skip to main | skip to sidebar
10 commenti

Come faccio a sapere se un allegato ricevuto è infetto?

Capita spesso di ricevere via mail o tramite sistemi di messaggistica degli allegati che purtroppo vengono usati dai criminali informatici come grimaldelli infetti per prendere il controllo dei nostri dispositivi. Un caso classico è la finta mail delle Poste o di una banca alla quale è allegato un rendiconto o una fattura in formato Word.

Per sapere se un allegato o un file ricevuto da Internet è infetto lo si può scaricare (senza aprirlo!) e poi mandare a Virustotal.com, che lo analizza e segnala se è fra i malware conosciuti dai principali antivirus. Un altro sito che offre un servizio analogo è Malwr.com. C’è anche Hybrid-analysis.com, al quale si può anche mandare semplicemente il link al file sospetto.

Ci sono alcune precauzioni importanti da prendere quando si maneggia un file sospetto. La prima, ovviamente, è che dopo averlo scaricato e inviato al sito che lo esamina va eliminato o isolato (per esempio messo su una chiavetta USB etichettata vistosamente); la seconda è che se questi siti non rilevano pericolo, questo non vuol dire che il file sia sicuro. Questi servizi, infatti, riconoscono solo i malware che sono già in circolazione da un tempo significativo: se un malware nuovo è stato disseminato pochi minuti fa e voi siete fra i suoi malcapitati destinatari, potreste ricevere un “tutto a posto” quando in realtà il pericolo c’è eccome.

In altre parole: se questi servizi danno un risultato positivo, c’è da fidarsi; se danno un risultato negativo, è meglio restare dubbiosi e cercare altri modi per verificare l’allegato, come per esempio guardare con attenzione l’indirizzo del mittente (spesso somiglia a quello autentico ma è leggermente differente) oppure chiamare per telefono il mittente, se lo conoscete, e chiedergli se vi ha davvero mandato quella mail o quel messaggio.

Gli attacchi informatici tramite allegati, in particolare tramite documenti Word contenenti macro, sono una delle forme di aggressione informatica più diffuse e di maggior successo. Non fatevi fregare.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (10)
Una scorciatoia molto pratica per l'upload a VirusTotal è usare il loro VT Uploader: https://www.virustotal.com/it/documentation/desktop-applications/virustotal-uploader - se l'hash è già conosciuto, evita del tutto di perdere tempo con l'upload.
Scusa Paolo, ma non capisco il senso, che vantaggi ha questo sito rispetto ad usare un buon antivirus?
Aggiungerei che aprire l'allegato in una sandbox mette al riparo da quasi tutti i virus non ancora noti. Quasi perché la sicurezza assoluta con l'informatica si ha solo evitando totalmente l'informatica. Un po' come con la vita. :-)
"Sandboxare" non è difficilissimo, anzi, non è certo fuori dalla portata di un utente comune. Personalmente uso la soluzione Firewall di Comodo, con cui aprire programmi o documenti in una sandbox è semplice, ma ci sono in giro altri sistemi validi - dipende molto dal sistema operativo e dalla compatibilità con l'antivirus.

PS Non prendo percentuali - magari! :-D Paolo forse potresti fare un post sulle soluzioni per "sandboxare" documenti e programmi? Penso che possa essere molto utile.
Scrivi "se questi servizi danno un risultato positivo, c’è da fidarsi".
Nell'accezione medica la positività al test di un virus significa averlo contratto, vale lo stesso per la sicurezza informatica?
Grazie e buon we.
"se questi servizi danno un risultato positivo, c’è da fidarsi"

è esatto, anche in questo contesto:
- risultato positivo? fidati (del risultato), l'allegato è sicuramente infetto;
- risultato negativo? potrebbe essere un "falso negativo" pertanto utile verificare in altro modo.
Lo dice chiaramente.
@franto,
virustotal è un aggregatore di antivirus, ne usa alcune decine. Il file che riceve lo sottopone a tutti gli antivirus che supporta e poi mostra i risultati. E' come se li usassi tutti.

@danjar,
sento parlare di sandbox per i browser da tempo ma alla fine non l'ha implementata nessuno. Io uso Sandboxie per Windows che permette di far girare in una sandbox quasi tutti i programmi, fra cui tutti i browser. Lo uso per testare gli eseguibili scaricati dalla rete di cui non mi fido tanto.
Sarebbe la soluzione migliore, credo.
In alternativa ci sono le macchine virtuali.
Non mi è chiara una cosa: se apro, per es., un documento Word o un pdf infetto con le applicazioni online di Microsoft e Google, all'interno del browser, rischio qualcosa? O, forse, non sono in grado di eseguire macro, o i documenti vengono aperti in un ambiente protetto? (O, magari, rischio di infettare i server di Microsoft e Google? :) )
Potrei aprire un documento inavvertitamente, o anche solo per la curiosità di vedere cosa contiene.
Io in ufficio ho adottato una strategia "
Non hai fatto alcun riferimento alla privacy legata all'upload di files su questi siti
Un dubbio: ma aprendo un documento Word infetto in Libre Office od Open Office, il virus macro scatta lo stesso?