19091 Letture

PrevX CSI 3.0: scansione e rimozione delle minacce

PrevX CSI è un software estremamente leggero (il file eseguibile pesa appena 900 KB) che consente di indagare se sul sistema in uso siano presenti "ospiti indesiderati" (virus, trojan, rootkit e malware in generale).
Il prodotto della società inglese si è sempre distinto, durante i nostri test, per l'abilità nell'individuazione delle più disparate tipologie di componenti malware.

La terza versione di PrevX CSI è arrivata "in punta di piedi", pur integrando numerose interessanti novità.
Si parte dal motore di scansione, in gran parte riscritto, e dotato della tecnologia sDDA (smart Direct Disk Access) che mira a rendere il prodotto ancor più efficiente. Tra le novità un motore antirootkit completamente rivisto rispetto al passato ed un "inedito" motore per l'analisi del contenuto del registro di sistema di Windows.
Marco Giuliani, Prevx Malware Analyst, spiega che la tecnologia sDDA permette di poter leggere file e tutto ciò che è presente sul disco in maniera totalmente indipendente dal sistema operativo, evitando così di dover fare affidamento alle componenti di Windows che possono essere alterate in molteplici modi da malware e rootkit in particolare.
Gli interventi apportati a PrevX CSI, con il lancio della terza versione del prodotto, mirano a rendere il software abile a rilevare tempestivamente, sul nascere, nuove minacce.

CSI sembra poi adattarsi costantemente alle ultime tendenze malware. La terza versione del prodotto appare infatti plasmata in funzione dell'evoluzione che lo scenario dei malware ha subìto nel corso degli ultimi mesi. Il software di PrevX, ad esempio, è stato uno dei primi prodotti ad essere stato in grado di riconoscere rootkit che si insediano parzialmente anche nel "Master Boot Record" (MBR) del disco fisso. Tra le novità nella diffusione di malware che moltiplici software house hanno evidenziato, vi è infatti l'apparazione di virus che sovrascrivono il record di avvio (MBR) dell'hard disk impiegando però alcune funzioni mimetiche a livello kernel. Nel primo semestre del 2008 sono apparse 97 varianti di questo virus. Una rivisitazione di una vecchia strategia (i virus che infettavano il MBR risalgono ai tempi del DOS) che vede impiegate, in chiave moderna, tecniche rootkit (per maggiori informazioni sul "Master Boot Record", suggeriamo di fare riferimento a questi articoli). La terza versione di PrevX CSI, inoltre, è capace - tra gli altri - di riconoscere e rimuovere senza problemi il famigerato rootkit "Rustock.C"

Il principio di funzionamento di PrevX CSI 3.0 resta comunque invariato: l'utente non deve preoccuparsi di scaricare aggiornamenti dato che il programma non poggia su un archivio di firme virali memorizzato in locale. Piuttosto, CSI fa affidamento sul Prevx Community Database che consente all'azienda alglosassione di essere costantemente aggiornata sulla diffusione di nuove tipologie di malware ed agli utenti di rilevare tempestivamente, in un lasso di tempo minimo, eventuali minacce presenti sul proprio sistema.
Giuliani spiega che, grazie all'impiego di diverse tecnologie di analisi comportamentale che mettono sotto la lente i dati presenti nei file e riportano al database centrale rappresentazioni matematiche dei programmi, tutte le informazioni, una volta aggiunte nel database, vengono analizzate e paragonate con quelle fornite dall'intera comunità. Sui server PrevX sono impiegati software per l'analisi avanzata dei campioni sospetti pervenuti che offrono una più ampia visuale delle azioni che ciascun programma potrebbe mettere in atto.


Requisito indispensabile per l'utilizzo di PrevX CSI è però l'utilizzo di una connessione Internet attiva e funzionante.

PrevX CSI è nato per lavorare "sul campo". Rispetto ad altri software antimalware non è quindi necessario avviare una scansione da modalità provvisoria (obbligatoriamente "con supporto di rete", nel caso di CSI; ved. anche questo articolo).

Qualunque utente può effettuare gratuitamente una scansione del personal computer con PrevX CSI: chi desiderasse però eliminare i malware eventualmente rilevati deve necessariamente acquistare una licenza a pagamento.
Ad ogni modo, anche chi non volesse per il momento acquistare il software, preferendo valutarne le abilità in un periodo di tempo più lungo, può servirsi delle sue ottime abilità in fase di scansione per raccogliere preziose informazioni sugli elementi nocivi, eventualmente presenti sul sistema, che debbono essere eliminati.

A scansione terminata (è avviabile semplicemente facendo doppio clic sul file eseguibile di PrevX CSI), il software mostra un elenco degli eventuali componenti dannosi rilevati sul sistema. Cliccando sulla voce Tools and settings quindi su Save a log file, è possibile richiedere a CSI di produrre un file di registro ("log") contenente le informazioni su tutti i file esaminati e, soprattutto, l'elenco degli oggetti nocivi eventualmente presenti.

Accanto a ciascun file vengono riportate alcune indicazioni:
[B] Bad (Malware)
[BP] Bad program (Malware)
[G] Good (Benigno)
[GP] Good program (Benigno)
[U] Sconosciuto
[UP] Programma sconosciuto

Rispetto alle precedenti versioni, il log generato da PrevX CSI 3.0 appare molto più chiaro e leggibile. In testa al report vengono ora immediatamente indicati i file nocivi mentre in calce allo stesso è sempre inserito un interessantissimo resoconto finale.

Nella sezione Tools and settings debuttano anche Manual cleanup e Cleanup rollback. La prima è una funzionalità che permette agli utenti più smaliziati di eliminare manualmente uno o più file mentre la seconda consente di tornare sui propri passi, ripristinando la configurazione del sistema precedente alla disinfezione, nel caso in cui si dovessero rilevare problemi di stabilità od altri malfunzionamenti.


La terza vesione di PrevX CSI è scaricabile gratuitamente da questa pagina. E' interessante notare come al file eseguibile di PrevX CSI, ad ogni download, venga attribuito un nome composto da caratteri alfanumerici posti in successione casuale. Il motivo è semplice: in questo modo PrevX CSI può passare inosservato all'azione di malware (in genere, rootkit) che inibiscono il funzionamento di software per la sicurezza sulla base del loro nome o di altre proprietà degli eseguibili.


  1. Avatar
    EraserCSI
    04/10/2008 14:35:27
    Salve,

    ringrazio Michele Nasi per avermi segnalato questa discussione.

    Siamo a conoscenza di possibili falsi positivi riscontrati da alcuni software antivirus nei confronti di Prevx CSI (Nod32 e Sophos).

    Ad oggi, entrambi dovrebbero essere stati corretti. Suggerirei dunque di aggiornare le firme virali e controllare successivamente se il file è ancora individuato.

    Per quanto riguarda l'accusa di fare i furbi, vorrei specificare prima alcune informazioni tecniche.

    La signature utilizzata da Sophos è una signature generica, data da un'analisi comportamentale.

    Purtroppo, più volte svariati software sono stati individuati erroneamente dai prodotti Sophos come malware informatici a causa dell'eccessiva "sensibilità" del prodotto che, tuttavia, non è studiato per un uso prettamente home quanto più per un utilizzo in ambito aziendale. Visto sotto questa ottica, le politiche aziendali preferiscono ricevere allarmi in più piuttosto che rischiare di rimanere infetti.

    In aggiunta, la signature con la quale Sophos identifica Prevx CSI non è una signature di un malware preciso, ma è semplicemente un "sospetto" che il prodotto possa essere un malware (euristica basata su analisi comportamentale).

    Da dove proviene il sospetto? Questa è la definizione data da Sophos per la signature "Mal/Behav - 004":

    Citazione: "Malware detected as Mal/Behav-004 typically have the functionality to communicate with a remote server via HTTP like downloader Trojans (for example Troj/WebDL-L) and network worms (certain members of the W32/Sdbot family)."


    Chiaramente, se date una letta all'ottimo articolo scritto da Michele riguardo Prevx CSI, capirete anche il perché Sophos ha identificato questo comportamento.

    Per qualsiasi domanda o dubbio, tuttavia, potete contattare direttamente il supportot tecnico Prevx attraverso il sito web.

    Distinti saluti,

    Marco
  2. Avatar
    Michele Nasi
    04/10/2008 14:23:14
    Citazione: ma lo sapete che quando ho eseguito il file di installazione del programma dal sito in italiano, sophos antivirus ha rilevato il virus/spyware "Mal/Behav - 004"? a quanto pare fanno i furbi, infettano il pc con lo stesso programma che dovrebbe trovare i malware, poi una volta avviato individua lo stesso malware e noi pirla corriamo a comprare la versione completa per pulire il pc. Complimenti davvero!


    Non è mai corretto fare queste "esternazioni" gratuite senza cognizione di causa. E' ovvio che il messaggio che hai ricevuto trattasi di un "falso positivo" ovvero di una segnalazione errata.
    Può succedere quando sullo stesso sistema vengono avviati più software per la sicurezza sviluppati da produttori differenti. Software antivirus ed antimalware, infatti, utilizzano speciali algoritmi per l'individuazione delle minacce che "agli occhi" di altri prodotti possono risultare sospetti. L'utilizzo, poi, di archivi di firme virali può accentuare il problema di falsi positivi nel caso in cui si impieghino più soluzioni per la sicurezza sul medesimo sistema (questo è il motivo per cui è sempre sconsigliato installare più software antivirus sul medesimo personal computer).

    Per quanto concerne la segnalazione in questione, mi risulta comunque che tutti i principali produttori abbiano sistemato il problema:
    http://www.virustotal.com/analisis/ccf4 ... 6883e3d120

    Evitiamo di urlare "al lupo, al lupo" quando non ve n'è bisogno.
  3. Avatar
    jacopo
    04/10/2008 12:30:45
    Citazione: Salvo prova contraria, un falso positivo di Sophos.


    Confermo.
    Già il nome generico attribuito al presunto virus (Mal/Behav) indica un falso positivo.
  4. Avatar
    Chulo
    04/10/2008 02:34:20
    Citazione: ma lo sapete che quando ho eseguito il file di installazione del programma dal sito in italiano, sophos antivirus ha rilevato il virus/spyware "Mal/Behav - 004"? a quanto pare fanno i furbi, infettano il pc con lo stesso programma che dovrebbe trovare i malware, poi una volta avviato individua lo stesso malware e noi pirla corriamo a comprare la versione completa per pulire il pc. Complimenti davvero!

    Beh ma non direi proprio che un prodotto come Prevx faccia di questi "giochini" :wink: .
    Salvo prova contraria, un falso positivo di Sophos.
    Quanto descrivi succede anche, ma viene praticato da tutt'altro tipo di software house (ammesso e non concesso si possa chiamarle così) e programmi, definiti anche come "rogue antivirus/antispyware", ovvero falsi-finti programmi antiV. Ma tacciare Prevx di farne parte, direi che è un po' azzardato :wink:
  5. Avatar
    peperoncino69
    04/10/2008 01:06:41
    ma lo sapete che quando ho eseguito il file di installazione del programma dal sito in italiano, sophos antivirus ha rilevato il virus/spyware "Mal/Behav - 004"? a quanto pare fanno i furbi, infettano il pc con lo stesso programma che dovrebbe trovare i malware, poi una volta avviato individua lo stesso malware e noi pirla corriamo a comprare la versione completa per pulire il pc. Complimenti davvero!
  6. Avatar
    wonwuster
    02/10/2008 20:52:45
    Citazione: Nell'articolo comunque l'ho scritto esplicitamente. PrevX CSI resta comunque un ottimo tool per la tempestiva individuazione di eventuali minacce.


    certo Direttore l'avevo notato :)
  7. Avatar
    Michele Nasi
    02/10/2008 18:55:26
    Nell'articolo comunque l'ho scritto esplicitamente. PrevX CSI resta comunque un ottimo tool per la tempestiva individuazione di eventuali minacce.
  8. Avatar
    wonwuster
    02/10/2008 18:31:04
    vorrei sottolineare che con certe infezioni la versione free richiede un codice di attivazione a pagamento..
  9. Avatar
    Leolas
    02/10/2008 18:04:33
    ottima recensione :D avete anche fatto in fretta a farla

    strano che abbiano pubblicizzato l'uscita della v3 così poco... magari lo faranno di più con l'uscita di Prevx3
  10. Avatar
    Michele Nasi
    02/10/2008 14:08:33
    Sì, non l'ho ancora inserita perché la traduzione deve essere ulteriormente migliorata.
PrevX CSI 3.0: scansione e rimozione delle minacce - IlSoftware.it