HitmanPro rilevate possibili minacce

[gianpietro]

Salve ragazzi mi serve il vostro aiuto.

Eseguendo una verifica di sicurezza con HitmanPro in modalità Scansione predefinita ( consigliato ) non a rilevato nulla mentre in modalità Early Warning Scoring ( EWS ) a rilevato delle possibili minacce, vedi screenshot:



Questo il log:

HitmanPro 3.7.7.203
http://www.hitmanpro.com

Computer name . . . . : USER-PC
Windows . . . . . . . : 6.1.1.7601.X64/12
User name . . . . . . : User-PC\User
UAC . . . . . . . . . : Enabled
License . . . . . . . : Paid (1087 days left)

Scan date . . . . . . : 2013-08-14 18:27:33
Scan mode . . . . . . : EWS
Scan duration . . . . : 50s
Disk access mode . . : Direct disk access (SRB)
Cloud . . . . . . . . : Internet
Reboot . . . . . . . : No

Threats . . . . . . . : 0
Traces . . . . . . . : 156

Objects scanned . . . : 1.207.094
Files scanned . . . . : 7.988
Remnants scanned . . : 254.226 files / 944.880 keys

Early Warning Scoring _______________________________________________________

C:\Windows\system32\cryptsvc.dll
Size . . . . . . . : 184.320 bytes
Age . . . . . . . : 0.4 days (2013-08-14 08:06:56)
Entropy . . . . . : 6.2
SHA-256 . . . . . : 2F27C6FA96A1C8CBDA467846DA57E63949A7EA37DB094B13397DDD30114295BD
Product . . . . . : Microsoft® Windows® Operating System
Publisher . . . . : Microsoft Corporation
Description . . . : Cryptographic Services
Version . . . . . : 6.1.7601.18205
Copyright . . . . : © Microsoft Corporation. All rights reserved.
Service . . . . . : CryptSvc
Fuzzy . . . . . . : 11.0
Starts automatically as a service during system bootup.
Program starts automatically without user intervention.
Time indicates that the file appeared recently on this computer.
The file is in use by one or more active processes.
The file is located in a folder that contains core operating system files from Windows. This is not typical for most programs and is only common to system tools, drivers and hacking utilities.
The file is protected by Windows File Protection (WFP). This is typical for critical Windows system files.
Startup
HKLM\SYSTEM\CurrentControlSet\Services\CryptSvc\

C:\Windows\system32\drivers\AtihdW76.sys
Size . . . . . . . : 96.768 bytes
Age . . . . . . . : 7.4 days (2013-08-07 08:33:07)
Entropy . . . . . : 6.1
SHA-256 . . . . . : 00B5943AF9C3C0EF57BF0FDCC94EBBEE354082EB5E187CC067F6E735B304D45E
Product . . . . . : AMD HD Audio Driver
Publisher . . . . : Advanced Micro Devices
Description . . . : AMD High Definition Audio Function Driver
Version . . . . . : 9.0.0.9900
Copyright . . . . : © Advanced Micro Devices. All rights reserved.
Service . . . . . : AtiHDAudioService
Fuzzy . . . . . . : 6.0
Starts automatically as a service during system bootup.
The file is located in a folder that contains core operating system files from Windows. This is not typical for most programs and is only common to system tools, drivers and hacking utilities.
Time indicates that the file appeared recently on this computer.
The file is a device driver. Device drivers run as trusted (highly privileged) code.
Startup
HKLM\SYSTEM\CurrentControlSet\Services\AtiHDAudioService\
Forensic Cluster
0.0s C:\Windows\System32\DriverStore\FileRepository\atihdw76.inf_amd64_neutral_64987d2caee24a62\AtihdW76.cat
0.0s C:\Windows\System32\DriverStore\FileRepository\atihdw76.inf_amd64_neutral_64987d2caee24a62\atihdw76.INF
0.0s C:\Windows\System32\DriverStore\FileRepository\atihdw76.inf_amd64_neutral_64987d2caee24a62\AtihdW76.sys
0.0s C:\Windows\System32\drivers\AtihdW76.sys
0.0s C:\Windows\System32\drivers\AtihdW76.sys
0.0s C:\Windows\System32\DelayAPO.dll
0.0s C:\Windows\System32\DriverStore\FileRepository\atihdw76.inf_amd64_neutral_64987d2caee24a62\DelayAPO.dll
0.6s C:\Windows\System32\DriverStore\FileRepository\atihdw76.inf_amd64_neutral_64987d2caee24a62\
0.6s C:\Windows\inf\oem105.inf
0.6s C:\Windows\System32\DriverStore\FileRepository\atihdw76.inf_amd64_neutral_64987d2caee24a62\atihdw76.PNF
0.7s C:\Windows\System32\DriverStore\INFCACHE.1
0.7s C:\Windows\System32\DriverStore\INFCACHE.1
0.7s C:\Windows\System32\DriverStore\INFCACHE.1
0.8s C:\Windows\System32\catroot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\oem105.CAT
0.8s C:\Windows\System32\catroot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\oem105.CAT
1.0s C:\Windows\inf\oem105.PNF

C:\Windows\system32\DRIVERS\tssecsrv.sys
Size . . . . . . . : 39.936 bytes
Age . . . . . . . : 0.4 days (2013-08-14 08:06:44)
Entropy . . . . . : 5.8
SHA-256 . . . . . : CBE501436696E32A3701B9F377B823AC36647B6626595F76CC63E2396AD7D300
Product . . . . . : Microsoft® Windows® Operating System
Publisher . . . . : Microsoft Corporation
Description . . . : TS Security Filter Driver
Version . . . . . : 6.1.7601.18186
Copyright . . . . : © Microsoft Corporation. All rights reserved.
Service . . . . . : tssecsrv
Fuzzy . . . . . . : 7.0
Starts automatically as a service during system bootup.
Time indicates that the file appeared recently on this computer.
The file is located in a folder that contains core operating system files from Windows. This is not typical for most programs and is only common to system tools, drivers and hacking utilities.
The file is a device driver. Device drivers run as trusted (highly privileged) code.
The file is protected by Windows File Protection (WFP). This is typical for critical Windows system files.
Startup
HKLM\SYSTEM\CurrentControlSet\Services\tssecsrv\

C:\Windows\system32\ie4uinit.exe
Size . . . . . . . : 51.712 bytes
Age . . . . . . . : 0.4 days (2013-08-14 08:09:44)
Entropy . . . . . : 5.7
SHA-256 . . . . . : DF9996D437B2551AAB1250F33F42E62B51C07733CBFE925DC255D429664C9735
Product . . . . . : Windows® Internet Explorer
Publisher . . . . : Microsoft Corporation
Description . . . : IE Per-User Initialization Utility
Version . . . . . : 10.00.9200.16660
Copyright . . . . : © Microsoft Corporation. All rights reserved.
Fuzzy . . . . . . : 6.0
Program starts automatically without user intervention.
Time indicates that the file appeared recently on this computer.
The file is located in a folder that contains core operating system files from Windows. This is not typical for most programs and is only common to system tools, drivers and hacking utilities.
The file is protected by Windows File Protection (WFP). This is typical for critical Windows system files.
Startup
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{2D46B6DC-2207-486B-B523-A557E6D54B47}\
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383}\

C:\Windows\System32\ieframe.dll
Size . . . . . . . : 15.405.056 bytes
Age . . . . . . . : 0.4 days (2013-08-14 08:09:38)
Entropy . . . . . : 6.1
SHA-256 . . . . . : 14B5F0CE85FA81C24EE5C1F9F737A882A08DC232CC46C63A3BDCA74A8D113C7E
Product . . . . . : Windows® Internet Explorer
Publisher . . . . : Microsoft Corporation
Description . . . : Internet Browser
Version . . . . . : 10.00.9200.16660
Copyright . . . . : © Microsoft Corporation. All rights reserved.
Fuzzy . . . . . . : 8.0
Program starts automatically without user intervention.
Time indicates that the file appeared recently on this computer.
The file is in use by one or more active processes.
The file is located in a folder that contains core operating system files from Windows. This is not typical for most programs and is only common to system tools, drivers and hacking utilities.
The file is protected by Windows File Protection (WFP). This is typical for critical Windows system files.
Startup
HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\UrlSearchHooks\{CFBFAE00-17A6-11D0-99CB-00C04FD64497}
HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\UrlSearchHooks\{CFBFAE00-17A6-11D0-99CB-00C04FD64497}
HKU\S-1-5-21-39307052-1950774526-1520951239-1000\SOFTWARE\Microsoft\Internet Explorer\UrlSearchHooks\{CFBFAE00-17A6-11D0-99CB-00C04FD64497}
References
HKLM\SOFTWARE\Classes\CLSID\{CFBFAE00-17A6-11D0-99CB-00C04FD64497}\

C:\Windows\SysWOW64\ieframe.dll
Size . . . . . . . : 13.761.024 bytes
Age . . . . . . . : 0.4 days (2013-08-14 08:09:39)
Entropy . . . . . : 6.1
SHA-256 . . . . . : 2211B0C80E24F5D976F0F613A35E86F95120555F9820EF626D298776E27A10B2
Product . . . . . : Windows® Internet Explorer
Publisher . . . . : Microsoft Corporation
Description . . . : Internet Browser
Version . . . . . : 10.00.9200.16660
Copyright . . . . : © Microsoft Corporation. All rights reserved.
Fuzzy . . . . . . : 12.0
Program is running but currently exposes no human-computer interface (GUI).
Program starts automatically without user intervention.
Time indicates that the file appeared recently on this computer.
The file is in use by one or more active processes.
The file is located in a folder that contains core operating system files from Windows. This is not typical for most programs and is only common to system tools, drivers and hacking utilities.
The file is protected by Windows File Protection (WFP). This is typical for critical Windows system files.
Startup
HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\UrlSearchHooks\{CFBFAE00-17A6-11D0-99CB-00C04FD64497}
HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\UrlSearchHooks\{CFBFAE00-17A6-11D0-99CB-00C04FD64497}
HKU\S-1-5-21-39307052-1950774526-1520951239-1000\SOFTWARE\Microsoft\Internet Explorer\UrlSearchHooks\{CFBFAE00-17A6-11D0-99CB-00C04FD64497}
References
HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{CFBFAE00-17A6-11D0-99CB-00C04FD64497}\

Verificando con VirusTotal tre file vengono identificati come minacce, vedi qui:


C:\Windows\system32\cryptsvc.dll
https://www.virustotal.com/it/file/e3ab ... /analysis/

C:\Windows\System32\ieframe.dll
https://www.virustotal.com/it/file/2211 ... /analysis/

C:\Windows\SysWOW64\ieframe.dll
https://www.virustotal.com/it/file/2211 ... /analysis/

ATTENZIONE!!!
In modalità Early Warning Scoring ( EWS ) può generare falsi positivi.

Verificando in Internet, i file sembrano regolari:

http://www.processlibrary.com/it/direct ... svc/28877/

http://www.processlibrary.com/it/direct ... ame/75361/

Fino a ieri HitmanPro rilevava solo il file:

C:\Windows\system32\drivers\AtihdW76.sys
è un falso positivo.

Tengo a precisare che ho eseguito una verifica di sicurezza con Eset Smart Security nessuna minaccia rilevata, Emsisoft Anti-Malware nessuna minaccia rilevata,
Dr.Web CureIt! nessuna minaccia rilevata, Kaspersky TDSSKiller in modalità avanzata non a rilevato i file, solo un falso positivo riguardante Samsung Magician
vedi screenshot:





Cortesemente vi chiedo come mi devo comportare?

Un grazie in anticipo per il vostro aiuto.

[[Claudio]]

Cortesemente vi chiedo come mi devo comportare?

@Gian, segnalare come legittimo ogni file; sono tutti falsi positivi (anche i tre che hai analizzato su VirusTotal e consideri:

Verificando con VirusTotal tre file vengono identificati come minacce, vedi qui:
C:\Windows\system32\cryptsvc.dll
https://www.virustotal.com/it/file/e3ab ... /analysis/
C:\Windows\System32\ieframe.dll
https://www.virustotal.com/it/file/2211 ... /analysis/
C:\Windows\SysWOW64\ieframe.dll
https://www.virustotal.com/it/file/2211 ... /analysis/

....... 1/46 .... ).

Se non sbaglio, ti avevo già detto che in modalità EWS il rischio di rilevazione di file "sospetti" (non certamente pericolosi) è più elevato.

[gianpietro]

Ciao [Claudio]

Grazie per il tuo intervento.

Si la modalità EWS può generare falsi positivi, l' unica cosa che non capisco è che fino a ieri rilevava solo C:\Windows\system32\drivers\AtihdW76.sys e come sai è un falso positivo.
Oggi ne rileva sei.
A questo punto visto il continuo verificarsi di falsi positivi, ho deciso di disinstallare HitmanPro.

[The Walking Dead]

HP purtroppo è soggetto a falsi positivi, sia per la modalità EWS, sia per la presenza tra i motori di scansione di Emsisoft.
Fortunatamente ci siamo liberati di Ikarus, altra robaccia.
Credo sia l'unico vero difetto di questo prodotto.

Nel tuo caso andrei di Malwarebytes.

[[Claudio]]

A questo punto visto il continuo verificarsi di falsi positivi, ho deciso di disinstallare HitmanPro.

Personalmente non lo disinstallerei.
Per quanto riguarda la modalità EWS, lo stesso HP specifica che è una modalità per utenti "esperti" (e comunque è nota la tendenza a riscontrare falsi positivi).
Indipendentemente da questo (e sfido chiunque a affermare che esista uno strumento di diagnosi/protezione malware che non rileva falsi positivi) HitmanPro è (ma questo è il mio punto di vista) resta il miglior "second opion antimalware" in circolazione assieme a Malwarebytes.

[[Claudio]]

E come puoi vedere, siamo sulla stessa barca:



e basta controllare il Report per capire che è tutta roba "figlia" della tornata odierna di aggiornamenti Microsoft.

Clicca sulla freccetta accanto a “Ignora” e nel menu scegli "Segnala che il file sicuro” (l’operazione va eseguita per ogni singola voce); clicca su “Avanti” per inviare la segnalazione (poi HimanPro si chiuderà).

Ripeti la scansione e:

HitmanPro 3.7.7.203
http://www.hitmanpro.com
Computer name . . . . : CLAUDIO-AO002
Windows . . . . . . . : 6.1.1.7601.X64/1
User name . . . . . . : Claudio-AO002\Claudio
UAC . . . . . . . . . : Enabled
License . . . . . . . : Free
Scan date . . . . . . : 2013-08-15 00:48:07
Scan mode . . . . . . : EWS
Scan duration . . . . : 2m 37s
Disk access mode . . : Direct disk access (SRB)
Cloud . . . . . . . . : Internet
Reboot . . . . . . . : No
Threats . . . . . . . : 0
Traces . . . . . . . : 0
Objects scanned . . . : 1.137.174
Files scanned . . . . : 14.670
Remnants scanned . . : 259.030 files / 863.474 keys

[The Walking Dead]

A questo punto visto il continuo verificarsi di falsi positivi, ho deciso di disinstallare HitmanPro.

Personalmente non lo disinstallerei.
Per quanto riguarda la modalità EWS, lo stesso HP specifica che è una modalità per utenti "esperti" (e comunque è nota la tendenza a riscontrare falsi positivi).
Indipendentemente da questo (e sfido chiunque a affermare che esista uno strumento di diagnosi/protezione malware che non rileva falsi positivi) HitmanPro è (ma questo è il mio punto di vista) resta il miglior "second opion antimalware" in circolazione assieme a Malwarebytes.

Esiste però una diversità negli standard di settore enorme tra alcuni prodotti.
MSE in particolare utilizza standard altissimi sotto questo aspetto, ma anche quelli di Kaspersky dovrebbero essere piuttosto buoni, mentre Ikarus ed Emsisoft al contrario, rappresentano il gradino più basso.

[crazy.cat]

Verificando con VirusTotal tre file vengono identificati come minacce, vedi qui:

Un conto è se Kaspersky o gdata mi dicono che è una minaccia, bene diverso è se me lo dice Jiangmin (ma chi cavolo è??????????????).
Quindi vediamo di analizzare bene anche i log di virustotal prima di preoccuparsi per nulla.

[gianpietro]

Prima di tutto grazie, per le vostre risposte.

HitmanPro è stato disinstallato, non solo per i falsi positivi ma anche per i due problemi rilevati, Mancato caricamento del driver rilevato su VirusTotal, e mancato ripristino del driver rilevato dalla quarantena,
problemi gia segnalati al centro di supporto.

Malwarebytes PRO era installato, ho preferito Emsisoft Anti-Malware, per problemi di compatibilità di Malwarebytes con la protezione in tempo reale, dei due programmi.

[hashcat]

anche quelli di Kaspersky dovrebbero essere piuttosto buoni, mentre Ikarus ed Emsisoft al contrario, rappresentano il gradino più basso.

Su questo punto non sono molto d'accordo.

P.S.: Emsisoft riguardo alla questione falsi positivi è migliorato notevolmente (attualmente utilizza il motore di Bitdefender + motore proprietario)

[crazy.cat]

P.S.: Emsisoft riguardo alla questione falsi positivi è migliorato notevolmente (attualmente utilizza il motore di Bitdefender + motore proprietario)

Assolutamente migliorato http://turbolab.it/106 per la prima volta su tre pc non ha preso nessun falso positivo.
Mai successo in passato.

[[Claudio]]

Esiste però una diversità negli standard di settore enorme tra alcuni prodotti.
MSE in particolare utilizza standard altissimi sotto questo aspetto, ma anche quelli di Kaspersky dovrebbero essere piuttosto buoni, mentre Ikarus ed Emsisoft al contrario, rappresentano il gradino più basso.

@Dead, se il riferimento fosse Emsisoft .... saremmo tutti con le pezze ai calzoni
Per i resto è anche una questione di "impostazioni"; faccio un esempio: Avira impostato in modalità euristica elevata segnalerà un numero maggiore di FP (e stiamo parlando di Avira - che tutto sommato resta uno tra i migliori software di protezione - non di Jiangmin).
Ora la domanda è: preferibile un software di prevenzione/protezione che segnala qualche FP in più, oppure un software che fa passare di tutto e di più?.

Nota: si è presa l'abitudine di fare riferimento a Report come quelli di AV-Comparatives per capire se un software sia IN oppure OUT: basta analizzare le comparative per capire che o sono tutti IN o sono tutti OUT, perchè (esclusi alcuni prodotti) le % di rilevamento si attestano più o meno allo stesso livello.
Morale: farsi piacere una cosa perché la carta che avvolge il pacco è più bella di quella di un altro è ingannevole.

Un conto è se Kaspersky o gdata mi dicono che è una minaccia, bene diverso è se me lo dice Jiangmin (ma chi cavolo è?).
Quindi vediamo di analizzare bene anche i log di virustotal prima di preoccuparsi per nulla.

Appunto

HitmanPro è stato disinstallato, non solo per i falsi positivi ma anche per i due problemi rilevati, Mancato caricamento del driver rilevato su VirusTotal, e mancato ripristino del driver rilevato dalla quarantena, problemi gia segnalati al centro di supporto.

Problemi che risolveranno e che (dal mio punto di vista) non mi farebbero rinunciare ad uno strumento come HitmanPro.

Malwarebytes PRO era installato, ho preferito Emsisoft Anti-Malware, per problemi di compatibilità di Malwarebytes con la protezione in tempo reale, dei due programmi.

Detto che non avrei mai rinunciato a MBAM in favore di EAM ..... @Gian ..... sarebbe bastato impostare le "esclusioni reciproche" ed avresti risolto il problema.

In definitiva, hai rinunciato a due software di livello, in favore di uno che, personalmente, non suggerirei a nessuno.

[hashcat]

@Dead, se il riferimento fosse Emsisoft .... saremmo tutti con le pezze ai calzoni

Premetto che non sono un fanboy di di Emsisoft, non un rivenditore nè ho mai ricevuto favori da questa compagnia; detto questo sarei curioso di conoscere, per esteso, la vostra esperienza riguardo al suddetto prodotto (considerando che entrambi sembrate sconsigliarlo).
Personalmente reputo la suite Emsisoft Internet Security Pack (Emsisoft Anti-Malware + Online Armor) una fra le piú solide (non composte dall'utente) disponibile sul mercato. L'HIPS, malgrado presenti qualche problema, è uno dei pochi che, anche in versione gratuita, garantisce una solida protezione, IDEM per il firewall. Il motore di scansione garantisce un tasso di rilevazione ottimo e, soprattutto, una capacità di pulizia approfondita (tracce) probabilmente seconda solo a Malwarebytes.

P.S.: Mi scuso preventivamente per l'off-topic. Probabilmente è il caso di continuare in un'apposita discussione.

[[Claudio]]

hashcat

P.S.: Mi scuso preventivamente per l'off-topic. Probabilmente è il caso di continuare in un'apposita discussione.

Secondo me non sei OT, potremmo proseguire qui, se volete.

Personalmente, non ho nulla contro Emsisoft; ho appena letto un commento di @Crazy in cui sottolinea che "ora" è migliorato (finalmente ne trarrà vantaggio anche HitmanPro, diminuiranno in maniera considerevole i FP positivi che rilevava fino a poco tempo fa).
La mia valutazione si basa essenzialmente sulle "esperienze" di altri che lo hanno provato e ..... disinstallato tout-court (preferendo la soluzione composta dall'utente).
L'osservazione era a riferimento di una decisione (giusta o meno possa essere considerata, è una scelta dell'utente) di rinunciare a strumenti con MBAE e HitmanPro che al contrario di Emsisoft (ex AdAware se non sbaglio) conosco molto bene e che considero di sicura qualità.

[hashcat]

@[Claudio] Tutto chiaro. Ci tengo a precisare che il predecessore di Emsisoft era a-squared (questo era il nome storico del software), AdAware (era e) rimane un prodotto a sè stante.

Un po' di cronologia di Emsisoft (tappe importanti):

Fondata nel 2003.
Già dal 2005 il software disponeva di un behaviour blocker ed inizialmente era dotato di un solo motore di scansione: il proprio; nel 2008 viene aggiunto il secondo motore (Ikarus), nel 2010 Emsisoft acquisisce il firewall Online Armor dall'australiana Tall Emu e cambia il nome del proprio scanner nell'attuale Emsisoft Anti-Malware.
Nel 2012 cambia il proprio motore di scansione aggiuntivo da Ikarus a Bitdefender.

[[Claudio]]

@[Claudio] Tutto chiaro. Ci tengo a precisare che il predecessore di Emsisoft era a-squared (questo era il nome storico del software), AdAware (era e) rimane un prodotto a sè stante.

Giusto (infatti non ero sicuro).

Nel 2012 cambia il proprio motore di scansione aggiuntivo da Ikarus a Bitdefender.

E' questo che trovo incomprensibile @hash; è indiscutibile la crescita (in particolare nel corso dell'ultimo anno) di Bitdefenfer (tanto che se dovessi suggerisce ad un utente un antivirus, Bitdefender free cloud sarebbe quello che indicherei, vuoi per l'affidabilità che dimostra e vuoi perché non richiede alcuna configurazione, quindi di una semplicità di utilizzo disarmante, un vantaggio notevole per un utente poco esperto); non capisco come mai, a fronte di motore di scansione meno avezzo ai FP, il prodotto di Emsisoft si comporti diversamente (o almeno cosi si è comportato fino a qualche settimana fa).
Devo anche dire (mi sembra corretto) che sono poco incline a prendere in considerazione software di sicurezza "tutto incluso"; sono del parere che se un software nasce antivirus, deve fare l'antivirus, un software che nasce firewall deve fare il firewall, e cosi via (insomma, le Suite, non mi hanno mai convinto).

[hashcat]

Devo anche dire (mi sembra corretto) che sono poco incline a prendere in considerazione software di sicurezza "tutto incluso"; sono del parere che se un software nasce antivirus, deve fare l'antivirus, un software che nasce firewall deve fare il firewall, e cosi via (insomma, le Suite, non mi hanno mai convinto).

Su questo punto sono della stessa opinione: la migliore configurazione di sicurezza è quella che costruisco (e configuro) da me.

Per spiegarti meglio cosa intendo per "pensare una configurazione di sicurezza", QUI avevo riportato alcuni accorgimenti volti al raggiungimento di un livello di sicurezza elevato e non dipendente dal sistema operativo in uso.



@[Claudio]
L'unica soluzione per avere una risposta attendibile a questo interrogativo è quella di chiedere direttamente al team di HitmanPro.

Un'analogia che mi viene in mente è quella di GData e Avast (quando quest'ultimo aggiornò il proprio motore di scansione alla versione 5 (e successive) ci fu un notevole incremento del tasso di rilevazione delle nuove minacce; GData mantenne la versione 4 mostrando performance differenti (decisamente peggiori) rispetto ad Avast).

P.S.: In quel periodo lo stesso VirusTotal considerava i due Scanner (versione 4 | versioni successive in beta) come separati includendoli entrambi nei propri report.

P.S.2: Nella versione 2014 di GData il motore di Avast è stato sostituito con uno proprietario.

[[Claudio]]

Per spiegarti meglio cosa intendo per "pensare una configurazione di sicurezza", QUI avevo riportato alcuni accorgimenti volti al raggiungimento di un livello di sicurezza elevato e non dipendente dal sistema operativo in uso.

Interessante .... dovresti "replicare" il post, aprendo la discussione qui.

@[Claudio] ... L'unica soluzione per avere una risposta attendibile a questo interrogativo è quella di chiedere direttamente al team di HitmanPro.

Già fatto a suo tempo .... forse non erano convinti neppure loro
Non resta altro che verificare come si comporterà HP nei prossimi mesi (almeno fino a quando Emsisoft non verrà sostituito come partner); con l'ultimo aggiornamento della versione (build 203) l'ingresso di Kaspersky (sommato a Bitdefender), offre (almeno dal mio punto di vista) maggiori garanzie.

[The Walking Dead]

@hashcat
Ciao.

In sostanza perché credo che una qualunque società di sicurezza debba avere standard qualitativi elevati nello sviluppo del proprio prodotto.
Trovo che quelli di Emsisoft siano impresentabili sotto questo aspetto, in particolare mi riferisco alla questione falsi positivi.
In un ottica corretta di sviluppo del software questi dovrebbero rappresentare un eccezione, e non la regola come invece sembra essere per il team di Emsisoft.

Personalmente ho un opinione piuttosto radicalizzata nei confronti delle applicazioni software che si occupano di sicurezza.
Di base la mia concezione di sicurezza prevede l'uso di un numero esiguo di software, non amo config che prevedono innumerevoli prodotti.
Questi inoltre devono rispondere a precisi standard di qualità e di usabilità (per questa ragione non considero gli HIPS strumenti di sicurezza sostenibili nel lungo periodo).

Sandoboxie ed EMET per esempio, come puoi notare anche dal mio avatar rispondono a questi requisiti.

Allo stesso modo non amo OA, proprio perché non considero un HIPS uno strumento di sicurezza di una qualche reale utilità nell'uso quotidiano, inoltre trovo che anche esso utilizzi standard qualitativi piuttosto bassi.

Questo discorso può essere esteso a molti software di uso comune, da Comodo (davvero mi chiedo come si faccia ad usarlo ) fino a Malwarebytes antiexploit.
La mia è comunque un opinione molto radicale, in campo sicurezza non amo le mezze misure e capisco possano esistere visioni diverse dalla mia.

[hashcat]

@The Walking Dead

Credo di aver compreso appieno la tua opinione; lungi dal convincere qualcuno ci tengo a far notare che, dall'adozione di Bitdefender come motore alternativo, la percentuale di falsi positivi si è ridotta drasticamente (negli ultimi 3 VB100 ha ottenuto la certificazione con 0 falsi positivi) e nell'ultimo real world test di Av-Comparatives, è incappato in 5 falsi positivi (considerando anche i domini bloccati*) [il report non riporta il numero totale dei campioni].



Ottimo risultato di Microsoft che non ha segnalato false rilevazioni. È però giusto considerare che nel Real World Test ha una percentuale di rilevamento di malware decisamente insufficiente (92.5%).

*Non so se ultimamente (2 anni) la situazione è cambiata ma quando lo provai, l'url filtering di Emsisoft era decisamente aggressivo.

P.S.: Av-Comparatives condivide, al termine del test, i campioni che hanno generato la rilevazione di falso positivo con le relative aziende, migliorando le performance dei software testati.
Per essere il primo Real World dove compare Emsisoft non mi sembra un brutto risultato.

P.S.2: Emsisoft è stato testato in versione 7 (l'ultima è la 8) e solo come Anti-Malware (a differenza della maggior parte dei prodotti che ha presentato la propria suite completa).
Considerando le rilevazioni mancate (escluse quelle dipendenti dall'utente [sono 4]) sono piuttosto convinto che, se affiancato ad Online Armor, il tasso di rilevazione finale sarebbe stato pari al 100% del totale.

[The Walking Dead]

anche quelli di Kaspersky dovrebbero essere piuttosto buoni, mentre Ikarus ed Emsisoft al contrario, rappresentano il gradino più basso.

Su questo punto non sono molto d'accordo.

P.S.: Emsisoft riguardo alla questione falsi positivi è migliorato notevolmente (attualmente utilizza il motore di Bitdefender + motore proprietario)

Scusate mi era sfuggito questo passaggio.
Riconosco che non uso Emsisoft da diverso tempo, è quindi probabile che qualcosa sia cambiato.
Non dubito della vostra opinione.

Però anche se Emsisoft avesse realmente risolto l'aspetto di cui discutiamo, secondo me, di fondo, dovremmo chiederci sempre "è la migliore applicazione nel suo settore di competenza? posso trovare di meglio?".
Questa è una domanda che mi pongo sempre quando installo una nuova applicazione in generale, di sicurezza in particolare.
Quando installo EMET, oppure Sandboxie mi rispondo di si, secondo me si tratta dei due software migliori nel proprio settore di competenza..

Quando installo Emsisoft invece io mi rispondo di no.

Ovvero io credo, ed è questa la linea guida che seguo, che dovremmo usare in campo software solo il meglio del meglio, solo l'elite, senza mezze misure.
Malwarebytes antiexploit ad esempio, di per se potrebbe anche non essere un software malvagio, però io ne ho una considerazione fondamentalmente negativa perché non ne apprezzo il concept.

Personalmente estendo questo mio approccio anche alle applicazioni che non riguardano la sicurezza, per esempio io non capisco come in molti riescano ad apprezzare Sumatra.
Non include una sandbox, l'interfaccia grafica è ancorata a 10 anni fa, è un progetto gestito da un paio di sviluppatori, come possono questi tenere il passo di Adobe?

[The Walking Dead]

Credo di aver compreso appieno la tua opinione; lungi dal convincere qualcuno ci tengo a far notare che, dall'adozione di Bitdefender come motore alternativo, la percentuale di falsi positivi si è ridotta drasticamente (negli ultimi 3 VB100 ha ottenuto la certificazione con 0 falsi positivi) e nell'ultimo real world test di Av-Comparatives, è incappato in 5 falsi positivi (considerando anche i domini bloccati*) [il report non riporta il numero totale dei campioni].

Si innegabilmente ciò si tratta di un netto miglioramento rispetto al passato.
Credo che l'abbandono di Ikarus come secondo motore di scansione abbia complessivamente giovato .
Per quanto riguarda la % di rilevazione io credo resti da capire quanto del merito sia attribuibile ad Emsisoft e quanto a BitDefender.
Però si innegabilmente c'è stato un netto miglioramento rispetto alle precedenti versioni.

[crazy.cat]

Comodo (davvero mi chiedo come si faccia ad usarlo )

Io lo uso da anni e mi piace il suo hips che mi dice quando succede qualcosa di strano nel pc, quando un eseguibile vuole accedere direttamente al disco fisso (successo una volta con un exploit che scaricava una variante di virus che attacava i settori Mbr) o quando qualcosa vuole accedere alla rete senza il mio permesso.

Sandoboxie ed EMET

Non trovo sandbox o emet così "usabili" per la gente comune, e non ho nessuna voglia di mettermi a calcolare il migliore Il per fargli girare i loro applicativi, ma non mi metto a farlo neanche nel mio pc.

capisco possano esistere visioni diverse dalla mia.

E' il minimo che non siamo tutto dello stesso pensiero.

"è la migliore applicazione nel suo settore di competenza? posso trovare di meglio?".

Di meglio abbiamo solo Malwarebytes, di meglio come portable non abbiamo niente. Dato che a me serviva un antimalware da mettermi su una pendrive, dopo la prova fatta EEK vi è entrata di diritto.

[[Claudio]]

Ovvero io credo, ed è questa la linea guida che seguo, che dovremmo usare in campo software solo il meglio del meglio, solo l'elite, senza mezze misure.

Potrei essere d'accordo, @Dead, ma devi tenere conto di almeno due fattori:
1) stabilire cosa sia "l'elite" presuppone un lavoro di ricerca e di test che l'utente comune non ha voglia di fare (fermo restando poi la necessità di mettere anche mano alle configurazioni);
2) la tendenza a ricorrere a software free per ragioni di portafoglio (e se anche l'elite che rilascia versioni free scade un pochino, figuriamoci il resto).

Malwarebytes antiexploit ad esempio, di per se potrebbe anche non essere un software malvagio, però io ne ho una considerazione fondamentalmente negativa perché non ne apprezzo il concept.

Se l'obiettivo è questo la vedo dura; però non si può escludere a priori che MBAE possa migliorare nel tempo (visto il lavoro fatto con Malwarebytes, un pò di fiducia si deve dare).
Comunque stiamo facendo pura accademia: tutti siamo consapevoli che il significato del termine "sicurezza" varia da utente ad utente; ma se non ci fossero posizioni differenti ad alimentare il confronto ..... diventerebbe noioso :-> ).

[hashcat]

Grazie ad entrambi per le risposte.