I grandi fornitori di software come Adobe, Java e altri hanno inserito nei loro pacchetti di download software di terze parti (barre degli strumenti, componenti aggiuntivi) che permettono agli utenti di eseguire un controllo del sistema dei loro computer.
- Norton Security Scan
- Norton PC Checkup
- McAfee Security Scan Plus
- McAfee Security Scan
Toolbar e componenti aggiuntivi si installano in varie aree del tuo sistema operativo per includere il browser e il registro di Windows. Dal momento che alcuni dei loro componenti (Adware) e il comportamento del browser hijacking sono determinati ad essere dannosi, gli strumenti anti-virus e anti-malware possono rilevarli e rimuoverli come programmi potenzialmente indesiderati (PUP). Questo tipo di rilevamento non significa sempre necessariamente che il file sia dannoso o un cattivo programma.
Per saperne di più sui PUP e su come si ottengono, leggi: Informazioni su quelle barre degli strumenti e componenti aggiuntivi – Programmi potenzialmente indesiderati (PUPs)
Per questo è importante leggere l’EULA e tutto molto attentamente quando si scarica un software. Dovresti essere in grado di deselezionare la casella per includere McAfee o Norton e qualsiasi barra degli strumenti gratuita che viene offerta durante l’installazione o gli aggiornamenti, a meno che tu non la voglia. Purtroppo alcuni utenti hanno riferito di averlo fatto e il software in bundle viene ancora scaricato.
Molti anti-virus e altri programmi di scansione della sicurezza utilizzano funzioni opzionali del motore di scansione euristica per rilevare virus nuovi di zecca e altri tipi di malware, basati su comportamenti e modelli di codifica che le infezioni usano comunemente.
L’analisi euristica è la capacità di un programma anti-virus di rilevare possibili nuove varianti di malware prima che il fornitore possa ottenere campioni e aggiornare le definizioni del programma per il rilevamento. L’euristica utilizza metodi di rilevamento non specifici per trovare malware nuovi o sconosciuti che permettono all’antivirus di rilevare e fermare il malware prima di fare danni al vostro sistema. I metodi di scansione euristici variano a seconda del fornitore. Alcuni pretendono di permettere l’emulazione delle attività del file in una sandbox virtuale. Altri scansionano il file più intensamente, cercando linea per linea ispezionando il codice in un file per vedere se contiene caratteristiche simili ai virus. Se il numero di queste caratteristiche/istruzioni supera una soglia predefinita, il file viene segnalato come un possibile virus.
* Eset: Heuristic AnalysisDetecting Unknown Virus
* Kaspersky: What is heuristic analysis
Lo svantaggio di usare l’euristica è che non è affidabile come il rilevamento basato sulla firma (blacklisting) e può potenzialmente aumentare le possibilità che un programma non dannoso sia segnalato come dannoso. Con l’euristica, c’è sempre il rischio potenziale di un “falso positivo” quando l’analisi euristica segnala come sospetto o infetto un file che non contiene malware. I file impacchettati utilizzano un file appositamente compresso (protetto) che può essere stato offuscato o crittografato per nascondersi e spesso innescano gli allarmi dei software anti-virus che utilizzano il rilevamento euristico perché sono resistenti alla scansione (difficili da leggere). A volte abbassare le impostazioni euristiche del programma e ripetere la scansione può fornire risultati più accurati, ma questo aumenta la possibilità che nuovi malware infettino il vostro sistema.
Inviare campioni di file al fornitore per ulteriori analisi permette ai tecnici di laboratorio di indagare rapidamente e confermare se il rilevamento è effettivamente malware. Alcuni programmi di sicurezza hanno opzioni integrate per inviare un file direttamente dall’area in quarantena al laboratorio del fornitore per l’analisi. La maggior parte delle guide utente spiegano come farlo. Altre soluzioni antivirus inviano automaticamente i file o forniscono un avviso per farlo se hai selezionato l’opzione “Invia per analisi nelle impostazioni del programma”. Se queste opzioni non sono disponibili, puoi anche cercare la documentazione sul sito web del fornitore su come inviare campioni di file.
