Scansione file online con VirusTotal... senza caricare alcun dato

VirusTotal è uno dei servizi di scansione antivirus online più apprezzati a livello mondiale.

VirusTotal è uno dei servizi di scansione antivirus online più apprezzati a livello mondiale. Inizialmente sviluppato ed aggiornato da una società spagnola, VirusTotal è diventato – dal mese di settembre 2012 – di proprietà di Google. Per una cifra non resa pubblica, il colosso fondato da Larry Page e Sergey Brin ha infatti messo nel suo portafoglio una realtà importantissima nel quadro internazionale: VirusTotal viene infatti quotidianamente utilizzato da milioni di utenti per effettuare scansioni di file online oppure per verificare la “bontà” di una qualunque pagina web. Oltre alla nota funzionalità per la scansione di file online, VirusTotal permette di controllare se un sito è sicuro analizzandone tutta una serie di peculiarità (Controllare se un sito è sicuro. Effettuare la scansione antivirus di un file senza scaricarlo).
Così come accade nel caso della scansione file (VirusTotal utilizza ben 46 motori antivirus differenti), anche i siti web vengono valutati appoggiandosi ai motori di analisi sviluppati da diversi produttori.

In questo nostro articolo ci concentreremo sulla scansione antivirus online di file e cartelle.

Quando si ha a che fare con file provenienti da fonti sconosciute è sempre bene agire con la massima cautela. I software antivirus ed antimalware che si basano su una scansione in tempo reale effettuata attingendo alle informazioni contenute nel database delle firme virali non riescono a rilevare sempre, prontamente, una minaccia non appena il file nocivo viene salvato sul disco fisso. Questa situazione si presenta soprattutto quando la minaccia è stata realizzata di recente ed è quindi comparsa in Rete da breve tempo. Il contenuto dell’archivio delle firme antivirus, infatti, viene aggiornato non appena i tecnici dei laboratori delle varie software house attive nel campo della sicurezza informatica provvedono a rilasciare degli update: e ciò potrebbe avvenire in ritardo rispetto alla comparsa di un nuovo malware in Rete.

Prima di avviare un file eseguibile o di aprire altri formati di file, soprattutto se sospetti o comunque qualora si nutrissero dubbi sulla loro reale “identità”, è quindi bene sottoporli ad una scansione simultanea con più motori antivirus: è questo ciò che fa VirusTotal.
Il servizio, completamente gratuito e fruibile anche senza effettuare alcun tipo di registrazione, provvede ad esaminare il file trasmesso (le sue dimensioni non possono superare i 64 MB; tale dimensione è stata recentemente raddoppiata dopo l’ingresso di Google…) utilizzando le versioni più aggiornate di ben 46 motori antivirus differenti: Agnitum, AhnLab-V3, AntiVir, Antiy-AVL, Avast, AVG, BitDefender, ByteHero, CAT-QuickHeal, ClamAV, Commtouch, Comodo, DrWeb, Emsisoft, eSafe, ESET-NOD32, F-Prot, F-Secure, Fortinet, GData, Ikarus, Jiangmin, K7AntiVirus, Kaspersky, Kingsoft, Malwarebytes (si tratta di un’importante recente “new-entry”), McAfee, McAfee-GW-Edition, Microsoft, MicroWorld-Escan, NANO-Antivirus, Norman, nProtect, Panda, PCTools, Sophos, SUPERAntiSpyware, Symantec, TheHacker, TotalDefense, TrendMicro, TrendMicro-HouseCall, VBA32, VIPRE e ViRobot).

Nel corso di anni di attività, VirusTotal ha potuto comporre un vastissimo archivio di scansioni via a via effettuate dagli utenti del servizio.
Facendo leva sul fatto che VirusTotal tiene traccia delle firme digitali di ciascun file, caricato dagli utenti attraverso l’interfaccia web del servizio oppure mediante l’applicazione VirusTotal Uploader, è possibile cercare un precedente responso inserendo la firma MD5 o SHA1 del file d’interesse (basta indicarla nella casella di ricerca presente in questa pagina).
La firma digitale (MD5 o SHA1) contraddistingue in modo univoco qualunque file: calcolandola, è possibile ottenere l’analisi antivirus precedentemente restituita a quell’utente che avesse richiesto la scansione del medesimo file (per maggiori informazioni sulle firme digitali e sugli algoritmi di hashing, suggeriamo la lettura dell’articolo MultiHasher: verificare l’integrità di qualunque file in Windows.

Dal momento che VirusTotal è un servizio utilizzato mensilmente da milioni di utenti in tutto il mondo, le probabilità che i file coi quali si ha a che fare siano stati già oggetto di scansione sono molto elevate. Per effettuare velocemente un controllo su un insieme di file, allora, perché non utilizzare il ricco database delle scansioni costantemente aggiornato da VirusTotal e conservato sui server dell’azienda ora di proprietà di Google?

Calcolando la firma SHA di qualunque file memorizzato sul disco fisso ed inviando tale informazione a VirusTotal, è possibile effettuare una scansione antivirus rapida senza la necessità di caricare online alcun file.
Ovviamente, questa possibilità non sostituisce la presenza di un antimalware, che dev’essere sempre in esecuzione sul sistema ma pone nelle mani degli utenti uno strumento in più, utilizzabile per effettuare una scansione veloce quando si nutrissero dei dubbi sull’identità di uno o più file.

Il software che vi offriamo gratuitamente (e che è stato sviluppato da wargus) calcola la firma SHA1 (hash) di ogni elemento e la trasmette a VirusTotal. In questo modo, è possibile verificare se il file dotato della medesima firma SHA1 sia stato precedentemente già analizzato su VirusTotal stabilendo, quindi, se sia da ritenersi “pulito” oppure dannoso.

Scansione file online con “Interroga VirusTotal”

Il software che vi offriamo per il controllo automatizzato di più file e cartelle su VirusTotal consta di una comoda interfaccia grafica: insiemi di file e cartelle possono essere controllati dalla shell di Windows (cliccando con il tasto destro del mouse e scegliendo Invia a, Invia l’Hash del file a VirusTotal) oppure dalla finestra principale del programma stesso.
Una volta completata la procedura di scansione virus interfacciandosi con VirusTotal, il software visualizza una finestra che funge da riepilogo degli oggetti analizzati. Per impostazione predefinita vengono immediatamente mostrati i file sospetti insieme con la corrispondente firma SHA1 (colonna Hash) ed il numero di report positivi (il numero dei motori di scansione antivirus che hanno rilevato come dannoso il file indicato). Agendo sul menù a tendina, si possono mostrare i file noti come legittimi, quelli che non sono stati trovati nell’archivio di VirusTotal nonché la lista completa degli elementi posti sotto esame.

di proprietà di Google.
Il software da prelevare è pubblicato a questo indirizzo.

Trattandosi di uno script AutoIt, successivamente compilato sotto forma di file eseguibile (AutoIt è una sorta di linguaggio di scripting che eredita e fa propria gran parte della sintassi BASIC), alcuni motori antivirus potrebbero cadere in errore indicando l’applicazione Interroga VirusTotal come potenzialmente nociva. Si tratta di “falsi positivi” ossia di segnalazione completamente errate: Interroga VirusTotal può essere utilizzato senza patemi perché assolutamente benigno.

).

, si accederà immediatamente alla finestra principale del programma.

Da qui, cliccando sul menù Opzioni quindi sulla voce Aggiungi al menù contestuale di Windows, il programma provvederà ad inserire automaticamente il comando “Invia l’Hash del file a VirusTotal” nel menù “Invia a” di Windows.

Ciò significa che selezionando uno o più file e cartelle da Esplora risorse, cliccandovi con il tasto destro del mouse, quindi selezionando Invia a, Invia l’Hash del file a VirusTotal, si avvierà immediatamente il controllo antimalware:

Così facendo, partirà immediatamente la scansione dei file contenuti nella cartella selezionata:

Qualora si volesse successivamente rimuovere la voce dal menù contestuale del sistema operativo, basterà selezionare nuovamente il menù Opzioni quindi cliccare su Rimuovi dal menù contestuale di Windows.
È interessante notare come Interroga VirusTotal non debba essere eseguito con i diritti di amministratore: in particolare, l’aggiunta dei riferimenti nel menù contestuale di Windows non richiede tali privilegi.
Via a via che i file saranno analizzati su VirusTotal, il programma informerà l’utente sullo stato di avanzamento dell’operazione di controllo.

Anziché utilizzare il menù “Invia a” di Windows, è sempre possibile avviare una scansione di file e cartelle servendosi del menù File quindi dei comandi Aggiungi file ed Aggiungi cartelle.

Dopo alcuni secondi di attesa (suggeriamo di aspettare pazientemente soprattutto se i file da controllare sono molti), si otterrà il responso finale:

Nella schermata principale vengono mostrati tutti i file posti sotto la lente. Per visualizzare solo quelli sospetti, basta selezionare Mostra solo i file positivi dall’apposito menù a tendina.
È bene tenere presente che alcuni file potrebbero essere segnalati come potenzialmente nocivi quando, in realtà, non lo sono affatto. Tale comportamento non è riconducibile alla scansione virus effettuata dall’applicazione che vi abbiamo presentato quanto alle firme virali rilasciate dai vari produttori di software antivirus. Può capitare infatti, soprattutto con alcune utilità shareware e freeware, con alcune tipologie di software per la gestione remota, con taluni programmi distribuiti usando particolari strumenti di compressione o meccanismi di scripting, che un elemento sia erroneamente riportato come potenzialmente dannoso (“falso positivo”).
In tali frangenti è sempre opportuno effettuare una nuova scansione virus su VirusTotal, leggere i commenti spesso presenti in calce all’analisi e svolgere qualche verifica in Rete in modo tale da assicurarsi della bontà dell’oggetto.
Situazioni simili sono generalmente riconoscibili: quando sono solo uno, due o tre i motori antivirus a rilevare come dannoso un file, è altamente probabile che si tratti di un errore in fase di riconoscimento.

Agendo sul menù a tendina, si può ottenere l’elenco di tutti i file analizzati, degli elementi riconosciuti come legittimi e di quelli non trovati nel database mantenuto costantemente aggiornato da parte di VirusTotal.

I pulsanti Copia e Salva consentono, rispettivamente, di copiare o memorizzare su disco – sotto forma di file di testo – il resoconto finale prodotto dal software. Cliccando con il tasto destro del mouse su un qualunque elemento in elenco quindi scegliendo il comando Mostra il report dal sito per il file selezionato, verrà immediatamente aperta la pagina web contenente l’analisi più aggiornata conservata su VirusTotal.

Il funzionamento dell’applicazione è personalizzabile aprendo, con un normale editor di testo, il file virustotal.ini:

Le opzioni contenute nel file di configurazione sono “autoesplicative”: per impostazione predefinita, il software prende in considerazione i file dotati di qualunque estensione, fatta eccezione per le tipologie indicate con il parametro ESCLUDI_FILE.
Per default, inoltre, il programma esamina ricorsivamente (parametro RICORSIVO impostato a “1”) il contenuto di tutte le sottocartelle eventualmente presenti in una stessa directory.

Ci preme evidenziare che l’applicazione “Interroga VirusTotal” non è in alcun modo correlata o correlabile con le società VirusTotal e Google.

Interroga VirusTotal (InterrogaVT)
Download: ilsoftware.it
Compatibile con: Windows XP, Windows Vista, Windows 7
Licenza: Freeware

Ti consigliamo anche

Link copiato negli appunti