Antivirus online per file grossi

[fasteagle]

Vorrei effettuare scansione online per la ricerca di eventuali virus ad alcuni grossi file in mio possesso. Di solito mi avvalgo di virustotal.com però ha il limite di 650mb per singolo file e non mi basta. Suggerimenti?

[x_Master_x]

Quote:

Originariamente inviato da VirusTotal

Files larger than 650MBs tend to be bundles of some sort, (compressed files, ISO images, etc.) in these cases it makes sense to upload the inner individual files instead for several reasons, as an example:

• Engines tend to have performance issues on big files (timeouts, some may not even scan them).
• Some engines are not able to inspect certain file types whereas they will be able to inspect the inner files if submitted.
• When scanning a big bundle you lose context on which specific inner file is causing the detection.

.

[fasteagle]

sinceramente mi era sfuggito tuttavia vi pongo un dubbio in merito: in riferimento ad un file compresso zip/rar che eccede i 650mb ma che contiene all'interno files più piccoli e dunque analizzabili online col sito in riferimento, credo che sarei costretto preliminarmente a decomprimere il file grosso; ciò è sufficientemente sicuro o quantomeno lo è tanto quanto dare in pasto a virustotal un file zippato? in altre parole, da ignorante chiedo: uno script maligno deve essere per forza inserito all'interno di un file "visibile" all'interno a sua volta di un file compresso oppure potrebbe anche essere messo dentro il file compresso in modo "invisibile" ed autoeseguirsi non appena si decomprime tale file zip/rar in cui è contenuto, o comunque autoeseguirsi anche se è all'interno di un file visibile dentro lo zip non appena quest'ultimo viene decompresso?

[SysLack]

Gli archivi autoestraenti (sfx) possono lanciare comandi dopo l'estrazione, ma se si tratta di uno zip/rar standard (e non un exe camuffato da zip/rar), la sola decompressione non dovrebbe innescare processi malevoli (ma in ambito di sicurezza non ci sono mai certezze assolute o eterne).
Se non si può verificare l'autenticità del contenuto (con controllo di hash, certificati o simili) può essere comunque prudente (per eccesso) decomprimere l'archivio in una sandbox o in una macchina virtuale, prima di sottoporne il contenuto a Virus Total (chiaramente una prima scansione con l'antivirus locale o con Malwarebytes non è una cattiva idea).

[fasteagle]

comunque, per conoscenza mia, chiedo se uno script malevole, ovvero un file, potrebbe anche essere inserito in modo "invisibile" all'interno di uno zip/rar, cioè io non riesco a vedere questo file se apro lo zip/rar in cui è contenuto col visualizzatore/browser standard.

aggiungo un'idea, sempre per chi vuole usare solo virustotal o altri av online, benchè è un metodo meno sicuro del dargli in pasto il singolo file compresso: dividerlo in più parti, ciascuna ovviamente entro i 650mb di grandezza.
ho già provato con un piccolo file di un paio di mb che già sapevo contenere uno script malevolo: prima l'ho diviso in 3 parti, e una buona parte degli av di virustotal hanno riconosciuto minacce in una sola delle 3 parti, poi l'ho diviso in 10 parti uppando solo la 1^ e la 10^ parte ma virustotal non ha riconosciuto nulla.
in definitiva credo che finchè il file grosso non ecceda 3 volte la grandezza massima, cioè 650mb*3= 1950mb, si possa usare virustotal previa divisione del file, avendo un buon margine di efficacia.
cosa ne pensate?

[Kaya]

Quote:

Originariamente inviato da fasteagle

sinceramente mi era sfuggito tuttavia vi pongo un dubbio in merito: in riferimento ad un file compresso zip/rar che eccede i 650mb ma che contiene all'interno files più piccoli e dunque analizzabili online col sito in riferimento, credo che sarei costretto preliminarmente a decomprimere il file grosso; ciò è sufficientemente sicuro o quantomeno lo è tanto quanto dare in pasto a virustotal un file zippato? in altre parole, da ignorante chiedo: uno script maligno deve essere per forza inserito all'interno di un file "visibile" all'interno a sua volta di un file compresso oppure potrebbe anche essere messo dentro il file compresso in modo "invisibile" ed autoeseguirsi non appena si decomprime tale file zip/rar in cui è contenuto, o comunque autoeseguirsi anche se è all'interno di un file visibile dentro lo zip non appena quest'ultimo viene decompresso?

Io fare la decompressione dentro una VM con un sistema operativo tipo linux, e da li il caricamento su virustotal. Dovresti essere molto più sicuro che non decomprimere sulla tua macchina windows

[SysLack]

Quote:

Originariamente inviato da fasteagle

comunque, per conoscenza mia, chiedo se uno script malevole, ovvero un file, potrebbe anche essere inserito in modo "invisibile" all'interno di uno zip/rar, cioè io non riesco a vedere questo file se apro lo zip/rar in cui è contenuto col visualizzatore/browser standard.

aggiungo un'idea, [...]
cosa ne pensate?

Se non mi sbaglio, ci sono modi per occultare un file malevolo in modo che non risulti visibile nella cartella, anche se resta poco probabile che possa attivarsi senza l'interazione dell'utente.
Per quanto riguarda la divisione di cartelle compresse da sottoporre a VT, non è importante il numero delle divisioni, ma quanto le divisioni frammentano i possibili file malevoli: se una cartella di 100 MB contiene un malware di circa 1 MB, se anche dividiamo la cartella in 100 file parziali, se quel malware non viene diviso, la scansione di VT lo rileverà (quando scansionerà il file parziale che lo contiene). Se invece dividiamo tale malware in sole due parti, e le scansioniamo separatamente, non è detto che VT si accorga sia un malware, perché un malware spezzato in due non è scontato che si presenti come malevolo (e probabilmente "mezzo malware" nemmeno funziona come tale). Nel tuo caso, ad esempio, dividerlo in 10 parti ha probabilmente destrutturato lo script malevolo al punto da non renderlo più tale e quindi non è stato segnalato.
Chiaramente più il file malevolo è piccolo e più le dimensioni dei file compressi parziali sono grandi, più è probabile che non venga diviso e quindi l'analisi di VT basata sulle "firme" (signature) dei file malevoli riesca ad individuarlo.
Va anche detto che invece le analisi di VT basate sul comportamento (behavior) non è da escludere risultino molto meno attendibili se non hanno tutti i file coinvolti da poter analizzare (salvo non si tratti di una collezione di file indipendenti fra loro, come una cartella di immagini).