Come sottoporre rapidamente a scansione antivirus insiemi di file e cartelle

Qualche tempo fa vi avevamo proposto un software, dalle dimensioni estremamente compatte, che permette di sottoporre a scansione uno o più file con oltre 40 motori antivirus differenti: l’obiettivo è consiste nel verificare se sul proprio sistema siano stati salvati dei file potenzialmente nocivi. Come spiegato in quest’articolo, il programma si appoggia al celeberrimo servizio VirusTotal.
Invece però di caricare online ogni singolo file attendendo il responso dell’analisi antivirus elaborata da VirusTotal (ci vorrebbero delle ore), il software che vi presentiamo calcola la firma MD5 (hash) di ogni elemento e la trasmette a VirusTotal. In questo modo, è possibile verificare se il file dotato della medesima firma MD5 sia stato precedentemente già analizzato su VirusTotal stabilendo, quindi, se sia da ritenersi “pulito” oppure dannoso.
VirusTotal è un servizio utilizzato mensilmente da milioni di utenti in tutto il mondo: le probabilità che i file coi quali si ha a che fare siano stati già oggetto di scansione sono quindi molto elevate.

L’applicazione che vi offriamo nella sua versione più aggiornata, è stata sviluppata da wargus utilizzando AutoIt, una sorta di linguaggio di scripting che eredita e fa propria gran parte della sintassi BASIC. Distribuito gratuitamente attraverso il sito web ufficiale, AutoIt permette di sviluppare applicazioni Windows anche piuttosto complesse e di automatizzare insiemi di attività.

Così come illustrato in questa discussione, l’applicazione AutoIt riceve come input da uno a n file (è possibile specificare anche intere cartelle), ne calcola la firma MD5, quindi provvede ad interrogare VirusTotal verificando per quali oggetti i motori antivirus abbiano precedentemente segnalato la presenza di un’infezione.

La procedura da seguire in quattro passi

Rispetto alla prima versione del programma, presentata in questa pagina, la release del software per il controllo automatizzato di più file e cartelle su VirusTotal che vi offriamo questa volta consta di una comoda interfaccia grafica.
Una volta completata la procedura di analisi interfacciandosi con VirusTotal, il programma visualizza una finestra che funge da riepilogo degli oggetti analizzati. Per impostazione predefinita vengono immediatamente mostrati i file sospetti insieme con la corrispondente firma MD5 (colonna Hash) ed il numero di report positivi (il numero dei motori di scansione antivirus che hanno rilevato come dannoso il file indicato). Agendo sul menù a tendina, si possono mostrare i file noti come legittimi, quelli che non sono stati trovati nell’archivio di VirusTotal nonché la lista completa degli elementi posti sotto esame.

).

di Windows.
L’esposizione del messaggio seguente confermerà l’avvenuta modifica:

Cliccando su un qualsiasi file o cartella con il tasto destro del mouse quindi selezionando il menù Invia a, si dovrebbe notare la presenza della nuova voce “Controlla con VirusTotal“:

:

Dopo alcuni secondi di attesa (suggeriamo di aspettare pazientemente soprattutto se i file da controllare sono molti), si otterrà il responso finale:

Nella schermata principale vengono mostrati solamente i file che sono potenzialmente sospetti oppure verosimilmente dannosi. È bene tenere presente che alcuni file potrebbero essere segnalati come potenzialmente nocivi quando, in realtà, non lo sono affatto. Tale comportamento non è riconducibile allo script che vi abbiamo presentato quanto alle firme virali rilasciate dai vari produttori di software antivirus. Può capitare infatti, soprattutto con alcune utilità shareware e freeware, con alcune tipologie di software per la gestione remota, con taluni programmi distribuiti usando particolari strumenti di compressione, che un elemento sia erroneamente riportato come potenzialmente dannoso (“falso positivo”). In questi frangenti è sempre opportuno effettuare una nuova scansione su VirusTotal, leggere i commenti spesso presenti in calce all’analisi e svolgere qualche verifica in Rete in modo tale da assicurarsi della bontà dell’oggetto. Nell’esempio sopra riportato, la segnalazione è da considerarsi un falso positivo.
Tali situazioni sono generalmente riconoscibili: quando sono solo uno o due i motori antivirus a rilevare come dannoso un file, è altamente probabile che si tratti di un errore in fase di riconoscimento.

Agendo sul menù a tendina, si può ottenere l’elenco di tutti i file analizzati, degli elementi riconosciuti come legittimi e di quelli non trovati nel database mantenuto costantemente aggiornato da parte di VirusTotal.

I pulsanti Copia e Salva consentono, rispettivamente, di copiare o memorizzare su disco – sotto forma di file di testo – il resoconto finale prodotto dal software. Cliccando con il tasto destro del mouse su un qualunque elemento in elenco quindi scegliendo il comando Mostra il report dal sito per il file selezionato, verrà immediatamente aperta la pagina web contenente l’analisi più aggiornata conservata su VirusTotal:

Il funzionamento dell’applicazione è personalizzabile aprendo, con un normale editor di testo, il file virustotal.ini:

Le opzioni contenute nel file di configurazione sono “autoesplicative”: per impostazione predefinita, il software prende in considerazione i file dotati di qualunque estensione, fatta eccezione per le tipologie indicate con il parametro ESCLUDI_FILE.
Per default, inoltre, il programma esamina ricorsivamente (parametro RICORSIVO impostato a “1”) il contenuto di tutte le sottocartelle eventualmente presenti in una stessa directory.

Ci preme ricordare, infine, che il programma proposto in quest’articolo è interamente frutto di una realizzazione autonoma nostra e dei nostri lettori: essa non è in alcun modo correlata o correlabile con la società Hispasec Sistemas, sviluppatrice ed amministratrice del servizio VirusTotal.