Разное

Вирус тотал проверка файла: Тотальная проверка. Используем API VirusTotal в своих проектах — «Хакер»

23.10.1972

Содержание

Проверка файлов с VirusTotal Uploader

Самый простой и надежный способ развеять свои сомнения относительно вредоносности скачанного с Интернета файла это проверить его не одним, а сразу несколькими независимыми антивирусными программами. Разумеется, для этого вовсе не нужно устанавливать на один компьютер несколько антивирусов, ни к чему хорошему подобное привести не может.

Для этих целей существует специальный сервис – VirusTotal. К сожалению, этот замечательный во многих отношениях инструмент работает через веб-интерфейс, так что в случае возникновения потребности проверить один единственный файл, так или иначе вам придется посетить соответствующий сайт.

Но неужели, спросите вы, не существует способа как-то упростить этот процесс? Конечно, такой способ есть! Существуют утилиты, позволяющие загружать файлы на VirusTotal напрямую и точно также напрямую принимать отчеты удаленного сканирования. Одной из таких утилит является Phrozensoft VirusTotal Uploader. Все что вам нужно сделать для проверки файла так это просто перетащить его на рабочее окно программки.

Файл будет автоматически загружен на сервер VirusTotal и соответствующим образом просканирован, а вам будет представлен отчет о проделанной работе, и опять без необходимости перехода на сайт разработчика.

Phrozensoft VirusTotal Uploader легко устанавливается, совершенно бесплатна и предельно проста в использовании. Рабочее окно утилиты имеет три вкладки: Upload Process – отображение прогресса загрузки, Awaiting Result – файлы в статусе ожидание результата и Available Result – готовый результат проверки. Перетаскивать проверяемые объекты можно не только на окно утилиты (окно вообще можно свернуть), но и на специальный виджет, который появится на рабочем столе сразу после запуска Phrozensoft VirusTotal Uploader. Также поддерживается загрузка из контекстного меню Проводника.

О завершении проверки файла утилита даст знать звуковым сигналом и всплывающим окошком в нижней части рабочего стола. Подробные данные сканирования можно будет просмотреть в отдельном окошке Scan Result, а также перейдя на вкладку Available Result. Данные окна Scan Result представлены наименованием антивируса, его версией, датой обновления и числом обнаружений угрозы. Дополнительно вы можете перепроверить файл, сохранить данные сканирования в лог, перейти на сайт VirusTotal, открыть директорию, содержащую проверяемый файл, а также просмотреть его свойства.

Во вкладке Available Result также можно просмотреть дату сканирования файла и его контрольную сумму, а при желании перейти на страничку с результатами сканирования.

Кроме загруженных файлов, с помощью утилиты можно проверять запущенные процессы и сервисы Windows. Phrozensoft VirusTotal Uploader имеет своеобразный диспетчер, в котором вы можете наблюдать за активными процессами, запущенными системными службами и сетевыми подключениями.

Наконец, с помощью утилиты можно проверять файлы по ссылке, правда, при этом VirusTotal Uploader сначала загрузит файл на компьютер, а затем уже на сервер VirusTotal.

Virus Total – проверка файла на вирусы онлайн

Всем снова здравствуйте. Сегодня мы познакомимся с сервисом Virus Total, который сразу проверит ваш подозрительный файл или ссылку на архив более 55 антивирусами одновременно, причем абсолютно бесплатно.

В наше время очень важно позаботиться о своей безопасности данных, установив на компьютер, ноутбук или гаджет современный антивирус с последним обновлением баз. Но иногда может случиться так, что вам нужно проверить дополнительно ваш скачанный файл или ссылку на закачку того или иного архива. Не устанавливать же для этого другие антивирусные программы. А с помощью Virus Total вы сразу проверите по всем популярным антивирусам.

Онлайн проверка файла Virus Total

Итак, давайте посмотрим, как это выглядит на практике. Переходим на сайт virustotal.com

Сайтом удобно пользоваться, он поддерживает русский язык. Здесь мы можем указать файл на жестком диске компьютера, или же перейти на другую вкладку URL-адрес для проверки ссылки на архив или инсталлятора. Об этом чуть ниже поговорим.

У сервиса есть ограничение: он проверяет файлы с объемом не более 128 MB

. Учитывайте этот параметр.

Нажимаем на кнопочку «Выберите файл», затем указываем нужный файл, архив и т.д. И жмем на «Проверить». Сервис произведет загрузку вашего файла и затем просканирует его всеми возможными антивирусами.

(В ходе теста загрузки инсталлятора в Google Chrome, файл почему-то не загружался. Только вот такое сообщение висело долгое время, пока не закрыл его сам

После этого открыл другой браузер – Mozilla Firefox – выполнил те же действия и файл успешно загрузился. Поэтому, если вы столкнулись с такой проблемой, что загрузка не начинается, поменяйте браузер.) Это так, отступление, дополнительная информация.

После того, как произошла загрузка, Virus Total начнет анализировать файл на предмет наличия в нем троянов, вирусов, вредных программ. Данные о проверке вы увидите в отчете.

 

Как видим, проверяли 59 антивирусов и ни один не заподозрил на вирус. В этом списке вы увидите такие популярные бренды антивирусных программ, как Avira, Dr.Web, Kaspersky и многие другие.

Напротив каждого из них в графе «Результат» в случае не обнаружения никаких угроз, будет поставлена зеленая галочка. Если же сканирование не удалось, вы увидите серый глазок.

На других вкладках вы сможете ознакомиться со сведениями о текущем файле, оставить комментарий, принять участие в голосовании.

А также можно выставить свой рейтинг этому файлу: заражен или безопасен. Для этого справа нажмите либо на красного человечка, либо зеленого.

Проверка URL-адреса (ссылки)

Теперь переходим на следующую вкладку – URL-адрес. Иногда нам приходиться загружать файлы с сайтов, которые кажутся подозрительными. В этом случае можно воспользоваться VirusTotal для сканирования архива или файла по ссылке, который мы хотим скачать.

Для начала скопируем ту ссылку, по которой мы собираемся загрузить данные на свой компьютер, ноутбук (правой кнопкой кликаем по ссылке и выбираем пункт «

Копировать адрес ссылки») и вставляем в поле. После чего нажимаем знакомую нам кнопку «Проверить».

Важно!!! Всегда указываете протокол HTTP:// или HTTPS:// в начале ссылки. Без него сервис может не загрузить данные для проверки.

VirusTotal проверит файл по ссылке всеми антивирусами и выдаст вам отчет.

Читайте также «Запуск браузера без помощи мышки»

Здесь уже проверка прошла через 64 сканера ссылок. И все они показали, что сайт чист, безопасен. Для просмотра данных о файле, перейдем по «

Перейти к анализу загруженного файла».

Здесь мы видим сообщение о том, что файл является безопасным и можно его использовать. Поэтому можно спокойно его скачивать по указанной ссылке. Ниже представлен список всех антивирусов и их результаты.

Мы же вам рекомендуем загружать файлы программ только с их официальных сайтов. Тем самым вы значительно снизите вероятность попадания вирусов на ваш компьютер.

Если вы будете повторно проверять файл или ссылку, что сервис VirusTotal вам напомнить об этом: когда и были ли обнаружены угрозы.

Вы можете просмотреть последний анализ или же запустить новую проверку.

Программа VirusTotal

Разработчики сервиса разработали для удобства пользователей одноименную программу, которая устанавливается на компьютер, и вы сможете в любое время выполнять анализ ссылок и данных, не заходя на сам ресурс. Для загрузки ее переходим в раздел «О нас», для удобства переводим страницу на русский язык (правой кнопкой вызываем меню и выбираем «Перевести на русский»).

Смотрите также «Бесплатный переводчик Dicter»

Далее переходим по ссылочке «Скачать VirusTotal Uploader» (англ. «Download VirusTotal Uploader»). Нас перебросит на следующую страницу.

Здесь мы выбираем нужную операционную систему: Windows или Mac.

И жмем на кнопку «Install Virus Total Uploader». Установщик загрузится в папку загрузок браузера. Открываем ее и запускаем установку.

В начале вам нужно, как всегда принять лицензионное соглашение, нажав «I Agree» (Согласен), затем пару на «Next» и программа установится.

Запускаем ее с рабочего стола.

И здесь мы выбираем что нам нужно: если проверить файл, то используем клавишу «SELECT file(s) and upload»; или же вводим ссылку в поле «

URL», не забывая про протокол http:// и https://. После чего нажимаем на кнопочку «Get and upload». И в том и в другом случае откроется страница в браузере с результатами анализа.

Помните, что онлайн-сервис Virus Total не обеспечит защиту вашего устройства. Он лишь проверяет указанные ваши данные. Для защиты компьютера поставьте себе антивирус, на первое время подойдет бесплатная версия Касперского и Avast.

А на сегодня это все. Мы с вами познакомились с сайтом, который онлайн проверяет файл или ссылку одновременно по 57 антивирусам. Если вы знаете еще подобные сервисы, поделитесь о них в комментариях. Будет очень интересно их рассмотреть. До новых встреч и прекрасного времени суток.

Супружество — это соглашение, условия которого ежедневно пересматриваются и утверждаются заново.

Брижит Бардо

Если вам понравилась наша статья, поделитесь с вашими друзьями.

онлайн сервис для проверки URL-адресов и подозрительных файлов

  

VirusTotal представляет собой бесплатный сервис, который анализирует подозрительные файлы и URL-адреса и облегчает быстрое обнаружение вирусов, червей, троянов и всех видов вредоносных программ. VirusTotal сохраняет отчеты всех сканирований, запрошенных пользователями. Это позволяет пользователям запрашивать и получать их без повторного сканирования файлов или ссылок.  Функция поиска позволяет получить отчет по файлам, URL-адресам, отчеты пользователей VT сообщества и комментарии сообщества.

 


Приступая к работе

Для того, чтобы начать, просто нужно обратиться к форме поиска VirusTotal и следовать инструкциям, описанным в следующих разделах.

 

Поиск отчета сканирования файлов

Для того, чтобы найти последний VirusTotal отчет о файле просто введите его хэш. В настоящее время разрешены хэши MD5, SHA1 и SHA256.

 

 

Некоторые пользователи также могут быть заинтересованы в поиске отчета сканирования по конкретному файлу, это также может быть сделано, нужно вставить идентификатор сканирования ( sha256-timestamp_epoch ). Это вернет проверку файлов на данный момент времени, а не его последний анализ.

 

Поиск отчетов URL-сканирования

URL поиски просты, вы просто должны ввести в строку поиска нужный URL, веб-приложение нормализует его и сравнит с позициями в  наборе данных VirusTotal.  Указав URL, вы получите отчет о нем.

 

 

Некоторые пользователи могут быть заинтересованы в поиске отчета URL-сканирования , это также может быть сделано, просто необходимо вставить в строку для проверки добавляется «U:» ( U : sha256-timestamp_epoch ). Это вернет URL-сканирования на данный момент времени, а не его последний анализ.

 

Поиск пользователей VirusTotal сообщества

 Вы хотите знать, является есть ли у вашего друга аккаунт в VT Community? Просто введите в его ник, поставив перед ним символ «@», например, @ VirusTotalTeam. Конечно, для выполнения такого поиска необходимо сначала знать ник друга в VirusTotal сообществе, функция поиска приведет вас на страницу его профиля в VirusTotal сообществе.

 

 

 

Комментарии в VirusTotal сообществе могут помочь в лечении вашего ПК или могут оказаться полезными при анализе конкретного образца вредоносного программного обеспечения, теги комментария позволяют пользователям искать через отзывы VirusTotal сообщества.  Просто наберите в теге, например, «# Zbot».

 

 

 

 

Оставьте свой комментарий!

Добавить комментарий

< Предыдущая   Следующая >

Что же такое VirusTotal, для чего он нужен и как с ним работать? — Статьи — Каталог статей

Нужно проверить файл на вирусы онлайн и бесплатно?  VirusTotal (ВирусТотал) — бесплатный онлайн сервис проверки файлов большим количеством лицензионных антивирусных программ.

Данный сервис объединяет в себе около 40 постоянно обновляемых антивирусников самых известных разработчиков.

Как с ним работать?

Проверить файл на вирусы в онлайн сервисе VirusTotal можно несколькими способами:

  • загрузить файл с компьютера посредством браузера
  • отправить подозрительный файл по электронной почте
  • установить специальный загрузчик от Virus Total

В первом случае воспользуйтесь формой на сайте сервиса. Вызовите проводник (кнопка «Обзор» или в некоторых браузерах «Выберите файл»), укажите нужный файл и нажмите кнопку «Отправить файл». Через некоторое время, продолжительность которого зависит от скорости соединения и размера файла, перед вами откроется страница с информацией о проверенном файле и возможностью перейти на страницу с результатами проверки по каждой антивирусной программе.

Второй вариант — отправка файлов непосредственно на e-mail. Для этого необходимо отправить по адресу сервиса [email protected] письмо с прикрепленным файлом, который нужно проанализировать. В поле Тема своего сообщения укажите — SCAN. Размер проверяемого файла не должен превышать 20 Мб, если файл больше установленного предела, система не примет его. Через некоторое время вы получите почтовое сообщение с подробными результатами проверки. Скорость ответа зависит от загрузки сервиса на момент отправки вашего запроса.

Чтобы проверить файл на вирусы в онлайн сервисе Virus Total, можно воспользоваться специальной утилитой Virustotal Uploader 2. 0, которую нужно скачать и установить на своем компьютере. После ее инсталляции в контекстное меню операционной системы добавится пункт VirusTotal     .

Эта команда позволяет напрямую загрузить файлы с вашего компьютера на антивирусную проверку в сервис Virustotal. При этом необходимо, чтобы компьютер был подключен к интернету. Результаты отчета в этом случае отображаются в окне браузера. Если проводить проверку непосредственно в самой программке, можно загрузить для анализа текущий процесс, до 5-ти файлов не более 20 Mb каждый или ссылку на файл.

В сервисе VirusTotal предусмотрена функция определения уже проверенных файлов по хэшу. После загрузки файла система вычисляет его хэш и проверяет наличие файла с таким же хэшем. Если подобный файл уже анализировался, то сервис выдаст вам результаты его проверки с указанием всех подробностей, включая дату проверки. Обратите внимание на дату! Если последняя проверка была давно, имеет смысл перепроверить файл еще раз. Это вообще предпочтительнее, т. к. ежедневно и новые вирусы появляются, и антивирусные базы обновляются. Чтобы повторно проверить файл на вирусы в онлайн сервисе VirusTotal, нажмите на кнопку Повторить анализ сейчас. Ход проверки отображается в режиме реального времени и показывает результат проверки каждым антивирусником.

Еще на сайте Virus Total можно посмотреть статистику работы сервиса и проведенных проверок за последние сутки: топ 10 зараженных файлов, последние найденные вирусы, обновления антивирусов за последние 24 часа и другие.

Перейти на сайт сервиса VirusTotal

И самое главное загружая файлы к нам на сайт, делая статьи с описанием программы, патча, файла, архива и т.д. и выкладывая ссылку. Обязательно отчет с Virus Total. 

Если этого не будет статья, файл и т.д. будет удалены!

Об особенностях сканирования исполняемых файлов антивирусами и доверии результатам VirusTotal

Всем привет. Ниже будет много глупого текста, ностальгических воспоминаний и школотного кода. Кроме того будет рассмотрена эффективность сервиса VirusTotal, а также антивирусных движков в отношении исполняемых файлов.

Часть 1. Бредово-ностальгическое вступление

В моей жизни многое поменялось. Мне стала интересна (местами — до недосыпов) моя текущая работа, в моём регионе четвёртый год идёт война, многое изменилось и переосмыслилось в личной жизни.

Многие взгляды и мнения изменились.

Лет 15-20 назад мне была интересна тема взлома и написания вредоносного кода, потом интересы сменились на прямо противоположные — защиту от этого дела, а потом я понял, что всем правят деньги и личные интересы, а вовсе не альтруизм и желание помочь.

Но то такое. В любом случае ИТ оказалось частью даже моей настоящей работы, хотя вовсе не относится к исходной специализации.

Лет 10 назад я написал в очень узком кругу про возможность снятия детекта антивируса с помощью самораспаковывающихся архивов. Тогда это было, кажется, на Virusinfo, потом кое-кто это перепостил под своим ником на DrWeb — так сказать, без копирайтов и со своим авторством, потом даже скандал был — но то тоже давно и неправда.

А недавно я вспомнил старое. Многое прошло, многие вещи обновились и угнаться за прогрессом, не варясь в теме, оказалось сложно.

Но суть осталась та же: сенсации, деньги и личные интересы. И игра на незнаниях — которые доходят иногда до того, что уязвимости Meltdown/Spectre ищут в телевизорах и бортовых компьютерах автомобилей )))

Но довольно этого неинтересного бреда. Итак, я решил вспомнить старое, а поскольку вспомнилось мало — то решил по старинке снять детекты с нескольких вирусов.

Нам потребуется:

  1. знания командных bat-скриптов Windows на уровне школьника.
  2. Quick Batch File Compiler (далее — QBC)
  3. 7za.exe из пакета 7z1800-extra.7z (далее — 7Z)
  4. upx.exe из пакета upx394w.zip (далее — UPX)
  5. файл eicar.com, скачать можно, например, тут (далее — Eicar)
  6. cамый базовый компьютер с выходом в интернет под управлением любой ОС Windows

Часть 2. Совсем немного теории

Для того, чтобы двигаться дальше, давайте разберёмся, о чём пойдёт речь. В настоящий момент, как, впрочем, и ранее, активно продвигается тема антивирусов. Дескать, антивирусы помогают не допустить потери важных данных, антивирусы спасают от уязвимостей, антивирусы — то, антивирусы — сё и так далее.

При этом зачастую рядовой пользователь даже не понимает, что антивирус — это не просто сканер, это и резидентная защита, и эвристик, а зачастую — и проактивная защита, файервол и песочница.

Каждому из этих компонентов мы можем посвятить не то что статью — книгу, но остановимся на самом базовом: сканере.

Этот компонент не позволит предотвращать соединения с вредоносными сайтами, он не будет ловить вредоносный код на лету, но он позволяет проверить файл и дать ответ: стоит его хранить — или лучше удалить сразу и навсегда.

Ниже мы протестируем разные движки антивирусов и посмотрим, насколько они справляются с этой задачей хорошо.

Отдельно хотелось бы отметить ресурс VirusTotal — он позволяет не только проверить файл различными движками антивирусов, но и представляет собой некую песочницу по тестированию вредоносного (и вообще любого) кода. Плюс платформы — бесплатность, минус — все образцы, которые высылаются на VirusTotal впоследствии передаются всем антивирусным лабораториям.

Именно по этой причине ниже я не буду давать ссылки на страницы с результатами сканирования, а предоставлю скриншоты с этими результатами, полученными в ходе работы. Очевидно (и я хочу в это верить!) после этой статьи результаты улучшатся.

Авторы вредоносного кода чрезвычайно часто используют упаковщики и протекторы, которые не только сжимают вредоносный файл, но и затрудняют его детектирование по сигнатурам, а также его последующий анализ. При использовании ворованных лицензий протекторов типа WinLicense и Themida обычно антивирусные лаборатории не затрудняют себя распаковкой, а просто добавляют сигнатуры протектора с ворованным ключом в детект (знаменитые детекты типа Trojan:​W32/Black.A). Это приводит к появлению ложных срабатываний — аналогичными ворованными лицензиями пользуются авторы генераторов ключей, патчеров и некоторых программ, которые по сути вредоносными не являются, но тем не менее защищаются от реверсинга.

Поскольку всё, описанное в этой статье, ниже будет предоставлено читателю для ознакомления, я не работал с реальным вредоносным кодом (хотя ниже предоставлю и его результаты сканирования), а использовал файл Eicar, популярный при тестировании антивирусов: это — своеобразная заглушка, на которую любой антивирус должен давать стойкий детект.

Итак, приступим.

Часть 3. Практика


Итак, как сейчас детектируется Eicar на VirusTotal

Признаться честно, увиденное меня несколько поразило, потому что два антивирусных движка — Comodo и Malwarebytes почему-то решили не следовать общим стандартам и проигнорировать детект. Тем не менее результат очевиден — файл имеет детект, близкий к 100%.

Как мы договаривались в самом начале, мы — полная школота, а потому не будем изобретать свои методы упаковки, а просто упакуем файл в архив с помощью 7Z:

7za a eicar.7z eicar.com

Проверим полученный файл на VirusTotal

Да, детектов стало поменьше, поскольку не все антивирусные движки включают распаковщик архивов 7Z (ну либо это настройка не включена в VirusTotal по умолчанию) — но всё равно детект высок.

Усложняем задачу: пакуем файл в архив с паролем. Пусть пароль будет fun:

7za a -mhe=on -pfun eicar-fun.7z eicar.com

Итог проверки очевиден

Файл — чист, поскольку даже имея процедуру распаковки антивирус не знает пароль на файл.

Детект снят — но мы не получили исполняемый файл.

В реальных пакерах решение бывает достаточно сложным и мы не будем вдаваться в эти подробности. Воспользуемся услугами QBC и напишем простейший скрипт:

7za e -pfun eicar-fun.7z
start eicar.com

Скрипт просто распаковывает архив и запускает полученный файл. QBC позволяет не только сформировать простейший исполняемый файл на основе этого скрипта, но и включить в этот файл необходимое (7za.exe и архив eicar-fun.7z), доступ к которому выполняется через переменную %myfiles%.

Полученный выполняемый файл может быть без открытия окна терминала (так называемый «Ghost»), а это нам как раз и надо:

Итоговый код выглядит следующим образом:

cd %myfiles%
7za e -pfun eicar-fun. 7z
start eicar.com

После компиляции полученный файл dumb_bat.exe распаковывает Eicar и запускает его.

Смотрим итог проверки этого файла на VirusTotal

Забавно, детект уменьшился с 60 для неупакованного файла и 41 для архива до 17 — при этом ни один из антивирусных движков не обнаружил Eicar, детекты явно имеют эвристический характер, а в ряде случаев напоминают ложное срабатывание (DrWeb, Baidu и др.)

Пойдём дальше — добавим в наш скрипт защиту от исполнения в тестовой среде — простейшую проверку, что файл выполняется в реальной системе. Для этого запустим распаковку только при условии, что в системе есть диск D и на нём есть хотя бы один файл:

cd %myfiles%
if exist d:/* (7za e -pfun eicar-fun.7z)
start eicar.com

Смотрим детекты

Особое внимание — на низ таблицы, я его выделил отдельно, потому что на одну картинку всё не влезало:

Итак, проверка диска D «отломала» детекты китайцев, россиян и украинцев: Baidu, DrWeb, Zillya. При этом указанные движки, как и ряд других, были остановлены по таймауту (!)

Справедливости ради стоит отметить, что повторный запуск всё-таки довёл сканирование до конца

Однако в этом случае эксперимент нельзя считать «чистым», поскольку прошло значительное время после первой проверки.

Мне эта ситуация показалась любопытной — и я изменил строчку в коде на следующую:

...
if <b>not</b> exist d:/* (7za e -pfun eicar-fun.7z)
...

Итог проверки впечатляющий

Однако опять повторный скан всё-таки состоялся.

Налицо разница в работе эвристиков ряда антивирусов (AegisLab и Baidu почему-то не обнаружили ничего во втором случае), а также налицо проблема в сканировании в случае проверки на наличие диска D. Впрочем, возможно это совпадение, хотя в ходе всего исследования я больше ни разу не наблюдал «отвала» такого количества движков сразу.

Движемся дальше — добавим нашему файлу интерактивности, которой точно не будет ни в одной тестовой среде. Изменим скрипт — сделаем его полноценным консольным (не «Ghost»), а также добавим команду pause:

@cd %myfiles%
@pause
@if exist d:/* (7za e -pfun eicar-fun.7z) > nul
@start eicar.com

Вот как выглядит итог выполнения такого файла:

Я не хочу наговаривать на пользователей, но кажется мне, что практически каждый нажмёт клавишу в этом случае 🙂 В любом случае перед нами простой пример, который может быть завернут куда в более яркую обёртку социального инжениринга.

Детект такого файла

6 детектов из 67.

Шесть, Карл!

Все — эвристические. И скорее всего ничего не подозревающий пользователь посчитает файл безопасным.

Интересный итог я получил после сжатия итогового файла с помощью UPX командой:

upx --best --ultra-brute --8086 --backup --compress-icons=3 dumb_bat3.exe

Если делать это для самого первого нашего кода — который был вообще без проверок, то по детектам отвалился Antiy-AVL

Для последней же версии файл уменьшился, суть не изменилась, а вот детектов прибавилось

Детекты добавили китайцы, а вот украинский Zillya благополучно провалил тест.

Часть 4. Выводы

А можно без них? 😉 Ну ладно.

Безусловно, описанное выше — это примитивно, просто и в жизни всё не так. Хотя бы потому, что в реальности выполнение нашего файла сначала вызовет срабатывания проактивки, а потом будет заблокировано резидентным модулем, который увидит итоговый файл Eicar.

Но дело не в том.

Дело в том, что современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода. Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы. Со старым, открытым и разжёванным до потрохов UPX как был бардак — так он и остался. А ведь я вполне мог упаковать не файл, вызывающий вредоносную активность, а непосредственно код, работать не с файлами на диске в %temp%, а в памяти, использовать не свободно доступные утилиты, а собственные или закрытые разработки — и таким образом обойти срабатывание резидентной защиты. Я вполне мог добавить интересные элементы интерфейса или скопировать таковой из распространённой программы — и обойти проактивку у неискушённого пользователя, который просто будет соглашаться с любыми запросами, доверяя тому, что запустил.

То, что мы сделали выше — примитивный способ обмануть антивирус, который может понять и реализовать практически любой. И он сработал. Что говорить про искушённых специалистов!

Архив с файлами, скриптами и результатами можно скачать здесь.

В архив не вошло следующее (не войдёт и не будет предоставлено по любой просьбе по понятным причинам): файлы, обработанные по выше изложенному механизму и содержащие:


Если Вы дочитали всё это до конца — нажмите здесь

Искренне надеюсь, что я был не скучен и ещё могу ясно излагать мысли по теме, как было когда-то раньше.

VirusTotal: Онлайн-проверка на вирусы

VirusTotal — уникальный сервис с помощью которого можно быстро и абсолютно бесплатно проверить любой файл или подозрительную ссылку (сайт) сразу десятками антивирусов. На данный момент сервисом используется 46 (!) антивирусных сканера.

Этот онлайн-сервис начал свою трудовую деятельность в далёком 2004 году и за это время стал настолько крут, что 7 сентября 2012 года «Корпорация Добра» Google не выдержала и купила его.

Использование сервиса, его особенности, дополнения в популярные браузеры и программка-клиент на компьютер, проверяющая из контекстного меню не только Ваши отдельные файлы, но и процессы запущенные в системе — вот с чем сегодня будем знакомиться в статье посвящённой VirusTotal.

Особенности VirusTotal

Раньше (в детстве и юношестве) сервис был многоязычным, даже очень. Была поддержка и русского языка. Но новые владельцы вероятно решили, что в мире остались одни американцы и почему-то испанцы…

Именно эти два языка остались в интерфейсе сервиса. Но вот, что я Вам скажу-даже если бы оставили один китайский язык, всё-равно было бы понятно, как пользоваться этим антивирусным онлайн-сервисом. Да и в самом быстром и популярном браузере этот вопрос решается на раз…


Достаточно просто перевести страницу встроенным переводчиком.

Также, особенностью сервиса VirusTotal является ограничение размера проверяемого файла — 32 Мб. Впрочем, этого достаточно в большинстве случаев.

Не стоит забывать и заблуждаться — VirusTotal не замена антивирусу в системе! Сервис способен проверять лишь отдельные, указанные Вами файлы и ссылки.

Ещё одним предназначением сервиса является выявление ложных срабатываний антивирусов. Очень актуальная проблема — «закричит» антивирус у одного пользователя и он давай по всему интернету орать на программу, сайт и автора сайта… , а ведь другие 45 (!) антивирусов молчат при этом оказывается.

Любой сканер или антивирус, хоть и обновляется постоянно, но всё-равно является лишь программой, набором команд и кодов, они тоже могут ошибаться. Создатели сервиса это понимают снижая процент ошибок не только постоянно увеличивая число аудиторов (сканеров), но и внедрив дополнительное средство определения зловредности файла — личный опыт пользователей.

Это реализовано в очень симпатичной и оригинальной форме — путём голосования за файл или ссылку…

Не забудьте и Вы ткнуть на чёртика или ангела, если Вам знаком проверяемый файл, программа или ссылка.

Как-то плавно я перешёл к описанию…

Как проверять файлы и ссылки на VirusTotal

Лично я проверяю этим сервисом все файлы, которые предлагаю Вам на этом сайте, о чём и написано в конце каждой статьи.

Итак, для того, чтоб проверить файл надо зайти на VirusTotal.com и ткнуть мышкой на кнопке «Выберите File» или прямо на строку.


В появившемся окне укажите файл и кликайте на жирной кнопке «Сканирование» …



Очень скоро получите результат в виде списка антивирусных сканеров, которые участвовали в определении наличия вирусов в файле. Если какой-либо сканер нашёл вирус (или ему кажется, что нашёл), то в его строке будет название вируса написано.

«Чистый сайт» !!!

Это показано, сколько сканеров обнаружило вирус из общего числа задействованных. Если будет 1 из 46 — скорее всего это ложная сработка, а вот если 30 из 46 — скорее удаляйте этот файл из компьютера.


Это я проверил выполняющийся в системе процесс программы , которой я пользуюсь уже много лет. Как видите, нашлось 5 «умников» , которые считают абсолютно чистую программу вредоносной. Это при том, что ни один из 45 сканеров не нашёл ничего подозрительного.

Это всё здорово и отлично, но ведь можно повысить удобство использования сервиса VirusTotal.

Дополнения (расширения) VirusTotal в популярные браузеры

Гораздо удобнее и безопаснее проверять файлы ещё находящиеся на сайтах, а не скачанные к Вам на компьютер, верно? Для этого достаточно установить в свой любимый браузер специальное дополнение и кликнув любую ссылку на файл ПРАВОЙ кнопкой мыши, проверить файл выбрав в контекстном меню…

Программ наподобие Virustotal , которые позволяют выполнить проверку устройства на наличие вирусов, довольно много. Все они достаточно эффективны, но не дают стопроцентного результата. Однако это не умаляет их реальную помощь в защите системы от вредоносных атак извне.

_______________________________________________________________

Особенности Virustotal онлайн

Бесплатный онлайновый сервис ВирусТотал предназначен для анализа подозрительных файлов и обнаружения вирусов, троянов, червей, шпионских рассылок и иных вредоносных элементов.

Этот метод проверки отличается высокой надежностью и не зависит от характеристик или возможностей какого-то одного антивируса. Здесь используются практически все известные утилиты , которые находят опасные файлы и оповещают пользователя о месте их нахождения.

Virustotal выявляет уязвимые места используемых антивирусов, определяет их ложные срабатывания, а также те атаки, которые не были ими распознаны. В результате проверки применяются самые современные вирусные базы с постоянно пополняющимися списками наименования вредоносных программ. Напротив каждой из них проставляется дата последнего обновления.

Сервис позволяет не только выполнять обычную загрузку файлов, предназначенных для анализа, но и отправлять их посредством Загрузчика или через электронную почту. Прикрепляемый к письму файл не должен иметь размер более 20 Мб. В противном случае, система просто не примет его.

Сканер также предоставляет данные обо всех проведенных проверках. Осуществить их просмотр можно в режиме реального времени. Здесь можно видеть:

  • общее количество зараженных файлов,
  • 10 самых опасных из них,
  • количество обновлений вирусных баз,
  • список всех обнаруженных вредоносных программ.

Возможности ВирусТотал

Сервис не может полностью заменить антивирусные программы, установленные на компьютере. Он прекрасно справляется с задачей обнаружения вирусов, но не уничтожает их. Однако по своему прямому предназначению система работает безукоризненно.

Среди главных особенностей можно выделить:

  • бесплатное использование;
  • одновременная проверка мощнейшими антивирусами;
  • автоматическое обновление баз в режиме реального времени;
  • проверка архивов;
  • ведение статистики.

Очень важно, что сервис имеет русскоязычный интерфейс, что сказывается на удобстве работы с ним.

Основные методы проверки на вирусы

Для удобства пользователя на сервисе имеется специальная форма. Кнопка «Обзор» вызовет проводник, в котором можно будет выбрать подозрительный файл. Далее следует нажать «Отправить файл» и немного подождать до окончания его загрузки. Время обработки зависит от скорости Интернет-соединения и размера самого файла. После того как проверка будет завершена, перед пользователем откроется страница с ее результатами.

Существует возможность выполнить анализ не только файла, но и ссылки или целого сайта . Для этого используется вкладка «Отправить URL». В появившуюся строчку необходимо ввести http-адрес страницы или ссылку. Нажатие кнопки «Отправить URL» запустит проверку, после завершения которой на экране появится отчет о безопасности.

2. Отправка подозрительных файлов в электронном письме .

На адрес Вирус Тотал высылается письмо с прикрепленным к нему файлом. В строке «Тема» необходимо написать слово SCAN. Размер вложения не должен превышать 20 Мб, иначе система просто не отреагирует на запрос.

Спустя некоторое время на электронную почту пользователя придет ответ с результатами проверки. Скорость работы зависит от степени загруженности сервиса на момент получения им письма.

3. Использование специального Загрузчика от Virustotal.

Его можно скачать и установить прямо на компьютер. Главное требование для возможности осуществления проверки – наличие подключения к Интернету. Результаты анализа отобразятся в окне браузера.

Одновременно можно сканировать не более 5 файлов, а их общий размер не должен превышать 20 Мб.

Онлайн сервис VirusTotal предназначен для проверки файлов и ссылок на вирусы. Этот бесплатный сервис проверяет файлы, сайты, другие ссылки, используя службы (сканеры) антивирусных программ большого количества производителей. В данный момент сервис VirusTotal принадлежит корпорации Google.

Бесплатный онлайновый сервис VirusTotal.com поддерживает проверку более чем 50 антивирусными сканерами. Этот список производителей антивирусных программ, постоянно дополняется новыми сканерами.

После завершения проверки на вирусы, вы получите результат сканирования, выданный всеми доступными в сервисе антивирусами, а не от одного производителя, например, установленной на вашем компьютере антивирусной программы. Таким образом, вы можете получить более объективную картину, если у вас есть сомнения по поводу надежности какого-нибудь файла или ссылки.

Сканеры обнаруживают все виды вредоносных программ: вирусы, трояны, черви, malware и т. д., словом, все типы подобного опасного софта, которые могут быть обнаружены антивирусами.

Для чего может возникнуть необходимость для такой проверки файла, при помощи онлайн сервиса VirusTotal? Все время идет борьба между теми, кто пишет вирусы или другие вредоносные программы, и теми, кто защищает компьютеры пользователей от воздействия вирусов. Установленная на компьютере антивирусная программа не может с 100% гарантировать, что она сразу обнаружит зараженный код. Особенно это касается новых, только, что запущенных в сеть вирусов (в общем смысле этого слова).

После запуска нового вируса, проходит некоторое время, пока антивирусная программа не обнаружит эту новую угрозу. Те антивирусы, которые раньше обнаружат опасный объект, быстрее занесут данные о вредоносной программе в свои базы. Поэтому, при одновременной проверке при помощи большого количества антивирусных сканеров, повышается вероятность нахождения вредоносного кода.

Также возможны ложные срабатывания у антивируса, который установлен на вашем компьютере. Если проверка показала, что только один антивирус обнаружил что-то опасное, а сам файл был создан достаточно давно, то в этом случае, высока вероятность того, что у установленного на вашем компьютере антивирусе было ложное срабатывание.

У проверяемого файла вычисляется хэш (контрольная сумма файла), который будет сравнен с хэшем такого же файла, если подобный файл ранее уже был проверен. Сервис проверяет значения хэша по MD5, SHA1, SHA256.

Подробнее о том, как узнать хэш файла, вы можете прочитать , в статье посвященной программе HashTab. Сравнивая значения хэша файла, с контрольными суммами оригинального файла, вы можете узнать, был ли модифицирован данный файл или нет.

Онлайн сервис VirusTotal не является заменой, установленному на вашем компьютере антивирусу. Ваш антивирус должен находить и защищать компьютер от всех вредоносных и опасных данных. В том случае, если у вас есть сомнения по некоторым файлам или ссылкам, то при помощи VirusTotal вы можете произвести проверку этих подозрительных данных.

Результаты проверки могут отличаться даже при использовании решения одного и того же производителя. Вы получите информацию перед тем, как предпринять какие-либо действие.

Для проведения проверки необходимо будет перейти на сайт www.virustotal.com .

Проверка файлов на VirusTotal.com

Во вкладке «Файл» на сервис загружаются файлы для проверки антивирусными сканерами. Максимальный размер загружаемого файла ограничен размером в 128 МБ. При помощи кнопки «Выберите файл» необходимо будет выбрать файл на своем компьютере, а затем загрузить его на сервис VirusTotal.

После выбора файла нажмите на кнопку «Проверить!».

Некоторое время будет происходить загрузка файла на сервис. Это окно нельзя закрывать до окончания загрузки файла. Время выполнения этой операции будет зависеть от величины файла, скорости соединения, загруженности сети.


Должен заметить, что таким способом мне не удалось проверить ни один файл, несмотря на их маленькие размеры, потому что загрузка файла продолжалась бесконечно долгое время. Но не нужно расстраиваться, из этой ситуации есть выход.

Для быстрой проверки файлов необходимо будет использовать приложение VirusTotal Uploader, о котором вы можете прочитать ниже.

Проверка ссылок на VirusTotal.com

Для проверки адреса URL нужно будет вставить ссылку на сайт, конкретную веб-страницу, ссылку из почтового сообщения и т. п., в поле напротив кнопки «Ведите URL», а затем нажать на кнопку «Проверить!».


После завершения проверки сайта на вирусы (ссылки проверяются очень быстро), вы увидите результат, полученный от антивирусных сканеров. В пункте «URL» будет отображен адрес проверенной ссылки (сайта). В пункте «Показатель выявления» вы увидите результат проверки URL на вирусы. В данном случае: найдено — 0, количество сканеров — 52.

Также справа расположена форма, в которой отображаются баллы, полученные по результатам отзывов пользователей. На эти данные нужно ориентироваться в последнюю очередь, так как у пользователей, которые отправили личные отзывы, может быть разный уровень подготовки и знаний предмета.

Во вкладке «Анализ» можно посмотреть полученный результат по конкретным сканерам ссылок. При проверке могут не срабатывать отдельные сканеры, абсолютное большинство сканеров откликается нормально.


Если несколько сканеров находят, что-то подозрительное на веб-странице (сайте), то тогда есть повод для проявления большей осторожности. На самом сайте может и не быть ничего опасного, но с сайта может вести ссылка на представляющий угрозу ресурс.

У антивирусов бывают ложные срабатывания. Так однажды, установленный на моем компьютере антивирус обнаружил вредоносную ссылку на моем сайте. Я связался с тех.поддержкой и она сразу признала, что произошла ошибка. Правда, запись об опасной ссылке была убрана из баз не сразу, а через некоторое время.

Установка VirusTotal Uploader

Для проверки файлов удобнее использовать утилиту VirusTotal Uploader, которая предназначена для пользователей Windows.

скачать virustotal uploader

Программа VirusTotal Uploader быстро загружает файлы для проверки на онлайн сервис. Также с помощью этой утилиты можно проверять ссылки. Скачайте приложение VirusTotal Uploader на свой компьютер, а затем запустите исполняемый файл.

В первом окне мастера установки нажмите на кнопку «I Agree».


Во втором окне можете все оставить по умолчанию, а затем нажать на кнопку «Next».


В следующем окне нажмите на кнопку «Install».


После завершения установки утилиты VirusTotal Uploader нажмите на кнопку «Close».

Проверка на вирусы в VirusTotal Uploader

После запуска программы будет открыто окно «VirusTotal Uploader». Если перейти по ссылке «Click here to show all (requires admin)», то тогда откроется это окно программы запущенное от имени администратора.

В этом окне вы можете выбрать конкретный процесс (выделив его), для проверки исполняемого файла этого процесса.

После нажатия на кнопку «Upload process executable» будет вычислен хэш исполняемого файла, а затем он будет отправлен на проверку. После этого откроется страница онлайн сервиса VirusTotal com с результатом проверки. Возможно, что этот файл уже был проверен раньше, тогда вы об этом узнаете из даты анализа.


Для проверки файлов нужно использовать кнопку «Select file(s) and upload», которая находится в разделе «File(s)». После выбора файла, будет открыто окно сервиса, а после завершения антивирусной проверки вы узнаете ее результат. Для добавления файлов можно также использовать командную строку.

Проверку URL (ссылок) можно будет производить в разделе «URL». В поле «URL» необходимо будет вставить ссылку на веб-страницу (сайт), а затем нажать на кнопку «Get and Upload». После этого, ссылка будет проверена антивирусными сканерами на сервисе VirusTotal.

Для использования на мобильных устройствах под управлением операционной системы Android, вы можете скачать приложение VirusTotal for Android.

Файл на компьютере также можно проверить при помощи контекстного меню. После клика правой кнопкой мыши по нужному файлу, в контекстном меню необходимо будет выбрать пункт «Send to VirusTotal». Утилита проверит хэш файла и отправит результат проверки на сервис VirusTotal. Далее откроется окно сервиса с результатами сканирования на вирусы.

Расширение для браузеров

Онлайн сервис VirusTotal предлагает установить расширения для браузеров Mozilla Firefox, Google Chrome, Internet Explorer. Эти расширения подойдут также для других браузеров, созданных на основе Firefox и Chrome.

Для браузера Mozilla Firefox нужно будет установить расширение VTzilla. В браузер Google Chrome устанавливается расширение VTchromizer. Для браузера Internet Explorer — Vtexplorer.

После клика по значку расширения (на данном примере — расширение VTchromizer) откроется окно, в котором нужно будет произвести проверку сайта на вирусы, или ввести в поле значение хэша файла, адрес веб-страницы, электронной почты и т. д., для поиска результатов предыдущего сканирования.

Для проверки веб-страницы (сайта) следует кликнуть по ссылке «Scan current site». Далее будет произведена проверка этой ссылки, а затем вы увидите полученный результат сканирования на вирусы. По ссылке «Go to VirusTotal home» вы можете перейти на главную страницу онлайн сервиса.


Но подстраховаться никогда не помешает.
Существует такой онлайн-сервис VirusTotal (ВирусТотал) — бесплатный сервис, который анализирует подозрительные файлы и облегчает быстрое обнаружение вирусов, червей, троянов и всех видов вредоносных программ, определяемых антивирусами. Результаты проверок файлов сервисом не зависят от какого-то одного производителя антивирусов, так как в сервисе VirusTotal используется нескольких десятков антивирусных систем, что позволяет делать более надёжные выводы об опасности файла, по сравнению с каким-то одним продуктом.

Это позволяет выявлять ложные срабатывания какого-то одного антивируса, либо, наоборот, несрабатывания на новые угрозы, возможно, уже внесенные другими производителями в свои базы. Более того, все используемые сервисом антивирусные базы постоянно обновляются, а в результатах проверки указываются даты последних обновлений всех баз.

Замечательной возможностью VirusTotal является определение уже проверенных файлов по хэшу. После загрузки файла система вычисляет его хэш и при наличии результатов проверки файла с аналогичным хэшем сразу выдаст их пользователю, с указанием всех подробностей, включая дату проверки. При этом возможно повторить проверку на текущий момент, с текущими обновлениями баз.

Помимо обычного загрузке файла с помощью веб-формой, есть возможность отправить файлы на анализ с помощью программы Загрузчик VirusTotal, или, с помощью электронных писем. Для этого, создайте новое сообщение с адресатом [email protected] , напишите SCAN в поле «Тема». Прикрепите файл для проверки (файл не должен превышать 20 МБ, если прикрепленный файл более 10 МБ, система не примет его). Вы получите почтовое сообщение с отчетом об проверке. Время ответа зависит от загрузки системы в момент вашего запроса.

На сайте можно посмотреть статистику по проведенным проверкам в реальном времени, количество файлов, которые были обнаружены как зараженные среди общего числа файлов, топ 10 зараженных файлов, количество обновлений антивирусов, количество файлов для проверки с помощью VirusTotal и последние найденные вирусы.

Возможности сервиса:


.Бесплатный независимый сервис
.Использование множества антивирусных систем
.Автоматическое обновление вирусных баз в реальном времени
.Детальные результаты для каждого антивируса
.Глобальная статистика в реальном времени

VirusTotal не заменяет любое антивирусное программное обеспечение, устанавливаемое в ПК. Выполняется ТОЛЬКО ПРОВЕРКА(вирусы не уничтожаются) отдельных файлов по требованию. Зато более 40 антивирусами одновременно.!!!

Список компаний, участвующих в VirusTotal с их антивирусами:

AhnLab (V3)
. Antiy Labs (Antiy-AVL)
.Aladdin (ESafe)
.ALWIL (Avast! Antivirus)
.Authentium (Command Antivirus)
.AVG Technologies (AVG)
.Avira (AntiVir)
.Услуги Cat компьютера (Quick Heal)
.ClamAV (ClamAV)
.Comodo (Comodo)
.CA инк (ПТО)
.»Доктор Веб» (DrWeb)
.EMSI Software GmbH (Emsisoft)
.Eset Software (ESET NOD32)
.Fortinet (Fortinet)
.FRISK Software (F-Prot)
.F-Secure (F-Secure)
.G Data Software (GData)
.Hacksoft (Hacker)
.Хаури (ViRobot)
.Ikarus Software (Икарус)
.INCA Интернет (NProtect)
.K7 вычислительным (K7AntiVirus)
.»Лаборатория Касперского» (AVP)
.McAfee (VirusScan)
.Microsoft (Защита от вредоносных программ)
.Норман (Norman Antivirus)
.Panda Security (Panda Platinum)
.PC Tools (PCTools)
.Prevx (Prevx1)
.Rising Antivirus (Rising)
.Secure Computing (SecureWeb)
.BitDefender GmbH (BitDefender)
.Sophos (SAV)
.Sunbelt Software (Sunbelt антивирус)
.SUPERAntiSpyware (SUPERAntiSpyware)
. Symantec (Нортон Антивирус)
.ВирусБлокАда (VBA32)
.Trend Micro (TrendMicro, TrendMicro-HouseCall)
.VirusBuster (VirusBuster)

Проверить файл на вирусы в онлайн сервисе VirusTotal можно несколькими способами:

  • загрузить файл с компьютера посредством браузера
  • отправить подозрительный файл по электронной почте
  • установить специальный загрузчик от Virus Total

1. В первом случае воспользуйтесь формой на сайте сервиса. Вызовите проводник (кнопка «Обзор» или в некоторых браузерах «Выберите файл»), укажите нужный файл и нажмите кнопку «Отправить файл». Через некоторое время, продолжительность которого зависит от скорости соединения и размера файла, перед вами откроется страница с информацией о проверенном файле и возможностью перейти на страницу с результатами проверки по каждой антивирусной программе.


Кстати, обновленный сервис для онлайн проверки файлов VirusТotal, к сожалению, пока не имеет поддержки русского языка. Тем не менее, все просто: загрузите файл и получите результат проверки. Максимальный размер файла 20 Мб, проверка производится целыми 43 антивирусными программами.

Для английской версии делаем так:

  • Заходим на сайт, нажав кнопку выше.
  • Нажимаем ОБЗОР, выбираем на компе нужный файл. Программы лучше загружать заархивированными. Максимальный размер 20МВ.
  • Затем жмем на кнопку-Send file(Отправить файл).

В сервисе VirusTotal предусмотрена функция определения уже проверенных файлов по хэшу. После загрузки файла система вычисляет его хэш и проверяет наличие файла с таким же хэшем. Если подобный файл уже анализировался, то сервис выдаст вам результаты его проверки с указанием всех подробностей, включая дату проверки. Обратите внимание на дату!

Если последняя проверка была давно, имеет смысл перепроверить файл еще раз. Это вообще предпочтительнее, т.к. ежедневно и новые вирусы появляются, и антивирусные базы обновляются. Чтобы повторно проверить файл на вирусы в онлайн сервисе VirusTotal, нажмите на кнопку Повторить анализ сейчас . Для английской версии: нажимаем на кнопку Reanalyse(Проанализировать еще) Ход проверки отображается в режиме реального времени и показывает результат проверки каждым антивирусником.

Начнется проверка файла, результаты которой будут отображаться в таблице ниже.
Когда отсканируется все полностью,смотрим результат. Вот пример(см.фото).

Что мы видим?
Результат:0 вирусов!
Ни один антивирус из 43 не обнаружил ничего подозрительного!
Этим файлом можно спокойно пользоваться.Если проверялась программа,то устанавливать на компьютер.

А вот другой пример анализа файла(сделан давно,когда панель VirusТotal была на русском языке):

Здесь обнаружено 4 штуки какой-то дряни.
В графе Результат — название вируса.
Теперь вам решать запускать эту программу или не стоит…

Проверить ссылку или сайт



После полной проверки появится отчет о безопасности.

В результате видим-0.Clean site-чистый сaйт!

Хотя показатель обнаружения обеспечивается использованием нескольких антивирусных программ, эти результаты НЕ ГАРАНТИРУЕТ безвредность файла!!!

2. Второй вариант — отправка файлов непосредственно на e-mail. Для этого необходимо отправить по адресу сервиса [email protected] письмо с прикрепленным файлом, который нужно проанализировать. В поле Тема своего сообщения укажите — SCAN. Размер проверяемого файла не должен превышать 20 Мб, если файл больше установленного предела, система не примет его. Через некоторое время вы получите почтовое сообщение с подробными результатами проверки. Скорость ответа зависит от загрузки сервиса на момент отправки вашего запроса.

3. Третий вариант — чтобы проверить файл на вирусы в онлайн сервисе Virus Total, можно воспользоваться специальной утилитой Virustotal Uploader 2.0, которую нужно скачать и установить на своем компьютере. После ее инсталляции в контекстное меню операционной системы добавится пункт VirusTotal . Эта команда позволяет напрямую загрузить файлы с вашего компьютера на антивирусную проверку в сервис Virustotal. При этом необходимо, чтобы компьютер был подключен к интернету.


Результаты отчета в этом случае отображаются в окне браузера.

Главное окно программки выглядит следующим образом:

В верхней области можно загрузить источник какого-либо процесса для проверки. Ниже находится кнопка «Select file(s) and upload», нажав на которую, можно загрузить сразу несколько файлов. Размер каждого не должен быть больше 20 Мб, а количество — не более 5.


Еще ниже (в главном окне) присутствует функция проверки файла по ссылке. При вводе линка появляется окошко с 3 вариантами:

1) Файл скачивается на компьютер, с компьютера загружается на сервер, при этом не сохраняясь в системе.

2) Файл скачивается и сохраняется во временную папку, далее загружается на сервер для проверки.

3) Файл скачивается и сохраняется в указанную папку, после этого происходит загрузка на удаленный сервер для проверки.

Если хэш отправляемого файла совпал с хэшом из базы сервера, программа выдает следующее окно:


Мы рассмотрели возможности программки Virustotal Uploader 2.0 — утилиты для быстрой загрузки файлов на проверку наличия вирусов.

По материалам сайтов onservis.ru, lp-digital.ru и blogs.mail.ru(автор Егорова Татьяна)

Посмотрите также видеоподсказку «Как проверить файлы на вирусы с помощью сервиса VirusTotal»:

С недавнего времени множество антивирусов увлеклись облачными технологиями. То Microsoft, то Panda, скоро ещё и ESET в корпоративные продукты внесет подобные средства. Но «облака» — еще не все, что может предложить Интернет в борьбе с неизвестными видами вирусов. Можно, конечно, анализировать процессы, службы и прочие файлы с помощью специализированных утилит, но есть более разношерстный способ, готовый зажать в тисках шестидесяти антивирусов один единственный файл.

Сейчас появилась большая потребность в онлайн-проверке подозрительных файлов с помощью антивирусных решений. Только есть одна проблема — пользователи привыкли к тому, что все за них делает какой-нибудь малозаметный антивирус в трее, а каждый файл отправлять на проверку — это рядовой случай, когда уж совсем ситуация вышла из-под контроля.

Одним из средств онлайн-проверки уже давненько является сервис под названием VirusTotal. К примеру, вы заподозрили во вредоносности файл с рабочей флеш-карты, зашли на VirusTotal.com, добавили его (до 32 Мб), система начала проверять. Если нашла похожий проверенный файл, то уведомит о результате прежней проверки, а при необходимости повторной проверки VirusTotal начнет сканирование 43 антивирусами. Мой файлик в 14 Мб система проверила менее чем за 2 минуты, со скоростью проблем нет.


Другое дело, что сервис скорее подойдёт для проверки сайтов на наличие зловредов, нежели единичных файлов, поскольку безумно редко попадаются файлы, которые бы игнорировались ведущими антивирусными решениями и, тем более, совместно с утилитой вроде AnVir Task Manager.


С одной стороны, преимуществом сервиса является проверка сразу 43 антивирусными базами, но кто не позволяет скачать парочку антивирусных сканеров от ведущих лабораторий ( и ) и запустить поиск по конкретной папке или файлу? Не думаю, что они обойдут стороной зараженный файл. Другое дело, когда не хочется обновлять утилиты, а нужно проверить файл свежими базами.


Для более комфортной работы с ресурсом существует утилита «Загрузчик VirusTotal». На официальном сайте про нее, к сожалению, нет информации, а она умеет выполнять очень полезные операции. При запуске программа отображает список активных процессов в вашей системе, из которых вы можете выбрать подозрительный и отправить его на проверку в VirusTotal. Также утилита позволяет выбрать для проверки локальные файлы на диске или же указать удаленный URL файла.

Выводы

Сервис VirusTotal очень полезен в тех случаях, когда вы вообще не используете антивирусов, либо подозреваете, что ваш антивирус пропустил «зловреда» и хотите проверить его другими антивирусными решениями. Это бывает весьма полезно при ложных срабатываниях, а также когда антивирусы «крестят» программы вредоносными лишь потому, что что у разработчиков этого антивируса есть конкурирующее решение и им выгодно таким образом избавляться от конкурентов. За примерами далеко ходить не надо — антивирус AVG легко и непринужденно крестит утилиту Reg Organizer как «потенциально опасная», при этом предлагая свой продукт. Также VirusTotal поможет проверить сайт, который вы хотите посетить, на предмет наличия на нем вредоносных скриптов.

Virustotal.com — проверка на вирусы Онлайн


Рейтинг: 3.7 из 5
Голоса: 7
Вирустотал — самый популярный бесплатный Онлайн сервис по проверке файлов на предмет наличия вредоносного кода. В настоящий момент сервис проверяет файлы по базе 43-х антивирусов и анти шпионских программ. Как известно, на один компьютер можно установить не более одного антивируса, из-за возможных проблем в работе системы и взаимных конфликтов. Каждый антивирус имеет свои преимущества и недостатки, в результате вирус, определяемый одним антивирусом, может не определяться другим. Благодаря сайту Virustotal.com можно проверить любой подозрительный файл сразу 43-мя антивирусами и анти шпионскими утилитами. Есть два варианта проверки • Первый — закачать файл на Вирустотал со своего компьютера (Upload a File). • Второй — указать прямую ссылку на сайт в интернете (Submit a URL). Сервис поддерживает проверку архивов, что очень удобно, если нужно быстро проверить несколько файлов. Следует помнить, что Вирустотал накладывает ограничение на размер проверяемого файла / архива равное20 мб. Так что если у вас на компьютере появился подозрительный файл, не определяемый вашим антивирусом, или вам дали ссылку на подозрительную программу в Интернет, зайдите на Virustotal.com и проверьте их на «вшивость». Похожие сервисы OPSWAT — Онлайн проверка файлов на вирусы
Адрес обзора: https://soft-arhiv.com/publ/6-1-0-10

Комментарии и отзывы: 6

1. Andrey • 03.09.2011
Часто проверяю на Вирустотале скачиваемые в сети файлы. Как правило почти всегда пару антивирусов находят в файле что-то подозрительное. Стоит ли запускать такие файлы на ПК, будет ли это безопасно? Не очень хочется подхватить вирус на свой компьютер.

2. Алексей • 04.09.2011
Andrey, в первую очередь стоит обратить внимание на то, какие именно антивирусы «ругаются» на проверяемый файл. Если это известные продукты — Касперский, Др.Веб, Нод32, Аваст, Авира, МакКафи, Симантек, то запускать наверное не стоит. А если эти антивирусы ничего не находят, то скорее всего это просто ложное срабатывание.

P/S
Несколько лет назад в журнале Хакер была интересная статья на тему: За что мы платим деньги антивирусным компаниям.

Суть ее была в простом экспирименте, когда на закриптованный вирус не обратило внимание большинство антивирусов, в то время как на обычный Блокнот из Виндовс запакованный известным упаковщиком .exe файлов — UPX, многие антивирусы ругались как на вредоносное ПО.
Так что антивирусы могут банально ошибаться и давать ложные срабатывания, особенно бесплатные продукты малоизвестных брендов.

3. Expert • 05.09.2011
Да, такое не редко бывает, когда антивирус в полностью безопасном файле находит вредоносный код. Знаю по себе, так как сам пишу программы. Антивирусы иногда просто удивляют, перед тем как выкладывать программу в паблик, приходится проверять ее основными антивирусами, о то визгу не оберешься, в случае чего.Ответ:
Один из примеров, когда антивирус ошибается:
http://news.rambler.ru/11589100/

Антивирус нашел угрозу безопасности в собственном коде!

4. Gergi • 12.10.2011
Я слышал что Вирустотал передает все проверяемые файлы антивирусным компаниям. И что если проверить на Вирустотале еще не известный антивирусам вирус, то он очень скоро начнет определаться всеми антивирусами.

5. Slon • 05.07.2013
Полезный сервис, очень удобный, стоит у меня в закладках уже несколько лет.

6. Exel • 03.01.2014
Хороший сайт, радует что они добавили русский интерфейс. Все подозрительные файлы обязательно проверяю в Вирустотале.

Добавить отзыв, комментарий

Как это работает — VirusTotal

VirusTotal проверяет элементы с помощью более 70 антивирусных сканеров и служб блокировки URL / доменов, а также множества инструментов для извлечения сигналов из исследуемого контента. Любой пользователь может выбрать файл на своем компьютере в браузере и отправить его в VirusTotal. VirusTotal предлагает ряд методов отправки файлов, включая основной общедоступный веб-интерфейс, программы загрузки для настольных ПК, расширения браузера и программный API. Веб-интерфейс имеет наивысший приоритет сканирования среди общедоступных методов отправки.Представления могут быть написаны на любом языке программирования с использованием общедоступного API на основе HTTP.

Как и файлы, URL-адреса могут быть отправлены несколькими различными способами, включая веб-страницу VirusTotal, расширения браузера и API.

После отправки файла или URL-адреса основные результаты передаются отправителю, а также партнерам, проводящим экспертизу, которые используют результаты для улучшения своих собственных систем. В результате, отправляя файлы, URL-адреса, домены и т. Д. В VirusTotal, вы вносите свой вклад в повышение глобального уровня ИТ-безопасности.

Этот базовый анализ также является основой для нескольких других функций, включая VirusTotal Community: сеть, которая позволяет пользователям комментировать файлы и URL-адреса и обмениваться заметками друг с другом. VirusTotal может быть полезен при обнаружении вредоносного контента, а также при выявлении ложных срабатываний — обычных и безвредных элементов, которые определяются как вредоносные одним или несколькими сканерами.

Свободный и беспристрастный

VirusTotal предоставляется конечным пользователям бесплатно для некоммерческого использования в соответствии с нашими Условиями обслуживания.Хотя мы работаем с движками, принадлежащими разным организациям, VirusTotal не распространяет и не продвигает какие-либо из этих сторонних движков. Мы просто действуем как агрегатор информации. Это позволяет нам предлагать нашим пользователям объективные и непредвзятые услуги.

Многие участники

Агрегированные данные

VirusTotal являются результатом работы множества различных антивирусных механизмов, сканеров веб-сайтов, инструментов анализа файлов и URL-адресов, а также вкладов пользователей. Инструменты для определения характеристик файлов и URL-адресов, которые мы объединяем, охватывают широкий спектр целей: эвристические механизмы, сигнатуры заведомо плохих, извлечение метаданных, идентификация вредоносных сигналов и т. Д.

Повышение глобального уровня ИТ-безопасности за счет совместного использования

Отчеты о сканировании, созданные VirusTotal, доступны всему сообществу VirusTotal. Пользователи могут оставлять комментарии и голосовать за то, является ли конкретный контент вредным. Таким образом, пользователи помогают углубить коллективное понимание сообществом потенциально опасного контента и выявлять ложные срабатывания (т. Е. Безвредные элементы, обнаруженные как вредоносные одним или несколькими сканерами).

Содержимое отправленных файлов или страниц также может быть передано премиум-клиентам VirusTotal.Корпус файлов, созданный в VirusTotal, предоставляет специалистам по кибербезопасности и разработчикам продуктов безопасности ценную информацию о поведении возникающих киберугроз и вредоносных программ. Благодаря нашему коммерческому предложению премиальных услуг VirusTotal предоставляет квалифицированным клиентам и антивирусным партнерам инструменты для выполнения сложного поиска на основе критериев с целью выявления и доступа к образцам вредоносных файлов для дальнейшего изучения. Это помогает организациям обнаруживать и анализировать новые угрозы и создавать новые способы их устранения и защиты.

Обновления в реальном времени

Сигнатуры

вредоносных программ часто обновляются VirusTotal, поскольку они распространяются антивирусными компаниями, это гарантирует, что наша служба использует самые последние наборы сигнатур.

Сканирование веб-сайтов в некоторых случаях выполняется путем запроса баз данных поставщиков, которые были предоставлены VirusTotal и хранятся в наших помещениях, а в других случаях путем запросов API к решению антивирусной компании. Таким образом, как только данный участник заносит в черный список URL-адрес, это немедленно отражается в пользовательских вердиктах.

Детальные результаты

VirusTotal не только сообщает вам, обнаружило ли данное антивирусное решение отправленный файл как вредоносный, но также отображает метку обнаружения каждого ядра (например, I-Worm.Allaple.gen). То же самое верно и для сканеров URL-адресов, большинство из которых будет различать сайты с вредоносными программами, фишинговые сайты, подозрительные сайты и т. Д. Некоторые механизмы предоставляют дополнительную информацию, явно указывая, принадлежит ли данный URL-адрес конкретному ботнету, бренд которого нацелен на данный фишинговый сайт и так далее.

Настольные приложения — VirusTotal

VirusTotal также предлагает несколько клиентских инструментов, которые помогают пользователям более эффективно взаимодействовать со службой VirusTotal. Существуют разновидности этих инструментов для основных операционных систем, обратитесь к разделу, который вам больше всего подходит.

Windows

Mac OS X

Linux

Сторонние загрузчики

Программа загрузки Windows (не поддерживается)

ПРЕКРАЩЕННАЯ ПОДДЕРЖКА Для загрузчика Windows:

С 2017 года мы прекращаем любые обновления официального загрузчика Windows (альтернативный сторонний загрузчик с открытым исходным кодом см. В VirusTotalUploader)

Это простое настольное приложение Microsoft Windows, которое делает взаимодействие с VirusTotal простым щелчком правой кнопки мыши.Никакого технического образования не требуется. Загрузите приложение здесь и сразу приступайте к работе.

Отправка файлов на VirusTotal

С VirusTotal Uploader эта задача проста. После того, как вы загрузили и установили загрузчик, просто щелкните правой кнопкой мыши файл, который хотите загрузить, и выберите опцию VirusTotal в контекстном меню Отправить на :

Вы также можете запустить программу загрузки VirusTotal (например, щелкнув ее ярлык на рабочем столе) и нажать кнопку «Выбрать файл (ы) и загрузить»:

Еще проще: просто выберите файлы, которые хотите загрузить, и перетащите их в окно VirusTotal Uploader.

Обратите внимание, что вы также можете использовать программу загрузки VirusTotal из командной строки. Вам просто нужно указать один или несколько файлов в качестве аргументов:

C: \ путь \ к \ vt \ uploader \ VirusTotalUpload2.exe file_to_upload.exe

Проверка запущенных процессов

Некоторые образцы вредоносного ПО продолжают работать в системе как обычные процессы. Это то, что антивирусная индустрия называет активным вредоносным ПО. Программа загрузки VirusTotal Uploader включает функцию, помогающую пользователям идентифицировать активные вредоносные программы: кнопку Загрузить исполняемый файл процесса .При нажатии этой кнопки программа загрузки VirusTotal попытается найти и прочитать файл изображения процесса и отправить его в VirusTotal для анализа.

Получение и сканирование онлайн-файлов

Еще одна удобная опция — VirusTotal извлекает и проверяет онлайн-файл, и вам не нужно сначала его загружать. Введите URL-адрес или щелкните его правой кнопкой мыши и выберите «Копировать расположение ссылки», чтобы вырезать и вставить его, а затем нажмите кнопку «Получить и загрузить» . Файл будет загружен, но не сохранен на вашем жестком диске (по умолчанию).Вы получите обычный список результатов, а затем сможете решить, хотите ли вы загрузить.

Поскольку подавляющее большинство заражений вредоносным ПО начинается с загрузки из Интернета или вложения электронной почты, мы считаем, что опция Получить и загрузить может быть очень полезной.

Загрузчик VirusTotal также можно настроить для загрузки файлов во временную папку и их последующего удаления или для сохранения их в определенном месте, нажав кнопку Options .

Программа загрузки для Mac OS X

Это настольное приложение Apple OS X упрощает взаимодействие с VirusTotal: просто перетащите файлы в приложение, чтобы отсканировать их. Никакого технического образования не требуется. Загрузите приложение здесь и сразу приступайте к работе.

Сканирование файлов

С помощью программы загрузки вы можете сканировать файлы несколькими способами:

  • Перетащите файлы в приложение, чтобы отсканировать их.

  • Выберите файлы для сканирования из меню Файл .

  • Щелкните файл правой кнопкой мыши или щелкните файл, нажмите Открыть с помощью , затем выберите приложение VirusTotal Uploader.

Например, перетащите файл в окно приложения:

Загрузчик Linux

Хотя мы не создали специальный загрузчик для Linux как таковой, ядро ​​загрузчика Mac OS X может быть скомпилировано для вашего дистрибутива, поскольку оно использует Qt, оно может действовать как кроссплатформенный. Вы можете клонировать проект по адресу https: // github.com / VirusTotal / qt-virustotal-uploader и создайте его для своей платформы.

Сторонние загрузчики

Всего вирусов — Коннекторы | Microsoft Docs

Имя Путь Тип Описание

дата

data.attributes.date целое число

ADMINUSLabs Категория

данные.attributes.results.ADMINUSLabs.category нить

Метод ADMINUSLabs

data.attributes.results.ADMINUSLabs.method нить

Результат ADMINUSLabs

data.attributes.results.ADMINUSLabs.result нить

AegisLab WebGuard Категория

данные.attributes.results.AegisLab WebGuard.category нить

Метод AegisLab WebGuard

data.attributes.results.AegisLab WebGuard.method нить

Результат AegisLab WebGuard

data.attributes.results.AegisLab WebGuard.result нить

AlienVault Категория

данные.attributes.results.AlienVault.category нить

Метод AlienVault

data.attributes.results.AlienVault.method нить

Результат AlienVault

data.attributes.results.AlienVault.result нить

Antiy-AVL категории

данные.attribute.results.Antiy-AVL.category нить

Метод Antiy-AVL

data.attributes.results.Antiy-AVL.method нить

Результат Antiy-AVL

data.attributes.results.Antiy-AVL.result нить

Категория AutoShun

данные.attributes.results.AutoShun.category нить

Метод AutoShun

data.attributes.results.AutoShun.method нить

Результат AutoShun

data.attributes.results.AutoShun.result нить

Avira Категория

данные.attributes.results.Avira.category нить

Метод Avira

data.attributes.results.Avira.method нить

Avira Результат

data.attributes.results.Avira.result нить

ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ.ИНФО Категория

data.attributes.results.BADWARE.INFO.category нить

BADWARE.INFO Метод

data.attributes.results.BADWARE.INFO.method нить

BADWARE.INFO Результат

data.attributes.results.BADWARE.INFO.result нить

Baidu-International Категория

данные.атрибуты.результаты.Baidu-International.category нить

Метод Baidu-International

data.attributes.results.Baidu-International.method нить

Baidu-International Результат

data.attributes.results.Baidu-International.result нить

BitDefender Категория

данные.attributes.results.BitDefender.category нить

Метод BitDefender

data.attributes.results.BitDefender.method нить

Результат BitDefender

data.attributes.results.BitDefender.result нить

Blueliv Категория

данные.attribute.results.Blueliv.category нить

Метод Blueliv

data.attributes.results.Blueliv.method нить

Blueliv Результат

data.attributes.results.Blueliv.result нить

CLEAN MX Категория

данные.attributes.results.CLEAN MX.category нить

Метод CLEAN MX

data.attributes.results.CLEAN MX.method нить

CLEAN MX Результат

data.attributes.results.CLEAN MX.result нить

CRDF Категория

данные.attributes.results.CRDF.category нить

Метод CRDF

data.attributes.results.CRDF.method нить

Результат CRDF

data.attributes.results.CRDF.result нить

Comodo Site Inspector Категория

данные.attributes.results.Comodo Site Inspector.category нить

Comodo Site Inspector Method

data.attributes.results.Comodo Site Inspector.method нить

Comodo Site Inspector Результат

data.attributes.results.Comodo Site Inspector.result нить

Категория приговора Comodo Valkyrie

данные.attribute.results.Comodo Valkyrie Verdict.category нить

Метод приговора Comodo Valkyrie

data.attributes.results.Comodo Valkyrie Verdict.method нить

Результат вердикта Comodo Valkyrie

data.attributes.results.Comodo Valkyrie Verdict.result нить

CyRadar Категория

данные.attributes.results.CyRadar.category нить

Метод CyRadar

data.attributes.results.CyRadar.method нить

Результат CyRadar

data.attributes.results.CyRadar.result нить

Категория киберпреступлений

данные.attributes.results.CyberCrime.category нить

Метод CyberCrime

data.attributes.results.CyberCrime.method нить

Результат CyberCrime

data.attributes.results.CyberCrime.result нить

DNS8 Категория

данные.attributes.results.DNS8.category нить

DNS8 Метод

data.attributes.results.DNS8.method нить

DNS8 Результат

data.attributes.results.DNS8.result нить

Категория Dr.Web

данные.attributes.results.Dr.Web.category нить

Метод Dr.Web

data.attributes.results.Dr.Web.method нить

Результат Dr.Web

data.attributes.results.Dr.Web.result нить

ESET Категория

данные.attributes.results.ESET.category нить

Метод ESET

data.attributes.results.ESET.method нить

Результат ESET

data.attributes.results.ESET.result нить

ESTsecurity-Threat Внутри категории

данные.attribute.results.ESTsecurity-Threat Inside.category нить

ESTsecurity-Threat Inside Метод

data.attributes.results.ESTsecurity-Threat Inside.method нить

ESTsecurity-Threat Inside Результат

data.attributes.results.ESTsecurity-Threat Inside.result нить

Категория Emsisoft

данные.attributes.results.Emsisoft.category нить

Метод Emsisoft

data.attributes.results.Emsisoft.method нить

Результат Emsisoft

data.attributes.results.Emsisoft.result нить

Категория EonScope

данные.attributes.results.EonScope.category нить

Метод EonScope

data.attributes.results.EonScope.method нить

Результат EonScope

data.attributes.results.EonScope.result нить

Forcepoint ThreatSeeker Категория

данные.attributes.results.Forcepoint ThreatSeeker.category нить

Метод поиска угроз Forcepoint

data.attributes.results.Forcepoint ThreatSeeker.method нить

Forcepoint ThreatSeeker Результат

data.attributes.results.Forcepoint ThreatSeeker.result нить

Fortinet Категория

данные.attributes.results.Fortinet.category нить

Метод Fortinet

data.attributes.results.Fortinet.method нить

Результат Fortinet

data.attributes.results.Fortinet.result нить

Категория FraudScore

данные.attributes.results.FraudScore.category нить

Метод FraudScore

data.attributes.results.FraudScore.method нить

Результат FraudScore

data.attributes.results.FraudScore.result нить

Категория FraudSense

данные.attributes.results.FraudSense.category нить

Метод FraudSense

data.attributes.results.FraudSense.method нить

Результат FraudSense

data.attributes.results.FraudSense.result нить

Категория G-Data

данные.attributes.results.G-Data.category нить

Метод G-Data

data.attributes.results.G-Data.method нить

Результат G-Data

data.attributes.results.G-Data.result нить

Категория безопасного просмотра Google

данные.attributes.results.Google Safebrowsing.category нить

Метод безопасного просмотра Google

data.attributes.results.Google Safebrowsing.method нить

Результат безопасного просмотра Google

data.attributes.results.Google Safebrowsing.result нить

K7 Категория защиты от вирусов

данные.attributes.results.K7AntiVirus.category нить

K7 Антивирусный метод

data.attributes.results.K7AntiVirus.method нить

K7 Результат антивируса

data.attributes.results.K7AntiVirus.result нить

Категория Касперского

данные.attribute.results.Kaspersky.category нить

Метод Касперского

data.attributes.results.Kaspersky.method нить

Результат Касперского

data.attributes.results.Kaspersky.result нить

Malc0de Категория базы данных

данные.attributes.results.Malc0de Database.category нить

Метод базы данных Malc0de

data.attributes.results.Malc0de Database.method нить

Результат базы данных Malc0de

data.attributes.results.Malc0de Database.result нить

Малекал Категория

данные.attributes.results.Malekal.category нить

Метод Малекала

data.attributes.results.Malekal.method нить

Малекал Результат

data.attributes.results.Malekal.result нить

Черный список вредоносных доменов Категория

данные.attributes.results.Черный список вредоносного домена.категория нить

Метод черного списка вредоносных доменов

data.attributes.results.Malware Domain Blocklist.method нить

Результат черного списка вредоносных доменов

data.attributes.results.Черный список вредоносных доменов.result нить

Категория MalwareDomainList

данные.attributes.results.MalwareDomainList.category нить

Метод MalwareDomainList

data.attributes.results.MalwareDomainList.method нить

MalwareDomainList, результат

data.attributes.results.MalwareDomainList.result нить

Категория MalwarePatrol

данные.attributes.results.MalwarePatrol.category нить

Метод MalwarePatrol

data.attributes.results.MalwarePatrol.method нить

Результат MalwarePatrol

data.attributes.results.MalwarePatrol.result нить

Malwarebytes Категория HPHosts

данные.attributes.results.Malwarebytes hpHosts.category нить

Malwarebytes Метод hpHosts

data.attributes.results.Malwarebytes hpHosts.method нить

Malwarebytes Результат hpHosts

data.attributes.results.Malwarebytes hpHosts.result нить

Категория вредоносных программ

данные.attributes.results.Malwared.category нить

Вредоносный метод

data.attributes.results.Malwared.method нить

Результат Malwared

data.attributes.results.Malwared.result нить

Категория Netcraft

данные.attributes.results.Netcraft.category нить

Метод Netcraft

data.attributes.results.Netcraft.method нить

Результат Netcraft

data.attributes.results.Netcraft.result нить

Категория NotMining

данные.attributes.results.NotMining.category нить

Метод NotMining

data.attributes.results.NotMining.method нить

Результат NotMining

data.attributes.results.NotMining.result нить

Nucleon Категория

данные.attributes.results.Nucleon.category нить

Нуклонный метод

data.attributes.results.Nucleon.method нить

Нуклон Результат

data.attributes.results.Nucleon.result нить

Категория OpenPhish

данные.attributes.results.OpenPhish.category нить

Метод OpenPhish

data.attributes.results.OpenPhish.method нить

Результат OpenPhish

data.attributes.results.OpenPhish.result нить

Opera Категория

данные.attributes.results.Opera.category нить

Opera Метод

data.attributes.results.Opera.method нить

Результат Opera

data.attributes.results.Opera.result нить

Категория PhishLabs

данные.attributes.results.PhishLabs.category нить

Метод PhishLabs

data.attributes.results.PhishLabs.method нить

Результат PhishLabs

data.attributes.results.PhishLabs.result нить

Phishtank категории

данные.attribute.results.Phishtank.category нить

Метод Phishtank

data.attributes.results.Phishtank.method нить

Phishtank Результат

data.attributes.results.Phishtank.result нить

Quttera Категория

данные.attributes.results.Quttera.category нить

Метод Quttera

data.attributes.results.Quttera.method нить

Результат Куттера

data.attributes.results.Quttera.result нить

Восходящая категория

данные.attributes.results.Rising.category нить

Метод подъема

data.attributes.results.Rising.method нить

Результат роста

data.attributes.results.Rising.result нить

ПОСУДА.org Категория

data.attributes.results.SCUMWARE.org.category нить

SCUMWARE.org Метод

data.attributes.results.SCUMWARE.org.method нить

SCUMWARE.org Результат

data.attributes.results.SCUMWARE.org.result нить

SecureBrain Категория

данные.attributes.results.SecureBrain.category нить

Метод SecureBrain

data.attributes.results.SecureBrain.method нить

Результат SecureBrain

data.attributes.results.SecureBrain.result нить

Segasec Категория

данные.attributes.results.Segasec.category нить

Метод Segasec

data.attributes.results.Segasec.method нить

Результат Segasec

data.attributes.results.Segasec.result нить

Sophos Категория

данные.attributes.results.Sophos.category нить

Метод Sophos

data.attributes.results.Sophos.method нить

Результат Sophos

data.attributes.results.Sophos.result нить

Спам404 Категория

данные.attributes.results.Spam404.category нить

Метод Spam404

data.attributes.results.Spam404.method нить

Спам404 Результат

data.attributes.results.Spam404.result нить

Категория Spamhaus

данные.attributes.results.Spamhaus.category нить

Метод Spamhaus

data.attributes.results.Spamhaus.method нить

Результат Spamhaus

data.attributes.results.Spamhaus.result нить

Категория StopBadware

данные.attributes.results.StopBadware.category нить

Метод StopBadware

data.attributes.results.StopBadware.method нить

Результат StopBadware

data.attributes.results.StopBadware.result нить

Sucuri Категория проверки сайта

данные.attributes.results.Sucuri SiteCheck.category нить

Sucuri SiteCheck Method

data.attributes.results.Sucuri SiteCheck.method нить

Sucuri Результат проверки сайта

data.attributes.results.Sucuri SiteCheck.result нить

Tencent Категория

данные.attributes.results.Tencent.category нить

Метод Tencent

data.attributes.results.Tencent.method нить

Результат Tencent

data.attributes.results.Tencent.result нить

Категория ThreatHive

данные.attributes.results.ThreatHive.category нить

Метод ThreatHive

data.attributes.results.ThreatHive.method нить

Результат ThreatHive

data.attributes.results.ThreatHive.result нить

Категория угрозы

данные.attributes.results.Trustwave.category нить

Метод Threatwave

data.attributes.results.Trustwave.method нить

Результат Threatwave

data.attributes.results.Trustwave.result нить

Категория URL-запроса

данные.attributes.results.URLQuery.category нить

Метод URLQuery

data.attributes.results.URLQuery.method нить

Результат URLQuery

data.attributes.results.URLQuery.result нить

Категория URLhaus

данные.attributes.results.URLhaus.category нить

Метод URLhaus

data.attributes.results.URLhaus.method нить

Результат URLhaus

data.attributes.results.URLhaus.result нить

VX Vault категории

данные.attribute.results.VX Vault.category нить

Метод хранилища VX

data.attributes.results.VX Vault.method нить

Результат Хранилища VX

data.attributes.results.VX Vault.result нить

Категория сканирования внешнего сайта Virusdie

данные.attributes.results.Virusdie Сканирование внешнего сайта. категория нить

Метод сканирования внешнего сайта Virusdie

data.attributes.results.Virusdie External Site Scan.method нить

Результат сканирования внешнего сайта Virusdie

data.attributes.results.Virusdie External Site Scan.result нить

Web Security Guard Категория

данные.attributes.results.Web Security Guard.категория нить

Метод веб-безопасности

data.attributes.results.Web Security Guard.method нить

Результат охранника сети

data.attributes.results.Web Security Guard.result нить

Категория безопасного просмотра Яндекса

данные.attribute.results.Yandex Safebrowsing.category нить

Метод безопасного просмотра Яндекса

data.attributes.results.Yandex Safebrowsing.method нить

Результат безопасного просмотра Яндекса

data.attributes.results.Yandex Safebrowsing.result нить

ZCloudsec Категория

данные.attributes.results.ZCloudsec.category нить

Метод ZCloudsec

data.attributes.results.ZCloudsec.method нить

Результат ZCloudsec

data.attributes.results.ZCloudsec.result нить

ZDB Zeus Категория

данные.attributes.results.ZDB Zeus.category нить

ZDB Zeus Method

data.attributes.results.ZDB Zeus.method нить

ZDB Zeus Результат

data.attributes.results.ZDB Zeus.result нить

ZeroCERT Категория

данные.attributes.results.ZeroCERT.category нить

Метод ZeroCERT

data.attributes.results.ZeroCERT.method нить

Результат ZeroCERT

data.attributes.results.ZeroCERT.result нить

Zerofox Категория

данные.attributes.results.Zerofox.category нить

Метод Zerofox

data.attributes.results.Zerofox.method нить

Результат Zerofox

data.attributes.results.Zerofox.result нить

ZeusTracker Категория

данные.attributes.results.ZeusTracker.category нить

Метод ZeusTracker

data.attributes.results.ZeusTracker.method нить

Результат ZeusTracker

data.attributes.results.ZeusTracker.result нить

desenmascara.мне Категория

data.attributes.results.desenmascara.me.category нить

desenmascara.me Метод

data.attributes.results.desenmascara.me.method нить

desenmascara.me Результат

data.attributes.results.desenmascara.me.result нить

вредоносных программ.com Проверка URL Категория

data.attributes.results.malwares.com URL checker.category нить

Malwares.com URL проверки Метод

data.attributes.results.malwares.com URL checker.method нить

Malwares.com Проверка URL Результат

data.attributes.results.malwares.com URL checker.result нить

секуролитик Категория

data.attributes.results.securolytics.category нить

секуролитик Метод

data.attributes.results.securolytics.method нить

securolytics Результат

данные.attributes.results.securolytics.result нить

zvelo Категория

data.attributes.results.zvelo.category нить

метод звело

data.attributes.results.zvelo.method нить

zvelo Результат

данные.attributes.results.zvelo.result нить

безобидная статистика

data.attributes.stats.harmless целое число

вредоносный

data.attributes.stats.malicious целое число

подозрительно

данные.attributes.stats.suspicious целое число

TimeOut

data.attributes.stats.timeout целое число

необнаружены

data.attributes.stats.undetected целое число

статус

данные.attributes.status нить

id

data.id нить

тип

data.type нить

url_info Id

meta.url_info.id нить

url

мета.url_info.url нить

VirusTotal / vt-cli: Интерфейс командной строки VirusTotal

Добро пожаловать в VirusTotal CLI, инструмент, разработанный для тех, кто любит как VirusTotal, так и интерфейсы командной строки. С помощью этого инструмента вы можете делать все, что обычно делаете на веб-странице VirusTotal, в том числе:

И многое другое …

Посмотреть в действии

Начало работы

Поскольку этот инструмент использует VirusTotal API под капотом, вам понадобится ключ API VirusTotal.Зарегистрировавшись на VirusTotal, вы получите бесплатный ключ API, однако бесплатные ключи API имеют ограниченное количество запросов в минуту, и у них нет доступа к некоторым дополнительным функциям, таким как поиск и загрузка файлов. Если вы заинтересованы в использовании этих премиальных функций, свяжитесь с нами.

Установка инструмента

Для установки инструмента вы можете загрузить один из предварительно скомпилированных двоичных файлов, которые мы предлагаем для Windows, Linux и Mac OS X, или, в качестве альтернативы, вы можете скомпилировать его самостоятельно из исходного кода.Для компиляции программы вам понадобится Go 1.14.x или более поздняя версия, установленная в вашей системе, и введите следующие команды:

  $ git clone https://github.com/VirusTotal/vt-cli
$ cd vt-cli
$ make install
  

Заметка о консоли Windows

Если вы планируете использовать vt-cli в Windows на регулярной основе, мы настоятельно рекомендуем вам избегать стандартной консоли Windows и использовать вместо нее Cygwin. Консоль Windows очень медленная на при печати больших объемов текста (как это обычно делает vt-cli), в то время как Cygwin работает намного лучше.Кроме того, вы можете воспользоваться поддержкой Cygwin для автозаполнения команд, удобной функции, которую консоль Windows не предлагает. Чтобы воспользоваться преимуществами автозаполнения, обязательно включите пакет bash-completion при установке Cygwin.

Настройка ключа API

После установки инструмента vt-cli вы можете настроить его с помощью ключа API. Это не является строго обязательным, так как вы можете предоставлять свой ключ API каждый раз, когда запускаете инструмент, используя опцию --apikey ( -k в краткой форме), но это немного хлопотно, если вы собираетесь часто пользуйтесь инструментом (и мы уверены, что вы это сделаете!).Для настройки ключа API просто введите:

Эта команда запросит ваш ключ API и сохранит его в файле конфигурации в вашем домашнем каталоге (~ / .vt.toml). Вы также можете указать свой ключ API, используя переменную среды VTCLI_APIKEY . Если вы укажете свой ключ API несколькими способами, параметр --apikey будет иметь наивысший приоритет, за ним следует переменная среды VTCLI_APIKEY , ключ API в файле конфигурации будет использоваться в крайнем случае.

Использование с прокси

Если вы используете HTTP-прокси, вы можете указать vt-cli , который является адресом вашего прокси-сервера, несколькими способами. Один из них использует параметр --proxy , например:

  $ vt --proxy http://myproxy.com:1234 <команда>
  

Вы также можете использовать переменную среды VTCLI_PROXY или добавить следующую строку в файл конфигурации:

  proxy = "http://myproxy.com:1234"
  

Завершение установки Bash

Если вы собираетесь часто использовать этот инструмент, вам может потребоваться автоматическое завершение команд.Это экономит драгоценное время и количество нажатий клавиш. Обратите внимание, однако, что вы должны настроить свой API, как описано в предыдущем разделе с до , выполнив шаги, перечисленные ниже. API необходим для определения команд, к которым у вас будет доступ.

  • Linux:

      $ vt завершение bash> /etc/bash_completion.d/vt
      
  • Mac OS X:

      $ brew install bash-Завершение
    $ vt завершение bash> $ (brew --prefix) / etc / bash_completion.д / вт
      

    Добавьте следующие строки в ~ / .bash_profile

      если [-f $ (brew --prefix) / etc / bash_completion]; потом
    . $ (brew --prefix) / etc / bash_completion
    фи
      
  • Cygwin:

    Убедитесь, что установлен пакет bash-completion (Cygwin не устанавливает его по умолчанию) и введите:

      $ vt завершение bash> / usr / share / bash-completions / vt
      

❗ Вам может потребоваться перезапустить оболочку, чтобы автозаполнение начало работать.

Примеры использования

  • Получить информацию о файле:

      $ vt файл 8739c76e681f3b900c9df0ef75cf421d39cabb54650c4b9ad19b6a76d85
      
  • Получить отчет об анализе для файла:

      $ # Идентификаторы анализа файлов могут быть заданы как `f-  - ` ...
    Анализ $ vt f-8739c76e681f3b900c9df0ef75cf421d39cabb54650c4b9ad19b6a76d85-1546309359
    $ # ... или как строка в кодировке Base64, полученная из команды `vt scan file`:
    $ vt сканирование файла test.текст
    test.txt MDJiY2FiZmZmZmQxNmZlMGZjMjUwZjA4Y2FkOTVlMGM6MTU0NjQ1NDUyMA ==
    $ vt анализ MDJiY2FiZmZmZmQxNmZlMGZjMjUwZjA4Y2FkOTVlMGM6MTU0NjQ1NDUyMA ==
    - _id: "MDJiY2FiZmZmZmQxNmZlMGZjMjUwZjA4Y2FkOTVlMGM6MTU0NjQ1NDUyMA =="
      _type: "анализ"
      дата: 1546454520 # 2019-01-02 13:42:00 -0500 EST
      статистика:
        сбой: 0
        безвредный: 0
        вредоносный: 0
        подозрительно: 0
        тайм-аут: 0
        неподдерживаемый тип: 0
        необнаруженные: 0
      статус: "в очереди"
      
  • Загрузите файлы со списком хэшей в текстовом файле, по одному хешу на строку:

      $ cat / path / list_of_hashes.txt | vt скачать -
      
  • Получить информацию об URL:

      $ vt url http://www.virustotal.com
      
  • Получите IP-адрес, который обслуживает URL-адрес:

      $ vt url last_serving_ip_address http://www.virustotal.com
      
  • Искать файлы:

      $ vt поиск "положительных результатов: 5+ тип: pdf"
      

Получение только того, что вы хотите

Когда вы запрашиваете информацию о файле, URL, домене, IP-адресе или любом другом объекте в VirusTotal, вы получаете много данных (по умолчанию в формате YAML), которые обычно больше, чем вам нужно.Вы можете сузить информацию, отображаемую инструментом vt-cli, используя параметры командной строки --include и --exclude (сокращенно -i и -x ).

Эти параметры принимают шаблоны, которые сопоставляются с полями, составляющими данные, и позволяют вам включать только их подмножество или исключать любые поля, которые вам не интересны. Давайте посмотрим, как это работает на примере данных, которые у нас есть о http://www.virustotal.com :

  $ vt url http: // www.virustotal.com
- _id: 1db0ad7dbcec0676710ea0eaacd35d5e471d3e11944d53bcbd31f0cbd11bce31
  _type: "url"
  first_submission_date: 12753 # 2010-06-01 13:24:05 +0200 CEST
  last_analysis_date: 1532442650 # 2018-07-24 16:30:50 +0200 CEST
  last_analysis_results:
    ADMINUSLabs:
      категория: «безвредный»
      имя_двигателя: "ADMINUSLabs"
      результат: "чистый"
    AegisLab WebGuard:
      категория: «безвредный»
      имя_двигателя: "AegisLab WebGuard"
      результат: "чистый"
    AlienVault:
      категория: «безвредный»
      Engine_name: "AlienVault"
      результат: "чистый"
  last_http_response_code: 200
  last_http_response_content_length: 7216
  last_http_response_content_sha256: "7ed66734d9fb8c5a922fffd039c1cd5d85f8c2bb39d14803983528437852ba94"
  last_http_response_headers:
    возраст: «26»
    cache-control: "общедоступный, max-age = 60"
    длина содержимого: "7216"
    тип содержимого: "текст / html"
    date: "Вт, 24 июл 2018 14:30:24 GMT"
    etag: "\" bGPKJQ \ ""
    истекает: "Вт, 24 июл 2018 14:31:24 GMT"
    сервер: "Google Frontend"
    x-cloud-trace-context: "131ac6cb5e2cdb7970d54ee42fd5ce4a"
    x-frame-options: "ОТКАЗАТЬ"
  last_submission_date: 1532442650 # 2018-07-24 16:30:50 +0200 CEST
  частный: ложь
  репутация: 1484
  times_submitted: 213227
  total_votes:
    безвредный: 660
    вредоносный: 197
  

Обратите внимание, что возвращаемые данные обычно следуют иерархической структуре с некоторыми полями верхнего уровня, которые могут содержать подполя, которые, в свою очередь, могут содержать свои собственные подполя.В приведенном выше примере last_http_response_headers имеет подполя age , cache-control , content-length и так далее, а total_votes имеет безобидных и вредоносных . Для ссылки на конкретное поле в иерархии мы можем использовать путь, аналогично тому, как мы идентифицируем файл на наших компьютерах, но в этом случае мы собираемся использовать символ точки (.) В качестве разделителя для компонентов пути вместо косая черта (или обратная косая черта), используемая в большинстве файловых систем.Следующие допустимые пути для структуры нашего примера:

  • last_http_response_headers.age
  • total_votes.harmless
  • last_analysis_results.ADMINUSLabs.category
  • last_analysis_results.ADMINUSLabs.engine_name

Фильтры, принимаемые обоими --include и --exclude , представляют собой пути, в которых мы можем использовать * и ** в качестве заполнителей для одного и нескольких элементов пути соответственно.Например, foo. * соответствует foo.bar , но не foo.bar.baz , а foo. ** соответствует foo.bar , foo.bar.baz и foo.bar. baz.qux . С другой стороны, foo. *. Qux соответствует foo.bar.qux и foo.baz.qux , но не foo.bar.baz.qux , а foo. **. Qux соответствует foo.bar.baz.qux и любой другой путь, начинающийся с foo и заканчивающийся qux .

Для выбора только тех полей, которые вам нужны, вы должны использовать --include , за которым следует шаблон пути, как описано выше. Вы также можете включить более одного шаблона, используя аргумент --include несколько раз или используя его со списком шаблонов, разделенных запятыми. Следующие два варианта эквивалентны:

  $ vt url http://www.virustotal.com --include = replication --include = total_votes. *
$ vt url http://www.virustotal.com --include = репутация, total_votes.*
  

Здесь у вас есть разные примеры с их выходными данными (при условии, что vt url http://www.virustotal.com возвращает структуру, показанную выше):

  $ vt url http://www.virustotal.com --include = last_http_response_headers.server
- last_http_response_headers:
    сервер: "Google Frontend"
  
  $ vt url http://www.virustotal.com --include = last_http_response_headers. *
- last_http_response_headers:
    возраст: «26»
    cache-control: "общедоступный, max-age = 60"
    длина содержимого: "7216"
    тип содержимого: "текст / html"
    date: "Вт, 24 июл 2018 14:30:24 GMT"
    etag: "\" bGPKJQ \ ""
    истекает: "Вт, 24 июл 2018 14:31:24 GMT"
    сервер: "Google Frontend"
    x-cloud-trace-context: "131ac6cb5e2cdb7970d54ee42fd5ce4a"
    x-frame-options: "ОТКАЗАТЬ"
  
  $ vt url http: // www.virustotal.com --include = last_analysis_results. **
- last_analysis_results:
    ADMINUSLabs:
      категория: «безвредный»
      имя_двигателя: "ADMINUSLabs"
      результат: "чистый"
    AegisLab WebGuard:
      категория: «безвредный»
      имя_двигателя: "AegisLab WebGuard"
      результат: "чистый"
    AlienVault:
      категория: «безвредный»
      Engine_name: "AlienVault"
      результат: "чистый"
  
  $ vt url http://www.virustotal.com --include = last_analysis_results. *. Result
- last_analysis_results:
    ADMINUSLabs:
      результат: "чистый"
    AegisLab WebGuard:
      результат: "чистый"
    AlienVault:
      результат: "чистый"
  
  $ vt url http: // www.virustotal.com --include = **. результат
- last_analysis_results:
    ADMINUSLabs:
      результат: "чистый"
    AegisLab WebGuard:
      результат: "чистый"
    AlienVault:
      результат: "чистый"
  

Также обратите внимание, что _id и _type также являются именами полей, поэтому вы можете использовать их в своих фильтрах:

  $ vt url http://www.virustotal.com --include = _id, _type, **. Result
- _id: "1db0ad7dbcec0676710ea0eaacd35d5e471d3e11944d53bcbd31f0cbd11bce31"
  _type: "файл"
  last_analysis_results:
    ADMINUSLabs:
      результат: "чистый"
    AegisLab WebGuard:
      результат: "чистый"
    AlienVault:
      результат: "чистый"
  

Параметр --exclude работает аналогично --include , но вместо включения совпадающих полей в вывод он включает все, кроме совпадающих полей.Вы можете использовать эту опцию, если хотите сохранить большую часть полей, но опустить некоторые из них, которые не представляют интереса. Если вы используете --include и --exclude одновременно --include вступает в действие первым, включая только поля, которые соответствуют --include шаблонов, а затем --exclude , удаление всех оставшихся полей, соответствующих шаблону - исключить шаблонов.

вредоносных программ — как антивирусные сканеры в VirusTotal проверяют, является ли файл вредоносным, и насколько достоверным является его отчет?

ad 1: Это действительно загружает ваш файл, но только если хэш неизвестен.В первую очередь, часть Javascript вычислит криптографический хеш (SHA-256, если я правильно помню, но может ошибаться) и отправит его. Затем движок вместо сканирования ищет хэш в уже готовой базе данных. Только если его нет или вы настаиваете, он загрузит сам файл.
Насколько это безопасно? Практически на 100%, или как можно ближе к нему. Шансы на то, что ваш файл имеет тот же хэш, что и уже отсканированный файл, но — это не тот же файл, ничтожны.Не совсем ноль, правда, но ничуть не хуже.

ad 2: Само по себе это ничего не значит, кроме «никаких проблем не обнаружено», если было зарегистрировано ноль совпадений. Что он делает, так это то, что он работает с 60-70 различными сканерами, некоторые из которых хорошо известны, а некоторые я никогда не слышал, и отображает их результаты. Которая иногда содержит ложные срабатывания и вполне может содержать ложноотрицательные результаты. Фактическая полезность антивирусных сканеров оспаривается, но, увы, она настолько хороша, насколько это возможно.По крайней мере, антивирусные сканеры относительно хорошо обнаруживают известных угроз.
Плюс, есть штука в сообществе, где пользователи могут выставлять оценки, но все сводится к тому, чтобы доверять какому-то неизвестному парню в Интернете, так что … бух.

ad 3: Вряд ли. Лучшая альтернатива — никогда не запускать программы неизвестного или даже сомнительного происхождения. Все остальное читает чайные листья. Конечно, некоторые читают чайные листья лучше, чем другие, но они все равно читают только чайные листья. Динамический анализ существует, в настоящее время он есть практически в каждом настольном антивирусном программном обеспечении (выполняя большинство системных вызовов через прокси-библиотеку), но вопрос о том, действительно ли он делает что-то полезное, кроме сжигания массивного процессора, остается под вопросом.Virus Total может быть несколько лучше , поскольку он запускает огромное количество сканеров. Неясно, действительно ли это увеличивает безопасность. Если вы думаете об этом: если предположить, что запущенные сканеры имеют , на самом деле стоит их соли, тогда один из них должен подойти. С другой стороны, если они не стоят своей соли, какая польза от их использования? Цитирую старую мудрость: если ничего не прибавить к ничего, сумма останется довольно небольшой. Или, как сказано в Fidelio : «Ничего, если ни к чему не добавить воздуха».

Если вы получили файл с предположительно заслуживающего доверия сайта , и , у вас ноль обращений к VT, то это, вероятно, обычно довольно безопасно. Еще лучше, если вы сохраните файл в течение двух недель и повторно просканируете его через две недели (при условии, что к этому времени может стать известна новая угроза). Это то, что я делаю, и я делал это за несколько лет до того, как VirusTotal даже существовал — пока он работает очень хорошо (или кажется, что работает, у меня может быть вредоносное ПО, о котором я не знаю).В конце концов, вы никогда не узнаете наверняка.

О динамическом анализе
Этого не происходит. Вы можете определить, какой анализ выполняет VirusTotal, по его отображению. Это почти наверняка не просто пересылка хэшей в какую-то другую службу (как предлагается в комментарии) из-за времени, необходимого для сканирования, и из-за того, что файлы определений не всегда синхронизированы (на самом деле большую часть времени это не так) с инструментами производителей. Вы также можете распаковать и повторно упаковать ZIP-файл (что почти наверняка приведет к получению неидентичного файла), и он будет нормально просканирован.Как это будет работать, если передаются только хеши? Не было бы … но это делает . Это, а также тот факт, что иногда тот или иной сканер не может открыть архив, указывает на то, что на самом деле происходит сканирование .
Вы можете сделать вывод, что они выполняют статическое сопоставление подписей и эвристическое сканирование, потому что сопоставление подписей — это то, что каждый AV делает и делает уже более 30 лет по умолчанию, а эвристический анализ — это то, что большинство (если не все) сканеры делают по умолчанию для тоже минимум 20 лет.

С другой стороны, вы можете быть уверены, что динамический анализ не выполняется, потому что это запрещает и непрактичный для веб-службы. Чтобы выполнить динамический анализ, вы должны запустить двоичный файл в защищенной среде (эмулятор, виртуальная машина и т. количество априори неизвестных программ. Это вряд ли реально. Кроме того, существует весьма заметный риск при запуске неизвестного программного обеспечения, которое может выполнять в основном все, что , включая запуск вредоносных служб внутри виртуальной машины или выход из нее.Вы знаете, например, что веб-браузеру или почтовому клиенту для правильной работы требуется доступ в Интернет. Как сделать так, чтобы и не предоставляли доступ к Интернету любому вредоносному ПО, которое вы запускаете? Google (владелец VirusTotal) определенно не хотел бы, чтобы его обвиняли в использовании вредоносных сервисов.
Наконец, чтобы быть уверенным, у вас должно быть 100% покрытие (иначе анализ бессмысленен, вредоносное ПО не обязательно выполняет свою работу при запуске программы), поэтому вам нужен либо человек, либо самый продвинутый робот-фаззинг в мире, чтобы обеспечить адекватный ввод в программу, поэтому она использует все возможные пути.Сделайте это для веб-службы, которой, возможно, около десяти миллионов человек пользуются каждый день, и никто не любит ждать результатов дольше минуты или двух, удачи.

10 советов для Virustotal — Как правильно использовать онлайн-сканер


Arne Arnold

Служба онлайн-проверки Virustotal использует более 70 антивирусных сканеров и множество других проверочных программ. Это идеальное средство от сомнительных файлов и ссылок. С помощью этих 10 советов вы получите максимальную отдачу от сервиса.

Если сомневаетесь, лучше получить второе мнение. Это касается сложных медицинских диагнозов, а также подозрительных файлов и веб-сайтов. Онлайн-сервис Virustotal предлагает второе мнение при подозрении на вирус. Особенность услуги: откройте

www.virustotal.com
и вы можете проверить файл на вирусы с помощью более 70 антивирусных сканеров. Таким образом, вы получаете не одну секунду, а 70 секундных мнений.

Посещение Virustotal рекомендуется, если ваша антивирусная программа сообщает, что файл является вирусом, но вы думаете, что это могло быть ложным срабатыванием.Или наоборот: ваш антивирус молчит, но вы по-прежнему считаете файл подозрительным. Здесь вы найдете лучшие советы о Virustotal.com!

Релевантно:

Обзор 10 худших вирусных ловушек

1. Как сканировать файл при подозрении на вирус

Зайдите на сайт

www.virustotal.com
и выберите «Выбрать файл» . Теперь вы можете загрузить подозрительный файл через окно выбора файла. Это может быть максимум 550 МБ, так как файл полностью передается на сервер Virustotal.После этого, в зависимости от типа файла, до 70 антивирусных сканеров проверяют файл на опасность. Результаты сканирования представлены в виде списка.

2. Как оценить результаты сканирования

Увеличить

Так выглядит типичный результат сканирования на сайте Virustotal. Один сканер подает сигнал тревоги, другой не уверен, но подавляющее большинство остальных классифицируют файл как безвредный.

Некоторые из 70 сканеров очень чувствительны.Они уже сообщают о файле как о подозрительном, если он явно не безвреден. Обычно это встроенная эвристика антивирусного сканера, которая классифицирует даже самые маленькие компоненты кода как угрозу.

К оценке результатов применимо следующее: Если только несколько сканеров сообщают о вирусе, например от одного до пяти сканеров, это также может быть ложным срабатыванием. Тем не менее, вы должны быть осторожны, чтобы не использовать файл сначала, а затем снова запустить сканирование на следующий день. Потому что, возможно, это совершенно новый вирус, о котором не знает большинство производителей антивирусов.Так что дайте производителям время более внимательно изучить этого вредителя. Если другие сканеры подадут сигнал тревоги во время проверки на следующий день, вероятно, это вирус. Если число остается прежним, вероятно, это просто ложное срабатывание.

Нежелательное, но в основном безвредное. Еще одна причина, по которой только некоторые сканеры классифицируют отсканированный файл как подозрительный, — это различие между «нежелательным программным обеспечением» и вирусом. Большинство сканеров сообщают только о явно вредоносном коде. Некоторые сканеры также жалуются на файлы, которые, например, сильно загрязнены рекламными элементами.

Подробно о результатах: Служба Virustotal объясняет индивидуальную информацию в списке результатов

на этой англоязычной странице
e.

Увеличить

С помощью бесплатного инструмента Winja вы можете одновременно загрузить несколько подозрительных файлов в Virustotal. Вы можете увидеть результаты сканирования, щелкнув второй символ увеличительного стекла сверху.

С помощью программы

Winja
быстро и легко загрузите подозрительный файл на сайт Virustotal.Запустите Winja после установки и перетащите столько файлов, сколько хотите, в область «NewsABC.net & Scan» в интерфейсе программы. Инструмент автоматически загружает файлы в мультисканер Virustotal. Вы получите результаты, нажав на второй символ увеличительного стекла сверху. Файлы отправляются в Virustotal пакетами по пять штук. В зависимости от загруженности службы получение результатов может занять некоторое время. Winja также доступна в портативной версии. Он содержится в архиве Winja вместе с установочной версией.

Увеличить

Инструмент загрузки Virustotal интегрирован в контекстное меню проводника Windows. Вы можете загрузить файл в Virustotal, щелкнув правой кнопкой мыши.

Другой инструмент поставляется непосредственно от Virustotal:

Virus total uploader
, интегрированный в контекстное меню Windows Explorer после установки. Щелкните правой кнопкой мыши один или несколько выбранных файлов и выберите запись «Отправить в Virus Total». Инструмент загружает файл в облачную службу и открывает браузер для просмотра результата сканирования.

Примечание

: Производители Virustotal прекратили поддержку инструмента. Однако в нашем тесте с Windows 10 1909 она по-прежнему работала отлично.

5. Для больших файлов: хеш вместо файла

Увеличить

В Win MD5 Free вы создаете соответствующее хеш-значение в виде контрольной суммы MD5 для каждого файла. Введите это значение в Общее количество вирусов, чтобы сохранить загруженный файл.

Если у вас очень ограниченная скорость загрузки, вы можете использовать хитрость: Virustotal запоминает результаты сканирования для всех проверенных файлов.Для этого служба создает хеш-значение в виде суммы MD5 для каждого проверенного файла. Таким образом, вам часто не нужно загружать рассматриваемый файл в Virustotal, а только его хеш-значение. Вы можете определить это с помощью такого инструмента, как

Win MD5 Free
. Скопируйте значение, перейдите на сайт www.virustotal.com и нажмите «Поиск». Вставьте туда значение и щелкните значок увеличительного стекла. Если связанный файл уже был просканирован, результаты отображаются немедленно.

6. Проверять ссылки с помощью Virus Total

Служба Virustotal проверяет не только файлы, но и ссылки или целые веб-сайты на наличие опасного содержимого.Чтобы просканировать URL, перейдите на сайт VirusTotal и нажмите кнопку URL.

Скопируйте в нее указанную ссылку и щелкните значок увеличительного стекла.

7. Как проверять веб-сайты и загрузки целиком

Увеличить

Расширение браузера VT4 Browsers сканирует ссылки, целые веб-сайты и загрузки с помощью более чем 70 сканеров Virustotal. Однако задержек нет.

Проверка URL-адресов (совет 6) более удобна с расширением браузера

VT4 browser
, которое доступно для Chrome и Firefox.Если расширение установлено, в контекстном меню браузера появляется новая запись «VT4 Browser -› Scan selected Link ». Щелкните ссылку правой кнопкой мыши, чтобы запустить команду. В качестве альтернативы вы найдете команду «Браузер VT4 -› Сканировать текущую страницу »в контекстном меню, которое вы можете использовать, если текущий сайт кажется вам подозрительным.

Расширение также автоматически проверяет загрузки. Для этого он создает контрольную сумму MD5 после загрузки файла и загружает ее в Virustotal. Так что почти не теряется пропускная способность.Небольшое всплывающее окно в браузере информирует о процессе. Если вы хотите увидеть результаты сканирования, вам необходимо перейти по соответствующей ссылке в нем.

Если сканирование загрузки не запускается автоматически, проверьте настройки расширения. Все, что вам нужно сделать, это щелкнуть значок браузера VT4 на панели инструментов браузера.

8. Как использовать один сканер для всех файлов

Всего вирусов проверяет только отдельные файлы. Если вы хотите проверить весь жесткий диск на вирусы с помощью онлайн-сканера, мы рекомендуем эту услугу

Eset online scanner
.Щелкните «Проверить сейчас». Таким образом, в вашу систему попадает EXE-файл, который вы должны запустить для сканирования.

9. Всего вирусов для смартфонов и планшетов Android

Приложение доступно для устройств Android

Virustotal Mobile
. Как и в случае с Windows, здесь служба работает как второе мнение. Он не может заменить постоянное антивирусное приложение. Однако для этого Virustotal Mobile, например, проверяет все установленные приложения. Для этой цели Virustotal предлагает около 50 сканеров.

Кроме того, Virustotal Mobile может загружать отдельные файлы с устройства Android для сканирования. Для этого запустите приложение и нажмите на значок плюса в правом нижнем углу. Выберите значок файла, а затем файл со своего устройства. Однако в нашем тесте с Android версии 10 это больше не работало. Напротив, сканирование подозрительных URL-адресов работало на всех устройствах. Для этого коснитесь знака «плюс», выберите символ земного шара и затем вставьте URL-адрес, который нужно проверить.

Android:

Как удалить вирус с мобильных устройств

10.Альтернативный онлайн-сканер вирусов для Virustotal

Увеличить

Онлайн-мультисканер Jottis Malware Scan проверяет загруженный файл всего с 15 сканерами, но загрузка выполняется быстро и надежно.

Virustotal почти всегда отлично работает. Тем не менее, неплохо знать несколько альтернатив. С одной стороны, Virustotal также может быть временно недоступен. С другой стороны, сервис был куплен Google несколько лет назад. Некоторые пользователи не хотят предоставлять Google больше данных через эту службу.Он также служит вашей собственной защите данных, если вы не загружаете файлы в Virustotal или, по крайней мере, не загружаете их постоянно.

Virscan.org
: онлайн-сервис http://virscan.org выпускает 49 сканеров для загруженного вами файла. В нашем тесте загрузка занимала больше времени, чем с другими сервисами, но результаты сканирования появлялись довольно быстро.

Opswat
: Облачная служба Opswat Metadefender (https://metadefender.opswat.com/#!/) проверяет загруженный файл с помощью 37 антивирусных сканеров.Для этого нажмите на символ скрепки. В пункте меню «История сканирования» вы можете увидеть, сканировался ли файл раньше и каковы были результаты.

Jottis Malware Scan
: эта онлайн-служба по адресу https://virusscan.jotti.org проверяет загруженный файл с меньшим количеством сканеров, но их все еще 15.

Избегайте типосквоттинга на Virustotal.com

Типосквоттинг — это метод заманивания люди с похожими веб-адресами на другой веб-сайт. Веб-адреса известных сайтов аналогичны.Также говорят о доменах опечаток. Классическим примером этого является адрес postbank.de, который также известен как postank.de, pstbank в области типосквоттинга. de или ostbank.de дает или может дать. В случае с банками, это в основном попытки фишинга, в которых преступники хотят получить данные доступа клиентов банка. Но дело не всегда в фишинге. Часто операторы доменов с опечатками просто хотят иметь много посетителей на своем веб-сайте, не рекламируя их в Google.Примером этого является домен

www.virus-total.com

. Он очень похож на веб-сайт

www.virustotal.com
, где вы можете загружать подозрительные файлы для проверки на наличие вредоносных программ. Но если вы введете www.virus-total.com в свой браузер, вы попадете на сайт покупок (по состоянию на август 2020 года). Ранее ссылка вела на онлайн-казино.

Обзор Typosquatting:

Если вы хотите получить обзор типичных доменов с опечатками для определенного адреса, позвоните

на этот веб-сайт
и войдите на законный веб-сайт.Например,

postbank.de

Сайт знает около 260 похожих адресов, а также проверяет, используются ли они в настоящее время.

Кто сайт

www.virustotal.com
из-за опечатки домена, инструмент Winja можно использовать в качестве альтернативы, den

Virus total uploader
или расширение браузера

VT4 browser
использовать.

Показать описание видео

Наконец-то появился Android 11, LG представляет смартфон с поворотным дисплеем, а Apple вытесняет тысячи ожидающих фанатов и «только» объявляет дату Apple Event 2020: на этой неделе много всего происходило в мире технологий.Во втором выпуске «Technikliebe News» Саймон раскрывает все, что вам нужно знать.

Расширение файлов — Virus Total Private API

Информация о файлах с использованием интеграции Virus Total Private API.

Зависимости #

В этой книге используются следующие вспомогательные книги, интеграции и сценарии.

Вспомогательные книги воспроизведения #

В этой книге воспроизведения не используются никакие вспомогательные книги воспроизведения.

Integrations #

Scripts #

В этом сборнике сценариев не используются.

Команды #

  • vt-private-get-file-report
  • vt-private-check-file-behavior

Входы Playbook #


Имя
01 Описание   Значение по умолчанию 
Источник Обязательно
MD5 Хеш MD5 для обогащения. MD5 Файл Необязательно
SHA256 Хэш SHA256 для обогащения. SHA256 Файл Необязательно
SHA1 Хэш SHA1 для обогащения. Файл неизвестно
DBotScore.Индикатор Тестируемый индикатор. строка
File.SHA1 SHA1-хэш файла. строка
File.SHA256 SHA256-хэш файла. строка
File.Malicious.Vendor Поставщик, который решил, что файл является вредоносным. строка
File.MD5 MD5-хэш файла. строка
DBotScore Объект DBotScore. неизвестно
DBotScore.Type Тип индикатора. строка
DBotScore.Vendor Поставщик, используемый для расчета оценки. строка
DBotScore.Score Фактический результат. номер
File.VirusTotal.Scans Объект проверки. неизвестно
File.VirusTotal.Scans.Source Поставщик сканирования для этого хэша. неизвестно
File.VirusTotal.Scans.Detected Обнаружение сканирования для этого хэша. Может быть True или False. неизвестно
File.VirusTotal.Scans.Result Результат сканирования для этого хэша.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *