10301 Letture

Come sottoporre rapidamente a scansione antivirus insiemi di file e cartelle

L'ultima versione del software presentato in questa pagina è pubblicata a questo indirizzo insieme con una dettagliata recensione sul suo funzionamento.

Vi invitiamo, quindi, a fare riferimento a questo indirizzo per ottenere il link per il download del software e le istruzioni per utilizzarlo. Leggendo tale articolo, avrete a disposizione un pratico software, dotato di una comoda interfaccia grafica, che consente di analizzare su VirusTotal qualunque file senza la necessità di caricarlo online.


Qualche tempo fa vi avevamo proposto un software, dalle dimensioni estremamente compatte, che permette di sottoporre a scansione uno o più file con oltre 40 motori antivirus differenti: l'obiettivo è consiste nel verificare se sul proprio sistema siano stati salvati dei file potenzialmente nocivi. Come spiegato in quest'articolo, il programma si appoggia al celeberrimo servizio VirusTotal.
Invece però di caricare online ogni singolo file attendendo il responso dell'analisi antivirus elaborata da VirusTotal (ci vorrebbero delle ore), il software che vi presentiamo calcola la firma MD5 (hash) di ogni elemento e la trasmette a VirusTotal. In questo modo, è possibile verificare se il file dotato della medesima firma MD5 sia stato precedentemente già analizzato su VirusTotal stabilendo, quindi, se sia da ritenersi "pulito" oppure dannoso.
VirusTotal è un servizio utilizzato mensilmente da milioni di utenti in tutto il mondo: le probabilità che i file coi quali si ha a che fare siano stati già oggetto di scansione sono quindi molto elevate.

L'applicazione che vi offriamo nella sua versione più aggiornata, è stata sviluppata da wargus utilizzando AutoIt, una sorta di linguaggio di scripting che eredita e fa propria gran parte della sintassi BASIC. Distribuito gratuitamente attraverso il sito web ufficiale, AutoIt permette di sviluppare applicazioni Windows anche piuttosto complesse e di automatizzare insiemi di attività.


Così come illustrato in questa discussione, l'applicazione AutoIt riceve come input da uno a n file (è possibile specificare anche intere cartelle), ne calcola la firma MD5, quindi provvede ad interrogare VirusTotal verificando per quali oggetti i motori antivirus abbiano precedentemente segnalato la presenza di un'infezione.

La procedura da seguire in quattro passi

Rispetto alla prima versione del programma, presentata in questa pagina, la release del software per il controllo automatizzato di più file e cartelle su VirusTotal che vi offriamo questa volta consta di una comoda interfaccia grafica.
Una volta completata la procedura di analisi interfacciandosi con VirusTotal, il programma visualizza una finestra che funge da riepilogo degli oggetti analizzati. Per impostazione predefinita vengono immediatamente mostrati i file sospetti insieme con la corrispondente firma MD5 (colonna Hash) ed il numero di report positivi (il numero dei motori di scansione antivirus che hanno rilevato come dannoso il file indicato). Agendo sul menù a tendina, si possono mostrare i file noti come legittimi, quelli che non sono stati trovati nell'archivio di VirusTotal nonché la lista completa degli elementi posti sotto esame.

Il primo passo da compiere consiste nell'effettuare il download del software AutoIt che permette di automatizzare l'interrogazione di VirusTotal. Il software da prelevare è pubblicato online a questo indirizzo.

Il contenuto del file compresso virustotal_ilsw.zip dovrà essere estratto e memorizzato in una cartella di propria scelta (per esempio c:\virustotal).

Dopo essersi portati nella cartella c:\virustotal, facendo doppio clic sul file configura.vbs, verrà automaticamente aggiunto un nuovo collegamento "Controlla con VirusTotal" nel menù Invia a di Windows.
L'esposizione del messaggio seguente confermerà l'avvenuta modifica:

Cliccando su un qualsiasi file o cartella con il tasto destro del mouse quindi selezionando il menù Invia a, si dovrebbe notare la presenza della nuova voce "Controlla con VirusTotal":

Selezionando il comando "Controlla con VirusTotal" tutti i file e le cartelle selezionati in Esplora risorse saranno automaticamente presi in esame. Qualora dovesse comparire il messaggio d'avviso seguente, si potrà continuare cliccando sul pulsante Esegui:

Dopo alcuni secondi di attesa (suggeriamo di aspettare pazientemente soprattutto se i file da controllare sono molti), si otterrà il responso finale:

Nella schermata principale vengono mostrati solamente i file che sono potenzialmente sospetti oppure verosimilmente dannosi. È bene tenere presente che alcuni file potrebbero essere segnalati come potenzialmente nocivi quando, in realtà, non lo sono affatto. Tale comportamento non è riconducibile allo script che vi abbiamo presentato quanto alle firme virali rilasciate dai vari produttori di software antivirus. Può capitare infatti, soprattutto con alcune utilità shareware e freeware, con alcune tipologie di software per la gestione remota, con taluni programmi distribuiti usando particolari strumenti di compressione, che un elemento sia erroneamente riportato come potenzialmente dannoso ("falso positivo"). In questi frangenti è sempre opportuno effettuare una nuova scansione su VirusTotal, leggere i commenti spesso presenti in calce all'analisi e svolgere qualche verifica in Rete in modo tale da assicurarsi della bontà dell'oggetto. Nell'esempio sopra riportato, la segnalazione è da considerarsi un falso positivo.
Tali situazioni sono generalmente riconoscibili: quando sono solo uno o due i motori antivirus a rilevare come dannoso un file, è altamente probabile che si tratti di un errore in fase di riconoscimento.


Agendo sul menù a tendina, si può ottenere l'elenco di tutti i file analizzati, degli elementi riconosciuti come legittimi e di quelli non trovati nel database mantenuto costantemente aggiornato da parte di VirusTotal.

I pulsanti Copia e Salva consentono, rispettivamente, di copiare o memorizzare su disco – sotto forma di file di testo – il resoconto finale prodotto dal software. Cliccando con il tasto destro del mouse su un qualunque elemento in elenco quindi scegliendo il comando Mostra il report dal sito per il file selezionato, verrà immediatamente aperta la pagina web contenente l'analisi più aggiornata conservata su VirusTotal:

Il funzionamento dell'applicazione è personalizzabile aprendo, con un normale editor di testo, il file virustotal.ini:

Le opzioni contenute nel file di configurazione sono "autoesplicative": per impostazione predefinita, il software prende in considerazione i file dotati di qualunque estensione, fatta eccezione per le tipologie indicate con il parametro ESCLUDI_FILE.
Per default, inoltre, il programma esamina ricorsivamente (parametro RICORSIVO impostato a "1") il contenuto di tutte le sottocartelle eventualmente presenti in una stessa directory.

Ci preme ricordare, infine, che il programma proposto in quest'articolo è interamente frutto di una realizzazione autonoma nostra e dei nostri lettori: essa non è in alcun modo correlata o correlabile con la società Hispasec Sistemas, sviluppatrice ed amministratrice del servizio VirusTotal.


  1. Avatar
    wargus
    09/05/2012 17:24:59
    Sì, effettivamente l'errore si verificava solo in XP. Come ti ho detto, doveva trattarsi di un problema nel modulo di IE di AutoIt. Probabilmente alcune volte (a determinate condizioni) l'istanza di IE preposta al recupero del sorgente della pagina di VirusTotal non veniva creata oppure non veniva processata correttamente e questo mandava in crash il programma (l'array che avrebbe dovuto essere generato dalla funzione stringregexp, quella preposta al recupero dei dati di scansione, non veniva creato e questo aveva come effetto il messaggio che hai visto). In effetti in Seven il problema non si presentava e il loop di analisi era meno "blindato" del dovuto. Adesso, per come l'ho riscritto, anche di fronte a un problema del genere il programma non dovrebbe comunque andare in crash ma restituire un messaggio di errore. Grazie mille per la collaborazione, se dovessi aver necessità di segnalarmi altro (bug, problemi, idee...), io sono qui.
  2. Avatar
    Lettore anonimo
    09/05/2012 16:45:43
    utilizzando la versione XP sembra che il problema si sia risolto, ho provato diversi exe e mai un errore :D quindi l'errore si verificava solo in xp?
  3. Avatar
    wargus
    08/05/2012 18:34:10
    Ho ripetuto il tuo errore in una Virtual Machine con Win XP Pro SP3. Si tratta di un problema nella generazione dell'oggetto preposto alla creazione dell'istanza di IE utilizzata per interrogare il database di VirusTotal e catturarne il sorgente html. L'oggetto non veniva creato (o veniva creato in maniera non corretta) e il programma andava in crash. Penso di aver trovato la soluzione. Ho fatto un breve test (sia su XP che su Seven) e sembra funzionare correttamente. Potresti essere così gentile da verificare e dirmi se va tutto bene? Download della versione di prova: https://rapidshare.com/files/1372331904/VirusTotal_XP.zip (MD5 dello zip: A1560A56523776308C523AA3C036FC78) Ho allegato anche il sorgente casomai volessi vedere cosa ho cambiato. Se tutto ti funziona bene, modificherò allo stesso modo la prossima versione dello script. Ciao e grazie.
  4. Avatar
    Lettore anonimo
    08/05/2012 11:56:00
    allora windows xp service pack 3, gli errori li ho avuti solo con gli exe l'analisi parte si avvia iexplore.exe poi ad un certo punto salta fuori l'errore in una messagebox, cliccando ok si chiude tutto autoit è abbastanza criptico quando segnala errori anche se mette il numero di riga non si capisce bene dove c'è l'inghippo
  5. Avatar
    wargus
    07/05/2012 21:49:37
    Citazione: si sembra che l'ultima versione non mi dia problemi, ma dopo aver ridimensionato la finestra sono spariti i bottoni copia e salva ed Esci secondo me è preferibile una finestra fissa per tutti oppure leggere la risoluzione dello schermo e a seconda della risoluzione impostare le dimensioni della GUI
    Per quanto riguarda il ridimensionamento della finestra hai ragione (anche se a me non sparisce niente), AutoIt purtroppo non riesce a gestirlo correttamente. Considerato che non si tratta di una funzione così fondamentale, probabilmente è meglio tornare a una finestra a dimensione fissa.
  6. Avatar
    wargus
    07/05/2012 21:34:00
    Vediamo di capirci qualcosa. Su che sistema operativo sei? Ti da errore solo con gli eseguibili o anche con altri file? Puoi descrivermi cosa succede esattamente con gli eseguibili (riesci a vedere se il programma si connette e l'analisi parte)? Grazie per la collaborazione. Aspetto sviluppi.
  7. Avatar
    Lettore anonimo
    07/05/2012 10:40:20
    mi sono sbagliato mi torna a dare errore con gli exe di qualsiasi dimensione --------------------------- AutoIt Error --------------------------- Line 12703 (File "D:\VirusTotal\VirusTotal.exe"): Error: Subscript used with non-Array variable. --------------------------- OK ---------------------------
  8. Avatar
    Lettore anonimo
    07/05/2012 08:48:28
    si sembra che l'ultima versione non mi dia problemi, ma dopo aver ridimensionato la finestra sono spariti i bottoni copia e salva ed Esci secondo me è preferibile una finestra fissa per tutti oppure leggere la risoluzione dello schermo e a seconda della risoluzione impostare le dimensioni della GUI
  9. Avatar
    wargus
    06/05/2012 21:30:03
    Citazione: io l'ho scaricato da questa pagina oggi 6 maggio 2012 e continua a darmi errore con file di dimensioni superiori a 2 mb
    Prova a scaricare l'ultima versione da questa discussione: http://www.ilsoftware.it/forum/viewtopic.php?f=32&t=83785&start=30. A me funziona correttamente con tutti i tipi di file, di ogni dimensione (ho provato file fino a 700/800 mb e eseguibili fino a 17 mb). Fammi sapere se questo risolve il tuo problema.
Come sottoporre rapidamente a scansione antivirus insiemi di file e cartelle - IlSoftware.it