Allegati sospetti e download vari: come controllare la presenza di virus

Sarà capitato a tutti di ricevere email con strani allegati inviateci da persone sconosciute: la cosa migliore da fare è cestinare il tutto e metterci una pietra sopra.
Ma se l'allegato proprio ci incuriosisce non bisogna mai aprirlo a meno che non si abbia a disposizione un PC o una macchina virtuale dedicata allo scopo, meglio se sconnessa dalla rete e che non contenga posta, indirizzi o altri contatti che il virus potrebbe utilizzare per replicarsi.
Può darsi anche che tale allegato ci arrivi da una persona nota ma per qualche motivo ci insospettisce: anche in questi casi la cosa migliore è non aprirlo: alcuni virus hanno la capacità di inviare copie di se stessi utilizzando account e indirizzi trovati nel PC infetti.
A noi italiani, ed in generale ai non anglofoni, ci salva la spesso la lingua, in quanto la grande maggioranza dei virus utilizza l'inglese per generare l'oggetto ed il contenuto del messaggio inviato e di solito questo ci insospettisce.
Avere un buon antivirus, che si aggiorna automaticamente, è una buona difesa che può rimediare a molte distrazioni o leggerezze, ma non è un baluardo insormontabile, in quanto i nuovi virus spesso non vengono riconosciuti fino a quando l'aggiornamento dell'antivirus non contiene la firma di tale virus.
Molti antivirus supportano una modalità euristica che permette di riconoscere nuovi virus da somiglianza o comportamenti sospetti, ma gli aggiornamenti esistono proprio perché tale modalità è ben lontana da riconoscere la maggioranza dei virus.

Fatte tutte queste premesse se ci troviamo di fronte ad un file sospetto che vogliamo analizzare possiamo innanzi tutto affidarne l'analisi all'antivirus: la maggior parte di questi però intervengono quando salviamo l'allegato o addirittura prima interagendo con il programma di posta.
Supponiamo che l'antivirus ci permetta di salvare l'allegato da qualche parte senza intervenire.
Possiamo forzare l'analisi da parte dell'antivirus cliccando con il tasto destro sul file sospetto e scegliendo la voce Analizza con [nome antivirus] o qualcosa di simile.
Se avete installato la versione gratuita di Malwarebyte non comprende uno scanner in tempo reale, ma si può utilizzarlo per la scansione su richiesta: la voce che compare nel menu contestuale è Scansiona con Malwarebyte Anti-Malware. Prima di utilizzarlo però lo dovete aprire il programma e far eseguire l'aggiornamento: non essendo un programma residente in memoria e che non viene caricato all'avvio del sistema operativo si aggiorna solo quando viene utilizzato.
Se il nostro antivirus (aggiornato) e Malwarebyte (aggiornato) ci dicono che il file non è infetto potremmo azzardarci ad aprire l'allegato? NO!
Se è solo una curiosità un allegato sospetto non va mai aperto!
Se conoscete chi vi ha mandato il file chiedetegli se effettivamente ve lo ha mandato lui prima di aprirlo.
Se non conoscete il mittente lasciate perdere, è meglio.
C'è una concreta possibilità che dopo i controlli effettuati con esito negativo possa esserci comunque un virus nel file sospetto.
Tali controlli ci possono dare una relativa certezza che il file sia infetto (dico relativa perché esistono anche i falsi positivi) o che l'eventuale malware non è presente nei database utilizzati dall'antivirus!
Se vogliamo essere fra i primi ad essere infettati da un nuovo virus allora divertiamoci ad aprire gli allegati sospetti e se siamo un po' fortunati (o dovrei dire sfortunati) ci potremmo riuscire dopo un certo numero di tentativi.
Se il file da controllare con è troppo grande esistono alcuni siti che offrono gratuitamente la possibilità di controllare online i file sospetti sottoponendoli all'esame di diversi antivirus.
Uno dei siti più gettonati è VirusTotal  che accetta file fino ad una dimensione massima di 64 MB e che utilizza ben 47 diversi antivirus. Nello stesso sito si possono anche analizzare URL sospetti.
Un altro ottimo sito è Jotti's malware scan che utilizza 23 antivirus ed accetta file di al massimo 25 MB.
Segnalo infine VirSCAN.org che utilizza 37 antivirus con un limite di dimensioni di 20 MB

Infine un caso pratico per capire che non ci si può fidare degli antivirus. Ho ricevuto ieri da tale Reginochka una mail in inglese in cui dice di chiamarsi Ekaterina, di essere russa e che gli piacerebbe conoscermi. In allegato PHOTOS.zip  (122 kB) che contiene un file .scr (estensione per screensaver, tipo di file spesso utilizzato per infettare i PC). Ma in questo caso non si tratta di qualcuno che si spaccia per una bella ragazza russa allo scopo di estorcere denaro (SCAM), ma al 99,9% di un allegato infetto.
Invece di cestinare il tutto come faccio di solito provo a controllare l'allegato.
Microsoft Essential mi dice che non è infetto, ma so bene che tale antivirus non è infallibile.
Malwarebyte invece rileva la presenza di malware che chiama Trojan.Zbot

Passo alla scansione online che da i seguenti risultati:
VirusTotal: 8/47 rilevano malware
ESET-NOD32:  a variant of Win32/Kryptik.BSND
Ikarus:  Trojan-Spy.Zbot  |  K7AntiVirus: Trojan ( 7000000c1 )
K7GW: Trojan ( 7000000c1 )  |  Kaspersky:  Backdoor.Win32.Androm.bkwm
Malwarebytes: Trojan.Zbot  |  Panda: Suspicious file
TrendMicro-HouseCall: TROJ_GEN.F47V0108

Jotti's malware scan: 1/23 rileva malware 
Ikarus:  Trojan-Spy.Zbot

VirSCAN.org: 1/37 rileva malware 
NOD32: a variant of Win32/Kryptik.BSND trojan

Solo una piccola percentuale degli antivirus rileva la presenza di virus: potrebbe essere anche un falso positivo ma visto il contesto dell'allegato è poco probabile che si tratti di un falso positivo.

Non resta quindi che raccomandarvi la massima prudenza anche se avete un ottimo ed aggiornatissimo antivirus!

Commenti

Post popolari in questo blog