Come scoprire se un file è infetto prima di aprirlo?

, ,

file infetto da malware

Anche con un buon antivirus, il tuo computer non è mai del tutto al sicuro. Ogni volta che scarichi un programma, apri un allegato o inserisci una chiavetta USB, corri il rischio di introdurre un file infetto senza accorgertene.


Se ti stai chiedendo come scoprire se un file è infetto prima di aprirlo, ti rispondo che per fortuna abbiamo a nostra disposizione diversi modi per identificare una minaccia prima che abbia la possibilità di scatenarsi. L'obiettivo di questa semplice guida informativa è fornirti tutti gli strumenti e le conoscenze necessarie per aiutarti a difenderti in autonomia.


Prevenzione e controlli preliminari: Come identificare un potenziale pericolo?

Quando ti trovi di fronte a un file che suscita anche un minimo sospetto, il primo passo è mantenere la calma e procedere con una rapida verifica delle sue proprietà.

Controllare l'estensione del file

Esaminare con attenzione l'estensione del file, ovvero le lettere che seguono il punto nel nome è molto importante, specialmente quelli che contengono istruzioni dirette per il computer, come gli .exe e i .bat.


Devi sapere che un trucco molto usato dai cybercriminali è il "double extension". Per capire bene di cosa si tratta facciamo subito un piccolo esempio.
Riceviamo un file chiamato fattura-cliente.pdf.exe. L'uso di una doppia estensione è noto nel campo della sicurezza informatica come Masquerading (mascheramento) e serve anche per indurre l'utente ad aprirlo.
Se le impostazioni di Windows nascondono l'ultima estensione, tu vedrai solo fattura-cliente.pdf, credendo si tratti di un "innocuo documento".
In realtà, l'estensione vera è la parte finale, cioè il .exe, e l'apertura eseguirà il codice maligno.


Devi sempre assicurarti che le impostazioni del sistema operativo mostrino tutte le estensioni dei file per evitare questa trappola.
Su Windows: Apri Esplora risorse -> Visualizza -> Mostra -> Estensioni nomi file.


Verifica sempre la firma digitale dei file eseguibili

Per i file eseguibili che provengono da fonti sconosciute o semi-sconosciute, è possibile verificarne la firma digitale. Questa è un certificato elettronico che garantisce che il file sia stato prodotto dall'azienda che dichiara di averlo creato e che non sia stato manomesso da quel momento in poi.
Per verificare la firma digitale di un file:

  • Fai clic destro sul file.
  • Seleziona Proprietà.
  • Apri la scheda Firme digitali.

Se la firma manca o non è valida, il file non è autenticato. Una firma valida non garantisce sicurezza assoluta (può essere stata rubata), ma la sua assenza è un chiaro campanello d'allarme.


Scansiona il file con l'antivirus

screenshot della schermata protezione da virus e minacce windows 11

Se i controlli preliminari non hanno tolto tutti i tuoi dubbi, il passo successivo sarà una scansione del file con il software di sicurezza che hai già installato sul tuo sistema, sia che si tratti di Microsoft Defender, o di una soluzione di terze parti.


Clic destro sul file -> "Analizza con Microsoft Defender" e attendi il completamento.

VirusTotal e altri servizi online

Un buon antivirus può fallire nell'identificare una possibile minaccia. Per essere più sicuro, puoi avvalerti di servizi online multi-motore in grado di scansionare file, URL, domini e indirizzi IP sospetti, alla ricerca di malware, trojan horse e molte altre tipologie di contenuto malevolo.


Il servizio più autorevole e consigliato è VirusTotal, che sfrutta le definizioni di oltre 70 antivirus (tra cui Kaspersky, McAfee, Bitdefender, ecc.) per analizzare contemporaneamente il file o l'URL.


Il risultato ti mostrerà quante delle decine di motori lo hanno segnalato come malevolo. Se questo è zero è possibilmente sicuro al 99%, tra 2 o 3 segnalazioni potrebbe trattarsi di falso positivo. Molti antivirus qui presenti possono sbagliarsi, specialmente se a dirlo sono quelli meno noti. Per saperne di più, ti invito a leggere un buon articolo scritto su turbolab.it, dove troverai vari esempi e suggerimenti utili.


Oltre a caricare il file, VirusTotal ti permette anche di inserire l'hash del file. L'hash è una sorta di "impronta digitale", una sequenza alfanumerica generata da un algoritmo (come SHA-256).

hash SHA256

Se questo caricandolo corrisponde a un hash già noto a VirusTotal.com, riceverai i risultati dell'analisi in tempo reale. Cliccando su Reanalyze lo rianalizza nuovamente.


Per calcolare l'hash SHA256 su Windows 10 e 11:
apri il Prompt dei comandi (cmd) e digita
certutil -hashfile "C:\percorso\file.exe" SHA256 seguito da Invio.
Ovviamente, devi sostituire percorso\file.exe con il reale percorso del file (Copia percorso) da scansionare.
Una volta pronto, torna su VirusTotal, clicca su Search e incolla nel campo l'hash ottenuto con certutil command.


Strumenti analoghi come Jotti's Malware Scan o MetaDefender offrono un servizio complementare e possono essere utilizzati per una verifica incrociata.


Macchina Virtuale

L'esecuzione controllata, nota come analisi dinamica, è l'unico metodo sicuro per "aprire" e far eseguire un file sospetto senza mettere a rischio il proprio computer. Si ottiene attraverso l'uso di una sandbox, un ambiente virtuale isolato dalla macchina reale.


Per creare questo ambiente si usa un software di virtualizzazione come VirtualBox. Si va a costruire una macchina virtuale con un sistema operativo "ospite" che funge da bersaglio, così un file sospetto viene eseguito esclusivamente all'interno di questa VM, bloccando ogni comunicazione esterna.


Sandbox online: Analisi via Browser

app ANY.RUN screenshot

In alternativa, piattaforme online come Joe Sandbox e ANY.RUN automatizzano l'analisi dinamica direttamente dal browser, senza la necessità di installare software di virtualizzazione. Sono servizi che eseguono in ambiente isolato e generano report dettagliati che tracciano i processi avviati, le modifiche al sistema e le risorse di rete a cui il file ha cercato di accedere.


Entrambe le piattaforme si possono usare anche in versione gratuita (previa registrazione), sebbene con limitazioni sul numero di analisi mensili, sul tempo di interazione e MB per scansione. Ti informo che in queste versioni non a pagamento, i campioni analizzati e i relativi risultati vengono condivisi pubblicamente con la community di sicurezza.



Per oggi è tutto. Come visto, la sicurezza informatica parte sempre dalla prudenza. Ora che conosci questi strumenti, non aprire mai un file sospetto senza prima analizzarlo: pochi secondi o minuti di controllo possono evitarti un mare di problemi.
E se le informazioni qui presenti ti sono state utili, condividi subito questo articolo per aiutare altri a proteggersi.


Maurizio Carbonaro, autore e fondatore di TantiLink

Maurizio Carbonaro

imbianchino e cartongessista

Catania, Italia

Autore e fondatore di TantiLink, umile imbianchino "appassionato" di informatica e tecnologia. Un Blog a 360° nato per gioco sette anni fa che tratta diversi argomenti sul mondo della tecnologia e dell’intrattenimento digitale. Non sono un guru come Aranzulla!

icona busta email png trasparente pulsante donazione paypal

By alle
Etichette: , ,

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)
TantiLink collabora con: