Como saber se tem Vírus num arquivo do PC
Existe uma forma de você identificar se um arquivo tem ou não vírus para Windows sem precisar usar antivírus instalado em seu computador, estou falando do famoso site virustotal.com que nada mais é que um site que faz uma busca na maioria dos antivírus que existem para um documento que você enviar para eles.
Mas isso tem suas limitações e também os conhecidos alarmes falsos e nessa matéria vou mostrar como usar o site virustotal.com em conjunto com outras ferramentas para identificar se um arquivo tem ou não vírus antes mesmo de você abrir ou instalar ele.
Como o VirusTotal.com funciona
No site VirusTotal, você pode enviar um arquivo para ser feita uma análise, e ele consulta com vários antivírus se ele é malicioso ou não, você também pode verificar a integridade de uma página na internet e fazer pesquisa por nome ou números de identificação de arquivos.
O site até mesmo identifica se um arquivo de sistema Android tem ou não um vírus, ele não se limita somente a arquivos para Windows.
Se você vai baixar um programa novo, não adianta você só verificar o link de download dele, você tem que baixar ele e enviar o arquivo salvo para o site analisar.
Atenção! Muita Atenção! Não envie arquivos pessoais para esse site analisar, por exemplo, algum texto, documento ou algo que você criou e que tenha informações que não podem ser vazadas, isso porque os usuários do VirusTotal.com que são Premium, ou seja aqueles que pagam, podem baixar e ver arquivos enviados para examinar melhor, então suas informações podem estar nas mãos de estranhos e isso é um risco de segurança.
Quando NÃO usar o VirusTotal: Vamos supor que você recebeu um documento importante contendo informações pessoais e ele é um arquivo .doc ou .pdf e você enviou ele para detectar no VirusTotal, agora esse arquivo pode ser acessado por qualquer pessoa que pagar o acesso ao site, então nesses casos, nunca use o VirusTotal para determinar se é vírus ou não, sugiro usar o antivírus instalado em seu sistema.
Existe no entanto, uma forma de você enviar documentos sensíveis e pessoais para o VirusTotal identificar de forma privada, mas isso só é possível se você usar uma conta paga e realizar uma consulta privada.
Mas se você quer saber se um arquivo de texto tipo um PDF tem ou não vírus, dá para você tomar algumas providencias para evitar atividades suspeitas, confere nesse link onde eu explico como verificar se tem ou não vírus num arquivo PDF, você vai aprender que é possível abrir um arquivo PDF de forma segura sem precisar analisar ele com o VirusTotal, confere lá.
Não se engane, o VirusTotal.com não é uma boa forma de você definir qual antivírus é bom para sua máquina, isso porque ele não usa todo o poder dos antivírus que ele consulta, ele somente verifica se o arquivo em questão está na lista negra do antivírus, se o arquivo segue alguns padrões comuns de diversos antivírus para identificar ameaças e se ele usa de alguns roteiros que normalmente os vírus usam para infectar máquinas.
O que eu quero dizer é que pode acontecer de um arquivo ser analisado pelo VirusTotal e ter um resultado para um certo antivírus e quando você de fato usar o mesmo antivírus para analisar o mesmo arquivo, o resultado pode ser diferente.
Tamanho do arquivo
Se o arquivo que você enviar para análise no VírusTotal for maior que a capacidade dele, ele vai scanear, mas só até um certo momento e não o arquivo por completo.
Alguns hackers usam essa artimanha para impedir a detecção do vírus, eles constroem o vírus e colocam um monte de espaço em branco no código só para aumentar o tamanho do arquivo e impedir que sites como o VirusTotal analise e encontre o código malicioso.
Aparentemente o limite de espaço é 650 MB, se seu arquivo for maior que isso, use o seu antivírus para detectar porque o VírusTotal não vai conseguir, o resultado pode até aparecer, mas será incompleto.
Arquivo compactado
Muitos arquivos estão compactados e estão no formato .zip, .rar e entre outros, você até pode enviar arquivos assim para o VirusTotal, mas o resultado não será confiável, é melhor enviar o arquivo descompactado.
O tempo da análise é importante
Verifique no campo “Last Analysis Date” a quanto tempo a análise do arquivo foi realizada, se foi a mais de alguns dias atrás, clique para refazer. O site nem sempre faz a verificação no momento em que você pesquisa porque outra pessoa fez a mesma verificação para o arquivo a pouco tempo e apresenta um resultado que pode ser antigo.
Então refaça a análise para ter certeza de que é realmente para a versão do arquivo que você está enviando.
Agora confira uma explicação minha sobre as informações apresentadas nas abas do VirusTotal.
Aba Detection
É na aba Detection que mostra o resultado da consulta em diversos antivírus, quando está assim “Undetected” quer dizer que o antivírus aqui do lado não identificou vírus e quando estiver vermelho, ele vai identificar qual vírus detectou.
Sabendo disso, acontece muito de um arquivo não ter realmente nada malicioso, mas alguns sinalizarem em vermelho, indicando algo errado, mas nem sempre esse arquivo é de fato um vírus ou malware que vai te prejudicar.
Pense comigo, no mundo há diversas empresas que fornecem o serviço de verificação de vírus, algumas mais competentes e outras nem tanto, não há uma regulamentação global que garante que o serviço é bom e falsos positivos podem acontecer.
Falso positivo e como identificar
O falso positivo é quando um arquivo que não tem vírus é classificado como vírus, os motivos podem ser diversos, o antivírus em questão pode estar com o banco de dados desatualizado, as métricas deles podem estar incorretas e dá até para imaginar isso acontecendo.
Exemplo: Vamos supor que a empresa X de antivírus está sem dinheiro para manter equipamentos para processar muitos arquivos e eles então usam métodos mais rápidos e baratos para definir se um arquivo tem vírus ou não e esses métodos podem ser um tanto quanto restritivos demais e acabar sinalizando algo que não é vírus como vírus só para não dar o trabalho de ir a fundo entender que não é.
Então como vamos saber se é falso positivo ou não? Para isso, precisamos analisar vários fatores, a lista de antivírus que sinalizou em vermelho é muito grande? Ou só uns 10 ou 15? Se for poucos, continue investigando mais.
Observe o nome do vírus identificado, existem alguns nomes de vírus conhecidos pela comunidade e tem a identificação mais genérica que na verdade não indica qual vírus achou no arquivo e só determina que tem algo de errado mas não sabe dizer o que é.
Palavras como: Gen, malisious, Trojan,gen, alguma coisa gen, suspicious e por aí vai, são nomenclaturas genéricas que não indicam a presença de um vírus específico, só que pode ter algo de errado, então nesses casos pode ser um falso positivo ou algum vírus que ainda não foi identificado.
Você também pode desconfiar se o resultado desses poucos antivírus que aparecem na lista em vermelho são desconhecidos, pesquise quais são os mais famosos e bem conceituados antivírus do momento e veja se ele marcou como vírus esse arquivo, você pode fazer uma pesquisa rápida na página acionando o CTRL + F e digitando o nome do antivírus famoso, é só ter certeza de que você está com a página do navegador selecionada para acionar o comando.
Quando aparece uma lista pequena de antivírus que nunca ouvi falar na vida, eu vou num site de pesquisa e procuro saber da reputação do antivírus em questão, você vai se surpreender com o tanto de programas de qualidade inferior que o VírusTotal consulta para as suas verificações.
Mas então e quando tem uma grande empresa conhecida de antivírus que sinaliza o arquivo como vírus e ao mesmo tempo tem outra grande empresa conhecida e com boa reputação que diz não ter?
Pois é, isso pode acontecer, é o seguinte, sabe o número gigante que está no canto superior esquerdo da tela? Ele é como se fosse a impressão digital do arquivo, um identificador único dele, os antivírus verificam se essa identificação está na sua lista negra e ela vai na lista negra do antivírus porque a empresa em questão entrou em contato com esse arquivo, mas se a empresa ainda não lidou com esse arquivo, ela não vai saber que ele é malicioso ainda e por isso não vai sinalizar, pode ser que depois de um tempo ela entre em contato com esse arquivo e o coloque na sua lista negra, mas isso ainda não aconteceu, é por isso que pode acontecer de antivírus de boa reputação não identificarem se um arquivo é vírus mesmo ele sendo.
É por isso que eu disse que você não deve usar o virustotal como parâmetro para definir qual antivírus é o melhor de acordo com os resultados dele.
Então, você precisa considerar mais do que o resultado que aparece na tela, se apareceu só uns poucos avisos de vírus e eles são nomes genéricos e os antivírus são desconhecidos e com reputação ruim, pode ser um falso positivo, se você baixou o arquivo do site oficial de uma empresa confiável que já está a anos no mercado e pesquisou na internet sobre ela e viu que não há nenhum problema recente, é um sinal de que é um falso positivo e o arquivo não é vírus.
Eu vou até deixar na descrição desse vídeo o link de um outro vídeo meu que explico porque um programa que uso não é vírus mesmo com o site virustotal informando que é, lá eu explico os motivos, eu acredito que não informo da minha busca no site virustotal, mas se você mesmo enviar o instalador dele, vai perceber que ele é sinalizado como um trojan, o que não é verdade.
Aba Details
Na aba Details temos a informação “Creation Time” e outras datas que ficam nessa seção indicando quando o arquivo foi primeiramente analisado e etc, essas informações podem ser forjadas pelo hacker e nem sempre devem ser um fator absoluto, mas se a data estiver errada você pode desconfiar.
Por exemplo, se a data da criação do arquivo for a mesma da sua verificação, isso é um sinal ruim, que tem algo de errado.
Outro exemplo, digamos que você baixou um novo programa que foi lançado nesse ano, mas na análise do virustotal.com está indicando que esse arquivo foi enviado a uns anos atrás, isso é estranho, desconfie, muitos hackers usam um vírus e somente mudam o nome dele para o de um aplicativo novo e esse pode ser o caso.
Logo abaixo da seção da data, temos a de nomes associados a esse arquivo, e isso cai novamente no que disse anteriormente, os hackers pegam um vírus antigo e renomeiam para parecer que é algo legítimo quando na verdade não é.
Se você ver vários nomes estranhos que não tem nada a ver com o programa, desconfie.
Na seção “signature info” informa a assinatura do criador do arquivo, é comum alguns não terem uma assinatura quando forem um programa open source que é basicamente um programa que tem o seu código aberto para toda a comunidade da internet ver e consultar, diferente do que acontece com um programa pago de alguma empresa que não revela o código dele.
Ter uma assinatura ou não nem pode ser considerado um sinal de que algo está certo ou errado, mesmo se informar que o programa tem uma assinatura.
Mas, imagine o seguinte, você está com o arquivo que instala um programa conhecido de uma empresa grande e famosa, aí quando você analisa aqui no VirusTotal, indica que não tem assinatura? Isso é um indicativo que pode realmente ser um vírus.
Aba Relations
Na aba Relations, tem a seção “Contacted Domains” que informa quais são os sites que o arquivo pode consultar, desconfie se estiver visitando sites que não fazem sentido ao que o programa propõe.
Aba Behavior
Na aba “Behavior” é indicado como o arquivo se comporta, se ele visita certos websites, se ele abre certos arquivos, apaga ou copia, se você perceber que o arquivo está visitando sites que não tem nada a ver ou que apaga ou muda arquivos do sistema que não devia, é um sinal de que é um vírus.
Aba Community
Na aba “Community” você encontra o voto de outras pessoas sobre a integridade do arquivo, fica positivo quando é confiável e negativo quando não é, aqui também pode ter comentários de pessoas, já vi muitos comentários que são só relatórios de antivírus, lembra que falei que o diagnóstico do antivírus instalado é mais completo do que o feito pelo VirusTotal? Algumas pessoas realizam o diagnóstico e publicam aqui.
Mas, sabe lá né, quais são as intenções dessas pessoas que publicam lá na aba comunidade, nada garante que elas são afiliadas ao hacker e estão votando a favor e vice-versa, pode ser alguém querendo sabotar o concorrente e mentido sobre a integridade do arquivo, então observe essa aba, mas não confie 100%.
Em resumo, devo ou não abrir o arquivo?
Então vamos resumir aqui, você tem um arquivo e está em dúvida se deve ou não abrir ele porque não sabe se é vírus, analisou no VirusTotal, mas mesmo assim não deu para concluir ao certo se é confiável ou não porque os indicadores não são conclusivos.
No final das contas, se o VirusTotal não teve uma resposta quase que unanime sobre o arquivo informando que é um vírus e você mesmo baixou ele de um site confiável, eu diria que está tudo bem abrir, agora, se você recebeu esse arquivo de outra pessoa, mesmo sabendo que é uma pessoa conhecida ou se apareceu uma caixa de propaganda e você clicou e acabou baixando o arquivo, isso é bem suspeito e eu recomendo analisar bem antes de abrir ele.
Até porque a pessoa que te passou, por mais que você conheça ela, nada garante que ela foi hackeada e é um hacker enviando o arquivo, você pode falar com a pessoa por telefone ou pessoalmente para ter certeza, se não conseguir, desconfie.
