A проверяются ли на наличие вирусов файлы находящиеся в архивах где это задано

Обновлено: 07.07.2024

Сценарий. Завершающий этап установки любой программы - это проверка корректности выполнения основных ее функций. Для антивирусных приложений основу функционала составляет способность находить и обезвреживать вредоносные программы.

Естественно, встает вопрос как проверить действительно ли программа может это делать - ведь известно, что новые вирусы появляются каждый день, причем десятками, а иногда и сотнями. Не каждому пользователю под силу регулярно отслеживать хотя бы их часть. Этим занимаются антивирусные компании. Их филиалы, разбросанные по всему миру, непрерывно следят за вирусной активностью в Интернет , перехватывают и анализируют все подозрительные файлы. На основе полученных данных формируются вирусные сигнатуры, которые рядовой пользователь получает во время обновления своих антивирусных баз 1 Процедура обновления антивирусных баз изучается в следующей лабораторной работе . Таким образом, проверить надежность антивирусной защиты от всех уже существующих вирусов и тех, которые только завтра или через год будут созданы, нереально. К тому же, использовать настоящие вирусы только для предварительного тестирования программы нельзя. Нельзя исключать вероятность , что программа установки где-то дала сбой и следовательно защита не установлена. Тогда во время проверки может произойти заражение вирусом, на котором производится тестирование, что недопустимо.

Но несмотря на все эти проблемы, метод диагностики антивирусных программ все же существует. Для этого используется специальный файл , " The Anti- Virus or Anti-Malware test file ", созданный Европейским институтом компьютерных антивирусных исследований (European Institute for Computer Antivirus Research).

В задании 1 этой лабораторной работы предлагается познакомиться с тестовым вирусом, в заданиях 2, 3 и 4 - протестировать работу установленного ранее Антивируса Касперского 6.0, параллельно изучив структуру резервного хранилища и карантина.

Подготовка

Перед началом лабораторной работы убедитесь, что Ваш компьютер :

  • Включен
  • На нем загружена операционная система Microsoft Windows XP или Microsoft Windows 2000 Professional
  • Выполнен вход в систему под учетной записью, обладающей правами администратора

Задание 1. Тестовый вирус

Тестовый вирус , разработанный Европейским институтом компьютерных антивирусных исследований, называется EICAR - по аббревиатуре полного названия института (European Institute for Computer Antivirus Research).

Для более подробного тестирования можно применять другие расширения. Например, если указать .txt , можно проверить проверяются ли текстовые файлы . Для проверки будут ли обнаруживаться вирусы в архивах, EICAR можно заархивировать.

Если открыть EICAR в каком-либо текстовом редакторе, например Блокнот ( Notepad ), то обнаружится, что он состоит из 68 символов:

Следовательно, тестовый вирус в любой момент можно создать самостоятельно. Для этого нужно только открыть любой текстовый редактор , набрать в нем эту строку и сохранить получившийся файл в формате текстового файла (обычный текст).

Суть EICAR такова, что он оказывается неизлечимым. Это происходит потому, что антивирус идентифицирует EICAR как вирус по наличию в нем упомянутых 68 символов. Если их удалить - то от файла ничего не останется. Следовательно, с помощью EICAR можно тестировать только основную функцию антивируса - обнаружение.

Поэтому для тестирования своих продуктов Лаборатория Касперского предлагает использовать модифицированный тестовый вирус , а именно:

В этом задании нужно создать тестовые вирусы EICAR , CURE -EICAR и SUSP-EICAR .

Просмотрите информацию о текущих базах, выбрав слева раздел ОБНОВЛЕНИЕ. Ответьте на вопросы:


Дата последнего обновления


Срок действия лицензии


Статус баз

Режим запуска


Выберите раздел ЗАЩИТА и ответьте: какие компоненты входят в комплексную защиту компьютера?

Выберите раздел ПРОВЕРКА и просмотрите:


Какие объекты проверяет антивирус Касперского?


может ли пользователь задавать, какие объекты следует проверять, а какие – нет? Как это сделать?

Откройте окно НАСТРОЙКА и подготовьте ответы на вопросы:


Проверяются ли на наличие вирусов файлы, находящиеся в архивах? Где это задано?

какие действия может выполнять антивирус Касперского с инфицированными и подозрительными объектами?

Используйте СПРАВКУ, найдите информацию о защите от сетевых атак и скопируйте найденную информацию в текстовый документ. Сохраните документ в своей папке(название папки – Ваша фамилия) под именем Справка.


Выполните проверку своей папки на наличие вирусов.

Импортируйте отчет в текстовый файл под именем Отчет в свою папку, нажав на кнопку Сохранить как.

Проведите проверку всех локальных дисков компьютера на наличие вирусов.

Используя раздел СПРАВКА, ответьте на вопросы:

Отличие полной проверки от быстрой проверки

быстрая проверяет самые основные некоторые файлы на диске С, полная длится намного дольше и проверяет каждый файл, находящийся на компьютере. По-хорошему нужно хотя бы каждый месяц проводить быструю проверку и хотя бы раз в 3 месяца полную

Понятие вирусная атака

Компью́терный ви́рус — вид вредоносного программного обеспечения, способного создавать копии самого себя и внедряться в код других программ, системные области памяти, загрузочные секторы, а также распространять свои копии по разнообразным каналам связи с целью нарушения работы программно-аппаратных комплексов, удаления файлов, приведения в негодность структур размещения данных, блокирования работы пользователей или же приведения в негодность аппаратных комплексов компьютера.

Назначение доверенного процесса

Понятие карантин

Данная закладка предназначена для работы с объектами, помещенными на карантин. На закладке представлена информация о количестве объектов на карантине, о количестве возможно зараженных объектов, обнаруженных в процессе работы Антивируса Касперского, а также о текущем размере хранилища

С какой целью объекты помещаются в карантин?

Контрольные вопросы:

Что такое компьютерный вирус?

Компью́терный ви́рус — компьютерная программа или вредоносный код, отличительным признаком которых является способность к размножению.

Перечислите виды компьютерных вирусов. Ответ оформите в виде таблицы:

Виды компьютерных вирусов

Червь – программа, которая делает копии самой себя. Ее вред заключается в захламлении компьютера, из-за чего он начинает работать медленнее. Отличительной особенностью червя является то, что он не может стать частью другой безвредной программы.

Троянская программа маскируется в других безвредных программах. До того момента как пользователь не запустит эту самую безвредную программу, троян не несет никакой опасности.

Троянская программа (троянский конь, троян)

Шпионы собирают информацию о действиях и поведении пользователя. В основном их интересует информация (адреса, пароли).

Программы – шпионы

Какие могут быть признаки заражения компьютерным вирусом?

Назначение антивирусных программ. Примеры антивирусных программ.

Касперский , аваст ,Dr.web

Укажите действия для проверки диска С:\ на наличие вирусов.

Какая информация отражается в отчете о проведенной проверке?


Перечислите меры предосторожности, которые следует соблюдать во избежание заражения вирусом?

Регулярно проверять ПК на вирусы ,Избегать подозрительных сайтов , и пользоваться лицензионным софтом

Тут вы можете оставить комментарий к выбранному абзацу или сообщить об ошибке.

Прочитав статью rattlersnake А твой антивирус ловит запароленные архивы? я прошел стадии от неверия через сомнение к разочарованию и обратно к пониманию.


Как вполне правильно отмечают в комментариях, получение содержимого запароленного архива без знания пароля невозможно, следовательно, невозможна и проверка. Но значит ли это, что детект вируса невозможен? Как мне кажется, я разобрался, почему такое возможно и почему такой метод имеет право на жизнь.

Желание проверить правильность описанной в статье ситуации и разобраться, как такое возможно, побудили меня провести небольшой эксперимент.

Проверяемый файл info.exe был найден по хэшу с VirusTotal и запакован архиватором WinRar в три архива: zip, rar и rar версии 5.

На все архивы был установлен сложный пароль для исключения его подбора антивирусом либо использования стандартных паролей. К моему удивлению, антивирус Fortinet сработал на архивах zip и rar, но не сработал на rar5!


В комментариях к статье была версия, что это — «false positive, ложное срабатывание». Но эта версия неправдоподобна, так как это ложное срабатывание выдает тот же самый детект, что и незапакованный вирус. Более того, при использовании разных паролей полученный архив должен значительно отличаться. Тут должен работать какой-то другой механизм, но какой?

Пытясь понять, что влияет на срабатываение антивируса, я изменил один байт в файле и снова запаковал его в архивы с паролем. После проверки меня ждал другой сюрприз – хотя детект вируса в архиве пропал (0/53), пропал детект этим антивирусом и неупакованного файла, хотя большинство остальных антивирусов продолжали его видеть (35/52)!

И тут мне в голову пришла отличная идея:

    Смотрим, какие свойства файла доступны в архиве – и видим контрольную сумму CRC32:




Проверяем на всякий случай и получившийся exe файл – и видим странный результат – Fortinet продолжает находить в файле вирус. Похоже, он детектит его исключительно по CRC32!


Да, похоже, чудес не бывает и настоящий детект вируса в запароленом архиве невозможен.

С другой стороны, учитывая что Fortinet занимается программно-аппаратными комплексами сетевой безопасности, и цель — не пропустить писмо с вредоносным вложением, то такой подход имеет право на жизнь.

Если мы знаем CRC32 вредоносного файла, будет не лишним предупредить пользователя, когда такой файл найдется в архиве с паролем.

Цель: научиться производить настройки антивирусной программы, проверять различные объекты на наличие вируса.

Программное обеспечение: MS Office, антивирусная программа «Антивирус Касперского 6.0»


Задания:

1. Откройте антивирусную программу командой Пуск – Все программы.

2. Внимательно изучите интерфейс программы.

3. Просмотрите информацию о текущих базах, выбрав слева раздел ОБНОВЛЕНИЕ. Ответьте на вопросы:

a. Дата последнего обновления.

b. Срок действия лицензии

d. Режим запуска

4. Выберите раздел ЗАЩИТА и ответьте, какие компоненты входят в комплексную защиту компьютер?

5. Выберите раздел слева ПРОВЕРКА и просмотрите:

a. Какие объекты проверяет Антивирус Касперского?

b. Может ли пользователь задавать, какие объекты следует проверять, а какие нет? Как это сделать?

6. Откройте окно НАСТРОЙКА, нажав на кнопку Настройка, и подготовьте ответы на следующие вопросы:

a. Проверяются ли на наличие вирусов файлы, находящиеся в архивах? Где это задано?

b. Какие действия может выполнять Антивирус Касперского с инфицированными и подозрительными объектами?

7. Используйте СПРАВКУ, найдите информацию о защите сетевых атак и скопируйте найденную информацию в текстовый документ.

8. Сохраните документ в своей папке (название папки Ваша фамилия) под именем Справка.

9. Выполните проверку своей папки на наличие вирусов.

10. Импортируйте отчет в текстовый файл под именем Отчет в свою папку, нажав на кнопку Сохранить как.

11. Проведите проверку всех локальных дисков компьютера на наличие вируса.

12. Используя раздел Справки, ответьте на следующие вопросы:

a. Отличие полной проверки от быстрой проверки

b. Понятие вирусной атаки

c. Назначение доверенного процесса

d. Понятие карантина

e. С какой целью объекты помещаются на карантин?

f. Понятие подозрительного объекта

Контрольные вопросы:

1. Что такое компьютерный вирус?

2. Перечислите виды компьютерных вирусов. Ответ оформите в виде таблицы:

Признак классификации Виды компьютерных вирусов

3. Какие могут быть признаки заражения компьютерным вирусом?

4. Назначение антивирусных программ. Примеры антивирусных программ.

5. Виды антивирусных программ. Ответ оформите в виде таблицы:

Вид антивирусной программы Алгоритм действия Достоинства Недостатки

6. Укажите действия для проверки диска С:\ на наличие вирусов?

7. Какая информация отображается в отчёте о проведенной проверке?

8. Перечислите меры предосторожности, которые следует соблюдать во избежание заражения вирусом?

Практическая работа № 3

Работа в локальной сети. Поиск информации в сети Internet

Цель: научиться представлять общий доступ к программным и аппаратным ресурсам сети своего компьютера, работать с файлами и аппаратными ресурсами локальной сети, познакомиться с существующими в интернете поисковыми системами, видами информационных ресурсов Интернета; получить представление о способах хранения и классификации найденной информации;

Программное обеспечение: MS Office, браузер Internet Explorer.

Задание:

Работа в локальной сети

Предоставление папки в совместное пользование

1. Откройте папку МОИ ДОКУМЕНТЫ.

2. Создайте в папке МОИ ДОКУМЕНТЫ новую папку, переименуйте её, дав название Компьютер № (укажите номер вашего компьютера).

3. В созданной папке поместите текстовый документ со сведениями о Вас (фамилия, имя, отчество, курс, группа) и информацию о компьютерных сетях, полученную из справки.

4. Сохраните и закройте документ и созданную папку.

5. В окне МОИ ДОКУМЕНТЫ щёлкните правой кнопкой мыши на значке созданной папки.

6. В появившемся контекстном меню выберите команду свойства, откроется окно свойств папки.

7. Откройте вкладку ДОСТУП, включите радиокнопку ОБЩИЙ РЕСУРС.

8. Щелкните на кнопке ОК.

9. Просмотрите результат проделанной работы: если папка стала общим для сети ресурсом, то ее значок примет другой вид (Какой?).




10. Теперь созданную вами папку можно просмотреть на любом компьютере, подключенном к сети.

Открытие общей папки на другом компьютере

1. Чтобы открыть «Моё сетевое окружение», дважды щелкните значок МОЁ СЕТЕВОЕ ОКРУЖЕНИЕ на рабочем столе или нажав кнопку ПУСК.

2. В окне МОЁ СЕТЕВОЕ ОКРУЖЕНИЕ слева на панели задач выберите ОТОБРАЗИТЬ КОМПЬЮТЕРИ РАБОЧЕЙ ГРУППЫ.

3. Дважды щелкните нужный компьютер, на нём находится общая папка под названием Компьютер №, откройте её.

4. Просмотрите информацию, содержащуюся в папке, и скопируйте её в свою папку.

5. Скопируйте данные с таких папок других компьютеров.

Отмена общего доступа к папке

1. Вызовите контекстное меню вашей папки Компьютер №.

2. Выберите команду ДОСТУП в появившемся окне отмените общий доступ к папке.

3. Какой вид принял значок папки?

Поиск информации в сети Internet

Указание адреса страницы

a. Открыть Internet Explorer двойным щелком ЛКМ по значку на рабочем столе.

c. По полученным материалам выяснить, где и когда родился Дж.Р.Р.Толкиен (автор книги «Властелин кольца»).

2. Передвижение по гиперссылкам поискового каталога.

b. Выбрать рубрику «Культура и искусство», перейти по гиперссылке - театр

c. Перейти по гиперссылке – драматический театр.

d. Перейдём по гиперссылке «Большой Драматический Театр».

e. На сайте театра найти гиперссылку «История»

f. В полученном материале найдите дату основания большого театра.

3. Поиск по ключевым словам в поисковом каталоге.
В таблице приведены запросы к поисковому серверу Yandex. Для каждого номера укажите количество страниц, которые найдёт поисковый сервер по каждому запросу.

Как выяснить, является ли файл вредоносным

В наши дни интернет наводнен вредоносными программами. Вы никогда не можете быть уверены, что загруженный вами файл не окажется каким-нибудь вредоносным, притворяющимся безвредным. Фактически многие из вредоносных файлов разработаны, чтобы делать именно это. Эта статья объяснит, как отличить опасный файл от безопасного.

Несмотря на то, что это может показаться грандиозной задачей, я обещаю, что это будет не так уж трудно. Сегодня есть много как очень сложных, так и простых онлайновых служб, которые позволяют проверить файл на безопасность. Если вы полагаете, что файл, вероятно, безопасен, то убедитесь, что вы прочли раздел 1, прежде чем продолжать. Это может сэкономить вам много времени.

Содержание

1. Проверьте, не находится ли файл в белом списке Comodo

Если вы уже считаете, что рассматриваемый файл, вероятнее всего, безопасен, то следование дальнейшим шагам, описанным в этой статье, может не понадобиться. Сначала закачайте файл на Comodo Valkyrie. Это бесплатная услуга, предоставляемая компанией Comodo, которая позволяет пользователям загружать файлы, объемом до 20 МБ, которые будут проанализированы почти сразу же. После закачки файла посмотрите в левый верхний угол. Там есть надпись "SHA1". Скопируйте всю строку букв и чисел, которая следует за ней. Теперь перейдите на страницу Comodo File Intelligence.

Как выяснить, является ли файл вредоносным: Comodo File Intelligence

Мы воспользуемся этой службой, чтобы выяснить, не был ли файл уже проверен ранее на безопасность и не находится ли он в огромном списке безопасных файлов Комодо. На этом сайте переключите поисковую панель с режима "Search by Filename" на "Search by SHA1". После этого вставьте из буфера обмена SHA1 и нажмите "Search Now". Посмотрите информацию, которая появилась. Если ответ был "The file is safe" ("Файл надёжен"), то сразу смотрите результаты Comodo Valkyrie. Если окончательный результат (Final Result) от Comodo Valkyrie сообщает, что файл безопасен или неизвестен, тогда вы можете доверять этому файлу. Вам не нужно переходить к остальной части шагов. Однако, если Comodo Valkyrie сообщает, что файл вредоносный, тогда вы, возможно, захотите перейти ко второму разделу, чтобы убедиться, что файл действительно безопасен. Он почти наверняка безвреден, но проверка с помощью еще нескольких методов не займет много времени.

2. Проверьте файл с помощью Comodo Valkyrie

Comodo Valkyrie - это бесплатная веб-служба Comodo, которая позволяет пользователям загружать файлы до 20 МБ для быстрого анализа. Эта служба может быть найдена на этой странице. Просто перейдите к сайту и найдите файл, который хотите оценить. Теперь закачайте туда этот файл. Загруженные файлы проверяются с помощью проверок многих типов, включая статический метод обнаружения, поведенческий анализ, независимо от того, обнаружены они антивирусом Comodo или с помощью продвинутой эвристики.

Используя эти проверки, служба может дать прогноз относительно того, является файл нормальным (“Normal”), неизвестным (“Unknown”) или вредоносным (“Malicious”). Оценка “Normal” означает, что файл безопасен. “Malicious” означает, что он опасен. Если служба посчитала, что файл неизвестен (“Unknown”), это значит, что "она не уверена".

2.1 Используйте Валькирию, чтобы узнать наверняка, безопасен ли файл

Кроме того, некоторые файлы, возможно, уже были вручную проанализированы сотрудниками Comodo. Если они были проанализированы сотрудниками, то у них будет статус нормальных, неизвестных или вредоносных. Если там дали оценку "Unknown" или "Malicious", то я советовал бы избавиться от этого файла. Я не стал бы ему доверять.

Как выяснить, является ли файл вредоносным: Статистика Comodo Valkyrie

После передачи файла сотруднику там вручную проанализируют его и дадут вам результат. Возможные варианты оценок уже объяснены выше. Этот анализ обычно занимает меньше 24 часов. Если вы решили получить результаты "анализа вручную", то вы не должны волноваться ни о каких других методах, обсуждавшихся еще в этой статье. Просто отправьте файл и ожидайте результатов. Однако, если вы хотите узнать больше о файле и не хотите ждать результатов ручной работы, то остальная часть этой статьи должна быть очень полезной для вас.

2.2 Интерпретируйте результаты автоматического анализа самостоятельно

Если вы решили не ждать анализа, тогда вы можете также использовать эту службу, чтобы сразу же получить больше информации о файле. После того, как файл проанализирован, наиболее важным моментом, заслуживающим вашего внимания, будут пункты "Auto Result" ("Автоматический результат") и "Final Result" ("Окончательный результат"). Оба результата даны вверху страницы. "Auto Result" даст вам полный итог статического сканирования. "Final Result" комбинирует результаты всех типов сканирования, предоставляя общий прогноз по поводу безопасности файла. Веб-службы более подробно рассмотрены ниже. Если обе из них дают оценку "нормально", тогда файл, вероятнее всего, безопасен. Однако, перед тем, как посмотреть общие результаты, проверьте вкладки "Dynamic Detection" и "Advanced Heuristics", чтобы убедиться, что они закончили анализировать. Это займет больше времени, чем статический метод обнаружения. Однако, чтобы получить еще большее понимание, действительно ли безвреден файл, вам также захочется более тщательно рассмотреть результаты для каждой вкладки.

Обратите внимание, что для некоторых файлов вместо результата будет выведено "No PE File". Это означает, что файл не содержит достаточной информации для Valkyrie, чтобы его можно было запустить. Более подробную информацию можно найти на этой странице. Таким образом, если вы получаете этот результат, я рекомендую вам перейти к следующему разделу и продолжить анализировать файл, используя альтернативные методы, обсуждаемые в этой статье.

После того, как файл проанализирован, вам будут показаны три информационные вкладки. Первая называется “Static Detection” (Статический метод обнаружения). Вкладка показывает оценку 17-ти различных детекторов AI, которые проверяли файл. Отдельные оценки этих детекторов не важны. Comodo использует очень сложный алгоритм, чтобы вынести итоговую оценку на основе работы каждого из этих детекторов. То, что важно, это общий результат, показанный внизу экрана. Будет показана автоматическая оценка под надписью “Static Verdict Combination” (“Суммарная оценка статического сканирования”). Также под надписью “Probability of Static Verdict” (“Вероятность статической оценки”) будет показана степень вероятности.

На вкладке "Dynamic Detection" есть результаты как от Comodo Antivirus (CAV), так и от Comodo Instant Malware Analysis - модуля, также известного как CAMAS. Секция для Comodo Antivirus сообщит вам, если в текущий момент что-то обнаружено антивирусом Comodo, и, если это имеет место, какого типа вредоносное ПО он обнаружил. CAMAS, также известный как CIMA, является поведенческим анализатором. Чтобы узнать больше о том, как понимать результаты, смотрите раздел 4.1 данной статьи. В результатах Валькирии опция "Report URL" соединит вас с результатами CIMA. Это полезно, поскольку вы можете понять, что, во всяком случае, было установлено что-то подозрительное в поведении файлов. Однако знайте, что есть такая ошибка, что, если вы выбираете "Report URL", тогда как в поведении ничего не обнаружено, вы вместо этого переместитесь на страницу "Static Detection".

Как выяснить, является ли файл вредоносным: Comodo Valkyrie: Продвинутая эвристика

Еще одна вкладка, которую мы рассмотрим, называется “Advanced Heuristics” (“Продвинутая эвристика”). Здесь при исследовании файла используются более чувствительные алгоритмы. Здесь больше вероятности, что они поймают вредоносное ПО, но также здесь более вероятна неправильная идентификация файла в качестве "Неизвестного" (“Unknown”) или "Вредоносного" (“Malicious”). Пожалуйста, имейте это в виду, когда интерпретируете эти результаты.

3. Проверьте файл с помощью VirusTotal

Еще вы можете проверить файл в разных антивирусах. Одна из лучших веб-служб для этого - VirusTotal. Ее можно найти на этой странице. Эта служба просканирует любой файл, который вы закачаете, с помощью более чем 40 различных антивирусных продуктов и покажет результаты отдельно по каждому из них. Вы можете закачать файлы размером до 64 МБ, и весь процесс займет около минуты.

Безусловно самая трудная часть использования VirusTotal - интерпретация результатов. Иногда по результатам бывает трудно сказать, какова вероятность, что файл окажется опасным. В основном тогда, когда значительное количество сканеров показывает предупреждение о его вероятной опасности. Однако, даже если лишь немногие это обнаруживают, это не обязательно означает, что он безопасен. Ниже приведены примеры результатов для двух файлов, которые являются действительно вредоносными.

Использование VirusTotal имеет несколько недостатков. Один из них - то, что вредоносное ПО конечно может оказаться столь новым, что ни один антивирус не распознает его. Я лично видел такое много раз. Поэтому, даже если VirusTotal показывает, что ни один из антивирусов не обнаруживает опасности, это не означает, что файл не опасен. Связанная с этим проблема состоит в том, что вредоносное ПО создается так быстро, что антивирусные компании вынуждены использовать эвристическое обнаружение и универсальные сигнатуры в стремлении не отставать от него. Проблема с этим подходом состоит в том, что при этих методах обнаружения безвредный файл может быть неверно идентифицирован как вредоносный. Это известно как ложное срабатывание (false positive). Эти типы ошибок действительно происходят и с возрастающей частотой.

Таким образом, если только некоторые антивирусы определяют угрозу с помощью эвристики, а другие не определяют, то это может быть ложным срабатыванием. Однако, это не гарантирует, что так и есть. Именно поэтому вы должны всегда проверять файл, используя все три метода, рассмотренные в этой статье. Ниже приведены результаты в качестве примера полноценных файлов, которые VirusTotal неверно идентифицирует как опасные.

Я хочу внести ясность, что, даже если только один антивирус определил файл как вредоносный, или даже ни один из них не определил, то файл все же может быть опасным. VirusTotal нельзя использовать с тем, чтобы гарантировать, что файл безопасен. Однако, если очень большое количество антивирусов определяют, что файл вредоносный, то вероятно так и есть. В этом и есть истинная сила VirusTotal.

4. Проверьте файл на вредоносное поведение

В дополнение к вышеупомянутым методам вы можете также пожелать проверить файл на вредоносное поведение. Есть много замечательных веб-служб, которые помогут сделать это, но я выбрал две из них, которые я особенно рекомендую. Помните, что хорошие файлы в них могут быть отмечены как подозрительные и что вредоносное ПО также может оказаться нераспознанным. Фактически, некоторые вредоносные программы даже могут заявить, что они запущены в виртуальной среде, и, таким образом, откажутся работать. По этой причине, опять же, для проверки файла лучше всего использовать все три метода, рассмотренные в этой статье.

4.1 Используйте Comodo Instant Malware Analysis

Веб-служба Comodo Instant Malware Analysis (CIMA) (Быстрая проверка на вредоносность от Comodo) может быть найдена на этой странице. Думаю, отчет проверки этой службы будет понятен всем пользователям. Вы можете загружать туда файлы любого размера, и, после того, как загрузка будет завершена, сразу начнется проверка файла. Продолжительность в основном зависит от размера файла и сложности его поведения, однако в большинстве случаев это довольно быстро. Я настоятельно рекомендую использовать эту службу, поскольку она очень эффективна при распознавании подозрительного поведения. Как только анализ завершен, результаты будут даны в конце отчета.

Оценкой может быть “Suspicious” ("Подозрительный"), “Suspicious+” или “Suspicious++”. Если выдана любая из них, это означает, что возможно вредоносное поведение было обнаружено. Также непосредственно под оценкой будут указаны причины, по которым файл был помечен как таковой. Оценка “Suspicious++” означает наиболее подозрительное поведение.

Если вместо этого в результатах автоматического анализа (“Auto Analysis Verdict”) вы получаете оценку “Undetected” (Не обнаружено), значит подозрительных действий замечено не было. Это не гарантирует, что нет опасности, но говорит о большей вероятности этого. Таким образом, если на вышеупомянутых шагах не было обнаружено вредоносного поведения, и того же ни разу не сделал CIMA, то вы можете быть относительно уверены, что файл безопасен.

4.2 Используйте Anubis

Наиболее опытные пользователи могут также пожелать использовать Anubis. Эту веб-службу можно найти вот на этой странице. Это еще одна очень эффективная служба проверки на поведенческом уровне. Однако, загрузка файлов иногда занимает очень много времени, а результаты труднее интерпретировать. Тем не менее эта служба предоставляет много информации о поведении файла и послужит прекрасным вторым голосом в добавление к CIMA. Если вы продвинутый пользователь, я вам очень рекомендую проверять поведение файлов еще и в Anubis.

5. Сообщайте об опасных файлах куда следует

Если ваш анализ показал, что определенный файл опасен, я рекомендую, чтобы вы в качестве вероятно опасного отправили его в как можно большее количество лабораторий, занятых в области антивирусного ПО. Самый простой способ сделать это - последовать совету, который я даю в своей статье "Как сообщить о вредоносном программном обеспечении или о ложных срабатываниях в многочисленные антивирусные лаборатории" (How to Report Malware or False Positives to Multiple Antivirus Vendors). Выполняя шаги, описанные в ней, вы можете помочь противодействовать распространению этого вредоносного ПО.

Читайте также: