Siamo stati tutti lì - ricevi un avviso dal tuo programma antivirus che avverte che un determinato file è infetto. A volte l'avviso riappare anche dopo che hai detto allo scanner antivirus di rimuovere l'infezione. O forse hai solo motivo di credere che l'avviso del virus possa essere un falso positivo. Ecco sei cose da considerare per determinare come gestire un avviso di virus sospetto o discutibile.
Posizione, posizione, posizione
Come nel caso degli immobili, la posizione di ciò che viene rilevato può avere un impatto critico. Se ricevi ripetuti allarmi relativi alla stessa infezione, potrebbe essere dovuto a un malware non attivo intrappolato nelle cartelle di ripristino del sistema o in un residuo in un'altra posizione che sta attivando l'avviso.
- Come rimuovere virus da Ripristino configurazione di sistema
- Elimina file e cookie temporanei Internet
- Cancella la cartella Cronologia Internet
Origine: da dove viene
Proprio come con la posizione, l'origine del file può significare tutto. Origini ad alto rischio includono allegati in e-mail, file scaricati da BitTorrent o un'altra rete di condivisione file e download imprevisti derivanti da un collegamento in e-mail o messaggistica istantanea. Le eccezioni sarebbero i file che superano il test Scopo descritto di seguito.
Scopo: Lo vuoi, hai bisogno, lo aspetti?
Il test Purpose si riduce a una questione di intenti. Si tratta di un file che ti aspettavi e di cui hai bisogno? Qualsiasi file scaricato in modo imprevisto dovrebbe essere considerato ad alto rischio e probabilmente dannoso. Se non è stato scaricato in modo imprevisto, ma non è necessario il file, è possibile ridurre il rischio semplicemente eliminandolo. Essere selettivi su ciò che si consente di eseguire sul proprio sistema è un modo semplice per ridurre il rischio di infezione da virus (ed evitare di impattare le prestazioni del sistema con app non necessarie). Tuttavia, se il file è stato scaricato deliberatamente e se ne ha ancora bisogno, è ancora contrassegnato dal tuo antivirus, quindi ha superato il test Purpose ed è ora di dare un secondo parere.
04 di 06SOS: Second Opinion Scan
Se il file supera i passaggi Location, Origination e Purpose ma lo scanner antivirus continua a indicare che è infetto, è il momento di caricarlo su uno scanner online per un secondo parere. È possibile inviare il file a Virustotal per farlo scansionare da oltre 30 diversi scanner di malware. Se il rapporto indica che molti di questi scanner pensano che il file sia infetto, credici sulla parola. Se solo uno o pochissimi degli scanner riportano un'infezione nel file, allora sono possibili due cose: è davvero un falso positivo o è un malware così nuovo che non viene ancora rilevato dalla maggior parte degli scanner antivirus.
05 di 06Ricerca per MD5
Un file può essere chiamato qualsiasi cosa, ma un checksum MD5 raramente si trova. Un MD5 è un algoritmo che genera un hash crittografico presumibilmente univoco per i file. Se hai utilizzato Virustotal per la scansione del secondo parere, nella parte inferiore del rapporto vedrai una sezione intitolata "Informazioni aggiuntive". Subito sotto c'è MD5 per il file che è stato inviato. È inoltre possibile ottenere MD5 per qualsiasi file utilizzando un'utilità come il Chaos MD5 gratuito di Elgorithms. Qualunque sia il modo con cui scegliete di ottenere l'MD5, copiate e incollate l'MD5 per il file nel vostro motore di ricerca preferito e guardate quali risultati appaiono.
06 di 06Ottieni analisi esperte
Se hai seguito tutti i passaggi precedenti e ancora non disponi di informazioni sufficienti per aiutarti a determinare se l'avviso virus è autentico o falso positivo, puoi inviare il file (a seconda delle dimensioni del file) a un analizzatore di comportamento online. Si noti che i risultati forniti da questi analizzatori comportamentali potrebbero richiedere un livello superiore di esperienza da interpretare. Ma se sei arrivato così lontano nei passaggi, è probabile che non avrai problemi a decifrare i risultati!
- PC Tools ThreatExpert
- Sunbelt Software CWSandbox
