A caccia di virus con VirusTotal

Un allegato sospetto arrivato per email o uno strano file che non conosciamo e che viene richiamato ad ogni avvio del PC. Ecco due casi tipici in cui può tornare utile un servizio come VirusTotal che permette di analizzare i file sospetti con molteplici soluzioni antivirus e di individuare potenziali malware.

Come funziona VirusTotal

Chi si rivolge ad un servizio come VirusTotal lo fa nella maggior parte dei casi per avere un secondo parere rispetto alla scansione del proprio antivirus sia quando questo dichiara pulito un file sospetto sia quando individua un virus informatico in un file che all’utente sembra invece lecito e sicuro. Usare il servizio è molto semplice: apriamo l’indirizzo
https://www.virustotal.com/it/
e nell’interfaccia principale clicchiamo su “Scegli File”. A questo punto dovremo indicare la posizione del file da esaminare sfogliando le cartelle del PC. Il file sospetto verrà quindi caricato sui server di VirusTotal ed analizzato con una cinquantina di diversi Antivirus. Attendiamo quindi che l’operazione si concluda e che venga generata la pagina dei risultati.

Leggere i risultati di VirusTotal

Il primo dato su cui concentrare la nostra attenzione è la voce “Rapporto rilevamento” (elemento [1] dell’immagine) che indica quanti antivirus hanno riconosciuto come infetto il file rispetto al totale dei motori di scansione utilizzati. Se un alto numero di antivirus indica come infetto il file è molto probabile che si tratti effettivamente di un virus. Se invece solo pochi antivirus rilevano l’infezione è meglio procedere con cautela, potrebbe infatti trattarsi di un falso positivo. In questi casi può essere utile ripetere la scansione a distanza di qualche ora per controllare se altri antivirus con firme più aggiornate riconoscono l’infezione.

Una ulteriore indicazione utile si trova in alto a destra nella finestra dei risultati e riporta le valutazioni degli iscritti alla comunità di VirusTotal [2]. Molti giudizi “rossi” rafforzano l’ipotesi che si tratti realmente di un virus. Nella parte inferiore della finestra infine si trova l’elenco dei risultati per tutti gli antivirus utilizzati [3]. Per ognuno è proposto il risultato della scansione ed la denominazione con cui il produttore identifica quello specifico virus. Quest’ultima è una informazione molto utile dal momento che mole società del settore pubblicano informazioni dettagliate sui virus del proprio database e spesso anche le istruzioni per la loro rimozione.