Dialer, Trojan, Rogue software, Spyware, Worm, Rootkit: ormai i pericoli che si possono trovare in rete sono tantissimi. A-squared è uno di quei programmi che promette di affrontare tutte queste minacce per cercare di eliminarle.
Ma sarà poi sempre così? Scopriamolo insieme...
Avevo usato A-squared nella sua versione freeware in passato, sopratutto dopo averlo integrato nel MegaLabCd utility, con discreti risultati, qualche falsa rilevazione ma una buona capacità nel ripulire i problemi trovati.
Negli ultimi mesi hanno integrato all'interno del programma il motore di scansione dell'antivirus Ikarus e da quello che avevo letto in rete, oltre ad un'aumentata pesantezza del programma, i falsi positivi rilevati erano cresciuti ancora.
Con l'uscita della versione quattro di A2 squared ho deciso di dare una nuova occhiata al programma per vedere se tutte queste critiche corrispondevano al vero.
Intanto diciamo che il programma è in Italiano, è distribuito anche in una versione gratuita priva del controllo in tempo reale e funziona sia su Windows XP che su Vista.
Appena installato il programma facciamo un primo aggiornamento. Quasi tutti gli aggiornamenti che ho fatto durante questa prova sono stati piuttosto consistenti.
Non ci sono moltissime configurazioni da fare per utilizzare il programma, giusto abilitare Attiva integrazione con Explorer per poter avviare la scansione direttamente dal menu contestuale di Explorer.
Visti i risultati delle scansioni fatte si dimostra piuttosto preoccupante la Ri-Scansione Quarantena dove sono ricontrollati automaticamente, dopo ogni aggiornamento delle definizioni del programma, i file messi in quarantena per eliminare le false rilevazioni.
Non ci sono altre opzioni significative nella configurazione del programma.
Sono possibili quattro tipi di scansione, Veloce e Intelligente sono rapide ma controllano solo alcune aree specifiche del computer, la Completa e la Personalizzata controllano tutto il PC (o alcune zone a nostra scelta) ma impiegano invece molto più tempo.
Sicuramente più interessante la scansione personalizzata dove possiamo scegliere di controllare solo alcune cartelle, partizioni o tipi di Malware.
Il test
La prova si è svolta nella prima settimana di Aprile su un con Windows XP Home SP3 e un giga di RAM.
<p> Eseguo una prima scansione completa del computer senza neanche aggiornare le definizioni che risalivano alla settimana precedente, quando avevo preparato il MegaLabCd utility.
Alla fine della scansione, lunghissima, circa un'ora per una partizione di 40 GB, viene visualizzato un messaggio di avviso della presenza di infezioni e un invito a passare ad a-squared Anti-Malware programma più completo e a pagamento.
Andando ad analizzare i risultati ci sono ben 25 rilevazioni, su un sistema che sapevo essere pulito.
Tralasciando i due cookies, ci sono 23 falsi allarmi, quasi tutti legati agli eseguibili di Java e uno ad un uninstaller di un programma.
Tanto per essere sicuro controllo su Virustotal.com un paio degli eseguibili "presunti" infetti, e, infatti, sono riconosciuti come pericolosi solo da A-squared e Ikarus.
Aggiorno le definizioni del programma e rilancio una scansione veloce questa volta, che è un semplice controllo dei programmi attivi in memoria e dei Cookies.
Anche qui riesce a darmi una nuova falsa rilevazione in uno dei file di Online Armor firewall.
A fidarsi delle rilevazioni di A-squared con due scansioni avrei eliminato parte di Online armor e di Java.
L'infezione
Mi sarebbero bastate queste due semplici prove per bocciare
A-squared senza troppi rimpianti, ma decido di infettare il computer
con alcuni malware.
Scelgo due adware piuttosto complicati come Smiley Central con MyWebSearch e Hotbar, poi due più semplici come Whenu Save now e New.net
Non potevano mancare i rogue software e scelgo MacroAV, ErrorSweeper e IE Antivirus.
Oltre a questi problemi con cui ho infettato direttamente il
computer, copio in una cartella un buon numero di malware di vari tipi,
ma questi non li attivo, per mettere alla prova il motore
dell'antivirus Ikarus.
Aggiorno le definizioni e rilancio una scansione completa del PC.
Durante la scansione tutti gli oggetti a rischio basso non sono
abilitati per la rimozione, bisogna sempre riguardare il report della
scansione per abilitare anche questi.
[URL=http://www.megalab.it/images/contents/16338/big.jpg]
Persino i dialer sono considerati a basso rischio.
Anche programmi attivi in memoria degli adware di Mywebsearch e NewDotNet sono a basso rischio.
Anche nella scansione completa ripete l'errore con uno dei processi
di Online armor firewall, sono sparite le false rilevazioni sugli
eseguibili di Java viste all'inizio.
Scansione lunga e piuttosto pesante, due processi attivi, a2free.exe
e a2service.exe, uno consuma tanta CPU e l'altro
tanta RAM.
Gli altri processi fanno parte degli adware Hotbar e
MyWebSearch, i rogue software li avevo terminati perchè continuavano a
mostrare i loro messaggi di avviso di presunte infezioni rendendo
ingestibile il computer.
Alla fine di questa lunghissima scansione, sono 4573 i problemi trovati.
Seleziono le rilevazioni che non erano state abilitate perché
considerate poco pericolose e avvio la rimozione che è invece molto
veloce.
Forse anche troppo veloce visto che sono numerose le cose che non rimuove.
A questo punto avvio una scansione con Malwarebytes che rileva altri 294 problemi rimasti.
Ci sono anche molti virus e un falso positivo con l'eseguibile di Avenger.
Dopo la richiesta di un riavvio per eliminare tutti quei malware che avevano mandato in crisi A-squared il PC è ripulito.
Scansione della cartella con i malware
Avvio invece una scansione solo della cartella contenente i malware,
che avevo nel frattempo ricopiato visto che buona parte di essi erano
stati eliminati durante le scansioni di Malwarebytes e A-Squared.
Secondo Avira Antivirus Premium i file infetti sono oltre 9000,
molti sono contenuti in archivi, mentre altri malware sono estratti
dagli stessi archivi.
Facendo analizzare solo la cartella con i malware ha rilevato un
numero maggiore di problemi rispetto alla scansione completa del
computer eseguita in precedenza. Questa differenza di rilevazioni non me la sono riuscita a spiegare.
Tanto per togliermi ogni ragionevole dubbio, eseguo una scansione su
un computer con Windows Vista e anche qui ci sono un paio di falsi
positivi che riguardano un programma freeware, UnderCover.exe,
considerato come un virus ed un file che si trova nel cestino che dovrebbe essere una copia dello stesso file che avevo eliminato in precedenza.
<p><a href="http://www.megalab.it/images/contents/16333/big.jpg" class="smoothbox" title="Asqua22.jpg - 15/04/2009 - 562x261">
Conclusioni
Cosa rimane da dire dopo questa sconcertante prova? quanto avevo letto sulle esagerate false rilevazioni si è dimostrato vero.
Una cosa che non mi piace molto è la presenza di un servizio sempre attivo, a2service.exe, collegato ad a2 squared, anche quando il programma principale e chiuso.
Il programma è molto pesante durante la scansione, considera a basso rischio molte componenti malware che non sono proprio innocue, manca anche una funzione che selezioni tutti i problemi trovati durante la scansione per eliminarli, tante cose trovate non è poi riuscito a rimuoverle.
Programma per esperti che sappiano riconoscere gli eventuali (e molto probabili) falsi positivi, da usarsi per un controllo, ma prima di procedere alla rimozione prestate molta attenzione a cosa vi è stato segnalato.
FONTE
