Capita, alle volte, che l’antivirus segnali un pericolo. Si da l’ok perché l’infezione (o presunta tale) venga rimossa, ma dopo qualche istante l’avviso si ripete. L’idea che si tratti di un “falso positivo” comincia a balenarci per la testa.
Cosa bisogna considerare ogni volta che si riceve un messaggio d’allarme sospetto? Ecco come capire se un virus è realmente un malware o solo un falso positivo del nostro sistema di difesa.
1. In quale cartella viene segnalata l’infezione? E’ sempre la stessa?
La collocazione fisica dell’infezione è di fondamentale importanza per una diagnosi accurata. Se state ricevendo ripetuti avvisi di una stessa infezione, ciò può essere dovuto ad un malware (non attivo) che è rimasto intrappolato nel sistema di Ripristino configurazione del sistema – System Restore – o in qualche altra area che causa dei continui allarmi da parte dell’antivirus.
A tal proposito non potete farvi scappare la lettura di questi approfondimenti:
– Come rimuovere dei virus confinati nel System Restore
– Eliminare i file temporanei d’Internet ed i cookie
– Cancellare la Cronologia di Internet
2. Avete una qualche idea che vi suggerisca da dove spunti fuori l’infezione?
Cosa avete fatto nelle ultime ore? Interrogatevi sul come abbiate potuto contrarre questa infezione.
Operazioni ad alto rischio che potrebbero comprovare una reale infezione sono: l’apertura di allegati nelle email, file scaricati da programmi di sharing (P2P) come eMule, BitTorrent ed altri filesharing network, il download tramite link ricevuti nelle email o nei programmi di messaggistica istantanea (Skype, MSN, etc…), utilizzo di periferiche rimovibili (pen drive) di terze persone.
Un’ottima strategia, che dovrebbe farci scattare immediatamente il segnale d’allarme, è: «E’ un file che volevo ed ho scaricato? O è spuntato dal nulla?».
Se non fosse qualcosa che AVEVATE voluto, e anche se non ne avete un grande bisogno, cancellate il file e non pensateci più sopra. Inoltre ricordate che un modo semplice per ridurre il rischio d’infezione da virus è quello di usare un buon Firewall ed essere selettivi su ciò che viene eseguito sul vostro sistema. Il computer stesso vi ringrazierà con prestazioni impeccabili e generose.
Tuttavia la situazione si complica quando il file indicato come malevolo vi necessitasse e siete stati proprio voi a cercarlo e scaricarlo. Vi suona proprio strano che il vostro antivirus lo incrimini come dannoso? Passate al punto 3 per leggere come andare avanti.
3. Cosa ne pensano altri antivirus? Fate una scansione on-line.
Quando un file che vi necessita viene indicato come malevolo per il sistema dall’antivirus installato sul vostro computer, vi serve il parere di uno (o due o tre) antivirus diversi. Vi occorre una scansione online. Ciò che dovete fare è caricare il file sull’host che offre il servizio d’analisi on-line ed aspettare il responso.
Vi consiglio vivamente di utilizzare l’ottimo e GRATIS Virustotal che sottoporrà il file all’attenta analisi di circa 30 diversi antivirus. Riceverete un’attenta scansione contro virus, worms, trojans, e tutti i tipi di malware rilevati dagli algoritmi degli antivirus.
Se a fine scansione il responso di più antivirus fosse che il file è malevolo, prendeteli in parola ed eliminatelo all’istante.
Se, invece, fosse rilevato come malevolo solo da uno (o comunque pochi) antivirus, la faccenda si complica:
a) E’ realmente un falso positivo.
b) E’ un malware talmente recente che le scansioni di molti antivirus non lo riconoscono come dannoso per il sistema. Complimenti siete tra i primi ad averlo beccato!
4. Passate il file al microscopio. Effettuate delle ricerche per “MD5”.
Un file può essere chiamato in qualsiasi modo e ciò è la base dell’incomunicabilità. Ad ogni modo, ogni file è provvisto di un Message Digest algorithm 5 (MD5). L’acronimo MD5 indica un algoritmo crittografico di hashing. Questo tipo di codifica prende in input una stringa di lunghezza arbitraria e ne produce in output un’altra a 128 bit che può essere usata per calcolare la firma digitale dell’input.
Se avete utilizzato il motore di scansione Virustotal, in basso, nella relazione conclusiva di valutazione, noterete una sezione intitolata “Ulteriori informazioni” (Additional Information). Poco più sotto troverete l’MD5 relativo al file sottoposto a scansione.
Nota: è possibile ottenere l’MD5 per qualsiasi file utilizzando un programma d’utilità GRATUITO come Chaos MD5 di Elgorithms.
Una volta ottenuto l’MD5 (univoco per ogni file), copiatelo ed incollatelo nel box di ricerca di GOOGLE ed effettuate delle ricerche.
Per chi non masticasse l’inglese la situazione si complica, ma potrebbe sempre aiutarsi con il Traduttore di GOOGLE.
5. L’ultima carta da giocare per un’analisi più profonda: Online Behavior Analyzer.
Se il punto 4 vi ha lasciati insoddisfatti e non avete raccolto informazioni a sufficienza, per decidere se il file è un malware o solo un falso positivo, affidatevi ad un Online Behavior Analyzer. I risultati forniti da questi analizzatori di comportamento possono richiedere un più elevato livello di competenza per interpretarli correttamente. Ma se siete arrivati fino al punto 5, probabilmente non avrete grossi problemi nell’interpretare i dati che vi verranno forniti.
– ThreatExpert – threat analysis system
– CWSandbox – Malware Analysis System
– Joebox – Analyse the Behaviour of Malware
Un'altra risorsa utile che ho trovato in questo sito è questa pagina: Scansioni Antivirus On-line