Uno degli strumenti più famosi per effettuare una scansione antivirus online è senza dubbio VirusTotal.
Il servizio, di proprietà di Google, provvede ad effettuare una scansione antivirus online con decine di motori antimalware differenti.
L’analisi, però, si limita all’utilizzo delle firme virali rilasciate quotidianamente (o, a volte, anche con maggior frequenza) dai vari produttori di soluzioni antivirus ed antimalware (nell’articolo Computer lento in seguito a virus e malware. Come scoprirlo e come risolvere abbiamo chiarito la differenza tra virus e malware).
L’approccio basato sulle firme virali, però, ha – come più volte ricordato – parecchi limiti. Da quando in Rete appare il primo campione di una nuova minaccia può passare diverso tempo prima che i produttori antivirus aggiornino i loro database.
Coloro che utilizzano prodotti per la sicurezza che integrano motori di scansione euristica, strumenti di intelligenza collettiva e di intelligenza artificiale sono sicuramente avvantaggiati e di fatto più protetti perché il software, tipicamente, è in grado di riconoscere una potenziale minaccia prima ancora che il database delle firme virali venga aggiornato.
Già presentato a suo tempo (vedere Come eseguire scansione antivirus con Deepviz), Deepviz è un prodotto tutto italiano che permette di effettuare una scansione antivirus online senza la necessità di installare alcunché in locale.
Deepviz, però, diversamente rispetto a strumenti come VirusTotal non utilizza affatto i database delle firme virali bensì una propria soluzione basata sull’impiego di una macchina virtuale all’interno della quale vengono eseguiti i file inviati dall’utente.
Il sistema provvede ad avviare qualunque eseguibile nella macchina virtuale (ma anche, ad esempio, ad aprire gli eventuali file PDF inviati dagli utenti) stabilendo, grazie all’intelligenza artificiale, quali campioni possono essere pericolosi e quali, invece, non nascondono alcuna minaccia.
La piattaforma Deepviz si compone di due strumenti: Malware Analyzer e Threat Intelligence. Il primo è il modulo di scansione antimalware vero e proprio che prende in carico il file inviato dall’utente e lo analizza sul cloud; il secondo, invece, è uno strumento che offre una visione dettagliata sulle minacce che stanno prendendo piede.
Threat Intelligence, infatti, analizza in tempo reale i dati elaborati dal Malware Analyzer, traccia correlazioni e unisce le informazioni raccolte con l’obiettivo di scoprire tutte le varie nuove famiglie di malware.
Nel pannello di Threat Intelligence sono indicati anche tutti i nomi a dominio che i malware scoperti nel periodo selezionato sono riusciti a contattare con successo. Vengono altresì fornite le firme MD5 di tutti i file malevoli cui si fa riferimento.
Al momento Deepviz viene descritto come in grado di analizzare 80.000 campioni malware al giorno. Il servizio, comunque, sfrutta la filosofia IaaS, acronimo di Infrastructure as a service. Deepviz adopera infatti un approccio altamente scalabile (le risorse sono istanziate ed utilizzate sul cloud al momento dell’effettivo bisogno).
L’intera infrastruttura su cui poggia Deepviz è basata su OpenStack.
Il supporto per gli eseguibili a 64 bit sarà introdotto nelle prossime settimane e, per il momento, fintanto che sarà aperto il programma di “beta testing” pubblico (probabilmente almeno fino alla fine del 2015), tutti gli utenti registrati potranno servirsi – senza limitazione alcuna – di tutte le funzionalità di scansione, analisi e consultazione offerte da Deepviz.
Per effettuare la scansione di un file, è sufficiente portarsi in questa pagina quindi cliccare sul pulsante Upload now.
Deepviz permetterà quindi di visionare l’eventuale precedente responso nel caso in cui il file sottoposto a scansione fosse già conosciuto al sistema. In ogni caso, però si avrà la possibilità di effettuarne di nuovo un’analisi dettagliata.
Come spiegato nell’articolo Come eseguire scansione antivirus con Deepviz, Deepviz – dopo aver eseguito od aperto il file dell’utente nella sua macchina virtuale – indica il comportamento tenuto dallo stesso evidenziando attività sospette o pericolose.
Nella prima parte del responso, Deepviz indica chiaramente se il file sia da considerarsi malevolo o meno.
È bene tuttavia tenere presente che, allo stato attuale, Deepviz si limita ad aprire od eseguire il file sottoposto a scansione; il sistema non interagisce cioè in alcun modo con il file esaminato. Un approccio del genere, quindi, non permette di stabilire se eventuali operazioni malevole vengano eseguite dopo una o più interazioni da parte dell’utente.
Si pensi ad esempio ai file d’installazione che integrano PUPs (Potentially Unwanted Software). Tali componenti superflui, talvolta capaci di mantenere un comportamento al limite dello spyware, vengono spesso caricati sul sistema dopo la ripetuta pressione del pulsante Avanti o Next.
Negli articoli seguenti abbiamo spiegato come difendersi dai componenti indesiderati presenti, purtroppo, sempre più di frequente in molti programmi:
1) Come non prendere virus e malware quando si scaricano programmi
2) Computer lento in seguito a virus e malware. Come scoprirlo e come risolvere
3) Come pulire il PC lento con gli strumenti migliori
4) Come velocizzare il PC in poche mosse
Quello che fa Deepviz lo fa bene (rileva eventuali modifiche pericolose apportate al sistema dopo l’avvio di un qualunque eseguibile) ma potrebbe essere utile, nel prossimo futuro, simulare nella macchina virtuale l’installazione del programma ogniqualvolta la piattaforma si dovesse trovare a che fare con l’analisi di un installer/setup.
Marco Giuliani, CEO della società italiana svilupatrice di Deepviz ha precisato che: “Da molti utenti ci viene chiesto quale sia la nostra posizione nella categorizzazione di software PUP o Potentially Unwanted Program. Per come ragiona Deepviz abbiamo deciso di non dare alcun peso alle categorie che i più classici software antivirus forniscono. La nostra detrerminazione se un file è potenzialmente nocivo oppure no è basata su una analisi euristica del file in sé, sia a livello comportamentale che a livello di geometria. Il nostro classificatore identifica tramite un algoritmo di machine learning, e come tale viene continuamente allenato con un subset di sample nocivi e un subset di sample non nocivi. Non consideriamo eventuali PUP né nel subset dei sample nocivi né in quello dei buoni, lasciamo che sia il classificatore ad identificare il comportamento automatico del sample in sé.
Un discorso a parte va fatto per quei file che sono installer, per i quali vi è necessità di una interazione dell’utente che decide cosa installare. Per quelle tipologie di file, che non hanno un comportamento nocivo da soli ma necessitano di un’interazione umana, stiamo studiando una modalità apposita di analisi che permetterà di eseguire l’installer e, successivamente, analizzare singolarmente ogni file che l’installer ha scritto nel sistema“.
Maggiori informazioni su Deepviz sono reperibili anche nella nota di presentazione del servizio, appena pubblicata.
Il Malware Analyzer di Deepviz è disponibile cliccando qui mentre da questa pagina è possibile accedere al servizio di Threat Intelligence.