Как проверить большой файл на virustotal

Обновлено: 07.07.2024

Сейчас не редко встречаются вшитые стиллеры/майнеры/ратники и тому подобное вредоносные ПО, как правило, в крякях популярных приложений или инструментов. Далеко не все могут провести полный динамический анализ файла и потратить время на разбор дампов памяти/сети, изменений в реестре и так далее. В этой статье описывается максимально подробное использование VirusTotal, как инструмента для тщательной, но не идеальной, проверки файлов. Поскольку основное предназначение VirusTotal — демонстрация выявленных разными антивирусами сигнатур вредоносного ПО, то останавливаться на этом не будем. Аналогично с разделом Details. В нём представлена основная информация о приложении. Полезным может оказаться подраздел импортов (Imports), но это происходит крайне редко.

Единственное, что нам потребуется сделать — зарегистрировать учетную запись, вить с ней можно посмотреть больше данных об анализируемом файле, нежели без неё.

Раздел Relations

Первые три подраздела показывают нам идентифицированные подключения к доменам/IP-адресам/страницам. Пример:

Исходя из доменных имён, с которыми устанавливает связь приложение, можно определить как легитимные (обычно это официальные сайты компании/разработчика), так и не совсем. Во втором случае, это могут быть веб-сайты которые:

  • содержат домены бесплатных хостингов (тот же beget или 000webhost);
  • имеют в имени подозрительные словосочетания (на фото примера это веб-сайт pool.supportxmr[.]com, другой пример — iplogger/crypto/steal и тому подобные). Учтём, что значительная доля веб-сайтов, содержащих в себе crypto/btc/xmr используются для добычи криптовалюты, то есть для майнеров (как в приведенном примере);
  • называются произвольным набором цифро-буквенных символов, не имеющие никакого значения (пример: ttr4p; bb3u6);
  • размещены на недорогих доменах верхнего уровня (пример: *.xyz, *.pw, *.wtf);

Это далеко не полный список, однако именно такими параметрами обладает большинство доменных имен, использующихся создателями вредоносного ПО. Не следует исключать веб-сайты с доменами, которые, на первый взгляд, кажутся приемлемыми.

В ином случае, когда приложение подключается к конкретным IP-адресам, не будет лишним проверить: что это за IP (воспользоваться whois); что размещено по этому адресу; файлы, которые так же связывались с этим адресом. Благо мы можем посмотреть эти данные используя VirusTotal, кликнув по интересующему нас адресу. В подразделе Details представлен whois и результаты поиска данного адреса в поисковике:

Подраздел Relations содержит информацию об веб-сайтах, размещенных на данном IP в разное время, а так же о файлах (загруженных на VirusTotal), которые подключаются к этому адресу:

Следующий полезный подраздел — Dropped files. Как можно понять из названия, это созданные приложением файлы. В экземпляре майнер создает различные скрипты, написанные на Visual Basic, и исполняемые файлы (используются как майнеры).

Graph Summary — удобный просмотр вышесказанных данных. Нет смысла заострять на нём внимание.

Раздел Behavior

В этом разделе отображается анализ с песочниц. Рекомендую использовать VirusTotal Jujubox и Dr.Web vxCube, ибо они имеют наибольшее количество информации. Что бы не повторяться разберем только отдельные подразделы.Registry Actions. Здесь мы можем посмотреть изменения (создание/удаление/изменение ключей) регистра. Я рекомендую обратить внимание на следующие разделы регистра, отвечающие за автозагрузку:

<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run <HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce <HKLM>\Software\Microsoft\Windows\CurrentVersion\Run <HKLM>\Software\Microsoft\Windows\CurrentVersion\RunOnceСпойлер: Registry Actions

Processes Tree. Возможность проследить созданные процессы. Таким образом, возможно определить какие системные/легитимные файлы (могли быть) были заражены:


Всем привет. Ниже будет много глупого текста, ностальгических воспоминаний и школотного кода. Кроме того будет рассмотрена эффективность сервиса VirusTotal, а также антивирусных движков в отношении исполняемых файлов.

Часть 1. Бредово-ностальгическое вступление

В моей жизни многое поменялось. Мне стала интересна (местами — до недосыпов) моя текущая работа, в моём регионе четвёртый год идёт война, многое изменилось и переосмыслилось в личной жизни.

Многие взгляды и мнения изменились.

Лет 15-20 назад мне была интересна тема взлома и написания вредоносного кода, потом интересы сменились на прямо противоположные — защиту от этого дела, а потом я понял, что всем правят деньги и личные интересы, а вовсе не альтруизм и желание помочь.

Но то такое. В любом случае ИТ оказалось частью даже моей настоящей работы, хотя вовсе не относится к исходной специализации.

Лет 10 назад я написал в очень узком кругу про возможность снятия детекта антивируса с помощью самораспаковывающихся архивов. Тогда это было, кажется, на Virusinfo, потом кое-кто это перепостил под своим ником на DrWeb — так сказать, без копирайтов и со своим авторством, потом даже скандал был — но то тоже давно и неправда.

А недавно я вспомнил старое. Многое прошло, многие вещи обновились и угнаться за прогрессом, не варясь в теме, оказалось сложно.

Но суть осталась та же: сенсации, деньги и личные интересы. И игра на незнаниях — которые доходят иногда до того, что уязвимости Meltdown/Spectre ищут в телевизорах и бортовых компьютерах автомобилей )))

Но довольно этого неинтересного бреда. Итак, я решил вспомнить старое, а поскольку вспомнилось мало — то решил по старинке снять детекты с нескольких вирусов.

Часть 2. Совсем немного теории

Для того, чтобы двигаться дальше, давайте разберёмся, о чём пойдёт речь. В настоящий момент, как, впрочем, и ранее, активно продвигается тема антивирусов. Дескать, антивирусы помогают не допустить потери важных данных, антивирусы спасают от уязвимостей, антивирусы — то, антивирусы — сё и так далее.

При этом зачастую рядовой пользователь даже не понимает, что антивирус — это не просто сканер, это и резидентная защита, и эвристик, а зачастую — и проактивная защита, файервол и песочница.

Каждому из этих компонентов мы можем посвятить не то что статью — книгу, но остановимся на самом базовом: сканере.

Этот компонент не позволит предотвращать соединения с вредоносными сайтами, он не будет ловить вредоносный код на лету, но он позволяет проверить файл и дать ответ: стоит его хранить — или лучше удалить сразу и навсегда.

Ниже мы протестируем разные движки антивирусов и посмотрим, насколько они справляются с этой задачей хорошо.

Отдельно хотелось бы отметить ресурс VirusTotal — он позволяет не только проверить файл различными движками антивирусов, но и представляет собой некую песочницу по тестированию вредоносного (и вообще любого) кода. Плюс платформы — бесплатность, минус — все образцы, которые высылаются на VirusTotal впоследствии передаются всем антивирусным лабораториям.

Именно по этой причине ниже я не буду давать ссылки на страницы с результатами сканирования, а предоставлю скриншоты с этими результатами, полученными в ходе работы. Очевидно (и я хочу в это верить!) после этой статьи результаты улучшатся.

Авторы вредоносного кода чрезвычайно часто используют упаковщики и протекторы, которые не только сжимают вредоносный файл, но и затрудняют его детектирование по сигнатурам, а также его последующий анализ. При использовании ворованных лицензий протекторов типа WinLicense и Themida обычно антивирусные лаборатории не затрудняют себя распаковкой, а просто добавляют сигнатуры протектора с ворованным ключом в детект (знаменитые детекты типа Trojan:​W32/Black.A). Это приводит к появлению ложных срабатываний — аналогичными ворованными лицензиями пользуются авторы генераторов ключей, патчеров и некоторых программ, которые по сути вредоносными не являются, но тем не менее защищаются от реверсинга.

Поскольку всё, описанное в этой статье, ниже будет предоставлено читателю для ознакомления, я не работал с реальным вредоносным кодом (хотя ниже предоставлю и его результаты сканирования), а использовал файл Eicar, популярный при тестировании антивирусов: это — своеобразная заглушка, на которую любой антивирус должен давать стойкий детект.

Часть 3. Практика

Итак, как сейчас детектируется Eicar на VirusTotal



Признаться честно, увиденное меня несколько поразило, потому что два антивирусных движка — Comodo и Malwarebytes почему-то решили не следовать общим стандартам и проигнорировать детект. Тем не менее результат очевиден — файл имеет детект, близкий к 100%.

Как мы договаривались в самом начале, мы — полная школота, а потому не будем изобретать свои методы упаковки, а просто упакуем файл в архив с помощью 7Z:



Да, детектов стало поменьше, поскольку не все антивирусные движки включают распаковщик архивов 7Z (ну либо это настройка не включена в VirusTotal по умолчанию) — но всё равно детект высок.

Усложняем задачу: пакуем файл в архив с паролем. Пусть пароль будет fun:



Файл — чист, поскольку даже имея процедуру распаковки антивирус не знает пароль на файл.

Детект снят — но мы не получили исполняемый файл.

В реальных пакерах решение бывает достаточно сложным и мы не будем вдаваться в эти подробности. Воспользуемся услугами QBC и напишем простейший скрипт:


Скрипт просто распаковывает архив и запускает полученный файл. QBC позволяет не только сформировать простейший исполняемый файл на основе этого скрипта, но и включить в этот файл необходимое (7za.exe и архив eicar-fun.7z), доступ к которому выполняется через переменную %myfiles%.

Полученный выполняемый файл может быть без открытия окна терминала (так называемый «Ghost»), а это нам как раз и надо:


Итоговый код выглядит следующим образом:


После компиляции полученный файл dumb_bat.exe распаковывает Eicar и запускает его.

Смотрим итог проверки этого файла на VirusTotal



Забавно, детект уменьшился с 60 для неупакованного файла и 41 для архива до 17 — при этом ни один из антивирусных движков не обнаружил Eicar, детекты явно имеют эвристический характер, а в ряде случаев напоминают ложное срабатывание (DrWeb, Baidu и др.)

Пойдём дальше — добавим в наш скрипт защиту от исполнения в тестовой среде — простейшую проверку, что файл выполняется в реальной системе. Для этого запустим распаковку только при условии, что в системе есть диск D и на нём есть хотя бы один файл:


Особое внимание — на низ таблицы, я его выделил отдельно, потому что на одну картинку всё не влезало:


Итак, проверка диска D «отломала» детекты китайцев, россиян и украинцев: Baidu, DrWeb, Zillya. При этом указанные движки, как и ряд других, были остановлены по таймауту (!)

Справедливости ради стоит отметить, что повторный запуск всё-таки довёл сканирование до конца



Однако в этом случае эксперимент нельзя считать «чистым», поскольку прошло значительное время после первой проверки.

Мне эта ситуация показалась любопытной — и я изменил строчку в коде на следующую:





Налицо разница в работе эвристиков ряда антивирусов (AegisLab и Baidu почему-то не обнаружили ничего во втором случае), а также налицо проблема в сканировании в случае проверки на наличие диска D. Впрочем, возможно это совпадение, хотя в ходе всего исследования я больше ни разу не наблюдал «отвала» такого количества движков сразу.

Движемся дальше — добавим нашему файлу интерактивности, которой точно не будет ни в одной тестовой среде. Изменим скрипт — сделаем его полноценным консольным (не «Ghost»), а также добавим команду pause:


Вот как выглядит итог выполнения такого файла:

Я не хочу наговаривать на пользователей, но кажется мне, что практически каждый нажмёт клавишу в этом случае :) В любом случае перед нами простой пример, который может быть завернут куда в более яркую обёртку социального инжениринга.



6 детектов из 67. Шесть, Карл! Все — эвристические. И скорее всего ничего не подозревающий пользователь посчитает файл безопасным.

Интересный итог я получил после сжатия итогового файла с помощью UPX командой:

Если делать это для самого первого нашего кода - который был вообще без проверок, то по детектам отвалился Antiy-AVL



Для последней же версии файл уменьшился, суть не изменилась, а вот детектов прибавилось



Детекты добавили китайцы, а вот украинский Zillya благополучно провалил тест.

Часть 4. Выводы

А можно без них? ;) Ну ладно.

Безусловно, описанное выше — это примитивно, просто и в жизни всё не так. Хотя бы потому, что в реальности выполнение нашего файла сначала вызовет срабатывания проактивки, а потом будет заблокировано резидентным модулем, который увидит итоговый файл Eicar.

Но дело не в том.

Дело в том, что современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода. Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы. Со старым, открытым и разжёванным до потрохов UPX как был бардак — так он и остался. А ведь я вполне мог упаковать не файл, вызывающий вредоносную активность, а непосредственно код, работать не с файлами на диске в %temp%, а в памяти, использовать не свободно доступные утилиты, а собственные или закрытые разработки — и таким образом обойти срабатывание резидентной защиты. Я вполне мог добавить интересные элементы интерфейса или скопировать таковой из распространённой программы — и обойти проактивку у неискушённого пользователя, который просто будет соглашаться с любыми запросами, доверяя тому, что запустил.

То, что мы сделали выше — примитивный способ обмануть антивирус, который может понять и реализовать практически любой. И он сработал. Что говорить про искушённых специалистов!


Архив с файлами, скриптами и результатами можно скачать здесь.

В архив не вошло следующее (не войдёт и не будет предоставлено по любой просьбе по понятным причинам): файлы, обработанные по выше изложенному механизму и содержащие:

С чего же начать?! Ах дааа… С картинки!


Часть 0

Начнем с того, что скачаем исходники. Сцылко

Внутри архива Вы обнаружите 2 папки «daemon» и «www».

daemon — как уже поняли это «демон» на perl, который будет проверять файлы антивирусами, файл конфига, sh скрипт для запуска «демона» и его контроля, структура БД.

www — это php оболочка, которая будет загружать файлы на проверку, и выдавать нам результат.

Чать 1

И что же спросите Вы с этим всем делать? Нууу… давайте разбираться.

  1. Для этого скопируем конфиг в /etc/checker/checker.conf (разумеется подправим)
  2. Демон в /etc/init.d/checker.pl
  3. Создадим таблицы в бд checker из файла ckecker.sql
  4. Запустим checker_control.sh и добавим его в cron, чтобы запускался через каждые 5 мин (на ваше усмотрение)

Часть 2

Даже не знаю нужно или нет рассказывать про установку того что находится в папке «www». Т.к. это нужно просто скопировать в Вашу www директорию на сервере. Настроить конфиг www/engine/options.php

Часть 3

ВНИМАНИЕ! в конфиге «демона» находятся все настройки, связанные с антивирусами, пример:

Возможно Вам придется подредактировать эти параметры, т.к. от версии к версии меняются команды и ответы

В статье не описаны способы установки антивирусов, Вы должны об этом позаботиться сами!

Отдых для глаз

Результат проверки файла



Заключение

Хочу сказать что можно добавить все антивирусы, которые смогуть работать на ОС Вашего сервера.
На своем домашнем серверке я настраивал 9 антивирусов.
Можете прикрутить регистрацию пользователей, оплату, и зарабатывать на этом. Лично мне без разницы!

Для тех кто ищет ссылки в конце статьи — ссылка на github

UPD: И в качестве альтернативы perl — Qt версия от RankoR ( qt версия )

Как выяснить, является ли файл вредоносным

В наши дни интернет наводнен вредоносными программами. Вы никогда не можете быть уверены, что загруженный вами файл не окажется каким-нибудь вредоносным, притворяющимся безвредным. Фактически многие из вредоносных файлов разработаны, чтобы делать именно это. Эта статья объяснит, как отличить опасный файл от безопасного.

Несмотря на то, что это может показаться грандиозной задачей, я обещаю, что это будет не так уж трудно. Сегодня есть много как очень сложных, так и простых онлайновых служб, которые позволяют проверить файл на безопасность. Если вы полагаете, что файл, вероятно, безопасен, то убедитесь, что вы прочли раздел 1, прежде чем продолжать. Это может сэкономить вам много времени.

Содержание

1. Проверьте, не находится ли файл в белом списке Comodo

Если вы уже считаете, что рассматриваемый файл, вероятнее всего, безопасен, то следование дальнейшим шагам, описанным в этой статье, может не понадобиться. Сначала закачайте файл на Comodo Valkyrie. Это бесплатная услуга, предоставляемая компанией Comodo, которая позволяет пользователям загружать файлы, объемом до 20 МБ, которые будут проанализированы почти сразу же. После закачки файла посмотрите в левый верхний угол. Там есть надпись "SHA1". Скопируйте всю строку букв и чисел, которая следует за ней. Теперь перейдите на страницу Comodo File Intelligence.

Как выяснить, является ли файл вредоносным: Comodo File Intelligence

Мы воспользуемся этой службой, чтобы выяснить, не был ли файл уже проверен ранее на безопасность и не находится ли он в огромном списке безопасных файлов Комодо. На этом сайте переключите поисковую панель с режима "Search by Filename" на "Search by SHA1". После этого вставьте из буфера обмена SHA1 и нажмите "Search Now". Посмотрите информацию, которая появилась. Если ответ был "The file is safe" ("Файл надёжен"), то сразу смотрите результаты Comodo Valkyrie. Если окончательный результат (Final Result) от Comodo Valkyrie сообщает, что файл безопасен или неизвестен, тогда вы можете доверять этому файлу. Вам не нужно переходить к остальной части шагов. Однако, если Comodo Valkyrie сообщает, что файл вредоносный, тогда вы, возможно, захотите перейти ко второму разделу, чтобы убедиться, что файл действительно безопасен. Он почти наверняка безвреден, но проверка с помощью еще нескольких методов не займет много времени.

2. Проверьте файл с помощью Comodo Valkyrie

Comodo Valkyrie - это бесплатная веб-служба Comodo, которая позволяет пользователям загружать файлы до 20 МБ для быстрого анализа. Эта служба может быть найдена на этой странице. Просто перейдите к сайту и найдите файл, который хотите оценить. Теперь закачайте туда этот файл. Загруженные файлы проверяются с помощью проверок многих типов, включая статический метод обнаружения, поведенческий анализ, независимо от того, обнаружены они антивирусом Comodo или с помощью продвинутой эвристики.

Используя эти проверки, служба может дать прогноз относительно того, является файл нормальным (“Normal”), неизвестным (“Unknown”) или вредоносным (“Malicious”). Оценка “Normal” означает, что файл безопасен. “Malicious” означает, что он опасен. Если служба посчитала, что файл неизвестен (“Unknown”), это значит, что "она не уверена".

2.1 Используйте Валькирию, чтобы узнать наверняка, безопасен ли файл

Кроме того, некоторые файлы, возможно, уже были вручную проанализированы сотрудниками Comodo. Если они были проанализированы сотрудниками, то у них будет статус нормальных, неизвестных или вредоносных. Если там дали оценку "Unknown" или "Malicious", то я советовал бы избавиться от этого файла. Я не стал бы ему доверять.

Как выяснить, является ли файл вредоносным: Статистика Comodo Valkyrie

После передачи файла сотруднику там вручную проанализируют его и дадут вам результат. Возможные варианты оценок уже объяснены выше. Этот анализ обычно занимает меньше 24 часов. Если вы решили получить результаты "анализа вручную", то вы не должны волноваться ни о каких других методах, обсуждавшихся еще в этой статье. Просто отправьте файл и ожидайте результатов. Однако, если вы хотите узнать больше о файле и не хотите ждать результатов ручной работы, то остальная часть этой статьи должна быть очень полезной для вас.

2.2 Интерпретируйте результаты автоматического анализа самостоятельно

Если вы решили не ждать анализа, тогда вы можете также использовать эту службу, чтобы сразу же получить больше информации о файле. После того, как файл проанализирован, наиболее важным моментом, заслуживающим вашего внимания, будут пункты "Auto Result" ("Автоматический результат") и "Final Result" ("Окончательный результат"). Оба результата даны вверху страницы. "Auto Result" даст вам полный итог статического сканирования. "Final Result" комбинирует результаты всех типов сканирования, предоставляя общий прогноз по поводу безопасности файла. Веб-службы более подробно рассмотрены ниже. Если обе из них дают оценку "нормально", тогда файл, вероятнее всего, безопасен. Однако, перед тем, как посмотреть общие результаты, проверьте вкладки "Dynamic Detection" и "Advanced Heuristics", чтобы убедиться, что они закончили анализировать. Это займет больше времени, чем статический метод обнаружения. Однако, чтобы получить еще большее понимание, действительно ли безвреден файл, вам также захочется более тщательно рассмотреть результаты для каждой вкладки.

Обратите внимание, что для некоторых файлов вместо результата будет выведено "No PE File". Это означает, что файл не содержит достаточной информации для Valkyrie, чтобы его можно было запустить. Более подробную информацию можно найти на этой странице. Таким образом, если вы получаете этот результат, я рекомендую вам перейти к следующему разделу и продолжить анализировать файл, используя альтернативные методы, обсуждаемые в этой статье.

После того, как файл проанализирован, вам будут показаны три информационные вкладки. Первая называется “Static Detection” (Статический метод обнаружения). Вкладка показывает оценку 17-ти различных детекторов AI, которые проверяли файл. Отдельные оценки этих детекторов не важны. Comodo использует очень сложный алгоритм, чтобы вынести итоговую оценку на основе работы каждого из этих детекторов. То, что важно, это общий результат, показанный внизу экрана. Будет показана автоматическая оценка под надписью “Static Verdict Combination” (“Суммарная оценка статического сканирования”). Также под надписью “Probability of Static Verdict” (“Вероятность статической оценки”) будет показана степень вероятности.

На вкладке "Dynamic Detection" есть результаты как от Comodo Antivirus (CAV), так и от Comodo Instant Malware Analysis - модуля, также известного как CAMAS. Секция для Comodo Antivirus сообщит вам, если в текущий момент что-то обнаружено антивирусом Comodo, и, если это имеет место, какого типа вредоносное ПО он обнаружил. CAMAS, также известный как CIMA, является поведенческим анализатором. Чтобы узнать больше о том, как понимать результаты, смотрите раздел 4.1 данной статьи. В результатах Валькирии опция "Report URL" соединит вас с результатами CIMA. Это полезно, поскольку вы можете понять, что, во всяком случае, было установлено что-то подозрительное в поведении файлов. Однако знайте, что есть такая ошибка, что, если вы выбираете "Report URL", тогда как в поведении ничего не обнаружено, вы вместо этого переместитесь на страницу "Static Detection".

Как выяснить, является ли файл вредоносным: Comodo Valkyrie: Продвинутая эвристика

Еще одна вкладка, которую мы рассмотрим, называется “Advanced Heuristics” (“Продвинутая эвристика”). Здесь при исследовании файла используются более чувствительные алгоритмы. Здесь больше вероятности, что они поймают вредоносное ПО, но также здесь более вероятна неправильная идентификация файла в качестве "Неизвестного" (“Unknown”) или "Вредоносного" (“Malicious”). Пожалуйста, имейте это в виду, когда интерпретируете эти результаты.

3. Проверьте файл с помощью VirusTotal

Еще вы можете проверить файл в разных антивирусах. Одна из лучших веб-служб для этого - VirusTotal. Ее можно найти на этой странице. Эта служба просканирует любой файл, который вы закачаете, с помощью более чем 40 различных антивирусных продуктов и покажет результаты отдельно по каждому из них. Вы можете закачать файлы размером до 64 МБ, и весь процесс займет около минуты.

Безусловно самая трудная часть использования VirusTotal - интерпретация результатов. Иногда по результатам бывает трудно сказать, какова вероятность, что файл окажется опасным. В основном тогда, когда значительное количество сканеров показывает предупреждение о его вероятной опасности. Однако, даже если лишь немногие это обнаруживают, это не обязательно означает, что он безопасен. Ниже приведены примеры результатов для двух файлов, которые являются действительно вредоносными.

Использование VirusTotal имеет несколько недостатков. Один из них - то, что вредоносное ПО конечно может оказаться столь новым, что ни один антивирус не распознает его. Я лично видел такое много раз. Поэтому, даже если VirusTotal показывает, что ни один из антивирусов не обнаруживает опасности, это не означает, что файл не опасен. Связанная с этим проблема состоит в том, что вредоносное ПО создается так быстро, что антивирусные компании вынуждены использовать эвристическое обнаружение и универсальные сигнатуры в стремлении не отставать от него. Проблема с этим подходом состоит в том, что при этих методах обнаружения безвредный файл может быть неверно идентифицирован как вредоносный. Это известно как ложное срабатывание (false positive). Эти типы ошибок действительно происходят и с возрастающей частотой.

Таким образом, если только некоторые антивирусы определяют угрозу с помощью эвристики, а другие не определяют, то это может быть ложным срабатыванием. Однако, это не гарантирует, что так и есть. Именно поэтому вы должны всегда проверять файл, используя все три метода, рассмотренные в этой статье. Ниже приведены результаты в качестве примера полноценных файлов, которые VirusTotal неверно идентифицирует как опасные.

Я хочу внести ясность, что, даже если только один антивирус определил файл как вредоносный, или даже ни один из них не определил, то файл все же может быть опасным. VirusTotal нельзя использовать с тем, чтобы гарантировать, что файл безопасен. Однако, если очень большое количество антивирусов определяют, что файл вредоносный, то вероятно так и есть. В этом и есть истинная сила VirusTotal.

4. Проверьте файл на вредоносное поведение

В дополнение к вышеупомянутым методам вы можете также пожелать проверить файл на вредоносное поведение. Есть много замечательных веб-служб, которые помогут сделать это, но я выбрал две из них, которые я особенно рекомендую. Помните, что хорошие файлы в них могут быть отмечены как подозрительные и что вредоносное ПО также может оказаться нераспознанным. Фактически, некоторые вредоносные программы даже могут заявить, что они запущены в виртуальной среде, и, таким образом, откажутся работать. По этой причине, опять же, для проверки файла лучше всего использовать все три метода, рассмотренные в этой статье.

4.1 Используйте Comodo Instant Malware Analysis

Веб-служба Comodo Instant Malware Analysis (CIMA) (Быстрая проверка на вредоносность от Comodo) может быть найдена на этой странице. Думаю, отчет проверки этой службы будет понятен всем пользователям. Вы можете загружать туда файлы любого размера, и, после того, как загрузка будет завершена, сразу начнется проверка файла. Продолжительность в основном зависит от размера файла и сложности его поведения, однако в большинстве случаев это довольно быстро. Я настоятельно рекомендую использовать эту службу, поскольку она очень эффективна при распознавании подозрительного поведения. Как только анализ завершен, результаты будут даны в конце отчета.

Оценкой может быть “Suspicious” ("Подозрительный"), “Suspicious+” или “Suspicious++”. Если выдана любая из них, это означает, что возможно вредоносное поведение было обнаружено. Также непосредственно под оценкой будут указаны причины, по которым файл был помечен как таковой. Оценка “Suspicious++” означает наиболее подозрительное поведение.

Если вместо этого в результатах автоматического анализа (“Auto Analysis Verdict”) вы получаете оценку “Undetected” (Не обнаружено), значит подозрительных действий замечено не было. Это не гарантирует, что нет опасности, но говорит о большей вероятности этого. Таким образом, если на вышеупомянутых шагах не было обнаружено вредоносного поведения, и того же ни разу не сделал CIMA, то вы можете быть относительно уверены, что файл безопасен.

4.2 Используйте Anubis

Наиболее опытные пользователи могут также пожелать использовать Anubis. Эту веб-службу можно найти вот на этой странице. Это еще одна очень эффективная служба проверки на поведенческом уровне. Однако, загрузка файлов иногда занимает очень много времени, а результаты труднее интерпретировать. Тем не менее эта служба предоставляет много информации о поведении файла и послужит прекрасным вторым голосом в добавление к CIMA. Если вы продвинутый пользователь, я вам очень рекомендую проверять поведение файлов еще и в Anubis.

5. Сообщайте об опасных файлах куда следует

Если ваш анализ показал, что определенный файл опасен, я рекомендую, чтобы вы в качестве вероятно опасного отправили его в как можно большее количество лабораторий, занятых в области антивирусного ПО. Самый простой способ сделать это - последовать совету, который я даю в своей статье "Как сообщить о вредоносном программном обеспечении или о ложных срабатываниях в многочисленные антивирусные лаборатории" (How to Report Malware or False Positives to Multiple Antivirus Vendors). Выполняя шаги, описанные в ней, вы можете помочь противодействовать распространению этого вредоносного ПО.

Читайте также: