Scopri quali problemi può aver causato un file sospetto, che non avevi fatto analizzare in precedenza, al tuo sistema operativo.

Dopo aver visto come analizzare online un file con molti antivirus per capire se è infetto o meno, potremmo aver bisogno di capire, almeno in parte, quali danni ha fatto al nostro sistema operativo perché non l’abbiamo fatto controllare in anticipo.

Threatexpert.com

Il sito Threatexpert.com ci offre un servizio in cui analizza, con una discreta attendibilità, il comportamento di un file quando viene eseguito nel nostro sistema operativo.

Dovete fornire un indirizzo email valido, il risultato dell’analisi arriva dopo parecchi minuti, a volte ore, accettate le condizioni d’uso e premete il tasto Submint.  Il file può essere al massimo grande cinque Mega Byte.

Dopo qualche tempo vi arriverà una mail che contiene un link come questo e cliccandoci sopra si aprirà una pagina Web con i risultati.

Abbiamo tutte le caratteristiche del malware analizzato, quali nuovi file crea nel sistema, se sono messi in esecuzione automatica, eventuali download aggiuntivi di altri malware, trasmissione dati (magari le password di rete o del conto corrente) verso siti esterni, modifiche al registro, nuovi servizi, il paese d’origine del file e presenza rootkit.

Non dico che tutti potrebbero rimuovere il malware manualmente, ma cancellarne una buona parte è senza dubbio possibile.

Come per Virustotal.com il punto debole di Threatexpert.com è che, ogni tanto, il servizio si blocca e i report tardano o non arrivano per niente.

camas.comodo.com

Un sito alternativo che analizza il comportamento dei file é camas.comodo.com, anche qui basta selezionare il file da analizzare, accettare le condizioni d’uso e dare il via all’upload.

Con questo servizio non è necessario fornire un indirizzo email per ricevere il risultato, bastano alcuni minuti e si genera una pagina come questa, dove trovate tutte le caratteristiche del file analizzato.

Anche qui abbiamo tutte le modifiche al registro, i cambiamenti a file e cartelle nel disco fisso, nuovi processi creati e messi in esecuzione, file/cartelle/servizi/driver nascosti, alla fine il verdetto sul tipo di file inviato.

Forse il report è leggermente meno chiaro di quello di Threatexpert.com, ma è praticamente istantaneo e non richiede l’uso di un indirizzo email.

Limiti dei due servizi

Nessuno dei due servizi è perfetto, i risultati vanno un attimo analizzati prima di precipitarsi a cancellare dei file che potrebbero essere importanti, ci possono essere dei falsi positivi con dei file che hanno comportamenti sospetti, simili a un malware, ma in realtà sono puliti.

Giusto per confermare che nessuno dei due servizi è perfetto, ho trovato un malware che si spaccia per un Pdf, che nessuno dei due servizi è stato in grado di analizzare: Threatexpert.com e Camas.comodo.com nonostante sia un malware riconosciuto da molti antivirus su Virustotal.com.