Ci sono molti servizi on-line che classificano/certificano/testano la bontà degli antivirus in circolazione. E molti vendor di soluzioni per la sicurezza si fregiano dei marchi di certificazione riasciati da questi tester i quali, ovviamente, ci tengono bene a sottolineare di essere “indipendenti”.

Per la verità non ho mai creduto a questa assoluta indipendenza anche in virtù del fatto che a molti consorzi di testing aderiscono in primis le stesse case produttrici di antivirus e quindi … tirate voi le conclusioni.

Per questo, googlando qua e là, mi sono imbattuto in questo articolo (in lingua inglese) nel quale un consulente di una rivista specializzata in argomenti legati alla protezione dei dati, si cala nei panni di un utente medio che vuole fare il suo test sulla efficacia degli antivirus tra quelli che considera papabili per l’acquisto. C’è da dire che l’approccio metodico può sembrare poco scientifico e, come per il caso dei tester ufficiali, si possono spendere mille illazioni sulla astiosità che quella testata (o addirittura il consulente) può nutrire nei confronti di un vendor piuttosto che di un altro.

Eppure, leggendo la descrizione del metodo seguito e, soprattutto, i risultati, sono rimasto sorpreso e anche impressionato. In aggiunta, la lettura dei commenti e le pacate e argomentate risposte dell’autore mi hanno convinto della genuinità delle intenzioni e, quantomeno, della onesta intellettuale di chi si è preso la briga di fare quanto segue.

Ecco quindi la traduzione dell’articolo che vi propongo con la raccomandazione di andarvi a leggere il testo originale e farvi un’idea soprattutto con i commenti che lo seguono.

Di Chaz Sowers:

Ho iniziato la mia ricerca con un’azienda online che recentemente ha stilato la classifica dei migliori 14 antivirus. Dichiaravano di effettuare “test comparativi indipendenti” mentre allo stesso tempo confessano che “dal 2008 fanno pagare un fee per i vari servizi che offrono”.

Datemi dello scettico ma quanto un laboratorio di test accetta denaro da un’azienda che vuol fare testare il suo prodotto, devo per forza dubitare sull’obiettività ed indipendenza dei risultati. Ed anche facendo finta che i risultati possano essere effettivamente obiettivi, lo stesso modello di business escluderebbe automaticamente le aziende che non volessero (o non potessero) pagare per essere testati a loro volta. Da una rapida ricerca online ho trovato oltre 40 prodotti antivirus, molti dei quali prodotti da compagnie mai sentite prima. Già mi chiedevo come i marchi meno conosciuti potessero competere con i brand più famosi.

E siccome già ho un lavoro diverso e non sono stato pagato da nessuno per eseguire questi test, ho deciso di pubblicare i miei risultati.

Potrebbero sorprendervi.

Metodo di test, avvisi e altri dettagli

Il metodo di test che ho deciso di seguire è il massimo dell’obiettività che mi posso permettere, considerando anche il fatto che ho un dichiarato interesse nel trovare il miglior prodotto antivirus per il mio computer. Sicuramente i miei test non hanno valenza di metodo scientifico ma penso che i risultati possano comunque essere validamente pubblicati. Soprattutto tenete a mente una cosa: ero alla ricerca di un prodotto antivirus che potesse identificare e rimuovere il maggior numero possible tra i malware che possiedo. L’aspetto che considero saliente nel test è la rilevazione del più alto numero di impronte malware mentre d’altro canto considero penalizzante un alto numero di falsi positivi.

Software

Ho utilizzato una installazione ex-novo di Windows XP, all’interno di una macchina virtuale gestita da Sun Virtual Box, per eseguire tutti i test. L’installazione di Windows è stata completa installando tutti gli aggiornamenti (compreso il SP3) disponibili alla data del 9 Gennaio 2009. Ogni programma antivirus viene copiato dalla macchina principale alla macchine virtuale tramite una cartella condivisa ed è l’unico software che non fa parte della normale installazione di Windows XP. I dati su cui effettuare i test (l’archivio dei file infestati da malware  ndr) sono tutti su un disco logico D:\ e consistono di 36.438 impronte malware. Tutti i malware sono stati, o sono ancora, parte di infezioni che si sono ditribuite sulla rete (ovvero non sono virus da laboratorio ma sono virus che hanno infettato computer veri). Al termine di ogni test la macchina virtuale è stata ripristinata al suo stato originale.

Hardware

Il sistema utilizzato per l’attività di test è un AMD Sempron 2600-Plus, scheda madre Asus A7N8X-E, 3Gb Ram, hard disk sata Seagate da 190Gb e una scheda video nVidia.
Il sistema operativo della macchina è Ubuntu Linux 8.10 – Intrepid Ibex sulla quale, ovviamente, gira Virtual Box. Quasi tutti gli antivirus hanno girato senza particolari problemi tranne qualche caso che viene riportato nei risultati del test.

Origine

Ho trovato un elenco dei vendor di antovirus  in questo sito, e l’ho integrato con i vendor inseriti anche qui. La pagina Wiki riporta un elenco di 35 voci tra cui vi sono software proprietari, freeware e opensource. Ci sono nomi che conosco da oltre 16 anni come pure altri che non avevo mai sentito prima. Tra queste voci ho eliminato quelli la cui azienda padre non esiste più, quelli che non supportano Windows e quelli per i quali non è stato possibile scaricare una copia di valutazione e, ancora, quelli che sembrano essere alla fine del loro sviluppo. Quello che resta è elencato qui.

Download

Tutti i software antivirus testati sono stati scaricati direttamente dal sito del produttore  (se possibile) o da altre fonti affidabili (C-Net o SourceForge) nel caso in cui il produttore non fornisse un link diretto per il download. In tutti i casi le verisioni del software scaricato erano completamente funzionanti ma limitate temporalmente, esattamente come quelle che scaricate per provarle ed eventualmente acquistarne la licenza. Per le aziende che fornivano anche una versione gratuita del loro prodotto ho comunque scaricato sempre la versione di prova del prodotto commerciale.

Disclaimer

Questi risultati sono  i reali risultati della mia esperienza con questi software e con l’hardware descritto sopra. Non dovrebbero essere utilizzati come unico strumento per la valutazione di un acquisto  di antivirus e nessuno dei prodotti qui esposti è da me caldeggiato.

Risultati

  • Arcabit
    Infezioni trovate – 28.944.
    Commenti : questo prodotto antivirus è sviluppato da un’azienda Polacca e dalla GUI si vede. Ci sono alcuni bottoni pessimamente tradotti (es. Pauza al posto di Pause) anche se in definitiva è molto intuitivo e facile da usare. Lo scanner gira forte : solo 27 minuti e 34 secondi per analizzare l’intera cartella dei malware;
  • Ashampoo
    Infezioni trovate – 32.291.
    Commenti : Prodotto decente anche se il nome non fa certo una bella figura. Dubito fortemente che il loro prodotto possa essere valutato a livello enterprise perchè è troppo facile scartare a priori un software che si chiama “uno shampoo”. A parte il buffo nome il loro software si è comportato meglio di altri Big (Norton, Panda e Kaspersky);
  • Avira
    Infezioni trovate – 35.846.
    Commenti : Ci ha messo circa 2 ore per analizzare l’intera cartella dei malware il che lo mette in media con la velocità di scansione. Il livello di rilevazione è di assoluto rispetto con il 98.37% anche se è da considerare che ha comunque lasciato 582 infezioni sul disco;
  • AhnLab
    Infezioni trovate – 21.301.
    Commenti : AhnLab non offre una soluzione di solo antivirus, è una suite di sicurezza completa che integra antivirus, antiphishing e antihacking. Sfortunatamente nell’analizzare la mia base dati questo prodotto è quello che si è comportato peggio tra quelli che hanno rilevato almeno 10.000 infezioni;
  • Avast
    Infezioni trovate : 36.124.
    Commenti : Ha trovato 36.124 infezioni ma solo dopo aver eseguito il programma una seconda volta. Al primo giro aveva rilevato troppo poche infezioni così che mi sono deciso a farlo girare una seconda volta. Questa volta il numero di rilevazioni è stato significativo. Onestamente, se non avessi avuto alcuna esperienza precedente con questo antivirus e non lo rispettassi, non avrei eseguito la scansione una seconda volta. Se avessi riportato i risultati della prima scansione si sarebbe classificato drammaticamente ultimo. Dopo due scansioni ha rilevato il 99.14% delle infezioni ma c’è da chiedersi quante persone fanno una scansione completa due volte;
  • AVG
    Infezioni trovate – 110.
    Commenti : Si, avete letto bene, AVG ha rilevato solo 110 infezioni. Ho rieseguito la scansione ben 4 volte cambiando le impostazioni per una scansione più approfondita sempre con lo stesso risultato : 110.
  • Bit Defender
    Infezioni trovate – 36.105
    Commenti: Dopo una partenza un po’ pesante questo software ha dimostrato tutta la sua abilità e ha trovato il 99.08% del malware per classificarsi in terza posizione;
  • Bull Guard
    Infezioni trovate 31.608
    Commenti: Ha girato piuttosto veloce impiegando solo 15 minuti per segnalare 31.608 infezioni. Tuttavia, quando ho cercato di eliminare le infezioni utilizzando l’interfaccia il computer si è bloccato.
  • CA
    Infezioni trovate – 24.996
    Commenti: Sfortunatamente CA ha rilevato solo il 68.59% delle impronte malware. C’è da chiedersi quali aziende utilizzano CA per la loro protezione interna.
  • Clam
    Infezioni Trovate – 22.247
    Commenti: Nonostante sia un gran sostenitore del software opensource temo che un indice di rilevamento pari al 75% sia un po’ troppo basso per tenere questo prodotto in seria considerazione. Se lascia sul campo il 25% delle infezioni (ovvero 9.109 sample) credo che molte persone non ci penseranno due volte se spendere qualche euro per una protezione extra.
  • Comodo
    Infezioni Trovate36.492
    Commenti: Di gran lunga il più veloce antivirus da me testato: solo 6 minuti per controllare tutta la cartella del malware da me inserito. Tuttavia tanta velocità sembra avere un prezzo: lo scanner ha infatti rilevato 54 infezioni in più di quelle che erano presenti.
  • Dr. Web
    Infezioni trovate 34.114
    Commenti: Interfaccia spartana e incasinata. Ciononostante il software ha rilevato il 93.62% di tutto il malware. E ci ha messo solo 14 minuti. Sono rimasto impressionato!
  • Dr. Web CureIt
    Infezioni trovate —
    Commenti: Questa è la versione gratuita di Dr. Web dal quale eredita la stessa interfaccia spartana che in definitiva si riduce ad un bottone “on/off”. Il software promette di effettuare una scansione “veloce e sicura” delle infezioni del computer. Tuttavia nel mio caso, dopo aver lavorato per 7 ore e 10 minuti, ha trovato ben 137.286 infezioni in 7.711 file. Proiettando questi dati ci avrebbe messo 34 ore per analizzare tutta la mia base dati di malware trovando oltre 600.000 infezioni. Ho staccato la spina.
  • eScan
    Infezioni trovate 36.146
    Commenti: Con un risultato a sorpresa questo vendor sconosciuto (almeno a me) ha trovato il secondo numero più alto di infezioni. La velocità di scansione è nella media ma ha comunque superato molti altri brand molto conosciuti attestandosi sul 99.19% del rilevamento. Secondo posto assoluto.
  • ESET
    Infezioni trovate 23.746
    Commenti: Dopo 4 ore di scansione per controllare l’intera cartella l’accuratezza di questo prodotto lo porta a classificarsi nella metà bassa della lista. Ha riconosciuto solo il 65% di tutto il malware. L’antivirus open Clam si è classificato meglio.
  • File Sentry
    Infezioni trovate 111
    Commenti: Si, dopo aver eseguito la scansione due volte, dopo averlo disinstallato e reinstallato due volte, questo antivirus ha riconosciuto solo 111 impronte malware. Mi chiedo se AVG e File Sentry utilizzino lo stesso motore di scansione. Ciò spiegherebbe il bassissimo numero di infezioni trovate da entrambi, anche se non spiega il perchè di una così pessima prestazione.
  • F-Prot
    Infezioni Trovate 32.635
    Commenti: E’ apparso un errore che dice che “il numero massimo di occorrenze è stato raggiunto”. L’elenco riportato nell’interfaccia aveva circa 500 voci quando è apparso l’errore. Quindi lo scanner ha continuato la sua attività per un totale di 12 ore e 5 minuti per controllare tutti i file.
  • F-Secure
    Infezioni trovate 36.692*
    Commenti: Al quarto tentativo di installazione finalmente sono riuscito a farlo funzionare per far girare la scansione. Le precedenti tre installazioni si interrompevano in punti diversi senza dare messaggi di errore o di notifica. Dopo che la scansione ha terminato il suo ciclo, ha trovato altri 2.642 file (da dove ?) e ha trovato 254 istanze di malware in più rispetto a quelle presenti nel computer.
  • G Data
    Infezioni trovate – 36.423
    Commenti: Il risultato migliore di tutte lo soluzioni AV qui testate con un indice di rilevazione pari al 99.95% di tutto il malware contenuto nei miei file. Il rovescio della medaglia è che è tutto in tedesco e la GUI è un po’ incasinata.
  • Hacker Eliminator
    Infezioni trovate – 1
    Commenti: Si, questo software ha trovato solo 1 malware. Forse questa è una limitazione della versione di prova perchè è apparso un messaggio che informava che “non verranno rimosse le infezioni finchè non si acquista la licenza”. A parte questo si è comportato meglio di quanto non abbia fatto in un altro test dove ha rilevato zero infezioni.
  • Hauri
    Infezioni trovate – 35.325
    Commenti:  Lo scanner ha controllato 63.828 file ma ce ne erano solo 36.438 da controllare. L’unica possibile spiegazione che riesco a darmi è che abbia effettuato la scansione anche dei 27.390 file nella directory di Windows. Comunque, stando ai risultati, ha rilevato il 97.21% del malware della mia collezione.
  • Kaspersky
    Infezioni trovate – 20.289
    Commenti: Ho letto molto su Kaspersky e devo ammettere che le mie aspettative su questo prodotto erano molto alte. Purtroppo anche questo è un’altro esempio di brand famoso che non è riuscito ad impressionarmi. Il software ha rilevato solo il 55,68% del malware.
  • McAfee
    Infezioni trovate – 36.512
    Commenti: McAfee ha trovato 74 infezioni in più di quelle presenti nel computer. Assumendo che i 74 file extra possano essere dei “falsi positivi” questo prodotto è quello che ne ha rilevati di più.
  • Norton (Symantec)
    Infezioni trovate – 20.404
    Commenti : Il programma si installa facilmente e gira veloce terminando il ciclo di scansione in soli 25 minuti. Tuttavia mi ha sorpreso il basso numero di infezioni rilevate quindi ho ripristinato la macchina virtuale e reinstallato il software per la seconda volta: stessi risultati. Quindi ho riprovato una terza volta e ancora una volta è stato rilevato solo il 56% di tutto il malware.
  • Panda
    Infezioni trovate – 31.719
    Commenti: Dopo sedici ore, 4 tentativi di installazione e 7 reboot dal momento in cui ho iniziato a testare questo prodotto, finalmente sono riuscito a lanciare una scansione. Ha rilevato solo l’87% del malware presente. Un mucchio di lavoro per uno scarso risultato.
  • PC Tools
    Infezioni trovate – 30.023
    Commenti: Se si esclude che Dr Phil e www.MajorGeeks.com lo consigliano vivamente, questo antivirus ha trovato solo il  82,39% del malware nel mio computer. Non molto meglio di Clam (l’altro prodotto gratuito) e molto lontano da quello che installerei per la mia protezione.
  • Protector
    Infezioni trovate —
    Commenti: Ero eccitato all’idea di testare un antivirus indiano. Sfortunatamente questo software mostra un messaggio ad ogni infezioni trovata richiedendo all’utente di cliccare per continuare. Ovviamente non avevo intenzione di cliccare per 36.438 volte. Ho staccato la spina!
  • Rising Software
    Infezioni trovate – 27.991
    Commenti: Stavo quasi per rinunciare quando finalmente sono riuscito ad installarlo ed a lanciare la scansione. Nonostante questo antivirus sia tra i più veloci (con solo 47 minuti per controllare tutti i miei file) ha rilevato come infetti solo 27.991 dei miei 36.438 file.
  • Sophos
    Infezioni trovate —
    Commenti: Il software blocca il computer e non sono stato in grado di lanciare il test. Come per altri casi ho tentato di reinstallare il programma utilizzando opzioni differenti ma sempre con lo stesso risultato. E’ come se cercasse di interrogare un servizio che non era attivo ma per qualche motivo o il programma terminava senza messaggi oppure bloccava il computer.
  • Trend Micro
    Infezioni trovate – 35.182
    Commenti: Non so cosa voglia dire il programma quando dichiara di aver controllato 35.001 file quando ne avrebbe dovuti contare 36.438. Inoltre dichiara di aver trovato 35.182 rischi nel computer ma non li ha eliminati.
  • Trust Port
    Infezioni trovate – 36.171
    Commenti: Nonostante il loro sito web dichiari un indice di rilevamento pari al 99.9% questo software ha trovato solo il 99.26% delle mie infezioni. Tuttavia mi ha davvero impressionato. Utilizzano una tecnica composta di 4 differenti motori di scansione che inseriscono nel loro software (AVG, DrWeb, Norman, e Virus Blok ADA). Certamente una scelta eccellente ma ancora seconda rispetto a G Data in termini di percentuali di rilevamento.
  • Virus Blok ADA (VBA)
    Infezioni trovate – 22.417
    Commenti: Il software ha un’interfaccia davvero spartana e non sembra che fornisca un rapporto finale sulle attività eseguite. E dal momento che questo av ha trovato solo il 61.52% del malware, francamente l’assenza di un report mi interessa poco.
  • Zondex
    Infezioni trovate —
    Commenti: Questo software arriva dall’australia. L’interfaccia è molto stile Windows 3.1 e non è possibile impostare molti settaggi come per gli altri prodotti. Per due volte l’interfaccia è andata in crash e, al riavvio, ha occupato la CPU al 100%.
  • Zone Alarm
    Infezioni trovate —
    Commenti: E’ stato il più lento tra gli antivirus testati controllando solo 162 file all’ora (2.7 al minuto). Mi chiedevo il perchè di tanta lentezza fino a quando ho controllato i log del mio firewall su Ubuntu. Apparentemente il software “chiama casa” stabilendo una connessione internet per ogni possibile infezione trovata. A questo ritmo ci sarebbero voluti 9 giorni per completare la scansione. Ho staccato la spina dopo 30 ore.

Prodotti non testati (e perchè)

  • Inca: Anche conosciuto come nProtect. Il sito è quasi completamente in Koreano e mentre cercavo di trovare un link per scaricarlo tra le pochissime parole tradotte in inglese, il sito mi ha scaricato uno script Java che ha mandato la CPU al 100%. Ho abbandonato l’idea di scaricarlo.
  • Graugon: Un programma che usa il motore di Clam. Ho giò testato l’originale ClamAV e quindi ho deciso di non effettuare un ulteriore test.
  • Norman: TrustPort utilizza già il motore Norman ed essendo quindi, in qualche modo, già stato sottposto a test ho ritenuto inutile fare un’altra prova. Tra l’altro non sembra che dispongano di una versione di valutazione.
  • Virus Chaser: Un altro antivirus dalla Cina. Per lo più il sito è ben tradotto in inglese ma per qualche motivo il link per scaricare il software o è rotto o è stato deliberatamente danneggiato. Ho provato diverse volte senza successo.
  • Microsoft OneCare: Lasciando perdere le facili battute sul gigante del software, questo prodotto è al termine della sua vita. Microsoft ha già annunciato di voler rilasciare una nuova versione del suo antimalware nome in codice “Morro”. Dal momento che ho deciso all’inizio del test di non provare i software prossimi al fine vita, Microsoft è stata lasciata fuori.

Classifica — Antivirus — Numero di file identificati –Percentuale del totale

  • 1. — G Data — 36,423 — 99.95 %
  • 2. — Trust Port — 36,171 — 99.26 %
  • 3. — eScan — 36,146 — 99.20 %
  • 5. — BitDefender — 36,105 — 99.08 %
  • 6. — Avira — 35,846 — 98.37 %
  • 7. — Hauri — 35,325 — 96.94 %
  • 8. — Trend Micro — 35,182 — 96.55 %
  • 9. — DrWeb — 34,114 — 93.62 %
  • 10. — F-Prot — 32,635 — 89.56 %
  • 11. — Ashampoo — 32,291 — 88.61 %
  • 12. — Panda — 31,719 — 87.04 %
  • 13. — BullGuard — 31,608 — 86.74 %
  • 14. — PCTools — 30,023 — 82.39 %
  • 15. — Arcabit — 28,944 — 79.43 %
  • 16. — Rising Software — 27,991 — 76.81 %
  • 17. — Clam — 27,247 — 74.77 %
  • 18. — CA — 24,996 — 68.59 %
  • 19. — ESET — 23,746 — 65.16 %
  • 20. — VBA — 22,417 — 61.52 %
  • 21. — AhnLab — 21,301 — 58.45 %
  • 22. — Norton (Symantec) — 20,404 — 55.99 %
  • 23. — Kaspersky — 20,289 — 55.68 %
  • 25. — File Sentry — 111 — 3.04 %
  • 26. — AVG — 110 — 3.01 %
  • 27. — Hacker Eliminator — 1 — 0 %
  • 4 o 24 — Avast — Attenzione ! Leggete l’esito del test per AVAST perchè ci sono stati due risultati differenti.

I seguenti antivirus sono stati esclusi perchè hanno riportato più malware di quello esistente sul computer: Comodo, DrWeb CureIt, F-Secure e McAfee.

I seguenti antivirus sono stati esclusi perchè hanno creato vari problemi nel computer virtuale utilizzato per il test : Protector, Sophos, Zondex e Zone Alarm. Non offro spiegazioni sul perchè possano non aver funzionato correttamente, mi limito a segnalare i problemi che si sono verificati nel mio ambito di test.