A partir de ahora ya no hay cuentas de usuario para las licencias. En su lugar, Emsisoft está cambiando a un simple sistema basado en claves.

Nueva interfaz de usuario

Tras una descarga de 97,2 MB y una instalación multilingüe sin complicaciones, en la ventana de bienvenida puedes elegir si quieres probar el software durante 30 días, introducir la clave de licencia o utilizar la versión gratuita.

Lo que se nota inmediatamente: se ha eliminado el caballo de Troya dorado de la interfaz. Aparece una nueva interfaz de usuario clara y se inicia un asistente para configurar los ajustes.

El asistente de seguridad

En esta ventana, se le pregunta si desea participar en interacciones en la nube o actualizar idiomas adicionales. La red en la nube se utiliza para los objetos encontrados. Si deja esta opción activada, el malware encontrado en su ordenador se enviará automáticamente a la red en la nube para generar nuevo malware y distribuirlo rápidamente a todos los usuarios de Emsisoft Anti-Malware. Desactivo los «idiomas adicionales» y las actualizaciones beta, ya que el alemán es perfectamente suficiente para mí y no tengo ningún interés en las betas.

Una vez seleccionado, se buscan, descargan e instalan las actualizaciones y firmas disponibles. El Asistente de Seguridad de Emsisoft Anti-Malware ahora quiere escanear el PC inmediatamente. Continúe con ‘Escanear PC ahora’. Puede elegir entre ‘Escaneo rápido’, ‘Escaneo inteligente’, ‘Escaneo detallado’ o ‘Escaneo propio’. Las descripciones comprensibles se encuentran debajo del módulo de escaneo y también en la ventana de la derecha.

También puede añadir excepciones de inmediato en «Editar excepciones» – en este caso lo hago con los archivos del escáner de virus ESET NOD32 (egui.exe, ekrn.exe) que también se está ejecutando en el sistema y, por último, seleccione el «Escaneo detallado».

Las pruebas

Se prueban 2 ordenadores portátiles:
PC1 – portátil Hewlett-Packard, Intel Core i5 con Windows 7 Professional SP1 (32 bits), un disco duro, tamaño del disco duro 215 GB, de los cuales se utilizan 159 GB.

PC2 – Portátil Samsung, Intel Core Centrino Duo con 2 discos duros
1er disco duro (C:) 144 GB, de los cuales 52 GB ocupados con Windows Vista Business SP2 (32 bits)
2º disco duro (D:) 143 GB, de los cuales 42,7 GB están ocupados por Windows 7 Professional SP1 (32 bits)
Escaneado desde Windows Vista.

El escaneo comienza con PC1 y cubre un total de 569.639 objetos, se muestra una bonita animación durante el escaneo. Después de 19 minutos y 47 segundos el «Escaneo Detallado» con PC1 ha terminado. Emsisoft ha encontrado 3 objetos con riesgo alto, 1 objeto con riesgo medio y 1 objeto con riesgo bajo, la lista de resultados me muestra diferentes colores. El rojo significa riesgo alto, el amarillo riesgo medio y el gris riesgo bajo. Las terminaciones E1 y E2 identifican el motor de análisis que ha detectado el archivo como dañino. E1 es el motor antimalware interno y E2 es el motor antivirus de Ikarus.

En VirusTotal.com me entero de la existencia del archivo EndProcess.exe, que se encuentra en el directorio «C:\hp in» y al que Emsisoft ha otorgado una calificación de «bajo riesgo». En mi humilde opinión, el archivo debería pertenecer a Hewlett-Packard. VirusTotal lo clasifica como «goodware».

Si hace clic en el enlace «Riskware.Win32.KillApp!E1» en la ventana anti-malware, se abre una página web de información de Emsisoft y explica qué es un riskware (programa de riesgo) y qué programas están clasificados como riskware – por ejemplo, clientes de chat IRC, clientes SMTP, servidores proxy, servidores FTP, servidores web, etc.. Y: «Otras herramientas que están hechas para derribar procesos, ocultar ventanas o leer parámetros del sistema automáticamente».

El archivo EndProcess.exe de HP se ajusta a la afirmación «para matar procesos», ya que se utiliza para matar procesos y puede apagar el ordenador si es necesario.
*Falso Positivo

La entrada «Adware.Win32.Agent!E1» se detecta como adware, aunque puedo decir con un 100% de certeza que se trata de mi fondo de escritorio animado de Hewlett-Packard.
*Falso positivo

Muevo las 3 entradas Java a cuarentena. Estos mensajes de Java son delicados debido a los agujeros de seguridad que aparecen de vez en cuando. Sin embargo, la versión 6, cuyos archivos fueron criticados aquí, hace tiempo que fue desinstalada y sustituida por la versión 7.

Las dos primeras entradas mencionadas se «añaden a las excepciones» con un clic derecho. En la misma ventana, puede visualizar el archivo de registro en «Mostrar informe».

Después de 10 horas y al 95%, Emsisoft Anti-Malware aún no ha terminado con PC2. Hasta ahora se habían escaneado 622.964 objetos en la unidad C:, ahora el escaneo está atascado en la unidad D:. Se han encontrado 32 objetos.

Las 3 primeras entradas de rastreo (radmin) pertenecen al software de control remoto «Radmin» (mantenimiento remoto) – éste fue instalado deliberadamente. El «TrojanDownloader.Win32.GhostRA(dmin)», por ejemplo, al que Emsisoft alude aquí al igual que otros programas de seguridad, también tiene entradas de registro completamente diferentes.

*Falso positivo

La entrada Riskware.PSWTool.Win32.Asterisk!E2 es una herramienta que puede mostrar contraseñas con asteriscos en texto plano – «X-Pass».

*Falso Positivo

Riskware.ProductKey!E2 es una herramienta de Nirsoft que muestra las claves de producto de los programas instalados: Nirsoft ProduKey.

*Falso Positivo

no-a-virus:RiskTool.Win32.HideWindows!E2 y Riskware.RiskTool.Win32.HideWindows!E2 pertenecen a un programa de consola (cmdow.exe) diseñado por WinTotal para el WebSite-Watcher utilizado por el equipo de Software Archive: WebSite-Watcher de Aigne
*Falso positivo

Todas las entradas se «añaden a excepciones» con un clic derecho.
Como el escáner todavía no ha escaneado el disco duro D: y sólo hay las opciones «Pausar», «Continuar» o «Cancelar», supongo que tengo que decidirme por «Cancelar», porque incluso con «Continuar» no se mueve nada. Empecemos de nuevo, todo el mundo merece una segunda oportunidad. He desinstalado el software de control remoto «Radmin». Las entradas que se añadieron a las excepciones mediante el botón derecho del ratón fueron aceptadas por Anti-Malware, aunque tuve que cancelarlas después.

El informe en el directorio «C:\sers\sername\Documents\Anti-MalwareReports» enumera qué configuraciones de escaneo se utilizaron, el método de escaneo, objetos, inicio y fin del escaneo, fecha, duración, etc. El informe también está disponible para su descarga.

Tras el primer escaneado, el Asistente de seguridad pasa a la siguiente categoría «Prevenir malware» con el botón «Siguiente».

Aquí se muestra la configuración de los 3 guardianes en tiempo real (guardia de archivos, análisis de comportamiento y protección de navegación). En «Editar reglas de aplicación», en el análisis de comportamiento, encontrará el software antivirus que se añadió a la lista de excepciones antes de iniciar el análisis detallado. Aquí se pueden añadir, editar o eliminar otras reglas. En la «Configuración» de «Descargar e instalar automáticamente nuevas actualizaciones» puede determinar cuándo deben comprobarse las actualizaciones. También puede editar los escaneos programados en la «Configuración».

De momento lo dejo en la configuración por defecto y hago clic en «Siguiente». El Asistente de Seguridad ha finalizado y se puede salir haciendo clic en «Salir del Asistente».

El virus de prueba

Antes de pasar al resto de configuraciones, me pica la curiosidad: ¿Se puede engañar a Emsisoft con un simple virus de prueba de Eicar? Y he aquí que el virus de prueba con la extensión «com» ya estaba bloqueado cuando se descargó. Con la extensión «zip», sin embargo, sólo se bloqueó al descomprimirlo en el disco duro. Un escaneo manual previo del archivo zip mostró incluso que no se encontraron objetos sospechosos.

La configuración

Tras cerrar el Asistente de seguridad, se abre la interfaz de usuario con un pequeño botón de menú en el margen que contiene las entradas Estado de seguridad, «Análisis del PC», Cuarentena, Registro, Protección y Configuración. En «Análisis del PC» puede configurar la acción que se realizará al final del análisis.

Puede elegir entre «Mostrar sólo informe», «Poner en cuarentena los elementos encontrados» o «Apagar el PC». En la opción de menú Cuarentena, los objetos pueden enviarse para su análisis, restaurarse, volver a escanearse o, por último, eliminarse. La lista de cuarentena puede guardarse. En la opción de menú Registro, se pueden consultar los informes de la guardia, la cuarentena y las actualizaciones, borrarlos o eliminar entradas individuales o todas las entradas de las listas respectivas.En la opción de menú Guardia, se pueden añadir, editar o eliminar más excepciones en la pestaña «Reglas de aplicación». En la pestaña «Protección» (en la demo «Análisis de comportamiento») puede ver de qué le protege Emsisoft Anti-Malware. Una nueva adición en la versión 6.0 es «Cambios en las políticas de seguridad del sistema».

En la pestaña «Alarmas», puede establecer la sensibilidad en porcentaje y así influir en cuándo debe aparecer un mensaje cuando se encuentran objetos. Puedes elegir entre «Reducción inteligente de alarmas» o «Reducción de alarmas basada en la comunidad».

Reducción inteligente de alertas: Anti-Malware intenta reconocer si un programa notificado es benigno basándose en un análisis técnico del archivo del programa. Si la reducción inteligente de alertas no está activada, se emiten mensajes de advertencia al iniciar programas como Internet Explorer o Firefox. Si la reducción inteligente de alertas está activada, Emsisoft Anti-Malware reconoce que se trata de programas legítimos y no emite ningún mensaje de advertencia.

Reducción de alertas basada en la comunidad: a través de una consulta en línea a la Anti-Malware Cloud-Network, se consultan las decisiones de todos los usuarios de Emsisoft Anti-Malware sobre el programa denunciado y se muestran en color en un gráfico. Anti-Malware muestra entonces una recomendación sobre cómo proceder con el programa.

El modo Paranoico informa de inicios de programas adicionales y aplicaciones con comportamiento «sospechoso» o similar al malware, pero que no son necesariamente peligrosas. Esta opción está desactivada por defecto porque produce muchas falsas alarmas.

La pestaña File Guard se encarga de analizar los archivos, por ejemplo, mientras se inician, modifican o crean, cuando se descargan de Internet o cuando se leen.

La pestaña «Protección de navegación» es una capa de seguridad adicional que te avisa de sitios web sospechosos mientras navegas. Las opciones de supervisión de hosts pueden configurarse individualmente seleccionando «No bloquear», «Alerta», «Bloquear con información» y «Bloquear invisible».

En la pestaña «Reglas de host», puedes añadir sitios web sospechosos, como sitios de phishing o de exploits, para bloquearlos, o sitios web de confianza que no deberían bloquearse. La lista ya incorporada debe activarse. Las reglas se pueden editar, añadir o eliminar.

En la opción de menú Configuración, en la pestaña «General», encontrará la protección Captcha. La opción activada garantiza que el guardia no pueda ser finalizado sin autorización por otros programas o a través del administrador de tareas. Para finalizar la guardia, es necesario introducir el código captcha. No obstante, cabe preguntarse qué seguridad ofrece realmente esta función adicional, a la vista de los informes sobre la frecuencia con la que se descifran los códigos captcha (véase una de las últimas noticias de Heise).

La opción «Activar autoprotección» ofrece protección contra malware que intente finalizar o desactivar Emsisoft Anti-Malware de forma inadvertida – debe utilizarse imperativamente.

En la pestaña «Ventanas emergentes», puede elegir si desea leer las últimas noticias de Emsisoft mientras se descargan las actualizaciones, si desea recibir los mensajes emergentes de las actualizaciones que aparecen en la bandeja del sistema y durante cuánto tiempo en segundos deben estar visibles. Cuando se reinicia el sistema, aparece un pequeño aviso cuando se han descargado nuevas firmas, como es habitual en otros escáneres de virus o spyware. Esto no se puede ocultar.

En la pestaña «Permisos», usted como administrador puede prohibir a usuarios individuales que cambien la configuración de Emsisoft Anti-Malware si existen varias cuentas de usuario de Windows. La configuración predeterminada permite a cada usuario utilizar todas las funciones sin restricciones.

HiJackFree

Se puede acceder a la herramienta HiJackFree a través del menú contextual del icono del escudo protector en la barra de la bandeja del sistema. La herramienta está en inglés y también puede ser descargada y utilizada gratuitamente por usuarios privados. El troyano de color dorado vuelve a estar presente en esta interfaz. La herramienta enumera los procesos activos, los puertos, las entradas de inicio automático y los servicios en particular.

En «Procesos», las entradas están codificadas por colores. Las entradas verdes son procesos benignos. Las entradas amarillas pueden ser benignas o maliciosas, en su mayoría son programas que Emsisoft HiJackFree aún desconoce. Las entradas rojas pueden ser maliciosas y las blancas son procesos para los que no se ha encontrado información en línea. Puede realizar un análisis en línea haciendo clic en el icono «Análisis en línea» en la esquina superior derecha y buscar en la lista o establecer filtros. Haciendo clic en el proceso de la lista, puede obtener más información en la ventana inferior o también puede hacer clic en «Ver propiedades del archivo» para llamar a las propiedades del archivo. Puedes eliminar la entrada o el archivo marcados o matar el proceso, pero siempre debes activar «Guardar copia de seguridad».

También puede asignar prioridad a los procesos. Sin embargo, debe proceder con cautela al utilizar esta herramienta. Sólo debe actuar si está absolutamente seguro de que el proceso, el programa de puerto, la entrada de inicio automático o el servicio pertenecen al malware.

Las entradas de complementos de Internet Explorer, barras de herramientas de IE, extensiones de shell (entradas del menú contextual de IE), ganchos de shell, BHO (objetos ayudantes del navegador) y ActiveX (por ejemplo, Flash Player) se enumeran en Otros. Las entradas de LSP (Layered Service Providers) aparecen en otra subcarpeta. Los LSP son requisitos previos a nivel de WinSock para que Windows pueda establecer una conexión con Internet. Los flujos de datos entrantes y salientes también pueden utilizarse para introducir «código malicioso». La subcarpeta Hosts enumera las entradas del archivo HOSTS ubicado en el directorio %Systemroot%system32driversetc. Este archivo se utiliza para la asignación fija de nombres de host con direcciones IP. La última subcarpeta ActiveX enumera todas las DLL ActiveX registradas en todo el sistema, por ejemplo los controles ActiveX de Microsoft Office Excel. Los que ya no están activos se muestran en rojo. No activo significa que hay información en el registro sobre un módulo para el que ya no existe un archivo DLL. Por lo general, estas entradas pueden eliminarse sin problemas a través del menú contextual «Desinstalar ActiveX».

Conclusión

Si aún no conoce Emsisoft Anti-Malware, le sorprenderá la velocidad de los análisis y la claridad de la interfaz de usuario. Se proporciona una explicación para cada ajuste. Todos los incidentes se registran y los archivos correspondientes se pueden exportar y volver a importar al igual que los ajustes. A diferencia de otros programas de protección, Emsisoft Anti-Malware se ha diseñado para que pueda funcionar en paralelo con otros programas antivirus y cortafuegos sin ningún problema. Los hallazgos en el asistente de seguridad al principio no deberían preocuparle. El software de riesgo, también llamado «software no deseado», se analiza durante el proceso de instalación. Las entradas puestas en cuarentena de forma incorrecta se pueden volver a copiar. También puede desactivar Riskware más tarde en la configuración. Sin embargo, todavía tienes que experimentar con la configuración durante los primeros días hasta que tengas tu guardia de la manera que deseas. Con el virus de prueba, pensé que el antivirus bloquearía el sitio web de inmediato, como ocurre con otros antivirus. Sin embargo, el antivirus no reconoció los virus (de prueba) de la página web; sólo cuando hice clic en un virus se impidió la descarga. Mostró debilidades al tratar con el archivo de virus empaquetado, que sólo fue detectado durante el desempaquetado o no fue detectado en absoluto durante el escaneo manual.

En resumen, Emsisoft Anti-Malware 6 es un buen escáner, pero a veces está configurado de forma demasiado sensible, lo que provoca mensajes de error.

La demo se puede utilizar durante 30 días sin restricciones y luego se puede desbloquear con una clave de licencia. De lo contrario, tras el periodo de prueba, se convierte en un escáner gratuito con el que se puede escanear y limpiar el PC en cualquier momento, pero que carece de las funciones de protección en tiempo real.