Quando ricevete un file sospetto o comunque avete dubbi sull’identità di un qualunque oggetto uno dei consigli più gettonati consiste nel sottoporlo a una scansione online con VirusTotal.
Nella guida VirusTotal abbiamo descritto il funzionamento del servizio, da tempo di proprietà di Google Cloud e abbiamo fatto menzione dei possibili utilizzi più avanzati.
Essendo scelto da tanti utenti ogni giorno per effettuare una scansione antivirus su elementi specifici, VirusTotal è diventato sede del più grande archivio di malware al mondo: lo dimostra il fatto che nella stragrande maggioranza dei casi, quando si invia un file a VirusTotal per un controllo, si ottiene immediatamente un responso. VirusTotal provvede infatti a calcolare l’hash del file: quando la firma corrisponde a quella di un elemento già esaminato in precedenza, il servizio visualizza il risultato della precedente scansione. Nulla vieta di richiedere poi una nuova analisi usando i database delle firme virali nel frattempo aggiornati da VirusTotal.
Anche cliccando su Search quindi incollando un hash nella casella di ricerca, di solito VirusTotal mostra istantaneamente il responso relativo al file corrispondente attingendo al suo ricco database.
Nell’arco degli ultimi 16 anni, VirusTotal ha gestito una media di 2 milioni di file al giorno trasmessi da 232 Paesi diversi.
Qual è lo stato del malware secondo VirusTotal
Google Cloud e VirusTotal hanno pubblicato in queste ore un interessante resoconto che fa il punto sul panorama dei malware in circolazione.
Secondo VirusTotal sono emersi alcuni aspetti degni di nota:
– Il 10% dei primi 1.000 domini Internet più visitati al mondo ha distribuito campioni sospetti (circa 2,5 milioni). Il 98% dei campioni si sono rivelati essere dannosi.
– I malware firmati digitalmente usando chiavi rubate sono più frequenti del previsto. Quasi un milione di campioni presentavano una firma valida nel momento in cui sono stati inviati a VirusTotal.
– L’imitazione visiva di applicazioni legittime è una tendenza in crescita e prende di mira una serie di programmi molto popolari come Skype, Adobe Acrobat, VLC e così via. Quelli di WhatsApp, Instagram e Amazon sono inoltre tra i siti Web più imitati in assoluto.
– Il malware che esegue programmi di installazione legittimi o li inserisce nello stesso file compresso all’interno del campione dannoso non è così comune come altre tecniche documentate ma rappresenta un trend costante e in leggera crescita.
– Domini popolari utilizzati da organizzazioni legittime vengono regolarmente utilizzati per distribuire malware. Tra essi vengono citati alcuni tra i principali servizi di storage dei dati.
In un altro articolo abbiamo visto alcune tecniche per verificare se un file è infetto prima di aprirlo.
Il report di VirusTotal-Google Cloud dal titolo “Deception at Scale: How Malware Abuses Trust” è consultabile gratis a questo indirizzo.