In rete ormai si trovano tantissimi script PowerShell, o file di comandi, in grado di eseguire vari tipi di operazioni nel computer dove vengono avviati, ma siamo sicuri di poterli eseguire in tutta tranquillità? Disbatch è un analizzatore di file .ps1, .cmd, .bat in grado di mostrare eventuali comandi sospetti presenti nello script.
Questo non vuol dire che lo script è sicuramente malevolo, ma solo che contiene qualcosa che potrebbe essere usato anche da un malware per prendere possesso del vostro computer e infettarlo.
Starà poi a noi decidere se eseguire lo script, in base alla provenienza, all'autore o alle rilevazioni trovate.
Il file eseguibile scaricato da Github è nuovo e non firmato quindi alcuni antivirus, o sistemi aziendali, potrebbero bloccarlo, su VirusTotal ci sono un paio di rilevazioni da parte di antivirus sconosciuti.
Funzionamento
Clicchiamo su Open script per selezionare il file da controllare.
Questo è un esempio di script "pulito", zero Warning e zero Caution.
Questo è lo stesso script appena analizzato a cui ho aggiunto delle righe di comando, trovate su Internet, che vanno a creare una operazione pianificata di Windows e scaricano un file, quasi sicuramente infetto, da un sito.
Due operazioni decisamente sospette e uno script da non eseguire più.
Ci sono dei comportamenti, innocui in questo caso, ma che potrebbero in altri casi essere utilizzati da un malware. Qui abbiamo la cancellazione forzata, -force, di file e l'esecuzione di Powershell in modalità nascosta, -hidden.
In questo script ho un Warning non corretto, il comando rileva solo la configurazione del firewall non va a disattivarlo, abbiamo anche qui una esecuzione del comando ping in modalità invisibile, un download di un file dal sito speedtest.net e la cancellazione forzata di file da una cartella.
Questo LOLBin (Living Off the Land Binary) è un legittimo programma Microsoft (come cmd.exe, powershell.exe, mshta.exe, rundll32.exe) facente parte del sistema operativo, ma che spesso vengono sfruttati dai malware per diffondersi nel sistema operativo e sfuggire così agli antivirus.
Se quanto rilevato non ci ha "spaventato", passando nei Controls possiamo eseguire lo script.
Conclusioni
Per essere un programma nuovo, magari imperfetto in alcuni casi, ha del buonissimo potenziale.
Invece di leggere centinaia di righe di script potete utilizzare Disbatch per dare una veloce scrematura e soffermarvi meglio su quelle righe potenzialmente sospette.
Disbatch non è un antivirus è solo un analizzatore che estrae determinate informazioni e comportamenti dallo script, sarete poi voi a dover decidere se utilizzarlo o meno.
![[Upd: patch disponibile] MiniPlasma è il nuovo exploit per Windows 11 che sfrutta una vulnerabilità... corretta nel 2020?!? (aggiornato: 12 giugno 2026, ore 09:52)](https://turbolab.it/immagini/reg/6/windows-11-security-flaw-zero-day-threat-2-27599.avif)
