8580 Letture

Verificare se un file è infetto prima di aprirlo

Le soluzioni antimalware più abili nel riconoscimento dei malware sono quelle che non fanno troppo affidamento sui tradizionali database delle firme virali ma utilizzano, in primis, strumenti di scansione e verifica in tempo reale basati sull'analisi comportamentale e sul cloud (cosiddetta "intelligenza collettiva").

La presenza di una soluzione antimalware sul sistema non dà garanzia che tutti i file che si scaricano siano esenti da minacce. Molte soluzioni per la sicurezza falliscono (non rilevando alcuna minaccia) se il malware è apparso in Rete molto di recente e usa tecniche per sottrarsi al corretto rilevamento. Come fare, allora, per verificare se un file è infetto prima di aprirlo?

Controllare se un file è infetto prima di aprirlo

Come sapere se un file è infetto prima ancora di eseguirlo sul sistema? Come assicurarsi che il file sia pulito ed evitare qualunque rischio di infezione?


Il primo consiglio, evidentemente, è quello di non aprire mai - subito - un allegato a un messaggio di posta elettronica oppure un file scaricato dalla rete dando per buona la sua estensione. Un file presentato come un documento Word o PDF può essere in realtà un eseguibile perché proposto con una doppia estensione.

Il "trucchetto" è noto da tempo ed è proprio per questo motivo che consigliamo di attivare sempre la visualizzazione delle estensioni, anche quelle dei file conosciuti, in Windows (vedere Visualizzare le estensioni dei file in Windows e smascherare chi usa pericolosi trucchi e Opzioni cartella in Windows 10, cosa c'è di nuovo e di vecchio).

In qualunque versione di Windows si può procedere accedendo al menu Visualizza, Opzioni di Windows Explorer, scegliendo la scheda Visualizzazione quindi disattivando la casella Nascondi le estensioni per i tipi di file conosciuti.
In Windows 10, cliccando su Visualizza viene mostrata - in bell'evidenza - la casella Estensioni nomi file, che dovrà essere abilitata.

Oltre a questa semplice accortezza, è sempre bene agire con la massima cautela tenendo presente che alcuni malware sono capaci di riutilizzare le liste dei contatti conservati sui PC infetti spacciando come provenienti da colleghi, conoscenti e amici messaggi che in realtà sono vettore di allegati malevoli (email spoofing; vedere Da dove arriva una mail e chi l'ha inviata?).

Ma come fare per verificare se un file è infetto, soprattutto quando l'antivirus installato in locale non rileva nulla di sospetto?

Virus scan online con più motori di scansione: Virustotal

Per controllare se un file è pulito, uno degli strumenti più conosciuti e "gettonati" è senza dubbio VirusTotal.
Frutto di una delle tante acquisizioni di Google, il servizio verifica "la bontà" di qualunque file utilizzando le ultime versioni dei database delle firme virali impiegati da oltre 60 motori di scansione antimalware.

Verificare se un file è infetto prima di aprirlo

VirusTotal è stato recentemente rinnovato per quanto concerne la sua interfaccia (VirusTotal si rinnova, a breve nuove funzionalità e novità per l'interfaccia.
Per avviare la scansione di un file prima di aprirlo, basta fare clic sul pulsante Upload and scan file quindi selezionarlo.
Se il file fosse già stato in precedenza analizzato da qualche altro utente di VirusTotal, la scansione non verrà avviata e sarà mostrato l'esito dell'ultima analisi svolta.

Per richiedere una nuova analisi dello stesso file, basta fare clic sul pulsante che raffigura tre punti in colonna quindi su Reanalyze.

Verificare se un file è infetto prima di aprirlo

Un approccio del genere, come evidenziato nell'introduzione, ha degli evidenti limiti: talvolta qualche motore di scansione incappa in dei "falsi positivi" (ossia indica come minaccia file che in realtà non lo sono affatto) ma - cosa ancora più grave - non riesce a riconoscere minacce nuove, da poco apparse in rete.

Le minacce "0-day", ovvero quelle che compaiono nel "giorno zero", sono infatti le più critiche da riconoscere e neutralizzare usando un approccio che poggia esclusivamente sull'uso delle firme virali o, al massimo, su una semplice euristica.

È capitato, più volte, che minacce rivelatesi poi estremamente pericolose (se eseguite sul sistema) non vengano riconosciute dai motori tradizionali utilizzati su VirusTotal.
Soltanto a distanza di diverse ore dalla prima comparsa in Rete di una nuova minaccia, questa comincia a essere riconosciuta dai vari motori (perché isolata e analizzata in laboratorio dai tecnici delle varie società).

Gli utenti con un po’ di esperienza possono fare riferimento anche alla scheda Behavior di VirusTotal che offre alcuni indizi sul comportamento del file selezionato.
Diversamente rispetto a quanto accadeva con la precedente versione di VirusTotal, adesso i file vengono eseguiti in una macchina virtuale lato server e ne viene registrato il comportamento.
La procedura di verifica, però, non completa - ad esempio - l'installazione di un programma ed è quindi verosimile che un'applicazione che scarica successivamente dei componenti software indesiderati possa passarla liscia al controllo di VirusTotal.

Scansione online più in profondità con Malwr e le sue macchine virtuali

Strumenti come Malwr consentono di andare più in profondità.
Questo servizio prevede l'esecuzione del file sottoposto a scansione antimalware su una macchina virtuale allestita sul cloud: Malwr restituisce addirittura anche gli screenshot della fase di avvio dell'applicazione in esame.


Verificare se un file è infetto prima di aprirlo

Malwr attinge a VirusTotal per verificare se un file fosse già noto come malware ma, soprattutto, informa se una volta in esecuzione l'oggetto si configura per avviarsi automaticamente all'ingresso in Windows, quali host e domini contatta (un malware solitamente provvede a scaricare altre informazioni da server remoti o a inviare i dati personali dell'utente agli aggressori…), quali modifiche apporta al file system e al contenuto del registro di sistema di Windows.

Verificare se un file è infetto prima di aprirlo

Nell'immagine alcuni indizi forniti da Malwr che evidenziano come il file sottoposto a scansione sia evidentemente malevolo: avvia un componente server (che di per sé potrebbe non essere un problema), raccoglie il Product ID di Windows, prova a rallentare le operazioni di analisi, raccoglie informazioni personali dell'utente da tutti i browser installati sulla macchina, registra una serie di informazioni utili per identificare univocamente il sistema, modifica le regole firewall e si autoconfigura per essere eseguito a ogni avvio di Windows.

Per avviare la scansione di qualunque file con Malwr, basta servirsi di questa pagina ed effettuare l'upload dell'elemento da controllare.

Ancora più completo e versatile: Payload Security come virus scan online a tuttotondo

Utilissimo è Payload Security che consente di avviare un'analisi anche sui pacchetti APK di Android.

Il servizio si propone come un ambiente di analisi e verifica dei file che funziona - come Malwr - totalmente su cloud e permette di svolgere una serie di test tra cui l'esecuzione del programma da controllare in una macchina virtuale (si può scegliere tra virtual machine Windows, Linux e Android…), la scansione con molteplici motori antimalware e l'osservazione del suo comportamento.


Verificare se un file è infetto prima di aprirlo

Accedendo alle opzioni avanzate, prima di eseguire la scansione, si possono addirittura impostare dei comportamenti, che saranno tenuti all'interno della macchina virtuale, per simulare il comportamento di un qualunque utente. Questi strumenti spesso consentono di portare alla luce ulteriori abilità del malware e di sottoporle ad esame.

Verificare se un file è infetto prima di aprirlo

Cliccando su Online file, nella home page di Payload Security, si può addirittura richiedere la scansione di un file accessibile da un qualunque server online pubblicamente accessibile. In questo modo, non sarà neppure necessario scaricare in proprio il file da sottoporre a scansione ed effettuarne manualmente l'upload su Payload Security.

I risultati della scansione, che possono essere anche ricevuti via email, mostreranno gli eventuali indicatori di attività malevoli o sospette.


Verificare se un file è infetto prima di aprirlo - IlSoftware.it