Pubblicato in: Computer

Kaspersky vs F-Secure: amici/nemici

Questo nuovo post inizia con un’altro “confronto”, che stavolta coinvolge due tra i migliori antivirus: Kaspersky Internet Security 2009 e F-Secure (anch’esso versione 2009).

Cos’è successo? Passo subito al racconto. Ma prima una breve premessa.

All’università da me (l’Università di Catania, ndr) abbiamo, in Ingegneria, una sezione denominata “Centro di Calcolo”, una zona riservata all’utilizzo di PC per esami o semplicemente per poter navigare (con un account gratuito associato allo studente). Ovviamente io ci vado spesso e ne approfitto (a tal proposito ringrazio Francesco per la pazienza dimostratami, dato che – avendo perso la password del mio account – sto usando il suo!). Purtroppo il server del CdC è un ricettacolo di malware & co., così mi ritrovo il pennino USB sempre con lo stesso malware, costituito da 2 file: un Autorun.inf e un ms32dll.dll.vbs, che tanto bene non fanno. E adesso mi ricollego a ciò che m’è successo qualche ora fa.

Le altre volte che ho contratto questo malware, il mio Kaspersky IS 2009 l’aveva rilevato ed eliminato senza problemi. Stamane rileva solo il file VBS, senza l’INF. E mi sembra strano. Rifaccio la scansione manualmente: nulla. “Deve esserci”, penso io. Il file è di quelli che non si vede normalmente, nell’explorer di Windows, nemmeno attivando l’opzione di visualizzazione per i file nascosti e di sistema. Apro, allora, Total Commander (un ottimo programma di gestione dei file e loro spostamento, copia, cancellazione ecc…), che so che mi fa vedere anche i file di sistema, come l’NTLDR o il file di paging. Apro quindi il programma e mi posiziono sul pennino: benissimo, vede entrambi i file, quello INF e quello VBS. Con un colpo di Canc da tastiera, cancello tutto. Chiudo Total Commander e vado su Risorse del Computer.

Il pennino non si apre, mi dice che non trova il file ms32dll.dll.vbs e quindi non può partire. Se però clicco con il pulsante destro e faccio Apri mi apre il pennino. “Allora è l’autoplay”, mi dico. Il file INF aveva già “infettato” l’autoplay di Windows. “Beh”, mi dico, “vediamo se ho ancora qualcosa”. KIS non rileva nulla, provo quindi con la scansione online dell’F-Secure (antivirus che, in versione installato, è potentissimo, ma avido di risorse). Apro la pagina, clicco su Start Scanning e mi dice che vuole Internet Explorer, per funzionare. Non mi va di lasciare Firefox, quindi decido di attivare l’estensione IE Tab (un’estensione che con un click mi apre il motore di Internet Explorer dentro Firefox, così non lo chiudo) e riclicco su Start Scanning. Mi scarica i componenti per far partire il motore di scansione e, appena finisce di scaricare tutti i 40 MB circa, parte la scansione e… TA-DAH! Schermata blu! La tanto classica quanto odiata BSOD! Mi riporta un errore 0x000000D4 sul file KLIF.SYS.

Scollego il pennino e riavvio il PC. Pare tutto normale. Apro il registro eventi di Windows e non c’è nulla segnalato. “Googleggio” un po’ e trovo che il file KLIF.sys è parte del Kaspersky, ed è un file che viene rilevato come malware (!) dagli altri antivirus.  Ma la cosa più bella (per modo di dire) è che già nel 2006 veniva rilevato come tale, e gli altri produttori di antivirus segnalavano questo evento come un problema noto da risolvere. Sono passati 3 anni, però. Se avessero voluto, l’avrebbero risolto.

In pratica sono costretto a non poter usare uno scanner online perchè altrimenti mi sballa Windows. Non è bello.

…che debba usare Hiren?

Dimenticavo: il pennino, poi, s’è aperto subito. Bastava che lo scollegassi e lo ricollegassi, in modo che Windows ricreasse le informazioni di autoplay (tsk).

Annunci

Autore:

Rigidamente flessibile, con il cuore legato al passato e le mani immerse nel futuro presente.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...