Dr.Web CureIt! giunge alla sesta versione: una nuova modalità di scansione

Arrivato alla sesta versione, Dr.Web CureIt! appare nettamente migliorato rispetto al passato. Nella sua veste gratuita, Dr.Web non mette a disposizione un modulo per il controllo in tempo reale del sistema (né utilizzando meccanismi di analisi comportamentale né i tradizionali archivi delle firme virali) tuttavia si pone ai vertici, tra i programmi a costo zero disponibili sul web, quale applicazione “pronta all’uso” per l’eliminazione di eventuali infezioni da malware. Rispetto ad altri programmi della sua categoria, infatti, Dr.Web CureIt! cerca di automatizzare al massimo la procedura di disinfezione del sistema ed il suo corretto ripristino. Il software è infatti particolarmente abile nella rimozione dei rootkit che spesso, una volta insediatisi in Windows, riescono a passare inosservati ad altri software per la sicurezza.

Dr.Web CureIt! 6.0 funge da “apripista” per gli altri software del produttore russo: sul programma freeware si sono concentrati tutti gli sforzi degli sviluppatori con l’obiettivo di proporre un eccellente “biglietto da visita” per poi implementare le medesime tecnologie negli altri software (commerciali) dell’azienda.

La più importante novità di Dr.Web Cure It! consiste nella speciale modalità di avvio e di esecuzione: battezzata Enhanced Protection Mode fa in modo che altri programmi (compresi tutti i malware più aggressivi) non possano interagire con il funzionamento dell’applicazione. Alla prima esecuzione di Dr.Web, viene chiesto all’utente se sia interessato ad avviare l’antimalware servendosi della speciale modalità di protezione: cliccando sul pulsante OK, lo sfondo diverrà di colore grigio e non sarà momentaneamente possibile eseguire altre applicazioni.
La modaità Enhanced Protection resterà attiva sintanto che la scansione del sistema non risulterà completa.

L’altro vantaggio derivante dall’impiego di Dr.Web Cure It! 6.0 consiste nel fatto che il programma è distribuito in forma “portabile”: per effettuare l’analisi del sistema in uso, quindi, non è necessario installare alcunché. Basta semplicemente fare doppio clic sul file eseguibile.
Scaricabile cliccando qui, si noterà come il nome del file .exe prelevato sia costituito da un insieme variabile di caratteri alfanumerici. Si tratta, questa, di una misura accessoria in più che consente di evitare il blocco dell’applicazione da parte di malware che controllassero il nome dell’eseguibile.

Il fatto di essere portabile, consente all’utente di inserire Dr.Web Cure It! in un qualunque CD di boot, ad esempio quello che può essere prodotto utilizzando Bart’s PE Builder (presenteremo la procedura in un altro articolo).

Come abbiamo già anticipato, il comportamento di Dr.Web durante lo “sradicamento” di eventuali rootkit è eccellente: il programma è infatti capace di ripristinare le copie corrette dei file di sistema che fossero state modificate da parte di componenti dannosi. Un’operazione, questa, che non tutti i programmi della categoria svolgono.

Dopo aver confermato l’utilizzo della modalità “Enhanced“, dopo un’ulteriore pressione del pulsante OK, si dovrà cliccare su Avvia. Nella modalità Enhanced il pulsante Aggiorna non funziona (le restrizioni impostate non permettono di avviare il browser): in ogni caso, l’unica sua peculiarità consiste nell’effettuare una connessione alla pagina web di riferimento. Ricordiamo che Dr.Web Cure It! deve essere mantenuto sempre aggiornato scaricando l’ultima versione dal link di riferimento. Il file eseguibile relativo alla precedente versione potrà essere eliminato prima di procedere con il nuovo download.
Spostando il puntatore del mouse sulla voce “Avvia“, Dr.Web mostra la corrente versione del programma.

A questo punto, Dr.Web ricorderà che la scansione che sarà eseguita alla pressione del pulsante Sì è quella “rapida”: nel caso in cui dovessero essere rilevati componenti nocivi, è sempre bene riavviare l’analisi optando per una scansione completa. La scansione “rapida” si concentra sui file al momento caricati in memoria, sul contenuto dei settori di boot degli hard disk, sui file che vengono avviati automaticamente ad ogni ingresso in Windows, sulla cartella d’installazione del sistema operativo, sul contenuto della cartella Documenti dell’utente e su quello delle directory temporanee. Nella scansione “rapida” le aree del sistema che vengono poste sotto la lente sono insomma quelle più frequentemente infestate dai malware.

La finestra che periodicamente compare a video e che invita a provare gratuitamente la versione completa di Dr.Web può essere chiusa cliccando sulla crocetta in alto a destra.

Per impostazione predefinita (modificabile liberamente accedendo alla finestra delle opzioni; menù Opzioni, Cambia impostazioni o tasto F9), Dr.Web Cure It! memorizza il file di log delle sue scansioni nella cartella %userprofile%\DoctorWeb.

Per ogni scansione effettuata con Dr.Web, le informazioni raccolte vengono aggiunte al file di log prodotto in precedenza. Per fare in modo che venga generato un resoconto ad ogni scansione, eliminando quello precedente, è sufficiente scegliere l’opzione Sovrascrivi.

Qualora si avesse l’esigenza di estrapolare rapidamente dal file di log l’elenco dei file “sospetti” o rimossi da Dr.Web, è possibile utilizzare un semplice trucco: salvate questo script VBS nella cartella %userprofile%\DoctorWeb ed eseguitelo facendovi doppio clic. Verrà così creato un resoconto più compatto con il soli file degni di attenzione.

La cartella della “quarantena”, contenente i file che non è stato possibile disinfettare è invece, di default, %userprofile%\DoctorWeb\Quarantine.

Dr.Web Cure It! impiega di default anche un algoritmo di scansione euristica, tenta di “curare” gli oggetti infetti, sposta in quarantena quelli sui quali non ci sono margini d’intervento ed informa l’utente sugli elementi sospetti. Gli adware, i dialer, i cosiddetti “riskware” ed “hacktools” sono invece solamente segnalati. Il comportamento tenuto dal programma può essere modificato agendo sulla scheda Azioni della finestra delle opzioni.