Quando si nutrono dubbi sulla natura di un file, di qualunque tipo esso sia, il primo servizio al quale si fa riferimento è VirusTotal.
Inizialmente sviluppato da una società spagnola, VirusTotal è stato acquisito nel 2012 da Google per poi diventare un’azienda a sé a gennaio 2018 (Chronicle), direttamente controllata dalla casa madre di Google ovvero Alphabet.
VirusTotal è cresciuto moltissimo nel corso del tempo: da semplice sito web in grado di sottoporre a scansione i file con i migliori antivirus (oggi circa 70), è diventato una articolata applicazione web capace di estrarre informazioni utili sui file oggetto di esame, in grado di effettuare un’analisi comportamentale all’intero di una macchina virtuale e usare l’intelligenza artificiale per smascherare operazioni sospette.
Indipendentemente dal sistema operativo utilizzato, la scansione con VirusTotal di un qualunque file è possibile semplicemente avviando il browser web e portandosi a questo indirizzo.
VirusTotal esamina file, indirizzi web e permette di effettuare ricerche
Per effettuare la scansione online di un file con VirusTotal basta cliccare su Choose file e selezionarlo dal proprio dispositivo.
Se il responso venisse offerto immediatamente, significa che il file è già noto a VirusTotal e che le informazioni relative alle precedenti scansioni sono contenute nei suoi database.
Ciò può essere accertato esaminando (in alto a destra) la data dell’ultima scansione: la dizione “N days ago conferma che lo stesso file è stato scansionato alcuni giorni orsono.
Può accadere che in passato alcuni motori di scansione antimalware non siano riusciti a riconoscere correttamente una minaccia. Accade spesso che, soprattutto che con le minacce informatiche di recente fattura, i tradizionali motori di scansione antimalware non siano così solerti nel riconoscere correttamente una minaccia.
Ecco quindi che cliccando sull’icona Reanalyze file in alto a destra, è possibile richiedere nuovamente la scansione dello stesso file su VirusTotal e aggiornare il report restituito dal servizio.
Il vantaggio di questo approccio è che se un file fosse già noto a VirusTotal, indipendentemente dal fatto che sia stato riconosciuto o meno come oggetto malevolo, si potrà evitare di effettuarne nuovamente l’upload (un bel vantaggio nel caso in cui si avesse a che fare con elementi di dimensioni ragguardevoli).
Per accertare l’identità di un file e cercarlo nel suo database, VirusTotal ne calcola dapprima l’hash, una firma che è unica per ciascun elemento col quale si ha a che fare. L’hash, in formato SHA-256, è quella lunga stringa alfanumerica che viene riportata da VirusTotal nella parte superiore della sua schermata (già nel 2012 avevamo messo in evidenza le differenze tra i vari algoritmi di hashing: MultiHasher: verificare l’integrità di qualunque file in Windows).
Mentre nella sezione Detection si trova l’elenco degli antimalware che avessero rilevato come dannoso il file, cliccando sulla scheda Details si possono trovare tante informazioni aggiuntive come i vari hash e la data di prima scansione.
Qui però si trovano informazioni utili come i nomi con cui il file è stato scansionato, nel corso del tempo, dai vari utenti di VirusTotal.
Nell’esempio si vede come il temibile ransomware WannaCry sia stato presentato, ad alcuni utenti, con il nome diskpart.exe
che scimmiotta palesemente un’utilità integrata in Windows.
Non solo. Quando si effettuano delle analisi su VirusTotal, è interessante verificare anche la presenza di un’eventuale firma digitale. Nell’esempio, il malware in questione non presenta alcuna firma e anzi le informazioni presenti, facenti riferimento a Microsoft, sono palesemente fasulle (vedere questo report di esempio).
Cliccando su Behavior si possono consultare i risultati delle analisi comportamentali effettuate utilizzando diverse sandbox. Da qualche tempo a questa parte, infatti, VirusTotal è direttamente collegato con i servizi di sandboxing di molteplici vendor: Dr.Web, Tencent HABO, Lastline, ReaQta-Hive, Rising MOVE e altri ancora (ad esempio per i pacchetti Android viene utilizzato VirusTotal Droidy).
L’icona in alto destra (Explore in VirusTotal Graph) consente di accedere a una mole di informazioni molto più ampia rispetto a quelle ottenibili cliccando sulla scheda Relations. Previa registrazione al servizio VirusTotal, è possibile ottenere la generazione di un grafico ad albero che mostra le dipendenze tra il file principali e i componenti accessori.
Le icone in rosso indicano i componenti software che sono stati rilevati come malware dai motori di scansione antimalware oppure sulla base del loro comportamento.
Con un doppio clic sulle varie icone, si possono ottenere informazioni aggiuntive, verificare gli URL e gli indirizzi IP remoti al quale si collega il file.
A beneficio dei più esperti, il servizio a pagamento VirusTotal Intelligence consente di effettuare ricerche avanzate all’interno del database usando sintassi decisamente più complesse (vedere queste pagine).
Dalla home page di VirusTotal, cliccando su URL è possibile anche verificare la “bontà” di qualunque pagina web e cercare nel database (scheda Search) indirizzi, URL, hash di file e file già esaminati precedentemente.