www.MegaLab.it

Il Test

Per ottenere un risultato quanto più possibile accurato ho voluto testare ZoneAlarm Antivirus in tre modi diversi:

1. Estrazione di alcuni archivi contenenti malware di vario tipo;
2. Esecuzione di malware dopo aver disattivato l'antivirus per verificare la qualità dell'analisi comportamentale;
3. Tentativo di disattivazione forzata mediante installazione di alcune versioni del rootkit "antivirus-killer" Bagle.

Per eseguire questi test ho configurato il programma per offrire la massima protezione, anche a costo della visualizzazione di molti avvisi.

Primo test

In questo test ho per prima cosa estratto i malware dall'archivio verificando quanti file venivano rilevati e successivamente ho eseguito quelli non riconosciuti per vedere cosa succedeva.

Ecco alcune schermate visualizzate durante l'estrazione dei file e la successiva scansione e rimozione:

Qui tento di eseguire un virus direttamente da WinRAR, ma prima dell'avvio del file questo è già stato messo in quarantena da ZoneAlarm.

Questa è la finestra presentata durante una scansione.

Qui ZoneAlarm ha già rilevato alcuni virus.

Durante la scansione il computer è utilizzabile: poca la RAM occupata e basso, pur se con qualche picco durante la scansione di file compressi, l'utilizzo del processore.

Alla fine della scansione viene presentata una scheda riassuntiva piuttosto chiara dove sono indicati tutti i malware rilevati e la cura loro applicata: la maggior parte è stata messa in quarantena e qualche altro è stato riparato. Per i file il cui rischio stimato è basso viene richiesta la cura da applicare.

Questo primo test lascia pochissimi file infetti e tutti di bassa pericolosità. Provando ad eseguire i file rimasti la maggior parte non parte nemmeno, bloccata dall'OSFirewall grazie al database SmartDefense. Ai pochi che si avviano viene impedita qualsiasi operazione pericolosa, inclusa la connessione ad Internet.

Secondo Test

Per eseguire questo secondo test ho provveduto prima a disattivare l'antivirus e successivamente ad eseguire alcuni dei virus che precedentemente ZoneAlarm aveva rilevato come nocivi per vedere come se la cava la funzionalità di analisi comportamentale.

Come detto prima alcuni file non si sono potuti avviare perché la loro esecuzione è stata riconosciuta come Attività dannosa e bloccata prontamente da ZoneAlarm. Alla fine sono riuscito a mantenere in memoria circa una decina di processi nocivi ma nessuno di questi è riuscito ad eseguire attività pericolose perché bloccato dalla difesa proattiva, che si è dimostrata in questo test come uno dei punti di forza di ZoneAlarm.

Gli unici inconvenienti sono stati alcuni crash di Esplora Risorse e un'utilizzo del processore da parte del processo vsmon.exe intorno al 30 %.

Ecco alcuni degli avvisi mostrati durante questa prova.

Qui il rogue SpywareSecure sta cercando di accedere ad Internet.

Invece in questo caso un processo nocivo sta cercando di iniettare codice in explorer.exe

Qui abbiamo invece un processo che cercava di eseguire le operazioni più disparate: accesso ad Internet, terminazione di processi di sistema ecc...

Terzo Test

In questo ultimo test ho voluto verificare la capacità di ZoneAlarm di resistere ai tentativi di disattivazione da parte di malware. Per effettuare questa prova ho tentato di installare alcune versioni del rootkit Bagle, noto per la sua capacità di eliminare la maggior parte dei software di sicurezza.

Faccio notare come l'antivirus abbia rilevato tutte le varianti di Bagle appena provavo ad eseguirle, quindi per eseguire questo test ho dovuto disattivare la scansione in tempo reale.

Il risultato è veramente positivo: infatti Bagle riesce a riavviare il sistema, ma al riavvio, quando tenta di caricare l'ormai famoso driver srosa.sysZoneAlarm mi chiede la conferma e, negando, il virus non riesce a disattivare ne l'antivirus ne tutte le funzionalità di protezione di Windows (in particolare "sopravvivono" Centro Sicurezza PC e Aggiornamenti Automatici).

Ho inoltre tentato di utilizzare Advanced Process Terminator per eliminare ZoneAlarm ma anche in questo caso non vi sono riuscito.