Prevx 3.0: intelligenza collettiva per un antimalware compatto

Con il lancio di Prevx 3.0 è stato “mandato in pensione” Prevx CSI, prodotto che permetteva di effettuare una scansione del sistema alla ricerca di eventuali minacce, pur non disponendo di una funzionalità per il monitoraggio in tempo reale. Prevx 3.0 “ingloba” le caratteristiche di CSI e si propone come una soluzione più completa, grazie anche al meccanismo integrato per il controllo in tempo reale delle attività in corso sul sistema.
La maturità di Prevx 3.0 è percepibile osservando le migliorie apportate all’interfaccia utente e mettendo alla prova il software nell’individuazione di rootkit che infettano il MBR (“master boot record”, ved. questo articolo). Numerosi interventi migliorativi sono stati apportati al motore di rilevazione delle minacce; sono stati poi ottimizzate le tecniche di autoprotezione impiegate dal programma ossia i sistemi utilizzati per impedire la disabilitazione delle funzionalità di difesa di Prevx da parte di componenti nocivi.

Prevx 3.0 è dotato di un motore euristico che attinge alle informazioni conservate nel “Community Database” della software house sviluppatrice, un archivio che dà modo a Prevx di essere costantemente aggiornata sulla diffusione di nuove tipologie di malware ed agli utenti dei suoi prodotti di rilevare tempestivamente, in un lasso di tempo minimo, eventuali minacce presenti sul proprio sistema. Uno dei punti di forza di Prevx 3.0 è la possibilità di integrarsi con soluzioni per la sicurezza già installate sul personal computer sebbene il prodotto dell’azienda anglosassone ambisca a proporsi come sostituto per le tradizionali soluzioni antimalware.

Nella versione “free”, Prevx 3.0 riesce ad individuare qualunque tipo di minaccia eventualmente presente sul sistema, tuttavia, fatta eccezione per gli adware e i rootkit che infettano il MBR, sarà necessario acquistare una licenza per provvedere all’eliminazione dei malware. La licenza “cleanup” permetterà di rimuovere qualunque componente dannoso mentre la licenza “realtime” consentirà di attivare anche la protezione in tempo reale, in grado di monitorare le attività in corso sul sistema e bloccare tempestivamente i malware in procinto di insediarsi sul personal computer.

Proprio la protezione in tempo reale consente di proteggere il sistema e difenderlo da attacchi “zero-day” od addirittura “zero-hour”. In tali circostanze, infatti, il produttore del software preso come bersaglio non ha ancora rilasciato patch risolutive. L’attacco “zero-day” viene insomma sferrato a partire dal “giorno zero”, quando una vulnerabilità viene rilevata. E’ uno degli attacchi più pericolosi perché non essendovi disponibilità di un apposito aggiornamento di sicurezza, il sistema dell’utente può essere potenzialmente oggetto di aggressione. In queste situazioni di solito vengono offerti suggerimenti per evitare di esporre al pericolo il sistema in uso ed i dati in esso conservati. Talvolta il produttore stesso consiglia dei “workaround”, soluzioni temporanee per mitigare la gravità del problema.
E’ possibile però che tali informazioni non raggiungano l’utente normale: qui entra in gioco Prevx 3.0 che si fa carico di attingere ai dati memorizzati nel database online della società inglese (intelligenza collettiva, ved. anche questa pagina) ed eventualmente di far transitare attraverso una “sandbox” remota gli elementi sospetti. Gli sviluppatori di Prevx hanno preferito utilizzare questo approccio con l’intento di ridurre drasticamente le dimensioni del modulo client. Il “cuore” di Prevx 3.0 è infatti costituito da un solo eseguibile e da un driver per un totale di spazio occupato pari ad 800 KB.

Prevx 3.0 vanta la compatibilità con numerose versioni di Windows, alcune piuttosto datate e non più supportate neppure da Microsoft: da Windows 98, passando per Windows 2000, XP, Vista, Server 2003, Server 2008 sino a Windows 7.

Dopo l’accettazione della licenza d’uso, Prevx 3.0 effettua una scansione delle aree critiche del sistema operativo controllando anche la disponibilità di eventuali aggiornamenti del programma.
Al termine della procedura, il software fornisce un responso finale segnalando il sistema come pulito oppure, viceversa, indicando l’individuazione di elementi dannosi. Nel riquadro in basso a destra, viene ricordato che Prevx 3.0 risulterà sprovvisto della funzionalità di rilevamento delle minacce in tempo reale fintanto che l’utente non avrà provveduto ad acquistare una licenza.

Nel report finale, Prevx 3.0 evidenzia chiaramente – attraverso l’utilizzo di due differenti icone – quali minacce siano eliminabili eseguendo il software in modalità “free” e quali invece richiedano l’acquisto di una licenza d’uso.

Prevx 3.0 è nato per lavorare “sul campo”. Rispetto ad altri software antimalware non è quindi necessario avviare una scansione da modalità provvisoria (obbligatoriamente “con supporto di rete”, nel caso di Prevx 3.0). Il programma di Prevx può essere quindi impiegato, in primo luogo, per accertarsi, qualunque sia la configurazione software del proprio sistema, se il personal computer sia libero da malware oppure se, viceversa, siano presenti uno o più “ospiti indesiderati”.

Al termine della fase di scansione, Prevx 3.0 indica chiaramente il percorso ove sembra risiedere il malware eventualmente rilevato. Gli utenti più smaliziati possono salvare il resoconto completo (“log file”) dell’indagine condotta da Prevx 3.0 cliccando sulla scheda Tools quindi su Save scan results.

Specificando la cartella ove si desidera salvare il file di log ed il nome da assegnargli, Prevx 3.0 provvederà a produrre un resoconto omnicomprensivo. Aprendo tale file con un normale editor di testo (va benissimo, allo scopo, il Blocco Note di Windows oppure software come TextPad), si otterrà l’elenco dei file analizzati dal programma. Accanto a ciascun file vengono riportate alcune indicazioni “autoesplicative”:
[B] Bad (Malware)
[BP] Bad program (Malware)
[G] Good (Benigno)
[GP] Good program (Benigno)
[U] Sconosciuto
[UP] Programma sconosciuto

Rispetto alle precedenti versioni, il log generato da Prevx 3.0 risulta ancora più chiaro e leggibile: in testa al report vengono subito indicati i file nocivi ed accanto a ciascuno di essi viene riportato se il file risulti al momento in esecuzione (“active”).

Grazie alle indicazioni conservate nel file di log prodotto da Prevx 3.0 è quindi molto semplice capire con quali malware si ha a che fare.

Ricorrendo alla scheda Settings di Prevx 3.0, si può accedere alla finestra delle configurazioni avanzate del programma. Cliccando su Basic configuration, è possibile abilitare il rilevamento di componenti rootkit, il download degli aggiornamenti del software e l’applicazione degli stessi, l’integrazione con l’interfaccia del sistema operativo (menù contestuale che compare cliccando con il tasto destro del mouse), mostrare un’icona nell’area della traybar, abilitare o disabilitare la visualizzazione di una finestra di presentazione all’avvio di Windows, attivare la scansione in tempo reale del MBR, fare in modo che il software ricordi le scelte operate sui vari file oggetto di esame. Tutte le opzioni citate sono attivate per impostazione predefinita. Spuntando le apposite caselle è inoltre possibile creare automaticamente un collegamento a Prevx 3.0 sul desktop e proteggere la configurazione del programma mediante l’utilizzo di una password.

Per analizzare cartelle o file specifici, è possibile accedere alla scheda Tools quindi cliccare su Advanced scan.