Kaspersky Internet Security 6: un gradito ritorno

Kaspersky  Internet Security 6: un gradito ritorno

Dopo mesi trascorsi a sviluppare le nuove tecnologie restando ad osservare le mosse dei concorrenti, il team russo guidato da Eugene Kaspersky torna a far parlare di sè rilasciando la nuova versione del proprio software antivirus. Una suite completa capace di fornire protezione al sistema su tutti i fronti possibili

di pubblicato il nel canale Sicurezza
 

Proactive Defense Module

Come si è detto nella pagina precedente la vera novità di Kaspersky Antivirus 6 è il Proactive Defense Module, il nuovo modulo che aggiunge finalmente al già solido motore di scansione Kaspersky la possibilità di individuare preventivamente nuovi malicious software per i quali non esiste ancora una firma virale.

Per fare ciò, il nuovo modulo si basa sull'analisi comportamentale dei file eseguiti sul sistema, cioè tiene sotto controllo il comportamento dei file e ne determina le azioni. Se le azioni compiute sono dannose il file viene bloccato, altrimenti viene lasciato libero.

Il modulo, come detto nel paragrafo precedente, è diviso in quattro sotto moduli, ognuno adibito ad un particolare scopo:

  • Application Activity Analyzer - adibito prettamente all'analisi comportamentale dei files;
  • Application Integrity Control - adibito al controllo dei processi attivi nel sistema, blocca eventuali tentativi di file injection o di process patching;
  • Registry Guard - adibito al controllo del registro di sistema di Windows, tiene sotto controllo eventuali modifiche anomale;
  • Office Guard - adibito al controllo dei file di Office, al comportamento di eventuali macro dannose.

Per i meno esperti risulta interessante sapere come funziona a grandi linee l'analisi comportamentale di un file. Di malware, numericamente parlando, ne esistono centinaia di migliaia; tuttavia i comportamenti che essi hanno all'interno del sistema e le modalità di infezione, sono spesso simili tra di loro, permettendo ai ricercatori di poter riassumerli in alcuni gruppi comuni, ognuno determinato da regole generiche.

Esempio: la maggior parte dei malware comuni tenta di copiarsi all'interno della directory di Windows, tenta di modificare il registro di sistema in determinate chiavi e magari tenta di connettersi ad internet, senza però nessuna finestra visibile agli occhi degli utenti. Se si uniscono queste regole in un gruppo, denonimato "Generic Malware" e lo si applica ad un modulo di analisi comportamentale, si avrà come risultato che qualunque file compia le cose descritte dalle regole verrà identificato come Generic Malware e, di conseguenza, bloccato.

L'esempio è volutamente semplice e incompleto, ma permette di avere le basi per capire che il Proactive Defense Module di Kaspersky controlla solo alcuni comportamenti dei file eseguiti all'interno del sistema, quei comportamenti dannosi che possono essere indice di un malware. Il modulo di Kaspersky mette a disposizione la funzionalità di RollBack, cioè la possibilità - una volta individuato un malware generico - di eliminare tutte le modifiche effettuate dal file nocivo e registrate dal PDM e, letteralmente quindi, "rotolare" indietro prima che il malware fosse eseguito.

Nella prova sul campo il nuovo modulo di Kaspersky si è comportato egregiamente bloccando i nuovi malware non ancora riconosciuti tramite firme virali. Il modulo, una volta identificato il sospetto malware, fornisce all'utente una cronologia delle modifiche effettuate dal file e chiede all'utente se bloccarlo e fare il Rollback o se accettare le modifiche effettuate.

Si sono evidenziati in alcuni casi dei problemi alla funzionalità di RollBack la quale non è riuscita ad eliminare tutte le modifiche effettuate al sistema, sebbene abbia comunque bloccato il malware rendendolo inoffensivo. Inutile dire che, dove non è riuscito il nuovo PDM, è arrivato l'onnipotente database di firme virali di Kaspersky. Nei nostri test di laboratorio il nuovo modulo di difesa proattiva si è lasciato sfuggire alcuni nuovi trojan downloader bloccando però immediatamente il malware che questi trojan downloader hanno tentato di scaricare.

Bisogna però rilevare che la soluzione di inserire questo modulo di analisi comportamentale è solo un piccolo passo avanti per colmare la lacuna della mancanza di una tecnologia euristica. Infatti il Proactive Defense Module ha la propria efficacia solamente in real time, cioè eseguendo fisicamente il file sul sistema. Manca invece la tecnologia euristica in fase di scansione su richiesta, la quale risulta pressoché identica a quella della versione precedente. La società ha comunque comunicato che sta lavorando per sviluppare una solida tecnologia euristica che completerà l'attuale mancanza.

 
^