Come eseguire scansione antivirus con Deepviz

Quest’articolo fa il paio con quello pubblicato ieri: Scansione antivirus online: come prevenire infezioni malware.
Ieri abbiamo presentato due strumenti, quelli di Dr.Web e di VirusTotal che, per verificare la pericolosità di un file, si basano essenzialmente sull’utilizzo di firme virali.
Completiamo la carrellata con uno dei migliori tool per eseguire una scansione antivirus online: DeepViz.

Ancora poco conosciuto, DeepViz consente di effettuare la scansione di un file utilizzando, questa volta, non le firme virali dei vari motori antivirus ma utilizzando uno speciale motori di analisi che consente di esaminare il comportamento di qualunque file.

DeepViz, un po´ come prodotti quali ThreatExpert ed Anubis (dei quali abbiamo abbondantemente parlato in passato), si basa sull’impiego di una macchina virtuale all’interno della quale vengono eseguiti i file inviati dall’utente.

Avviando i file sottoposti dall’utente all’interno dell’ambiente virtualizzato, servizi come DeepViz possono verificarne il comportamento evidenziando le operazioni palesamente associabili all’attività di elementi pericolosi e potenzialmente dannosi per il sistema in uso.

Rispetto ad altri strumenti similari, DeepViz consente di ottenere un’analisi compatta e puntuale di quelli che sono i comportamenti che solitamente contraddistinguono virus e malware. Effettuando una registrazione gratuita sul sito di DeepViz, inoltre, l’utente può accedere a tutta una serie di informazioni ancora più dettagliate. DeepViz, ad esempio, è in grado di estrarre le stringhe di caratteri più rilevanti contenute nel file sottoposto a scansione e nei processi da esso creati ed eseguiti sul sistema.

Effettuare una scansione antivirus esaminando il comportamento dei file

Per eseguire una scansione di qualunque file con DeepViz, basta collegarsi con la home page del servizio quindi cliccare sul pulsante Click or drag a file here.

Cliccando qui è possibile accedere all’analisi comportamentale effettuata da DeepViz su uno dei tanti allegati malevoli che stanno impazzando in Italia nelle ultime settimane (si tratta di un malware della famiglia di ZeuS).

Nella parte superiore della finestra sono riportati gli hash del file (le firme MD5, SHA1, SHA256 e SHA512): questo dato può essere inserito anche nella casella Cerca di VirusTotal, come già visto nel precedente articolo: Scansione antivirus online: come prevenire infezioni malware.

In corrispondenza del paragrafo Characteristics and behaviours, DeepViz elenca i comportamenti più rilevanti tenuti dal file eseguito nella macchina virtuale ed analizzato in profondità:

– Attempts connections to suspicious countries. Il file prova a connettersi a server remoti posti in nazioni straniere che non appartengono alla sfera europea né nordamericana. Questo tipo di connessione sono ovviamente da considerarsi molto sospette.

– Binds network port. Il file effettua il cosiddetto port binding ossia associa un nuovo servizio ad un determinato indirizzo IP o ad un’interfaccia di rete.

– Contains anti-debugging code. Il file utilizza codice anti-debugging ed anti-disassemblamento. Vengono impiegate tecniche per rendere più difficoltosa l’analisi del comportamento del file.

– Contains Windows Firewall manipulation routine. Viene automaticamente alterata la configurazione del firewall di Windows.

– Creates autorun registry key. Viene previsto l’inserimento nel registro di sistema di informazioni per il caricamento automatico del file o dei suoi componenti.

– Creates hook to unknown module. Il file si “aggancia” a basso livello con un modulo software sconosciuto e quindi considerabile come sospetto (vedere anche l’articolo Hijack Hunter facilita le “indagini” alla ricerca di malware e rootkit).

– Injects code into other processes. Il file preso in esame da DeepViz provvede ad iniettare codice all’interno di altri processi. Anche in questo caso si ha a che fare con una caratteristica comune ai malware più pericolosi.

– Gathers system data e Steals local browser data. Il file esaminato mostra comportamenti comuni agli elementi malevoli: viene infatti richiesta la sottrazione di dati memorizzati sul sistema o comunque da parte del browser web (si pensi agli archivi delle password).

Effettuando la registrazione su DeepViz, in calce alla pagina contenente l’analisi del file, apparirà la dizione Report: al suo interno figurano una serie di dettagli tecnici sul funzionamento del file sottoposto ad esame.

DeepViz, uno strumento già valido e completo che crescerà ancora nel corso delle prossime settimane

Il team di sviluppo di DeepViz migliorerà ulteriormente il funzionamento del servizio di scansione online già nel corso delle prossime settimane.

Al momento manca l’evidenziazione delle caratteristiche che, con ogni probabilità, sono la cartina tornasole di un comportamento assimilabile o quello di un malware.
I programmatori di DeepViz, però, stanno lavorando su di un innovativo meccanismo – che verrà a breve portato al debutto – che, grazie all’“intelligenza artificiale” valuta ogni singolo comportamento e suggerisce all’utente, in maniera intelligente, se il file sottoposto a scansione sia potenzialmente foriero di un’infezione o meno.

DeepViz non esamina solamente file eseguibili ma, a breve, sarà in grado di controllare nel dettaglio anche i documenti PDF. Com’è noto, infatti, anche i file PDF possono celare al loro interno codice potenzialmente nocivo, spesso appositamente scritto per sfruttare una o più falle di sicurezza del visualizzatore di documenti.
I cosiddetti shellcode eventualmente distribuiti insieme con i documenti PDF verranno egualmente disassemblati da DeepViz ed analizzati in modo da accertarne il comportamento.

Allo stato attuale manca solamente la decompressione automatica dei file Zip. DeepViz, infatti, non riesce per il momento a decomprimere un file compresso e ad estrarne il contenuto per poi analizzarlo nella sua macchina virtuale.
Dal momento che molti malware o, negli ultimi tempi, i più pericolosi ransomware vengono frequentemente diffusi via e-mail comprimendoli all’interno di archivi in formato Zip (Infezione da Cryptolocker e CryptoWall: dati in pericolo) sarebbe importante che DeepViz aprisse automaticamente gli archivi compressi estraendone ed eseguendone il contenuto.

A beneficio degli sviluppatori, DeepViz mette a disposizione anche delle API attraverso le quali sarà possibile inviare file da esaminare ed ottenere i risultati delle scansioni senza passare per l’interfaccia web del servizio. Per automatizzare le procedure, DeepViz mette a disposizione un file scritto in Python.