Revisió i qualificació de Winantirol Winantiransom

Gairebé tots els programes antivirus de les meves ressenyes són només actualitzacions de productes que he examinat moltes vegades al llarg dels anys. Rarament veig res de nou, per la qual cosa em va emocionar comprovar WinPatrol WinAntiRansom. Malgrat el nom, aquest producte pretén protegir-se de totes les formes de programari maliciós, no només del ransomware. Com que analitza el comportament del programa en lloc de confiar en signatures, en teoria hauria de ser igual d’efectiu contra tot el programari maliciós, inclosos els nous atacs del dia zero. Tanmateix, a la pràctica, tots dos van trobar a faltar algun programari maliciós i van identificar falsament molts programes bons com a maliciosos.

WinAntiRansom és de 19, 95 dòlars anuals, o 24, 95 dòlars per tres llicències, és decisivament menys car que la majoria. Analitzant estrictament el preu de llista, Bitdefender Antivirus Plus 2017, Kaspersky, Norton i Webroot costen el doble per una sola llicència. McAfee té tres vegades el preu de WinAntiRansom, però permet instal·lacions il·limitades. Per altra banda, pagar una mica més t’obté molt més en forma de protecció en aquest cas.

WinAntiRansom és inusual ja que no té una pantalla d'inici ni una finestra principal. Al llançar, mostra la pàgina de configuració, amb una cinta a la part superior que permet accedir a registres, configuració, ajuda, etc. Un conjunt d’icones que a la part superior dreta s’expandeix a una pantalla que us permet seleccionar entre prop de quatre dotzenes pells, incloses diverses dedicades a temporades o festius concrets. No puc entendre bé per què un programa anti-malware necessita tantes pells, però.

Immediatament després de la instal·lació, WinAntiRansom realitza una exploració per identificar i enumerar bons programes coneguts presents al sistema. Al fer clic a la icona Programes es mostra aquesta llista que marca els programes signats digitalment i els components de Windows amb icones especials. Una vegada finalitzada aquesta exploració, WinAntiMalware ja treballa.

Bloqueig de programari maliciós a Launch

Els laboratoris de proves antivirus independents a tot el món tenen més recursos que jo per posar a prova els programes de seguretat. El fet que facin una prova d’un programa diu que consideren que és prou important i que el venedor està a la participació. Bones puntuacions? Fins i tot millor! Kaspersky Anti-Virus, especialment, obté excel·lents puntuacions de tots els laboratoris que segueixo.

Malauradament, cap laboratori inclou WinAntiRansom a les proves. Això no vol dir que sigui dolent, però no inspira confiança.

Sense resultats de proves dels laboratoris independents, vaig haver de basar-me completament en les proves pràctiques sobre l'eficàcia d'aquesta utilitat. A diferència de la majoria d’aplicacions antivirus, WinAntiRansom només té en compte el comportament del programa, de manera que no hi ha cap exploració a l’accés. La prova és senzilla. Acabo de llançar cada mostra de programari maliciós de la meva col·lecció i vaig registrar la reacció de l'aplicació.

L’antivirus va detectar el 97 per cent de les meves mostres, les mateixes que Norton, Trend Micro Antivirus + Security i algunes altres. En cada cas, va aparèixer una finestra de notificació amb el títol "PreEmptive Strike Block!" i una línia que indica "Realitza un Ransomware / Malware com una acció" seguida d'un número entre parèntesis. La finestra emergent va oferir dues opcions, Allow Next Time i Quarantina. WinAntiRansom va detectar algunes de les mostres immediatament després del llançament, altres després que passés poc temps.

Aquests números em van intrigar. Durant la prova, he trobat 15 números diferents, que van des d’un fins al 3001. El meu contacte de l’empresa explicava que els números representen l’acció final que va empènyer la puntuació de comportament total del programa per la part superior. "Mai els hem fet públics perquè no volem ajudar els autors de programari maliciós a trobar una manera d'evitar la detecció ni als competidors per millorar els seus productes", va explicar.

Gràfic de resultats per bloqueig de programari maliciós

La quarantena de WinAntiRansom va evitar que la majoria de les mostres de programari maliciós no instal·lessin res. Tot i això, en pocs casos he trobat un procés maliciós no només instal·lat sinó que s’executava. És possible que el sistema de detecció basat en el comportament posi en quarantena un procés, però es perdi un altre. Això va fer que el marcador global de WinAntiRansom es va reduir fins als 9, 2 punts. Symantec Norton AntiVirus Basic i Trend Micro van obtenir 9, 7 punts perquè van bloquejar completament tots els atacs de programari maliciós detectats. El Webroot ocupa el primer lloc d'aquesta prova amb 10 punts perfectes.

Molts falsos positius

Podria escriure un programa antivirus que bloca absolutament tots els programes maliciosos. L’únic problema és que també bloquejaria tots els programes no dolents. Al món real, les utilitats antivirus tenen dos objectius: bloquejar tots els programes maliciosos i deixar tots els programes vàlids sols. Els falsos positius, que marquen els programes vàlids com a maliciosos, disminueixen la confiança de l’usuari en la precisió de l’antivirus.

Per fer un control de sanitat fals positiu, vaig provar la reacció de WinAntiRansom davant una col·lecció de programes d’utilitat un cop publicada a PC Magazine. Conservo aquestes utilitats a la mateixa carpeta que les mostres de programari maliciós, passant per la llista alfabèticament i llançant programes bons i dolents.

Els resultats van ser tímids. Només cinc dels 20 programes van escapar del bloqueig preventiu de WinAntiRansom. Sí, l'usuari podria triar permetre el programa la propera vegada i llançar-lo de nou. Però no sóc aficionat als programes de seguretat que deixen aquest tipus de decisió a l’usuari. El fet que la notificació emergent no identifiqui el seu motiu per classificar el programa com a programari maliciós fa que aquesta decisió sigui més difícil.

Bloqueig de les darreres amenaces

No he pogut aplicar la meva prova de bloqueig d’URL maliciosa habitual a WinAntiRansom, perquè no intenta bloquejar l’accés a URL que allotgen programari maliciós i no explora descàrregues fins que no s’executin. Tinc aquesta valoració, però, perquè les mostres de programari maliciós del feed subministrat per MRG-Effitas són molt actuals, i els URL no tenen més d’un dia. Per tant, vaig idear una prova modificada per a WinAntiRansom.

Normalment faig servir 100 mostres, però per a aquesta prova de màxima intensitat laboral vaig parar un cop en vaig descarregar 50. Aleshores simplement vaig anar baixant la línia, llançant cadascuna i notant la resposta de l’aplicació. Els resultats van ser decebedors. WinAntiRansom només va oferir a la quarantena el 78 per cent de les mostres. Norton va bloquejar el 98 per cent, principalment mitjançant la eliminació del programari maliciós descarregat. Avira Antivirus Pro va gestionar el 95 per cent de protecció, gairebé tot allunyant el navegador de l’URL que allotjava programari maliciós.

Només per fer un control de sanejament, he executat el hash MD5 de cada mostra mitjançant VirusTotal. VirusTotal comprova cada mostra amb més de 50 motors antivirus i informa quants consideren maliciós. Vaig registrar el percentatge que marcava cada mostra com a maliciós. Per als fitxers que WinAntiRansom va detectar, la taxa de detecció mitjana de VirusTotal va ser del 59 per cent. Per als que van perdre, la mitjana va ser del 53 per cent, cosa que no diferencia gaire.

Per ser justos, és possible que alguns d’aquests fitxers perduts simplement no haguessin iniciat les seves conductes malintencionades. Aquest és un perill de detecció estricta basada en la conducta: no pot identificar un programa que només es troba en un segon pla, esperant una oportunitat de comportar-se malament. Però Webroot SecureAnywhere AntiVirus també utilitza la detecció basada en el comportament, i va obtenir una nota molt millor en totes les meves proves.

Vegeu com testem el programari de seguretat

Altres característiques i defectes

WinAntiRansom té nombroses capes addicionals per evitar danys per part d’un programa maliciós que supera la detecció basada en el seu comportament. Bloqueig de xarxa funciona com un control de programes de tallafoc, bloquejant les connexions de xarxa per programes que no es troben en la llista de confiança. La protecció del registre impedeix que els programes desconeguts facin canvis en les àrees de registre crítiques. La companyia no enumera deliberadament les àrees de registre crític per no facilitar les coses als pirates informàtics.

Com a major incidència contra el ransomware, WinAntiRansom nega l'accés als programes desconeguts als fitxers del SafeZone, que per defecte és una subcarpeta de la vostra carpeta Documents. Vaig pensar que tindria més sentit posar tota la carpeta de Documents al SafeZone, però l'aplicació no em permetria. Des de la cinta, podeu fer clic a icones per veure totes les accions recents mitjançant la protecció del registre, el bloqueig de xarxa i el SafeZone.

Vaig provar el bloqueig de xarxa navegant per Internet amb el meu petit navegador codificat a mà. Tot i això, WinAntiRansom la va identificar com a malintencionada. L’única manera de poder executar-la era marcar-la com a confiança, moment en què ja no estava sotmesa a bloqueig de xarxa. De la mateixa manera, vaig pensar que podria provar SafeZone mitjançant un petit editor de text que vaig escriure jo mateix, però WinAntiRansom el va posar en quarantena. Les tres de les meves llistes van romandre buides, tal com es troben a les captures de pantalla del sistema d’ajuda.

Durant la prova, el programa es va congelar diverses vegades, provocant una consulta de Windows sobre si volia tancar-la o buscar una solució primer. També es va estavellar amb un missatge d'error d'excepció sense complir un parell de vegades.

També he trobat un comportament molt estrany relacionat amb la funció de pells. Primer, vaig seleccionar la pell del dia de Sant Valentí, que es torna rosat de fons, amb cors petits escampats pel voltant. Aleshores vaig redimensionar la finestra. En aquest punt, el fons va començar a circular a través de tres vistes, cadascuna escombrant lentament des de la part superior. Un era el cor de fons rosat correcte, un era una finestra rellotgada amb petites icones d'engranatges i una altra de color negre. El peculiar display es va aturar al cap d'un temps, però es tornava a iniciar si redimensionava la finestra. Aquest comportament era completament repetible i passava amb algunes, però no totes, amb la resta de pells. He esmentat anteriorment que em deixa consternar la gran quantitat d’atenció al disseny que es dóna al subministrament de desenes de pells i que el comportament estrany de la pell només fa que sigui més desconcertant.

Necessita treballar

WinPatrol WinAntiRansom té l’objectiu de protegir-vos de programari maliciós conegut i desconegut basant la seva detecció en un comportament, no en signatures predefinides. És un objectiu noble, però, pel que vaig poder veure a les proves, el programa té molt camí per recórrer. Va trobar a faltar alguns programes maliciosos, va bloquejar molts programes vàlids i va mostrar un comportament estrany amb problemes en les proves.

De la gran quantitat de productes antivirus que hi ha, n’hem identificat cinc com a elecció dels editors: Bitdefender Antivirus Plus, Kaspersky Anti-Virus, McAfee AntiVirus Plus, Symantec Norton AntiVirus Basic i Webroot SecureAnywhere Antivirus. Cadascuna té les seves pròpies virtuts; per exemple, McAfee ofereix instal·lacions il·limitades i Webroot utilitza la detecció basada en el comportament amb èxit. Vostè paga més per una d’aquestes utilitats antivirus, però obté una protecció molt millor.