PrevX CSI 3.0: scansione e rimozione delle minacce

PrevX CSI è un software estremamente leggero (il file eseguibile pesa appena 900 KB) che consente di indagare se sul sistema in uso siano presenti “ospiti indesiderati” (virus, trojan, rootkit e malware in generale).
Il prodotto della società inglese si è sempre distinto, durante i nostri test, per l’abilità nell’individuazione delle più disparate tipologie di componenti malware.

La terza versione di PrevX CSI è arrivata “in punta di piedi”, pur integrando numerose interessanti novità.
Si parte dal motore di scansione, in gran parte riscritto, e dotato della tecnologia sDDA (smart Direct Disk Access) che mira a rendere il prodotto ancor più efficiente. Tra le novità un motore antirootkit completamente rivisto rispetto al passato ed un “inedito” motore per l’analisi del contenuto del registro di sistema di Windows.
Marco Giuliani, Prevx Malware Analyst, spiega che la tecnologia sDDA permette di poter leggere file e tutto ciò che è presente sul disco in maniera totalmente indipendente dal sistema operativo, evitando così di dover fare affidamento alle componenti di Windows che possono essere alterate in molteplici modi da malware e rootkit in particolare.
Gli interventi apportati a PrevX CSI, con il lancio della terza versione del prodotto, mirano a rendere il software abile a rilevare tempestivamente, sul nascere, nuove minacce.

CSI sembra poi adattarsi costantemente alle ultime tendenze malware. La terza versione del prodotto appare infatti plasmata in funzione dell’evoluzione che lo scenario dei malware ha subìto nel corso degli ultimi mesi. Il software di PrevX, ad esempio, è stato uno dei primi prodotti ad essere stato in grado di riconoscere rootkit che si insediano parzialmente anche nel “Master Boot Record” (MBR) del disco fisso. Tra le novità nella diffusione di malware che moltiplici software house hanno evidenziato, vi è infatti l’apparazione di virus che sovrascrivono il record di avvio (MBR) dell’hard disk impiegando però alcune funzioni mimetiche a livello kernel. Nel primo semestre del 2008 sono apparse 97 varianti di questo virus. Una rivisitazione di una vecchia strategia (i virus che infettavano il MBR risalgono ai tempi del DOS) che vede impiegate, in chiave moderna, tecniche rootkit (per maggiori informazioni sul “Master Boot Record”, suggeriamo di fare riferimento a questi articoli). La terza versione di PrevX CSI, inoltre, è capace – tra gli altri – di riconoscere e rimuovere senza problemi il famigerato rootkit “Rustock.C”

Il principio di funzionamento di PrevX CSI 3.0 resta comunque invariato: l’utente non deve preoccuparsi di scaricare aggiornamenti dato che il programma non poggia su un archivio di firme virali memorizzato in locale. Piuttosto, CSI fa affidamento sul Prevx Community Database che consente all’azienda alglosassione di essere costantemente aggiornata sulla diffusione di nuove tipologie di malware ed agli utenti di rilevare tempestivamente, in un lasso di tempo minimo, eventuali minacce presenti sul proprio sistema.
Giuliani spiega che, grazie all’impiego di diverse tecnologie di analisi comportamentale che mettono sotto la lente i dati presenti nei file e riportano al database centrale rappresentazioni matematiche dei programmi, tutte le informazioni, una volta aggiunte nel database, vengono analizzate e paragonate con quelle fornite dall’intera comunità. Sui server PrevX sono impiegati software per l’analisi avanzata dei campioni sospetti pervenuti che offrono una più ampia visuale delle azioni che ciascun programma potrebbe mettere in atto.

Requisito indispensabile per l’utilizzo di PrevX CSI è però l’utilizzo di una connessione Internet attiva e funzionante.

PrevX CSI è nato per lavorare “sul campo”. Rispetto ad altri software antimalware non è quindi necessario avviare una scansione da modalità provvisoria (obbligatoriamente “con supporto di rete”, nel caso di CSI; ved. anche questo articolo).

Qualunque utente può effettuare gratuitamente una scansione del personal computer con PrevX CSI: chi desiderasse però eliminare i malware eventualmente rilevati deve necessariamente acquistare una licenza a pagamento.
Ad ogni modo, anche chi non volesse per il momento acquistare il software, preferendo valutarne le abilità in un periodo di tempo più lungo, può servirsi delle sue ottime abilità in fase di scansione per raccogliere preziose informazioni sugli elementi nocivi, eventualmente presenti sul sistema, che debbono essere eliminati.

A scansione terminata (è avviabile semplicemente facendo doppio clic sul file eseguibile di PrevX CSI), il software mostra un elenco degli eventuali componenti dannosi rilevati sul sistema. Cliccando sulla voce Tools and settings quindi su Save a log file, è possibile richiedere a CSI di produrre un file di registro (“log”) contenente le informazioni su tutti i file esaminati e, soprattutto, l’elenco degli oggetti nocivi eventualmente presenti.

Accanto a ciascun file vengono riportate alcune indicazioni:
[B] Bad (Malware)
[BP] Bad program (Malware)
[G] Good (Benigno)
[GP] Good program (Benigno)
[U] Sconosciuto
[UP] Programma sconosciuto

Rispetto alle precedenti versioni, il log generato da PrevX CSI 3.0 appare molto più chiaro e leggibile. In testa al report vengono ora immediatamente indicati i file nocivi mentre in calce allo stesso è sempre inserito un interessantissimo resoconto finale.

Nella sezione Tools and settings debuttano anche Manual cleanup e Cleanup rollback. La prima è una funzionalità che permette agli utenti più smaliziati di eliminare manualmente uno o più file mentre la seconda consente di tornare sui propri passi, ripristinando la configurazione del sistema precedente alla disinfezione, nel caso in cui si dovessero rilevare problemi di stabilità od altri malfunzionamenti.

E’ interessante notare come al file eseguibile di PrevX CSI, ad ogni download, venga attribuito un nome composto da caratteri alfanumerici posti in successione casuale. Il motivo è semplice: in questo modo PrevX CSI può passare inosservato all’azione di malware (in genere, rootkit) che inibiscono il funzionamento di software per la sicurezza sulla base del loro nome o di altre proprietà degli eseguibili.