DOMANDA Scansione file sul sito VirusTotal

Pubblicità
Stato
Discussione chiusa ad ulteriori risposte.
S

sossio78

Utente Attivo
Messaggi
141
Reazioni
2
Punteggio
48
Ciao ragazzi|

la mia domanda è questa: Ho scansionato un file sul sito di VirusTotal per vedere altri antivirus cosa davano e dai risultati è uscito che 12 su 46 antivirus hanno trovato un virus in questo file.. Ora come devo interpretare l'analisi fatta da VirusTotal? questo file contiene un virus oppure è un falso positivo?? VirusTotal è affidabile?

Grazie mille!
 
Virustotal è affidabile , ma dipende dalla rilevazione , se magari posti il file e il suo percorso d'origine cerchiamo di capire.
 
tecnico24 ha detto:
Posta il percorso del file , ci siamo fraintesi ;)
Clicca per espandere...

"D:\Programmi\Programmi Portable\Masterizzare\xdccMule\mIRC.exe"

premetto che io ho due antivirus Avast e Malwarebytes.. Avast me lo da come virus, Malwarebytes no
 
Ultima modifica:
Basta fare una ricerca:
mIRC: Download mIRC
In genere è l'eseguibile che va ricercato , poi non tutti gli antivirus sul mercato sono competitivi e sanno riconoscere falsi positivi.
 
In realtà dipende dallo stub del file. Diciamo che è come una firma. Se lo stub di un file non risulta nel database dell'antivirus, beh, non viene rilevato come virus. Anche se magari lo è. Solo successivamente, siccome l'antivirus non è "stupido" si accorge di alcuni comportamenti di un file, che ne so, magari accessi a un protocollo specifico numerosi o a intervalli di tempo regolari, utilizzo improprio di risorse ecc. e in linea di massima il file viene prelevato dall'antivirus stesso (se partecipi al programma di miglioramento) e viene analizzato sulle virtual machine del team proprietario e gestore dell'antivirus. Solo successivamente questo viene aggiunto in database se è positivo e il virus viene rilevato al successivo update del db dell'av che tu effettui.
Possono anche essere arrivate segnalazioni per un file con binaries perfettamente identici e quindi viene classificato come falso positivo ma rilevato. Dunque per sapere quel mIRC è l'originale (il famoso programma per chat no ? ) dovresti essere sicuro della sua provenienza. Perché per quanto ne so io, si potrebbe anche aver mascherato un malware sotto quell'eseguibile con appunto stessa icona e dati binaries (creazione, nome programma, nome processo, descrizione ecc. ) estremamente simili se non perfettamente uguali a quello originale. Del resto lo scopo della generazione di uno stub diverso è quello di fare un programma con le medesime funzionalità (o magari inserirne delle altre malevole...) tentando di criptarlo inserendoci codice "inutile" che però non fa perdere le funzionalità al programma oppure cercando di "dividere" le porzioni di codice in modo diverso. Ed è in questo modo che, secondo l'algoritmo che si utilizza per la criptazione di un virus che magari è noto a tutti gli antivirus del mondo, si riesce poi ad ottenere un virus completamente FUD a tutti gli av :asd: ... Almeno finché non inizi a spargerlo in giro. Ovvio che risalendo all'algoritmo di criptazione e poi aggiornando i database dopo un certo periodo di tempo il virus verrà rilevato.
Comunque, sono andato OT. Il succo è: se sicuro della provenienza di quel file ? In caso positivo, si, è un falso positivo al 99.9% (mi riservo uno 0.1% perché anche il mIRC originale ha delle funzionalità proprie che possono trasformarlo in una sorta di malware :) ).
Ciao.
 
Ciao _Gra_ , bello risentirti e sopratutto che ti interessi dell'argomento.
Tutto ciò che hai detto è correttissimo , puoi verificarlo tramite la funzione hash.
Verificare l'impronta digitale del file (MD5 non modificabile) è il metodo più sicuro per scoprire se il file non sia stato modificato da un malware.
In questo caso L'MD5 del file in questione è DB07851722289CCF402D6740D4DE9558
Hashtab ti permette di controllare l'impronta digitale del file , con un semplice tasto destro sull.exe -> proprietà -> hash del file.
 
Stato
Discussione chiusa ad ulteriori risposte.
Pubblicità
Pubblicità
Indietro
Top