Что за программа virustotal

Если вы никогда не слышали о VirusTotal, то информация вам должна пригодиться — это один из тех сервисов, о которых следует знать и помнить. Я уже упоминал о нем в статье 9 способов проверить компьютер на вирусы онлайн, здесь же более подробно покажу что и как можно проверить на вирусы в VirusTotal и когда имеет смысл воспользоваться такой возможностью.

Прежде всего, о том, что такое VirusTotal — это специальный онлайн сервис проверки на вирусы и другие вредоносные программы файлов и сайтов. Принадлежит он Google, все полностью бесплатно, на сайте вы не увидите никакой рекламы или еще чего-либо, не относящегося к основной функции. См. также: Как проверить сайт на вирусы.

Описание

В обзоре:
Интернет-серфинг должен быть комфортным, простым и безопасным. Для того, чтобы добиться последнего, разработчики регулярно выпускают замечательные программы и онлайн-сервисы. Последние наиболее компактны и удобны, но при этом способны просканировать файл или ссылку, которые вызывают у вас подозрения и сообщить свое мнение, стоит ли с ними «связываться».

Онлайн проверка на вирусы через контекстное меню мыши, Virustotal uploader

В числе таких приложений и VirusTotal. Основная его «фишка» в использовании движков сразу нескольких десятков антивирусов. Он прогоняет предложенные файл или ссылку по огромному количеству баз и предупредит вас об опасности, если в них найдутся совпадения.

VirusTotal нередко используют для компьютеров, где антивирус не установлен или устарел. Впрочем, даже если с виду «все в порядке» излишняя осторожность не всегда повредит. Базы разных антивирусов могут быть обновлены в разное время и в итоге ваш «защитник» может быть просто еще не в курсе об опасности, а у VirusTotal нужная информация уже имеется.

Впрочем, есть одна ложка дегтя в этой бочке меда. Обнаружив подозрительный файл, VirusTotal может только просигнализировать о нем. Лечить зараженные файлы он не умеет, как и блокировать «плохие» сайты. Так что сначала преряйте, а потом уже работайте с ними. Кроме того, отметим, что максимальный объем файла, который может проверить VirusTotal — 256 Мб.

Впрочем, этого, как правило, вполне достаточно.

Virustotal com как пользоваться

Переходим по адресу https://www.virustotal.com/. Если контент не отображается на русском языке, прокрутите страницу вниз, в разделе «Документация» выберите язык. Зарегистрируемся в системе. Нужно чтобы оставлять комментарии. Для этого нажимаем сперва вверху «Войти».

Кликнем по ссылке «Зарегистрируйтесь».

Далее пропишите: Имя, Фамилию, адрес почты, логин, придумайте пароль.

Регистрация завершена. Придет письмо с активационной ссылкой.

Теперь аккаунт активирован. Войдите в него под своим логином и паролем.

Проверка файлов

На главной странице отобразится форма с вкладками: «Файл», «URL», «Найти». Рассмотрим работу с ними. На первой вкладке загрузите подозрительные файлы. Максимальный размер — 128 мегабайт. Нажимаем кнопку «Загрузить».

Проверка файлов и сайтов на вирусы онлайн с помощью VirusTotal

Анализ начнется автоматически. По окончании будет отображен результат.

Как проверить ссылки

Для этого в форму пропишите адрес: сайта, страницы, почтового сообщения. Нажмите «Enter».

Ссылка быстро проверится, система покажет результат проверки.

Функционал

VirusTotal — независимый онлайн-сервис, который работает совершенно бесплатно. Его задача — анализировать данные, находить потенциальные угрозы и извещать о них. Для этого он оснащен следующим функционалом.

• Проверка с помощью баз данных нескольких десятков антивирусов подозрительных файлов и интернет-ссылок с целью обнаружения вирусов и другого вредоносного ПО.
• Мгновенное сообщение пользователю о возникновении проблем.
• Отчет по проверке выводится максимально подробно, по каждой использованной базе.
• Добавление к отчету информации «от пользователей» — рейтинг безопасности для того или иного файла или страницы по мнению других юзеров.

Удобство VirusTotal в том, что она не требует установки. Просто запустите его в любом браузере — и он готов к работе. В специальном окошке вам нужно ввести подозрительный адрес или загрузить файл с вашего компьютера (для этого имеется кнопка «Выберите файл»). Готово.

Несколько секунд — и перед вашими глазами предстанет детальная статистика в виде таблице, где будет отражена информация по анализу, отдельно по каждой антивирусной базе. Разобраться там проще некуда. Если файл или ссылка не вызывают подозрений, они будут помечены зеленым цветом. Потенциально опасные — красным.

Программа-загрузчик VirusTotal Uploader 2.0

Кроме дополнений в браузеры есть ещё и малюсенькая программка-загрузчик (всего 140 кб) для лёгкой, быстрой загрузки и проверки файлов находящихся в Вашем компьютере — VirusTotal Uploader 2.0. Кстати, программа умеет проверять даже выполняющиеся процессы в системе.

Скачать VirusTotal Uploader 2.0

Название программы (утилиты):	VirusTotal Uploader 2.0
Производитель (автор):	VirusTotal®
Статус:	Бесплатно
Категория:	Безопасность
Размер инсталлятора (архива):	140 кб
Поддержка ОС:	Windows XP,7,8,10
Язык интерфейса:	Английский
Безопасность:	Вирусов нет
Похожие программы:	—

Установка и использование VirusTotal Uploader 2.0

Встречаем ярлык на рабочем столе с помощью которого и запускаем программу…

В окне программы-загрузчика VirusTotal Uploader 2.0 выделяем сомнительный процесс выполняющийся в системе и кликаем по кнопке указанной стрелкой. Если процесс оказался злым — быстренько идём в диспетчер задач и убиваем его (Завершить процесс) выстрелом в голову.

Чтоб отправить файл на проверку — жмём «Select file(s) and upload» и указываем файл. А проверить ссылку можно вставив её в строку «URL» и кликнув «Get and upload» .

А ещё можно теперь нажав на любом файле ПРАВОЙ кнопкой мыши, попав в контекстное меню, перейти на «Отправить» — VirusTotal. Гораздо удобнее, чем каждый раз открывать браузер, искать закладку, переходить на сайт, указывать файл…

Virus total

Сервис, принадлежащий Google. Уже долгие годы он является самым надёжным среди всех аналогичных инструментов. Проверить файл на вирусы онлайн на Virus total можно с помощью не одного алгоритма, а целого набора антивирусов. Разработчики включили в данный сервис более 70 антивирусов, среди которых есть знаменные Kaspersky, Eset, Symantec Norton Antivirus, Avast, McAfee и многие другие. Иными словами — проверяя в Virus Total вы проверяете сразу во всех антивирусах.

Конечно же, разные антивирусы дадут разные результаты проверки. И если о вирусах уведомляют 1-2 антивируса, то беспокоиться не стоит. А вот если количество реакций намного больше, тогда вероятность наличия вируса значительно возрастает.

Сервис позволяет загрузить файл для анализа (с помощью кнопки Choose file) весом до 128 мегабайт. Кроме того, есть возможность указать URL для проверки контента в web-пространстве. Здесь всегда актуальные вирусные базы, которые обновляются каждый день.

Кроме прочего, для тех, кто желает часто пользоваться этим онлайн антивирусом, есть удобные расширения для популярных браузеров Google Chrome, Mazilla Firefox и Internet Explorel.

Расширение для браузера

В подвале страницы, в разделе «Инструменты», находим ссылку «Расширения». Загрузите расширения в соответствии с вашим браузером.

Рассмотрим, как работает в Chrome

После клика по ссылке попадаем на страницу скачивания приложения VTchromizer. Нажимаем «Установить». После установки кликнув по значку, появившемуся в браузере, откроется окно где проверьте сайт на вирусы. Для этого нажмите «Scan». Нажав ссылку, расположенною ниже, произойдет переход на главную страницу сервиса.

Особенности VirusTotal

Раньше (в детстве и юношестве) сервис был многоязычным, даже очень. Была поддержка и русского языка. Но новые владельцы вероятно решили, что в мире остались одни американцы и почему-то испанцы…

Именно эти два языка остались в интерфейсе сервиса. Но вот, что я Вам скажу-даже если бы оставили один китайский язык, всё-равно было бы понятно, как пользоваться этим антивирусным онлайн-сервисом. Да и в самом быстром и популярном браузере Google Chrome

этот вопрос решается на раз…

Достаточно просто перевести страницу встроенным переводчиком.

Также, особенностью сервиса VirusTotal является ограничение размера проверяемого файла — 32 Мб. Впрочем, этого достаточно в большинстве случаев.

Не стоит забывать и заблуждаться — VirusTotal не замена антивирусу в системе!

Сервис способен проверять лишь отдельные, указанные Вами файлы и ссылки.

Ещё одним предназначением сервиса является выявление ложных срабатываний антивирусов. Очень актуальная проблема — «закричит» антивирус у одного пользователя и он давай по всему интернету орать на программу, сайт и автора сайта… , а ведь другие 66 (!) антивирусов молчат при этом оказывается.

Любой сканер или антивирус, хоть и обновляется постоянно, но всё-равно является лишь программой, набором команд и кодов, они тоже могут ошибаться. Создатели сервиса это понимают снижая процент ошибок не только постоянно увеличивая число аудиторов (сканеров), но и внедрив дополнительное средство определения зловредности файла — личный опыт пользователей.

Это реализовано в очень симпатичной и оригинальной форме — путём голосования за файл или ссылку…

Не забудьте и Вы ткнуть на чёртика или ангела, если Вам знаком проверяемый файл, программа или ссылка.

Как-то плавно я перешёл к описанию…

Основные методы проверки на вирусы

Загрузка с компьютера через веб-браузер

Для удобства пользователя на сервисе имеется специальная форма. Кнопка «Обзор» вызовет проводник, в котором можно будет выбрать подозрительный файл. Далее следует нажать «Отправить файл» и немного подождать до окончания его загрузки.

Время обработки зависит от скорости Интернет-соединения и размера самого файла. После того как проверка будет завершена, перед пользователем откроется страница с ее результатами.

Существует возможность выполнить анализ не только файла, но и ссылки или целого сайта

. Для этого используется вкладка «Отправить URL». В появившуюся строчку необходимо ввести http-адрес страницы или ссылку.

Нажатие кнопки «Отправить URL» запустит проверку, после завершения которой на экране появится отчет о безопасности.

Отправка подозрительных файлов в электронном письме

На адрес ВирусТотал высылается письмо с прикрепленным к нему файлом. В строке «Тема» необходимо написать слово SCAN. Размер вложения не должен превышать 20 Мб, иначе система просто не отреагирует на запрос.

Спустя некоторое время на электронную почту пользователя придет ответ с результатами проверки. Скорость работы зависит от степени загруженности сервиса на момент получения им письма.

Dr. Web Online

Сайт: https://online.drweb.com/result2/

Онлайн-сервис от известного разработчика антивирусных продуктов.

Отличается минималистичным интерфейсом и высокой скоростью работы.

Пользоваться этим сервисом можно абсолютно бесплатно. В отличие от других продуктов Dr. Web.

Максимальный размер файлов, который разрешается загружать для проверки составляет всего 10 мегабайт.

И не имеет значения, сколько файлов было загружено. Это лимит на общий объем всех элементов.

В своей работе Dr. Web Online использует исключительно собственные алгоритмы поиска угроз, не полагаясь на продукты других разработчиков. Из-за этого временами он не видит реальных угроз. Известны случаи, когда при проверке элементов на других сервисах вирусы присутствовали.

• истинно минималистический интерфейс;
• есть русский язык;
• высокая скорость работы;
• простой и интуитивно понятный интерфейс;
• нет рекламного контента;
• используется собственный алгоритм;
• сервис от известного бренда.

• слишком маленький разрешенный объем файла;
• иногда не находит угроз.

Отзывы о сервисе

Некий «guest» пишет, что проверил с помощью этого сервиса ссылку на сайт, тот сказал, что вирусов нет, он зашел на сайт и ОС оказалась заблокирована.

Dr. Web Online не нашел угроз. И такой пост не единственный.

В то же время пользователь с псевдонимом «Just1234» отмечает, что данный онлайн-антивирус прекрасно справляется со своей работой.

Результаты он проверял с помощью PC-версии Антивируса Касперского и все сошлось.

Различные мнения есть. Но почему-то преобладают отрицательные отзывы о работе онлайн-версии антивируса Dr. Web.

А если все так плохо с ней, то многого ли стоит полноценный продукт? Стоит задуматься над этим вопросом.

Видео:

Как оценить результат проверки

Если антивирусные сканеры показали, что файл не заражен, это значительно увеличивает вероятность того что он безопасен. Как поступить, если одни антивирусы сказали, что файл чист, а другие — заражен? Переходим в раздел «Подробные сведения». Возможно его уже проверяли, но под другими именами. Тогда можно предположить, что он содержит вредоносный код.

Посмотрите информацию в разделе «History». Поможет определиться вкладка «Сообщество». Возможно в ней другие люди оставили свои отзывы о нем. По совокупности факторов вы сделаете вывод содержит ли он угрозу или нет.

Дополнения (расширения) VirusTotal в популярные браузеры

Гораздо удобнее и безопаснее проверять файлы ещё находящиеся на сайтах, а не скачанные к Вам на компьютер, верно? Для этого достаточно установить в свой любимый браузер специальное дополнение и кликнув любую ссылку на файл ПРАВОЙ кнопкой мыши, проверить файл выбрав в контекстном меню…

Для Google Chrome это расширение под названием VTchromizer

Тут можно вставить адрес ссылки в строку, кликнуть ПРАВОЙ кнопкой по самой ссылке (как говорилось выше) или находясь на какой-либо странице сайта, кликнуть «Scan current site» — чем проверите всю страницу на наличие вредоносного кода. По второй ссылке Вы перейдёте на сам сервис.

Для браузера Mozilla есть дополнение под названием VTzilla

, а для Opera —
VirusTotal Extension
. Их работа абсолютно идентична описанной выше. Естественно, что переходить по ссылкам для установки дополнений надо из тех браузеров, для которых и предназначено дополнение.

Возможности ВирусТотал

Сервис не может полностью заменить антивирусные программы, установленные на компьютере. Он прекрасно справляется с задачей обнаружения вирусов, но не уничтожает их. Однако по своему прямому предназначению система работает безукоризненно.

Среди главных особенностей можно выделить:

• бесплатное использование;

• одновременная проверка мощнейшими антивирусами;

• автоматическое обновление баз в режиме реального времени;

• выдача подробного описания всех обнаруженных проблем;

• проверка архивов;

• ведение статистики.

Очень важно, что сервис имеет русскоязычный интерфейс, что сказывается на удобстве работы с ним.

Источник: android-mob.ru

Об особенностях сканирования исполняемых файлов антивирусами и доверии результатам VirusTotal

Всем привет. Ниже будет много глупого текста, ностальгических воспоминаний и школотного кода. Кроме того будет рассмотрена эффективность сервиса VirusTotal, а также антивирусных движков в отношении исполняемых файлов.

Часть 1. Бредово-ностальгическое вступление

В моей жизни многое поменялось. Мне стала интересна (местами — до недосыпов) моя текущая работа, в моём регионе четвёртый год идёт война, многое изменилось и переосмыслилось в личной жизни.

Многие взгляды и мнения изменились.

Лет 15-20 назад мне была интересна тема взлома и написания вредоносного кода, потом интересы сменились на прямо противоположные — защиту от этого дела, а потом я понял, что всем правят деньги и личные интересы, а вовсе не альтруизм и желание помочь.

Но то такое. В любом случае ИТ оказалось частью даже моей настоящей работы, хотя вовсе не относится к исходной специализации.

Лет 10 назад я написал в очень узком кругу про возможность снятия детекта антивируса с помощью самораспаковывающихся архивов. Тогда это было, кажется, на Virusinfo, потом кое-кто это перепостил под своим ником на DrWeb — так сказать, без копирайтов и со своим авторством, потом даже скандал был — но то тоже давно и неправда.

А недавно я вспомнил старое. Многое прошло, многие вещи обновились и угнаться за прогрессом, не варясь в теме, оказалось сложно.

Но суть осталась та же: сенсации, деньги и личные интересы. И игра на незнаниях — которые доходят иногда до того, что уязвимости Meltdown/Spectre ищут в телевизорах и бортовых компьютерах автомобилей )))

Но довольно этого неинтересного бреда. Итак, я решил вспомнить старое, а поскольку вспомнилось мало — то решил по старинке снять детекты с нескольких вирусов.

1. знания командных bat-скриптов Windows на уровне школьника.
2. Quick Batch File Compiler (далее — QBC)
3. 7za.exe из пакета 7z1800-extra.7z (далее — 7Z)
4. upx.exe из пакета upx394w.zip (далее — UPX)
5. файл eicar.com, скачать можно, например, тут (далее — Eicar)
6. cамый базовый компьютер с выходом в интернет под управлением любой ОС Windows

Часть 2. Совсем немного теории

Для того, чтобы двигаться дальше, давайте разберёмся, о чём пойдёт речь. В настоящий момент, как, впрочем, и ранее, активно продвигается тема антивирусов. Дескать, антивирусы помогают не допустить потери важных данных, антивирусы спасают от уязвимостей, антивирусы — то, антивирусы — сё и так далее.

При этом зачастую рядовой пользователь даже не понимает, что антивирус — это не просто сканер, это и резидентная защита, и эвристик, а зачастую — и проактивная защита, файервол и песочница.

Каждому из этих компонентов мы можем посвятить не то что статью — книгу, но остановимся на самом базовом: сканере.

Этот компонент не позволит предотвращать соединения с вредоносными сайтами, он не будет ловить вредоносный код на лету, но он позволяет проверить файл и дать ответ: стоит его хранить — или лучше удалить сразу и навсегда.

Ниже мы протестируем разные движки антивирусов и посмотрим, насколько они справляются с этой задачей хорошо.

Отдельно хотелось бы отметить ресурс VirusTotal — он позволяет не только проверить файл различными движками антивирусов, но и представляет собой некую песочницу по тестированию вредоносного (и вообще любого) кода. Плюс платформы — бесплатность, минус — все образцы, которые высылаются на VirusTotal впоследствии передаются всем антивирусным лабораториям.

Именно по этой причине ниже я не буду давать ссылки на страницы с результатами сканирования, а предоставлю скриншоты с этими результатами, полученными в ходе работы. Очевидно (и я хочу в это верить!) после этой статьи результаты улучшатся.

Авторы вредоносного кода чрезвычайно часто используют упаковщики и протекторы, которые не только сжимают вредоносный файл, но и затрудняют его детектирование по сигнатурам, а также его последующий анализ. При использовании ворованных лицензий протекторов типа WinLicense и Themida обычно антивирусные лаборатории не затрудняют себя распаковкой, а просто добавляют сигнатуры протектора с ворованным ключом в детект (знаменитые детекты типа Trojan:​W32/Black.A). Это приводит к появлению ложных срабатываний — аналогичными ворованными лицензиями пользуются авторы генераторов ключей, патчеров и некоторых программ, которые по сути вредоносными не являются, но тем не менее защищаются от реверсинга.

Поскольку всё, описанное в этой статье, ниже будет предоставлено читателю для ознакомления, я не работал с реальным вредоносным кодом (хотя ниже предоставлю и его результаты сканирования), а использовал файл Eicar, популярный при тестировании антивирусов: это — своеобразная заглушка, на которую любой антивирус должен давать стойкий детект.

Часть 3. Практика

Итак, как сейчас детектируется Eicar на VirusTotal

Признаться честно, увиденное меня несколько поразило, потому что два антивирусных движка — Comodo и Malwarebytes почему-то решили не следовать общим стандартам и проигнорировать детект. Тем не менее результат очевиден — файл имеет детект, близкий к 100%.

Как мы договаривались в самом начале, мы — полная школота, а потому не будем изобретать свои методы упаковки, а просто упакуем файл в архив с помощью 7Z:

7za a eicar.7z eicar.com
Проверим полученный файл на VirusTotal

Да, детектов стало поменьше, поскольку не все антивирусные движки включают распаковщик архивов 7Z (ну либо это настройка не включена в VirusTotal по умолчанию) — но всё равно детект высок.

Усложняем задачу: пакуем файл в архив с паролем. Пусть пароль будет fun:

7za a -mhe=on -pfun eicar-fun.7z eicar.com
Итог проверки очевиден

Файл — чист, поскольку даже имея процедуру распаковки антивирус не знает пароль на файл.

Детект снят — но мы не получили исполняемый файл.

В реальных пакерах решение бывает достаточно сложным и мы не будем вдаваться в эти подробности. Воспользуемся услугами QBC и напишем простейший скрипт:

7za e -pfun eicar-fun.7z start eicar.com

Скрипт просто распаковывает архив и запускает полученный файл. QBC позволяет не только сформировать простейший исполняемый файл на основе этого скрипта, но и включить в этот файл необходимое (7za.exe и архив eicar-fun.7z), доступ к которому выполняется через переменную %myfiles%.

Полученный выполняемый файл может быть без открытия окна терминала (так называемый «Ghost»), а это нам как раз и надо:

Итоговый код выглядит следующим образом:

cd %myfiles% 7za e -pfun eicar-fun.7z start eicar.com

После компиляции полученный файл dumb_bat.exe распаковывает Eicar и запускает его.

Смотрим итог проверки этого файла на VirusTotal

Забавно, детект уменьшился с 60 для неупакованного файла и 41 для архива до 17 — при этом ни один из антивирусных движков не обнаружил Eicar, детекты явно имеют эвристический характер, а в ряде случаев напоминают ложное срабатывание (DrWeb, Baidu и др.)

Пойдём дальше — добавим в наш скрипт защиту от исполнения в тестовой среде — простейшую проверку, что файл выполняется в реальной системе. Для этого запустим распаковку только при условии, что в системе есть диск D и на нём есть хотя бы один файл:

cd %myfiles% if exist d:/* (7za e -pfun eicar-fun.7z) start eicar.com
Смотрим детекты

Особое внимание — на низ таблицы, я его выделил отдельно, потому что на одну картинку всё не влезало:

Итак, проверка диска D «отломала» детекты китайцев, россиян и украинцев: Baidu, DrWeb, Zillya. При этом указанные движки, как и ряд других, были остановлены по таймауту (!)

Справедливости ради стоит отметить, что повторный запуск всё-таки довёл сканирование до конца

Однако в этом случае эксперимент нельзя считать «чистым», поскольку прошло значительное время после первой проверки.

Мне эта ситуация показалась любопытной — и я изменил строчку в коде на следующую:

. if not exist d:/* (7za e -pfun eicar-fun.7z) .
Итог проверки впечатляющий

Однако опять повторный скан всё-таки состоялся.

Налицо разница в работе эвристиков ряда антивирусов (AegisLab и Baidu почему-то не обнаружили ничего во втором случае), а также налицо проблема в сканировании в случае проверки на наличие диска D. Впрочем, возможно это совпадение, хотя в ходе всего исследования я больше ни разу не наблюдал «отвала» такого количества движков сразу.

Движемся дальше — добавим нашему файлу интерактивности, которой точно не будет ни в одной тестовой среде. Изменим скрипт — сделаем его полноценным консольным (не «Ghost»), а также добавим команду pause:

Вот как выглядит итог выполнения такого файла:

Я не хочу наговаривать на пользователей, но кажется мне, что практически каждый нажмёт клавишу в этом случае 🙂 В любом случае перед нами простой пример, который может быть завернут куда в более яркую обёртку социального инжениринга.

Детект такого файла

6 детектов из 67. Шесть, Карл! Все — эвристические. И скорее всего ничего не подозревающий пользователь посчитает файл безопасным.

Интересный итог я получил после сжатия итогового файла с помощью UPX командой:

upx —best —ultra-brute —8086 —backup —compress-icons=3 dumb_bat3.exe

Если делать это для самого первого нашего кода — который был вообще без проверок, то по детектам отвалился Antiy-AVL

Для последней же версии файл уменьшился, суть не изменилась, а вот детектов прибавилось

Детекты добавили китайцы, а вот украинский Zillya благополучно провалил тест.

Часть 4. Выводы

А можно без них? 😉 Ну ладно.

Безусловно, описанное выше — это примитивно, просто и в жизни всё не так. Хотя бы потому, что в реальности выполнение нашего файла сначала вызовет срабатывания проактивки, а потом будет заблокировано резидентным модулем, который увидит итоговый файл Eicar.

Но дело не в том.

Дело в том, что современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода. Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы. Со старым, открытым и разжёванным до потрохов UPX как был бардак — так он и остался. А ведь я вполне мог упаковать не файл, вызывающий вредоносную активность, а непосредственно код, работать не с файлами на диске в %temp%, а в памяти, использовать не свободно доступные утилиты, а собственные или закрытые разработки — и таким образом обойти срабатывание резидентной защиты. Я вполне мог добавить интересные элементы интерфейса или скопировать таковой из распространённой программы — и обойти проактивку у неискушённого пользователя, который просто будет соглашаться с любыми запросами, доверяя тому, что запустил.

То, что мы сделали выше — примитивный способ обмануть антивирус, который может понять и реализовать практически любой. И он сработал. Что говорить про искушённых специалистов!

Архив с файлами, скриптами и результатами можно скачать здесь.

В архив не вошло следующее (не войдёт и не будет предоставлено по любой просьбе по понятным причинам): файлы, обработанные по выше изложенному механизму и содержащие:

Файловый инфектор Sality.aa

Источник: habr.com

VirusTotal.com — онлайн сервис проверки на вирусы

У каждого пользователя на компьютере установлен антивирус. Но возникают ситуации, что необходимо проверить файл или архив с непонятным расширением. Оказывается, антивирус не всегда сможет распознать угрозу. Как поступить в такой ситуации? Поможет сервис проверки на вирусы VirusTotal.com.

Что это такое

VirusTotal — бесплатная служба, анализирующая подозрительные файлы и ссылки на наличие вирусов, троянов, вредоносного софта. Рассмотрим, как с ним работать.

Для чего нужно

Разработчики антивирусного софта ориентируются по своим классификациям вредоносного ПО. Поэтому во время проверки один антивирус посчитает файл опасным, а другой нет. VirusTotal использует несколько десятков антивирусных систем, что поможет сделать более точные выводы насчет опасности файла. Базы постоянно обновляются.

Один антивирус не сможет гарантированно обнаружить вирус, особенно если он только что запущен.

Как работает

Система производит проверку 70 антивирусными сканерами и службами. Анализирует URL-адреса, эвристические механизмы, подписи, метаданные. Отчет о результате сканирования распространяются вместе с обществом VirusTotlal. Любой пользователь может комментировать и голосовать, является ли файл вредным. Это помогает другим людям получить информацию является ли он потенциально опасным.

Virustotal com как пользоваться

Переходим по адресу https://www.virustotal.com/ . Если контент не отображается на русском языке, прокрутите страницу вниз, в разделе «Документация» выберите язык.
Зарегистрируемся в системе. Нужно чтобы оставлять комментарии. Для этого нажимаем сперва вверху «Войти». Кликнем по ссылке «Зарегистрируйтесь».
Далее пропишите: Имя, Фамилию, адрес почты, логин, придумайте пароль.
Регистрация завершена. Придет письмо с активационной ссылкой.
Теперь аккаунт активирован. Войдите в него под своим логином и паролем.

Проверка файлов

На главной странице отобразится форма с вкладками: «Файл», «URL», «Найти». Рассмотрим работу с ними.
На первой вкладке загрузите подозрительные файлы. Максимальный размер — 128 мегабайт. Нажимаем кнопку «Загрузить».
Анализ начнется автоматически. По окончании будет отображен результат.

Как проверить ссылки

Для этого в форму пропишите адрес: сайта, страницы, почтового сообщения. Нажмите «Enter».
Ссылка быстро проверится, система покажет результат проверки.

• Как проверить сайт на мошенничество;
• Поиск вирусов через интернет.

Как проверить утилитой

Сервис проверки сайтов на вирусы, для удобной работы с ним, предлагает загрузить приложение Total Uploader. Чтобы скачать ее перейдите по адресу: https://www.virustotal.com/static/bin/vtuploader2.2.exe . После загрузки запустите инсталляционный «exe» файл.
Откроется окно где кликните кнопку «I Agree».
Оставляем значения по умолчанию. Нажимаем кнопку «Next».
Далее «Install».
Когда работа мастера завершится нажимаем «Close».

Как работать

Запускаем утилиту от имени администратора. Для этого кликните по ярлыку программы правой кнопкой мыши, далее выбираем соответствующий пункт меню.
Откроется окно с приложением, где:

1. Выберите конкретный процесс;
2. Проверите файл;
3. Исследуйте ссылку.

После выбора нажимаем «Upload process». Посчитается хэш (используется для проверки целостности файла или передачи информации по протоколам), который будет анализирован. Откроется страница с результатом.
Чтобы проверить файл, кликните по нему в проводнике правой кнопкой. Далее «Send».

Для работы на мобильных устройствах скачайте приложение для Android https://play.google.com/store/apps/details?id=com.funnycat.virustotalhttps://public-pc.com/virustotal-com-onlayn-servis-proverki-na-virusyi/» target=»_blank»]public-pc.com[/mask_link]