VirusTotal è il servizio che da tempo consigliamo ogniqualvolta ci sia bisogno di verificare la bontà di un qualunque file. Si tratta di un servizio, acquisito a settembre 2012 da Google, che permette di effettuare una scansione antivirus e antimalware (nell’articolo Computer lento in seguito a virus e malware. Come scoprirlo e come risolvere abbiamo chiarito la differenza tra antivirus ed antimalware) di qualunque genere di file utilizzando decine di motori diversi (più di 50, sviluppati ed aggiornati da differenti produttori).
La scansione antimalware effettuata con VirusTotal si basa sugli aggiornamenti dei database delle firme virali rilasciati dai vari produttori di software antivirus ed antimalware. Inviando a VirusTotal un file da analizzare, si potrà verificare quali motori di scansione lo indicano come pericoloso o potenzialmente dannoso.
Ed è vero che un approccio basato sull’utilizzo di prodotti per la sicurezza che si basano quasi esclusivamente sull’utilizzo delle firme virali è ormi sconsigliato (emblematico il caso Cryptolocker: Infezione da Cryptolocker e CryptoWall: dati in pericolo; Cryptolocker: nuova ondata di attacchi in Italia), oggigiorno, ma una scansione simultanea con più motori – grazie a VirusTotal – riesce spesso ad evidenziare per tempo le possibili minacce.
Suggeriamo di approfondire l’argomento con la lettura dell’articolo Come scaricare programmi gratuiti senza virus e malware.
Il problema dei falsi positivi
Un approccio basato sull’utilizzo delle firme virali porta con sé anche un altro svantaggio ossia un elevato rischio, talvolta, di incorrere nei falsi positivi. Un “falso positivo” è sostanzialmente un errore del motore di scansione antimalware che valuta come pericoloso un file scambiandolo per qualcos’altro (generalmente una minaccia già nota).
La segnalazione di falsi positivi può avere conseguenze nefaste: si pensi all’eventualità in cui file di sistema (ad esempio, componenti di Windows) venissero improvvisamente indicati come pericolosi da uno o più motori antimalware.
Per contribuire a risolvere il problema dei falsi positivi, VirusTotal ha appena annunciato l’iniziativa “Trusted Source”. Ogniqualvolta si sottoporrà a scansione un file che, per le sue caratteristiche, è evidente che è stato realizzato da un produttore noto ed affidabile, VirusTotal visualizzerà in verde la frase “Trusted source! This file belongs to COMPANY NAME‘s software catalogue“.
Si prenda come esempio questo file. Si tratta di un elemento assolutamente legittimo che è stato prodotto dai tecnici Microsoft. Eppure alcuni motori antivirus lo indicano come potenzialmente nocivo (vedere in calce alla pagina).
In questi frangenti, VirusTotal visualizza il messaggio “Trusted Source” e non dà credito ai falsi positivi.
Il servizio provvede inoltre ad informare automaticamente gli sviluppatori dei vari motori antimalware circa il verificarsi del falso positivo.
Per accertare il comportamento di un file eseguibile, suggeriamo invece l’utilizzo di un servizio come Deepviz (Come eseguire scansione antivirus con Deepviz).