59865 Letture

AntivirusKit 2006: protezione globale contro virus e malware

L'incremento costante nella sofisticazione delle minacce e delle modalità di diffusione degli spyware associato alla crescita allarmante nel numero di attacchi e accessi non autorizzati, ha indicato il 2005 anno simbolo dello spyware: tale considerazione deriva dallo State of Spyware Report pubblicato da Webroot Software, sviluppatrice di software antispyware. Il 2005 è stato quindi un "annus horribilis": utenti finali ed aziende, grandi e piccole, hanno subìto un numero elevato di infezioni da parte delle forme di spyware più pericolose. Allarmante la crescita delle forme più insidiose: trojan horse e programmi maligni in grado di registare le attività dell'utente e di ristramettere a terzi, senza alcuna autorizzazione, dati sensibili. Tra terzo e quarto trimestre 2005, il numero di infezioni da trojan horse è salito del 9% per le aziende, e il numero di system monitor è aumentato del 50% per trimestre.

Un antivirus è un software che, una volta installato sul personal computer, si incarica di individuare, neutralizzare ed eliminare virus e malware.
I virus sono veri e propri piccoli programmi in grado di causare, una volta mandati in esecuzione, gravi danni sul personal computer. Fino a qualche tempo fa era possibile fare una distinzione marcata tra le varie tipologie di virus in circolazione. Oggi ciò è diventato problematico perché il confine tra un tipo di virus ed un altro sta divenendo sempre più sfumato. Capita infatti sempre più di frequente che un virus, una volta insediatosi sul sistema, attivi funzionalità di "keylogging" (vengono registrati i dati personali inseriti dall'utente ed inviati a terzi a sua totale insaputa), "backdoor" (viene aperta una speciale porta per la gestione remota, da parte di un aggressore, del sistema "vittima"), "spyware" (le azioni compiute dall'utente e le sue preferenze vengono "spiate" e trasmesse altrove).
Un virus può usare molteplici metodologie d'infezione in modo da ampliare enormemente le sue possibilità di diffusione: può adottare tecniche di persuasione che spingano l'utente ad aprire un allegato infetto, sfruttare vulnerabilità del sistema operativo, del client di posta elettronica adottato oppure di altri software di comunicazione, diffondersi attraverso software per la messaggistica istantanea (anche in questo caso appoggiandosi a vulnerabilità intrinseche o mettendo in pratica tecniche di "social engineering"), attraverso client peer-to-peer sotto forma di falsi file (l'utente apre un file virale che in realtà egli si aspetterebbe fosse un contenuto di tipo benigno), mediante vari tipi di supporto di memorizzazione o attraverso le risorse condivise.

In questo articolo presentiamo GData AntivirusKit 2006, un software antivirus del quale si comincia a sentir parlare anche nel nostro Paese. IlSoftware.it, addirittura nel 2003, è stato il primo sito web italiano a recensire e proporre ai propri lettori il software AntivirusKit di GData (ved. questa pagina). Il prodotto era infatti da tempo apprezzato in Germania ma risultava assolutamente sconosciuto ai più in Italia. Allora, la software house produttrice non aveva ancora iniziato a presentarsi in ambito italiano e sul sito web ufficiale era difficile reperire una versione trial nella nostra lingua. AntivirusKit ha ottenuto numerosi riconoscimenti a livello internazionale ed ottenuto ben 9 premi (VB 100%) da parte di VirusBulletin (ved. questa pagina previa registrazione).
Oggi le cose sono profondamente cambiate e GData ha stretto un accordo con un'agenzia che segue il prodotto sul nostro territorio nazionale e che ci ha fornito il materiale per il test.

AntivirusKit 2006 si distingue, rispetto alla "concorrenza" per due aspetti principali: l'integrazione delle funzionalità DoubleScan ed OutbreakShield. Vediamo di che cosa si tratta.


La tecnologia DoubleScan, comune anche alle precedenti versioni, consiste nell'utilizzo simultaneo di due motori antivirus: l'uno realizzato da Kaspersky, l'altro da BitDefender. I due motori che già da soli offrono un elevato livello di sicurezza grazie alle abilità di riconoscimento virus, permettono di accreditare a AntivirusKit una percentuale di identificazione virus che supera il 99%.
Nella versione da noi testata nel 2003, AntivirusKit utilizzava oltre al motore di Kaspersky anche il RAV di GeCAD Software, azienda rumena acquisita pochi mesi dopo (Giugno 2003) da parte di Microsoft. GData ha quindi optato, per le versioni successive del proprio antivirus, per il motore sviluppato da BitDefender.


OutbreakScan, invece - novità assoluta per la versione 2006 di AntivirusKit - nasce da una semplice constatazione: ogni giorno vengono sviluppati e cominciano a diffondersi (generalmente attraverso la posta elettronica) nuovi virus. Prima che un software antivirus sia in grado di riconoscere automaticamente le nuove minacce possono passare dalle 4 alle 30 ore di tempo (analisi del componente maligno da parte del team di esperti della software house, aggiornamento delle abilità di riconoscimento dell'antivirus, distribuzione delle nuove firme virali a tutti i clienti del prodotto). L'obiettivo di GData è quello di rendere l'antivirus un software maggiormente "reattivo" che possa intercettare minacce ancora sconosciute (per le quali non esistono informazioni nell'archivio delle firme virali) entro pochi secondi.
La tecnologia OutbreakScan è il risultato di un'intesa stretta con la società Commtouch, realtà che s'interessa primariamente dello sviluppo di soluzioni di e-mailing, e si basa - come facilmente intuibile - su un approccio euristico: ogni e-mail che viene scaricata sul personal computer dell'utente, viene in prima istanza analizzata utilizzando i due motori di scansione dell'antivirus (Kaspersky e BitDefender) quindi, qualora non venisse rilevato alcunché di sospetto, il programma passerà ad interrogare il database fornito da Commtouch. Si tratta, quest'ultimo, di un archivio, mantenuto costantemente aggiornato, che tiene traccia del traffico in Rete relativo alla posta elettronica prendendo, come riferimento, un gran numero di sistemi proprietari. Quando il sistema di Commtouch rileva l'arrivo di e-mail dalle caratteristiche molto simili, li memorizza all'interno del database insieme con le informazioni caratteristiche (dimensioni, indirizzi IP, altre peculiarità ed, in generale, le instestazioni del messaggio). Non appena, dopo un certo lasso di tempo, un'e-mail con caratteristiche similari viene ricevuta diverse volte tanto da superare una certa soglia, tale messaggio viene immediatamente classificato come spam oppure come infetto.
AntivirusKit, quindi, dopo aver effettuato una scansione utilizzando la soluzione tradizionale (analisi mediante l'uso delle firme virali), verifica se sul database Commtouch siano presenti e-mail con caratteristiche identiche o molto vicine a quella ricevuta.
Questo tipo approccio si rivela particolarmente efficace: molti malware riescono a diffondersi rapidamente proprio perché gli antivirus "normali" talvolta non riescono ad individuare minacce di recente sviluppo (se non tramite altre funzionalità euristico-comportamentali). In questo modo, gli sviluppatori di virus e malware possono infettare, con alte probabilità di successo, un gran numero di sistemi. La tecnologia OutbreakScan si basa proprio sulla registrazione dei volumi di traffico tipicamente generati da virus e malware non ancora riconosciuti tramite i sistemi classici dai vari antivirus.


AntivirusKit 2006: protezione globale contro virus e malware - IlSoftware.it