Quando si hanno dei dubbi sull’identità di un file, specie se provenienti da contatti sconosciuti o da sorgenti inaffidabili, il nostro consiglio è sempre quello di effettuare una scansione antivirus online con VirusTotal.
Il servizio, di proprietà di Google ed utilizzabile collegandosi con questa pagina, consente di sottoporre a scansione antivirus online qualsiasi eseguibile con oltre 50 motori antivirus ed antimalware.
Quando si riceve un allegato “sospetto” o si scarica da Internet un programma “dubbio”, suggeriamo di inviarlo a VirusTotal in modo da sottoporlo ad una scansione antivirus istantanea.
Come prassi, suggeriamo di effettuare una scansione antivirus online con VirusTotal anche dei programmi che si scaricano dalla Rete, soprattutto se poco conosciuti o se si hanno dubbi sulla loro “legittimità”.
I motori di scansione antivirus su cui poggia VirusTotal utilizzano le firme virali più recenti ed aggiornate rilasciate dai vari produttori. Oltre ai nomi più famosi come AVG, Avira Antivir, Avast, BitDefender, ClamAV, Comodo, Dr.Web, ESET, Emsisoft, F-Secure, Fortinet, G-DATA, Malwarebytes, McAfee, Microsoft, Panda, SuperAntiSpyware, Sophos, Symantec e TrendMicro, si avrà automaticamente modo di utilizzare anche i motori antivirus ed antimalware di altri produttori meno conosciuti.
Quando si analizzerà il responso di VirusTotal, è bene tenere presente che in alcuni casi possono essere restituiti dei “falsi positivi” ossia il file sottoposto a scansione può essere bollato come pericoloso da uno o più motori antivirus quando in realtà si tratta di un elemento assolutamente legittimo e benigno.
Parlando di software antivirus, un falso positivo è una segnalazione relativa alla pericolosità di un file, sottoposto a scansione, che invece è completamente innocuo.
Il problema dei “falsi positivi” è molto comune, soprattutto fra i software antivirus che si basano su di un’analisi effettuata unicamente utilizzando database delle firme virali e non abbinando verifiche sul comportamento dell’applicazione o controlli “in the cloud” (intelligenza collettiva).
Falsi positivi si possono presentare allorquando le caratteristiche peculiari di un file risultino molto vicine a quelle di una minaccia nota (impronte virali) oppure quando determinate funzionalità possono far ipotizzare la messa in atto di azioni potenzialmente pericolose per l’utente e per i dati memorizzati sui suoi sistemi.
Per questo motivo, ad esempio, utilità che consentono di recuperare le password o di effettuare modifiche profonde sulla configurazione di Windows sono spesso considerate come malware.
In quest’ultimo caso, tuttavia, è sempre bene esaminare con attenzione il responso offerto dai vari motori antivirus su VirusTotal. A volte, infatti, la descrizione della minaccia aiuta a capire meglio ciò con cui si ha a che fare.
Ad esempio, l’indicazione “not-a-virus” indica chiaramente che il programma non è un malware ma che trattasi molto probabilmente di un’utilità (spesso ne viene specificato il nome) che serve per effettuare operazioni approfondite sul sistema. In altri casi, invece, viene riportata la dizione “riskware” per meglio sottolineare che quello sottoposto a scansione è di per sé un programma legittimo che però può causare danni se posto nelle mani di malintenzionati o di chi non dispone delle sufficienti competenze tecniche per adoperarlo. Spesso programmi per l’amministrazione remota del sistema, il recupero delle password, il monitoraggio delle attività espletate sul computer, client IRC ed applicazioni che attivano l’uso server proxy possono ricadere nella categoria dei “riskware” ed essere segnalati su VirusTotal come sospetti.
Se si sa che cosa si sta facendo, tuttavia, non vi sono problemi.
Quando poi sono uno o due motori antivirus a segnalare il file sottoposto a scansione antivirus come dannoso è probabile che si sia davanti ad un falso positivo, soprattutto quando la minaccia viene segnalata come generica o sconosciuta.
In ogni caso, è sempre bene agire con la massima cautela e, ove possibile, evitare l’esecuzione del file.
Nel caso di nuove minacce, da poco venute a galla, infatti, sono pochi i motori di scansione antivirus che segnaleranno il problema. Purtuttavia, la minaccia dovrebbe essere classificata in modo similare dai vari motori e dovrebbe esserci un sostanziale accordo sul responso. Nel caso di minacce nuove che siano reali, sottoponendo nuovamente a scansione antivirus su VirusTotal il medesimo elemento, trascorsa qualche ora si dovrebbe ottenere un responso più puntuale ed il numero di motori che rileveranno la minaccia dovrebbe aumentare rapidamente.
Dicevamo che VirusTotal si rivela molto utile anche quando si scaricano file da Internet. È infatti sempre più prassi, da parte degli sviluppatori software, di inserire nelle loro “creazioni” anche elementi potenzialmente indesiderati oppure oggetti che tengono un comportamento al limite dello “spyware”.
Nel caso in cui un eseguibile scaricato dalla Rete contenesse componenti superflui o pericolosi, su VirusTotal qualche motore antivirus lo indicherà sicuramente come “PUP” (Potentially unwanted program), come “Adware” o come “Spyware” riportando spesso anche il componente indesiderato che la procedura d’installazione del programma contiene al suo interno.
Per approfondire l’argomento ed ottenere una serie di suggerimenti che consentono di evitare l’installazione di elementi superflui o dannosi, consigliamo la lettura dell’articolo Rimuovere programmi indesiderati: suggerimenti pratici e del successivo Evitare installazione di toolbar e programmi indesiderati.
Nell’articolo Scansione file online con VirusTotal… senza caricare alcun dato avevamo a suo tempo presentato un piccolo programma, messo a punto da un nostro lettore, che permette di effettuare una scansione antivirus online con VirusTotal del contenuto di intere cartelle senza caricare in Rete alcun dato.
Com’è possibile se VirusTotal, non appena ci si collega con la sua home page mostra in bella evidenza il pulsante Submit (consente di selezionare un file in locale e di inviarlo sui server del servizio per procedere con la scansione online)?
Semplice. VirusTotal tiene traccia di ogni singola analisi effettuata su ciascun file sottoposto a scansione. Così, nel corso di anni di attività, VirusTotal ha potuto comporre un vastissimo archivio di scansioni via a via effettuate dagli utenti del servizio.
Ogni file è contraddistinto in modo univoco da una firma digitale: calcolandola (algoritmi MD5 o SHA1) è possibile interrogare VirusTotal e richiedere il responso (esito della scansione antivirus) rilasciato all’ultimo utente che ha inviato il medesimo file.
La nostra applicazione, presentata nell’articolo Scansione file online con VirusTotal… senza caricare alcun dato non fa che calcolare le firme (o hash) dei file memorizzati in locale ed interrogare VirusTotal.
– Per maggiori informazioni sulle firme digitali e sugli algoritmi di hashing, suggeriamo la lettura dell’articolo MultiHasher: verificare l’integrità di qualunque file in Windows.
Di recente, anche gli autori della famosa utility Process Explorer hanno utilizzato lo stesso approccio.
Process Explorer è uno dei migliori programmi per indagare sui processi in esecuzione sul sistema (Process Explorer: individuare e risolvere problemi legati ai processi in esecuzione) smascherando quegli elementi che occupano maggiormente le risorse del sistema e che sono eventualmente collegati all’azione di malware insediatisi in Windows (vedere anche Monitorare processi di Windows e programmi in esecuzione).
Con il rilascio di Process Explorer 16.01, una delle applicazioni opera di Mark Russinovich (la cui società nel mese di luglio 2006, dopo anni di attività, è stata acquisita da parte di Microsoft), il programma diventa in grado di sottoporre a scansione antivirus su VirusTotal tutti i processi in esecuzione sul sistema.
Per attivare tale funzionalità, è sufficiente avviare Process Explorer, cliccare sul menù Options, VirusTotal.com quindi su Check VirusTotal.com:
A questo punto, apparirà la nuova colonna “VirusTotal“.
Dopo la scansione iniziale (verranno trasmessi a VirusTotal solo gli hash dei processi in esecuzione), nella colonna VirusTotal appariranno tutti i responsi:
Uno zero iniziale (ad esempio “0/51”) indica che il file è stato classificato come “benigno” da parte di tutti i motori antivirus usati da VirusTotal.
Ovviamente, utilizzando gli hash di ciascun file (in modo da velocizzare la visualizzazione del responso), l’esito della scansione antivirus va riferito all’ultima analisi che è stata effettuata, da qualche altro utente, in periodi precedenti, su VirusTotal.
Come si vede, nel nostro caso non manca qualche “falso positivo” (indicazione “1/51” o “1/50”) data, come abbiamo avuto modo di verificare, dal motore antivirus Aegis (software house meno conosciuta).
Purtroppo, almeno al momento della stesura dell’articolo, Process Explorer manca di un link che permetta di accedere velocemente alla pagina del responso su VirusTotal.
Facendo doppio clic su un processo in elenco quindi su Submit, infatti, il file corrispondente sarà inviato sui server di VirusTotal per una scansione vera e propria ma non verrà visualizzata la pagina web con l’esito integrale dell’analisi.
Peraltro, il comportamento del pulsante Submit sembra ancora migliorabile: in alcuni casi, infatti, l’esito della scansione completa sembra non pervenire mai (visualizzazione dell’indicazione Scanning…).
Per verificare una scansione manuale su VirusTotal, suggeriamo di copiare il contenuto della casella Path (CTRL+C
), collegarsi con la home del servizio, cliccare su Scegli file, incollare il percorso del file nella casella Nome file della finestra di dialogo Selezionare il file da caricare (CTRL+V
) quindi fare clic su Apri.
Selezionando il tasto Scansiona su VirusTotal, inizierà una scansione completa del file trasmesso.
Download: ilsoftware.it
Compatibile con: Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2012, Windows 8, Windows 8.1
(versioni a 32 e 64 bit)
Licenza: freeware
Download: ilsoftware.it
Compatibile con: Windows XP, Windows Vista, Windows 7, Windows 8, Windows 8.1
Licenza: freeware