possono essere utilizzati anche per introdurre “codice maligno”. La sottocartella Hosts elenca le voci del file HOSTS situato nella directory %Systemroot%system32driversetc. Questo file viene utilizzato per l’assegnazione fissa dei nomi di host agli indirizzi IP. L’ultima sottocartella ActiveX elenca tutte le DLL ActiveX registrate a livello di sistema, ad esempio i controlli ActiveX di Microsoft Office Excel. Quelli non più attivi sono indicati in rosso. Non attivo significa che nel registro sono presenti informazioni su un modulo per il quale non esiste più un file DLL. Tali voci possono essere eliminate senza problemi tramite il menu contestuale “Disinstalla ActiveX”.

Conclusione

Se non conoscete ancora Emsisoft Anti-Malware, sarete sorpresi dalla velocità delle scansioni e dalla chiarezza dell’interfaccia utente. Per ogni impostazione viene fornita una spiegazione. Tutti gli incidenti vengono registrati e i file corrispondenti possono essere esportati e reimportati proprio come le impostazioni. A differenza di altri software di protezione, Emsisoft Anti-Malware è stato progettato in modo da poter lavorare in parallelo con altri programmi antivirus e firewall senza alcun problema. I risultati della procedura guidata all’inizio non devono preoccupare. Il riskware, chiamato anche “software indesiderato”, viene scansionato durante il processo di installazione. Le voci non correttamente messe in quarantena possono essere ricopiate. È inoltre possibile disattivare Riskware in un secondo momento nelle impostazioni. Tuttavia, per i primi giorni è necessario sperimentare con le impostazioni fino a quando non si ottiene la protezione desiderata. Con il virus di prova, pensavo che la protezione avrebbe bloccato subito il sito web, come avviene con altri scanner antivirus. Tuttavia, la protezione non ha riconosciuto i virus (di prova) presenti sul sito web; solo quando ho fatto clic su un virus il download è stato impedito. Il programma ha mostrato debolezze nel trattare il file virus impacchettato, che è stato rilevato solo durante la decompressione o non è stato rilevato affatto durante la scansione manuale.

Nel complesso, Emsisoft Anti-Malware 6 è un buon scanner, ma a volte è impostato in modo troppo sensibile, il che porta a messaggi di errore.

La demo può essere utilizzata per 30 giorni senza limitazioni e poi può essere sbloccata con una chiave di licenza. Altrimenti, dopo il periodo di prova, si trasforma in uno scanner gratuito con cui il PC può essere scansionato e pulito in qualsiasi momento, ma che manca delle funzioni di protezione in tempo reale.