Verificare se un file è infetto prima di aprirlo

Le soluzioni antimalware più abili nel riconoscimento dei malware sono quelle che non fanno troppo affidamento sui tradizionali database delle firme virali ma utilizzano strumenti di scansione e verifica in tempo reale basati sull’analisi comportamentale e sul cloud (la cosiddetta “intelligenza collettiva”).

La presenza di un antimalware sul sistema non dà garanzia che tutti i file che si scaricano siano effettivamente esenti da qualunque minaccia. Molte soluzioni per la sicurezza falliscono e non bloccano il file malevolo ad esempio quando il malware fosse apparso in rete molto di recente o usasse tecniche per sottrarsi al rilevamento.
Come fare per verificare se un file è infetto prima di aprirlo?

Di seguito presentiamo alcuni strumenti che consentono di sottoporre a scansione un file prima di aprirlo e controllarne il comportamento.

Per verificare se un file è infetto, oltre ad appoggiarsi ai tradizionali strumenti come VirusTotal che si basano sui database delle firme virali dei produttori di antivirus, proponiamo anche alcuni strumenti più moderni.
Essi consentono di aprire i file sui quali si nutrissero dubbi all’interno di una macchina virtuale creata su un server cloud quindi completamente svincolata dalla propria infrastruttura. In questo modo si potrà verificare il comportamento del file da sottoporre a scansione lasciando eventualmente che la macchina virtuale ne risulti infettata.
Al termine delle verifiche la macchina virtuale usata a mo’ di test verrà automaticamente rimossa e con essa tutto il suo contenuto.

Attenzione alle estensioni dei file e alle opzioni di Windows

Come sapere se un file è infetto prima ancora di eseguirlo sul sistema? Come assicurarsi che il file sia pulito ed evitare qualunque rischio di infezione?

Il primo consiglio, evidentemente, è quello di non aprire mai subito un allegato di un messaggio di posta elettronica oppure un file scaricato dalla rete dando per buona la sua estensione. Un file presentato come un documento Word o PDF può essere in realtà un eseguibile perché proposto con una doppia estensione.

Il “trucchetto” è noto da tempo ed è proprio per questo motivo che consigliamo di attivare sempre la visualizzazione delle estensioni in Windows, anche quelle dei file conosciuti e utilizzare le Opzioni cartella in Windows 10.

In qualunque versione di Windows si può procedere accedendo al menu Visualizza, Opzioni di Windows Explorer, scegliendo la scheda Visualizzazione quindi disattivando la casella Nascondi le estensioni per i tipi di file conosciuti.
In Windows 10 cliccando su Visualizza viene mostrata in evidenza la casella Estensioni nomi file che dovrà essere abilitata.

Oltre a questa semplice accortezza è sempre bene agire con la massima cautela tenendo presente che alcuni malware sono capaci di riutilizzare le liste dei contatti conservati sui PC e sui dispositivi infetti spacciando come provenienti da colleghi, conoscenti e amici messaggi che in realtà sono vettore di allegati malevoli. La pratica dell’email spoofing è banale da porre in essere.

Scansione online con più motori diversi con Virustotal

Per controllare se un file è pulito uno degli strumenti più conosciuti e “gettonati” è senza dubbio VirusTotal.
Il servizio verifica “la bontà” di qualunque file utilizzando le ultime versioni dei database delle firme virali impiegati da oltre 60 motori di scansione antimalware.

Per avviare la scansione di un file prima di aprirlo basta fare clic sul pulsante Choose file quindi selezionarlo.
Se il file fosse già stato in precedenza analizzato da qualche altro utente di VirusTotal, la scansione non verrà avviata e sarà mostrato l’esito dell’ultima analisi svolta.

Per richiedere una nuova analisi dello stesso file, basta fare clic sul pulsante evidenziato in figura (Reanalyze file).

Un approccio del genere ha degli evidenti limiti: talvolta qualche motore di scansione incappa in dei “falsi positivi” ossia indica come minaccia file che in realtà non lo sono affatto ma – cosa ancora più grave – non riesce a riconoscere minacce nuove da poco apparse in rete.

Le minacce “0-day”, ovvero quelle che compaiono nel “giorno zero”, sono infatti le più critiche da riconoscere e neutralizzare usando un approccio che poggia esclusivamente sull’uso delle firme virali o al massimo sulla semplice euristica.

Capita continuamente che minacce rivelatesi poi estremamente pericolose non vengano riconosciute dai motori tradizionali utilizzati su VirusTotal.
Soltanto a distanza di diverse ore dalla prima comparsa in rete di una nuova minaccia, questa comincia a essere riconosciuta dai vari motori perché isolata e analizzata in laboratorio dai tecnici delle varie società.

Gli utenti con un po’ di esperienza possono fare riferimento anche alla scheda Behavior di VirusTotal che offre alcuni indizi sul comportamento del file selezionato.
I file vengono eseguiti in una macchina virtuale lato server e ne viene registrato il comportamento che può essere analizzato da parte degli utenti.
La procedura di verifica, però, non completa l’installazione di un programma ed è quindi verosimile che un’applicazione che scarica successivamente dei componenti software indesiderati possa passarla liscia al controllo di VirusTotal.

Per approfondire l’utilizzo di questo strumento suggeriamo la lettura della nostra guida su VirusTotal per verificare l’identità e il comportamento di qualunque file.

Controllare chi distribuisce il file e la presenza di una firma digitale

Nella parte superiore della pagina del report VirusTotal viene specificato se il file sottoposto a scansione sia noto e distribuito dalle principali piattaforme. Già di per sé questa è un’ottima garanzia sull’identità del file e sul fatto che si tratti di un elemento benigno e legittimo.

Cliccando con il tasto destro del mouse sul file senza eseguirlo, scegliendo Proprietà quindi Firme digitali è possibile controllare se l’identità dello sviluppatore sia attestata con la presenza di una firma digitale valida.

Esaminando il contenuto della scheda Firme digitali è possibile verificare il soggetto cui corrisponde la firma e l’autorità che ha emesso il certificato corrispondente.

Scansione online usando una macchina virtuale

Il servizio Hybrid Analysis si propone come un ambiente di analisi e verifica dei file che funziona totalmente su cloud e permette di svolgere una serie di test tra cui l’esecuzione del programma da controllare in una macchina virtuale (si può scegliere tra virtual machine Windows, Linux e Android…), la scansione con molteplici motori antimalware e l’osservazione del comportamento di ciascun file oggetto di esame. È interessante notare che Hybrid Analysis può esaminare anche il comportamento dei pacchetti APK Android.

Accedendo alle opzioni avanzate, prima di eseguire la scansione, si possono addirittura impostare dei comportamenti, che saranno tenuti all’interno della macchina virtuale, per simulare il comportamento di un qualunque utente. Questi strumenti spesso consentono di portare alla luce ulteriori abilità del malware.

Incollando l’URL di un file nell’apposita casella si può addirittura richiedere la scansione di un file accessibile da un qualunque server online pubblicamente accessibile. In questo modo non sarà neppure necessario scaricare in proprio il file da sottoporre a scansione ed effettuarne manualmente l’upload.

I risultati della scansione, che possono essere anche ricevuti via email, mostreranno gli eventuali indicatori di attività malevoli o sospette. La generazione del report relativo all’esecuzione all’interno della macchina virtuale può richiedere diversi minuti per essere composto e diventare consultabile.

Aprire un file potenzialmente infetto in una macchina virtuale con Browserling senza abbandonare il browser

Browserling è uno dei migliori servizi web gratuiti per verificare se un file è infetto o più semplicemente per controllare come si comporta un documento o un software senza aprirli in locale.

Browserling usa un approccio diverso rispetto ai servizi sin qui presentati: basta collegarsi con la sua home page quindi incollare nell’apposita casella l’URL al file da controllare.

Prima di fare clic sul pulsante Test now, si può scegliere quale sistema operativo e browser si desiderano utilizzare all’interno della macchina virtuale.
È possibile scegliere tra Windows XP, Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows 10, Android 7.x, Android 6.x, Android 5.x, Android 4.x e, per quanto riguarda i browser, Chrome, Firefox, Internet Explorer, Edge, Safari e Opera.

Nella versione gratuita di Browserling non è possibile scegliere tutte le combinazioni ma si possono comunque avviare da browser macchine virtuali Windows Vista, Windows 7 e Android 7.1 Nougat.

Ciò che è davvero apprezzabile è il fatto che le macchine virtuali si avviano quasi istantaneamente: nulla viene caricato lato browser web in locale.
Il browser installato sulla propria macchina semplicemente mostra quanto visualizzato sulla macchina virtuale remota.
Dal browser virtuale è possibile scaricare e avviare i file che si desiderano controllare e accertarne il comportamento.

Molto simile a Browserling è lo strumento Any.Run che mostra il comportamento dei programmi su macchine virtuali disponibili sul cloud.

In caso di dubbi un file non dovrebbe mai essere eseguito in local. Al limite si può farlo all’interno di una macchina virtuale isolata dal sistema host e dal resto della rete.
In questo modo si possono scongiurare eventuali “movimenti laterali” da parte del malware con la conseguente infezione dell’intera LAN. Nell’articolo incentrato su Virtualbox abbiamo visto perché è utile usare soluzioni per la virtualizzazione. È anche possibile usare la Sandbox di Windows 10 che permette di annullare qualunque modifica applicata sul sistema.