WinMHR: un nuovo tool per rilevare la presenza di malware

Nella propria “cassetta degli attrezzi” informatica è da oggi possibile aggiungere un nuovo strumento. Si chiama WinMHR ed è stato reso disponibile da Team Cymru, una società che si occupa di sicurezza e che svolge le sue attività senza fini di lucro.
Va subito precisato che WinMHR è ben lungi dall’essere un sostituto per il software antivirus/antimalware ma può essere impiegato come strumento aggiuntivo per individuare la presenza di eventuali elementi sospetti che dovessero essere passati inosservati agli esami condotti, sul sistema in uso, da parte di altri prodotti.
Il software del Team Cymru attinge ad un database online, continuamente aggiornato, che contiene le firme MD5 e SHA di centinaia di migliaia di file. Sebbene siano da preferirsi soluzioni basate su firme antivirus, euristica ed intelligenza collettiva, WinMHR offre all’utente una strategia in più per combattere le minacce eventualmente rilevate sul sistema.
Il programma, infatti, effettua innanzi tutto una scansione dei processi in esecuzione estraendo, per ciascuno di essi le corrispondenti firme MD5/SHA. Queste informazioni vengono poi trasmesse al database online per stabilire se qualche file in esecuzione corrisponda all’identità di qualche malware in circolazione.
Il database al quale attinge WinMHR contiene le informazioni ottenute in seguito alla scansione di ciascun file sottoposto ad esame con i principali motori antivirus di diversi produttori. La valutazione finale circa la potenziale pericolosità di un file viene stilata aggiungendo anche le informazioni provenienti dalla scansione del medesimo oggetto all’interno di una speciale “sandbox” gestita dai tecnici del Team Cymru.
Come spiegano gli autori del servizio, con l’obiettivo di ridurre al minimo gli eventuali “falsi positivi” (file che vengono indicati come dannosi quando, in realtà, non lo sono), WinMHR mostra solamente gli elementi per i quali è stato calcolato un livello di pericolosità superiore al 5%.

Le firme MD5 e SHA, lo ricordiamo, usano algoritmi per la codifica di dati “non invertibili”. Ciò significa che sia MD5 che SHA operano in un unico senso: dato un testo di partenza, consentono di ricavare una codifica univoca. E’ altamente improbabile ottenere una stessa codifica a partire da due stringhe di testo differenti. Calcolando le firme MD5 o SHA di due file è quindi possibile verificare se abbiano il medesimo contenuto ovvero se siano identici.
La caratteristica delle funzioni crittografiche alla base di MD5 e SHA viene sfruttata da WinMHR proprio per comparare l’identità dei file contenuti sul sistema dell’utente con quelli noti a Team Cymru e presenti nel suo database online.
WinMHR non invia in remoto il contenuto dei file analizzati ma solamente le firme corrispondenti.

Durante l’installazione del programma viene richiesto se WinMHR debba essere o meno eseguito automaticamente all’avvio del sistema operativo.
Per evitare che WinMHR venga eseguito ogniqualvolta si accede a Windows, è possibile disattivare la casella Run WinMHR when you log in.

Appena avviato, WinMHR estrarrà le firme di ciascun file in esecuzione e le confronterà con i dati conservati nel database online. Nel caso in cui i processi caricati sul sistema non evidenzino problemi, WinMHR mostra la finestra in figura:

Per porre sotto esame il contenuto del personal computer, è sufficiente cliccare sul pulsante Scan computer. L’approccio utilizzato sarà sempre il medesimo: le firme MD5/SHA di ciascun file saranno confrontate con quelle memorizzate nel database online alla ricerca di eventuali elementi sospetti, legati all’azione di qualche malware.

Lo stato di avanzamento dell’operazione è verificabile cliccando sulla scheda Files (in alto, nella finestra principale di WinMHR).

Al termine della scansione, nel caso in cui fossero stati rilevati degli oggetti indicati come “malware”, è possibile salvare il report in formato .csv o .txt cliccando con il tasto destro sull’interfaccia dell’applicazione (o sul pulsante Actions in basso) quindi sulla voce Export.
Si tenga presente che alcuni “hacking tool” ed alcuni strumenti per il controllo remoto del sistema potrebbero essere evidenziati come malware. Se, dopo un’opportuna verifica, si stabilisse che tali componenti sono stati installati personalmente sul sistema in uso e sono utilizzati per scopi assolutamente legittimi, è possibile ignorare le segnalazioni di WinMHR.

WinMHR va comunque considerato come uno strumento in grado solamente di fornire qualche aiuto nell’individuazione del malware: il prodotto, almeno allo stato attuale, non consente di eliminare i componenti dannosi che dovessero essere rilevati sul sistema. Dovrà essere poi l’utente a provvedere alla rimozione affidandosi a strumenti “ad hoc” o procedendo in modo manuale.
L’operazione di recupero delle firme di ciascun file, inoltre, è piuttosto dispendiosa in termini di tempo e può comportare attese piuttosto lunghe nel caso in cui, sul sistema in uso, siano memorizzati molti file.
WinMHR, inoltre, non indica l’identità del potenziale malware: per ottenere qualche informazione in più, suggeriamo di copiare la firma MD5 o SHA sull’apposita pagina di VirusTotal. In questo modo si potrà stabilire quali motori di scansione antivirus rilevano il file indicato come potenzialmente nocivo.