Virustotal com ru: Тотальная проверка. Используем API VirusTotal в своих проектах — «Хакер»

Мне было интересно, как такой сайт, как SO, отслеживает просмотры конкретного вопроса. Они должны хранить их в отдельном столе, верно? Может быть, с FK на userID, questionID, а? а как насчет…

Я ищу веб-сайт с открытым исходным кодом, который имеет ту же функциональность, что и веб-сайт stackoverflow для FAQ целей. Я имею в виду, когда мы вводим вопрос в базу данных, когда следующий…

Я хочу войти на сайт типа stackoverflow или codeproject с сервера. Есть ли какой-нибудь способ войти на такой сайт, как этот, используя класс WebClient ?

Есть ли такой сайт Ruby, как этот http:/ / python.mirocommunity.org (python видео)? Это отличный сайт Python, любите находить эквивалентный сайт RUBY какие-нибудь идеи? Может быть, кто-то должен…

Как создать такой сайт, как ning ? Какой язык программирования используется для кодирования такого сайта ? Я новичок в веб-дизайне, я хотел бы получить некоторую помощь от людей или энтузиастов,. ..

этот сайт больше не работает, так как я не могу заставить его работать, он раньше работал. есть ли такая служба RELIABLE http://freegeoip.net /

В настоящее время я работаю над установщиком пакетов нескольких антивирусов для клиента, и у меня возникла проблема с описательным текстом, который не работает так, как это задокументировано для…

Я получаю сообщение Virus Detected на Gmail для одного из приложений Android , которые я разрабатываю. Как ни странно, это не значит, что Gmail не допускает вложений apk, потому что я уже отправлял…

Во-первых, на самом деле это не вирус, который используется для шпионажа или кражи банковских счетов. Я даже не знаю, вирус ли это вообще. Я только сделал это, чтобы троллить друзей/людей, которых я…

Я хотел бы построить таблицу непредвиденных обстоятельств-например, для такой базы данных пациентов, как эта : > data <- data.frame(Patient_nb = c(patient1, patient1, patient2, patient3,…

Обзор онлайн антивирусных сканеров

Автор: admin.

  Сравнивать и сопоставлять между собой онлайновые антивирусные сканеры и антивирусные программы, установленные на компьютере, наверное совершенно глупо. По-этому поводу можно сказать очень просто — хорошо, что они такие есть и мы можем, в случае необходимости, ими воспользоваться. А так как, мы имеем дело всё-таки с Linux, а не с Windows, то и в данный обзор вошли не все представители этой «цепочки», потому, что некоторые из них, конкретно «заточены» именно под Windows. Тем не менее, набор, как мне кажется, получился интересным.

Наилучшие.

VirusTotal:  https://www.virustotal.com/ru/

  Очень хороший онлайн-сканер, который проводит сканирование по 50-ти самым известным мировым антивирусным базам. Проверить можно не только отдельные файлы, размером до 64 МБ., но и URL-адреса. Результат выводится в табличной форме по всем пятидесяти позициям.

Dr.Web Online Scanner: https://vms.drweb.com/online/

  Марка антивируса в представлении не нуждается. Работает исключительно с собственной антивирусной базой, также, как и VirusTotal, умеет сканировать URL-адреса и файлы по отдельности. О допустимых размерах речи не идёт.

VirScan.org: http://r.virscan.org/

 VirSCAN.org — это очень серьёзный, бесплатный онлайновый сервис для сканирования файлов несколькими антивирусными технологиями одновременно, порядка 37, где-то так. Сканировать можно только файлы размером до 20 МБ. и архивы RAR\ZIP с количеством содержимых файлов не более 20 шт. Сам сайт немного тугодумный, но в целом, работает качественно.

Антивирусный сканер Jotti: http://virusscan.jotti.org/ru

  Продукт был специально оптимизирован для пользователей Linux. Проверка файлов в данном случае осуществляется 19 различными сканерами. Загружаемый файл не должен превышать размер в 25 Мб. Всё работает в приемлимом режиме, можно пользоваться.

Антивирус «Блокада» (Белоруссия): http://www.anti-virus.by/check/

  Нормальный сканер, не знаю правда, что из себя представляет сам антивирусник. Сканирование ведётся по собственным антивирусным базам, сканировать можно как отдельные файлы, так и в группе, но в этом случае, они обязательно должны быть упакованы в архив. О допустимых размерах, нечего, нигде не сказано.

Nano Antivirus: http://www.nanoav.ru/

  Сам антивирус довольно известной марки и его брэнд находится в топовых позициях популярности, а вот онлайновый сканер, мне показался каким-то глюковатым (возможно, что это временные проблемы). Сканировать можно только файлы, размер не более 20 МБ.

Необычные.

NQ Mobile Online Scanner: http://nq.comss.ru/

  NQ Mobile Online Scanner — бесплатный «облачный» сканер, позволяющий проверять на вирусы и вредоносный код мобильные приложения таких систем, как Android, Symbian S60, KJava и Windows Mobile (для форматов файлов “ .apk”, “.sisx”, “.sis”, “.jar” и “.cab” до 50 MB). Также, можно просканировать ссылку загрузки приложения.

AVC Antivirus: http://www.av-comparatives.org

  Ещё один атнивирусный сканер, предназначенный для проверки файлов для «андройда». Без регистрации можно скарировать до 7 МБ., с регистрацией больше. Никаких сканирований линков и нечего другого нет. Как работает и что собой представляет, сказать нечего не могу, по мнению других, вроде бы всё неплохо.

Rapid7 (Router Security Check): http://upnp-check. rapid7.com/.

  Очень интересный сканер, предназначенный для проверки рутеров на наличие различных заражений. Реально проверял, запустив сканирование, всё работает!

Обычные, но с какими-то проблемами.

File Verdict Service (от Comodo Antivirus): http://valkyrie.comodo.com/

  Работает вероятно, строго по своим собственным антивирусным базам, проверять может файлы до 20 МБ. Лично мне так и не удалось загрузить простой текстовый файл для проверки (в чём проблема не знаю, вполне может обыть, что сначала надо зарегистрироваться, вообщем не стал заморачиваться).

Comodo Instant Malware Analysis: http://camas.comodo.com/

  Ещё один сканер от компании Comodo для сканирования файлов на наличие Malware-заражений. Malware — подразумевает под собой следующие понятия: украсть информацию, удалённо управлять системой или производить другие злонамеренные действия без пользовательского согласия. О максимальном размере сканируемого файла, нечего не сказано. Лично мне, просканировать нечего не удалось, всё время выдаёт ошибку, возможно, что я чего-то недопонимаю (ну типа там файл специальный нужен из под Windows может быть).

SECURELIST: http://www.securelist.com/ru/scanforvirus

 Онлайновый сканер от лабаратории Kaspersky. Много говорить нечего, вроде серьёзная «контора», а ни хрена не работает. Для чего вообще держать такую страницу и вводить пользователей в заблуждение, если вы «нечерта» не хотите делать.

Положительные характеристики онлайн антивирусных сканеров:

• Иногда это гораздо удобнее и быстрее.

Отрицательные характеристики онлайн антивирусных сканеров:

• Наверное всё то, чего в них нет, то что есть, в обычных устанавливаемых программах, примерно так.

Параметры:

Язык интерфейса:  разный
Лицензия:  Free
Домашняя страница:   -«-

Проверялось на «Ubuntu» 13. 10 Unity (64-bit.).

Virustotal.com — сервис. Все антивирусы в одном месте.

Недавно столкнулся с такой пробемой — «Мой антивирус блокировал доступ к файлу kernel32.dll, что полностью перезагружало систему. Перезагрузка происходила каждый раз, как  я пытался либо удалить файл, либо переименовать, вылечить, отправить в хранилище, то есть при любом действии, кроме как -«Ничего не делать (игнорировать)». Выбрать пункт — «Игнорировать» совесть не позволяла. Решил протестировать файл через другой антивирус.  А как? Удалять свой и оставить компьютер хоть на мнгновение без защиты? 🙂 Не вариант. Ставить 2 антивируса? Уж лучше любой вирус, чем такая учесть. На одном из форумов наткнулся на интересный сервис — Virustotal.com. Все антивирусы в одном месте. Закачиваешь файл и он проверяет сразу на все вирусы, по всем антивусным базам…»

Данные с сайта:

VirusTotal — сервис, который анализирует подозрительные файлы и облегчает быстрое обнаружение вирусов, червей, троянов и всех видов вредоносных программ, определяемых антивирусами.

Описание:
Бесплатный независимый сервис
Использование множества антивирусных систем
Автоматическое обновление вирусных баз в реальном времени
Детальные результаты для каждого антивируса
Глобальная статистика в реальном времени

VirusTotal награжден Американским изданием PC World Magazine как один из 100 лучших продуктов 2007 года в категории сайтов о безопасности.
The 100 Best Products of 2007.

Для детальной информации или комментариев пишите на [email protected]

Благодарности

VirusTotal — сервис, разработанный Hispasec Sistemas, независимой IT лабораторией, использующий несколько версий антивирусных программ, регулярно обновляемый официальными антивирусными базами, опубликованными их уважаемыми разработчиками.

Список компаний, участвующих в VirusTotal с их антивирусными программами.

Tools

Переводчики:

• Polski: Pawel & Michael
• Cesky: Strongy!
• Deutsch: Moritz Konstantin Meurer
• Magyar: István Csizmazia
• : LinHongJun
• Italiano: Mario Dedè
• Português: Daniel Henrique Tsuha
• Svenska: Charlie Krogars
• Français: Gérard Mélone
• Ελληνικά: Alexander Filos
• Nederlands: Croonen Martijn
• Türkçe: Uður BOZDAÐ
• Română: Căruntu Radu
• Русский: Konstantin Potemichev
• Dansk: Peter Ørsted
• Slovenšèina: Sašo Badovinac
• : Iso-G
• : JaeHyung Lee
• ihMdI: P`aSaaMt kamadar
• Suomi: Jari Rinta-Korkeamäki

Внимание:

VirusTotal не заменяет любое антивирусное программное обеспечение, устанавливаемое в ПК. Выполняется только проверка отдельных файлов по требованию.

Хотя показатель обнаружения обеспечивается использованием нескольких антивирусных программ, эти результаты НЕ гарантируют безвредность файла.

В настоящее время отсутствует какое-либо решение, которое обеспечило бы 100% эффективность выявления вирусов и вредоносных программ. Вы можете стать жертвой недобросовестной рекламы, если приобретете продукт со 100% гарантией обнаружения.

Как проверить сайт на вирусы

Ни для кого не секрет, что не все сайты в Интернете безопасны. Также почти все популярные браузеры сегодня блокируют явно опасные сайты, но не всегда эффективно. Однако, существует возможность самостоятельно проверить сайт на вирусы, вредоносный код и другие угрозы онлайн и другими способами, чтобы убедиться в его безопасности.

Проверка сайта на вирусы онлайн

Прежде всего о бесплатных сервисах онлайн-проверки сайтов на вирусы, вредоносный код и другие угрозы. Всё, что требуется для их использования — указать ссылку на страницу сайта и посмотреть результат.

Примечание: при проверке сайтов на вирусы как правило проверяется конкретная страница этого сайта. Таким образом возможен вариант, когда главная страница «чистая», а какая-то из второстепенных, с которой вы производите загрузку файла — уже нет

VirusTotal

VirusTotal — самый популярный сервис проверки файлов и сайтов на вирусы, использующий в работе сразу 6 десятков антивирусов.

Зайдите на сайт https://www.virustotal.com и откройте вкладку «URL».

Вставьте в поле адрес сайта или страницы и нажмите Enter (или по иконке поиска).

Отмечу, что одно-два обнаружения в VirusTotal часто говорят о ложном срабатывании и, возможно, в действительности с сайтом всё в порядке.

Kaspersky VirusDesk

Аналогичный сервис проверки есть у Касперского. Принцип работы тот же: заходим на сайт https://virusdesk.kaspersky.ru/ и указываем ссылку на сайт.

В ответ Kaspersky VirusDesk выдает отчет о репутации этой ссылки, по которой можно судить о безопасности страницы в Интернете.

Онлайн проверка URL Dr. Web

То же самое у Dr. Web: заходим на официальный сайт https://vms.drweb.ru/online/?lng=ru и вставляем адрес сайта.

В результате проверяется наличие вирусов, перенаправлений на другие сайты, а также отдельно выполняется проверка используемых страницей ресурсов.

Расширения браузеров для проверки сайтов на вирусы

Многие антивирусы при своей установке также устанавливают расширения для браузеров Google Chrome, Opera или Яндекс Браузер, автоматически проверяющие сайты и ссылки на вирусы.

Однако, некоторые из этих, достаточно простых в использовании расширений, можно загрузить бесплатно из официальных магазинов расширений этих браузеров и использовать без установки антивируса.

Avast Online Security

Avast Online Security — бесплатное расширение для браузеров на базе Chromium, автоматически проверяющее ссылки в поисковой выдаче (отображаются отметки о безопасности) и показывающее количество следящих модулей на странице.

Также в расширении по умолчанию включена защита от фишинга и сканирование сайтов на вредоносное ПО, защита от перенаправлений (редиректов). Скачать Avast Online Security для Google Chrome можно в магазине расширений Chrome )

Онлайн-проверка ссылок антивирусом Dr.Web (Dr.Web Anti-Virus Link Checker)

Расширение Dr.Web работает слегка по другому: оно встраивается в контекстное меню ссылок и позволяет запустить проверку конкретной ссылки по базе антивируса.

По результатам проверки вы получаете окно с отчетом об угрозах или их отсутствии на странице или в файле по ссылке.

Скачать расширение можно из магазина расширений Chrome — https://chrome.google.com/webstore

WOT (Web Of Trust)

Web Of Trust — очень популярное расширение для браузеров, отображающее репутацию сайта (хотя у самого расширения недавно пострадала репутация, о чем — далее) в поисковой выдаче, а также на иконке расширения при посещении конкретных сайтов. При посещении опасных сайтов по умолчанию отображается предупреждение об этом.

Несмотря на популярность и исключительно положительные отзывы, 1.5 года назад с WOT был скандал, вызванный тем, что, как оказалось, авторами WOT продавались данные (сугубо личные) пользователей. В результате расширение было удалено из магазинов расширений, а позже, когда сбор данных (как заявляют) прекратился, снова появилось в них.

Дополнительная информация

Если вы заинтересовались проверкой сайта на вирусы перед загрузкой файлов с него, то учитывайте, что даже если все результаты проверок говорят о том, что сайт не содержит вредоносного ПО, файл, который вы загружаете всё-таки может его содержать (а также поставляться с другого сайта).

Если у вас есть сомнения, то настоятельно рекомендую, загрузив какой-либо не вызывающий доверия файл, сначала проверить его на VirusTotal и лишь потом запускать.

Контакты службы поддержки VirusTotal | LiveAgent

Похоже, вы пытаетесь связаться со службой поддержки VirusTotal. К сожалению, мы не связаны со службой поддержки VirusTotal. Мы две совершенно разные бизнес-организации. Однако, чтобы облегчить вам жизнь, мы исследовали веб-сайт VirusTotal и нашли следующие контактные данные службы поддержки клиентов. Пожалуйста, свяжитесь с представителями VirusTotal, связавшись с ними напрямую, используя контактную информацию, указанную ниже.

VirusTotal Поддержка в чате

НЕТ

Служба поддержки колл-центра VirusTotal

НЕТ

VirusTotal Instagram

НЕТ

SLA и соглашения

Электронная почта SLA

НЕТ

Live Chat SLA

НЕТ

Call Center SLA

НЕТ

Форум SLA

НЕТ

Положения и условия VirusTotal

НЕТ

Политика конфиденциальности VirusTotal

НЕТ

Политика безопасности VirusTotal

НЕТ

VirusTotal GDPR

НЕТ

Другие ссылки

VirusTotal Страница в Википедии

НЕТ

Партнерская программа VirusTotal

НЕТ

FAQ

Что такое VirusTotal?

VirusTotal — это бесплатный сервис, который анализирует файлы и URL-адреса на наличие вирусов, червей, троянов и других видов вредоносного контента.

Какую поддержку предлагает VirusTotal?

Служба поддержки клиентов VirusTotal предлагает следующие каналы поддержки: электронная почта, поддержка в социальных сетях, поддержка на форуме и поддержка в режиме самообслуживания.

Как мне связаться с VirusTotal?

Вы можете связаться с VirusTotal, отправив им электронное письмо или оставив сообщение в одной из социальных сетей.Кроме того, вы можете использовать их базу знаний, если предпочитаете поддержку в режиме самообслуживания.

Какой адрес электронной почты у VirusTotal?

Вы можете связаться с их службой поддержки, написав письмо по адресу [email protected]

Есть ли у VirusTotal чат в реальном времени?

Нет, VirusTotal не поддерживает чат в реальном времени.

Как мне поговорить с кем-нибудь в VirusTotal?

VirusTotal не имеет поддержки клиентов по телефону.

ДЕМОНТАЖ BLACKENERGY, ЧАСТЬ 2 — «МАРКА»

Я не буду говорить о том, что такое фреймворк BlackEnergy, поскольку о нем уже много писали и без меня, однако я хочу сослаться на информацию из этого конкретного обзора:

… Киберпреступная группа, стоящая за BlackEnergy, семейством вредоносных программ, которое существует с 2007 года и вернулось в 2014 году, также была активна в 2015 году. ESET недавно обнаружила, что троян BlackEnergy недавно использовался в качестве бэкдора для доставки разрушительного компонента KillDisk, предназначенного для уничтожения файлов на жестких дисках при атаках на украинские новостные СМИ и электроэнергетику…

Все, встречайте Flashplayer!

В ходе расследования атаки на нашу инфраструктуру мы обнаружили различные образцы вредоносного ПО, в том числе Flashplayerapp.exe (https: //www.virustotal.com / ru / file / c787166ad731131c811d1a63080ac871ec11f10bcd77b9a1e665f1c9bbaa9a54 / analysis /)

Вкратце, flashplayerapp извлекает main_light.dll в свое собственное пространство памяти и передает ему управление. Эта библиотека является облегченной версией BlackEnergy и используется для связи C&C для загрузки основной полезной нагрузки с функциональностью в зависимости от целей, преследуемых злоумышленником. Создает файл: C: \ Users \ user \ Appdata \ Adobe \ cache.dat

В зашифрованном виде этот файл содержит различную информацию, включая версию сборки (например, 2015lstb), адрес центра управления и контроля, из которого он может получать различные полезные данные (например, hxxps: // 188. 40.8.72 / l7vogLG / BVZ99 / rt170v / solocVI / eegL7p.php) и т. Д. Когда я изучал этот образец, я переключил фокус с C&C, поскольку одна конкретная часть кода привлекла мое внимание, поскольку это был очевидный признак использования метод называется перестановкой кода. Переведу цитату из этого источника http://hacks.clan.su/publ/11-1-0-481:

… Перестановка — это преобразование уже готового кода. На сегодняшний день наибольший прогресс в этой технике был сделан Z0MBiE. Однако даже в более старых версиях движка упоминался некто по имени Lord_ASD.Следующие успехи в этой технике после него были сделаны Vecna ​​и SBVC. Так что же такое перестановка? Основной алгоритм для механизмов перестановки — это разборка кода с последующими его мутациями и повторной сборкой. Давайте посмотрим на самый простой алгоритм, используемый в механизме перестановок:
Все инструкции кода дизассемблированы по длине, условные и безусловные переходы отмечены.
Инструкции заменяются синонимичными и вставляются промежуточные инструкции мусора. Все прыжки пересчитываются.
Этот вид полиморфизма является наиболее многообещающим по следующим причинам:
Гибкость (не простота) кодирования движка
Высокий уровень мутаций
Требование эмуляции всех инструкций
Несмотря на то, что этот тип полиморфизма известен или давно не известен, стали мейнстримом из-за сложности реализации…

Удалив ненужные строки, мы получаем механизм, который обрабатывает все имена функций в kernel32.dll

, превратив их (имена) в некоторую форму хэша, которую он позже сравнивает с некоторым значением:

Давайте воссоздадим этот механизм на примере C. В результате мы получаем утилиту, которая может создать для нас «словарь», содержащий имена всех функций библиотеки kernel32.dll и хеш-значения этих имен. Попробуем поискать хеш-значения, полученные при обратном анализе кода, в нашем новом «словаре». Сначала мы ищем значение в регистре EAX (0x5147F60F), а затем сравниваем его с эталонным значением:

Наша теория работает: наш образец обработал имя первой функции, создал хэш и теперь сравнивает его с эталонным значением, содержащимся в буфере ( 0xC8AC8026 ).Ищем это значение и вот… получаем функцию LoadLibraryA!

Чтобы пропустить еще одну стену с текстовым примером, я просто упомяну, что наш «образец» использует тот же подход для поиска другой функции, называемой GetProcAdress.

Используя эти две функции, наш «образец» может загружать другие библиотеки и извлекать адреса для требуемых функций.

Следы оставленные паровозом

Техника усложнения статического анализа кода с помощью вызова функции на основе некоторого хеш-значения, а не ее имени, не нова.Однако это привело меня к следующей мысли: несмотря на то, как обрабатывается вредоносный код, мы знаем алгоритм хеширования имен функций и поэтому можем уверенно искать эти две функции (LoadLibraryA и GetProcAdress) в коде. Таким образом, я начал искать их в internetz для упоминания этого хэша ( 0xC8AC8026 ), чтобы увидеть, использовал ли кто-то тот же движок из нашего примера раньше, и, к своему удивлению, я нашел кое-что:

Этот хеш упоминается впервые за 2006 год (статью можно найти только в архиве.org): https://web.archive.org/web/20060614030412/http://osix.net/modules/article/?id=789

Позже, в 2008 году, на форуме появляется потенциальный автор алгоритма:
https://exelab.ru/f/index.php?action=vthread&forum=6&topic=11845

Впоследствии, в 2009 году, аналитическая статья о шеллкоде MS08-067 была опубликована на blogs.technet.com: http://blogs.technet.com/b/srd/archive/2009/06/05/shellcode-analysis-via- мсек-отладчик-расширения.aspx

Затем, в 2013 году, журнал «XAKEP» (одно из крупнейших российских СМИ по ИТ и информационной безопасности) публикует статью https://xakep.ru/2011/06/23/55780/, в которой упоминается точно такой же алгоритм, который создает тот же хеш (!):

Подождите секунду, у нас возникла ситуация, что один и тот же алгоритм, который генерирует те же хэш-значения, используется более 10 лет, и все же никто этого не заметил? В противном случае, тогда для flashplayerapp. exe (https://www.virustotal.com/ru/file/c787166ad731131c811d1a63080ac871ec11f10bcd77b9a1e665f1c9bbaa9a54/analysis/) в том виде, в каком он выглядит сейчас, в 2016 году уже невозможно было остаться незамеченным антивирусными решениями, пока мы живем. :

Есть четкий «след», оставленный этим конкретным механизмом перестановки, который использовался в нашем проанализированном образце, и мне он кажется действительной подписью. Причем отследить прямо в открытом виде довольно просто:

Итак, мы получили наши предположения и теория изложена, так что давайте приступим к практике и попробуем превратить наши выводы в подпись / правило Yara:

правило API_Hash

{meta: description = «Хэш LoadLibrary, который равен { 26 80 ac c8 } и GetProcAddres { ee ea c0 1f }»

строк:

$ a = { 26 80 ac c8 }

$ b = { ee ea c0 1f }

Условие

: $ a и $ b

}

Осталось только протестировать его на множестве различных образцов (например, антивирусной лаборатории), чтобы точно определить, сколько вредоносного кода было упаковано этим движком на самом деле?
На данный момент я могу только заявить, что мне удалось провести эксперимент на очень небольшом количестве образцов в одной из антивирусных компаний, но результаты того стоят! Среди выловленных образцов имеем:

Win32 / Шпион. Bebloh (банковский троян) — http://www.virusradar.com/en/Win32_Spy.Bebloh/detail
Win32 / PSW.Fareit (троян для кражи паролей) — http://www.virusradar.com/en /Win32_PSW.Fareit/detail
Win32 / Rustock (бэкдор) — http://www.virusradar.com/en/Win32_Rustock/detail
Win32 / TrojanDownloader.Carberp (дроппер, устанавливающий банковский троян Carberp) — http: //www.virusradar.com/en/Win32_TrojanDownloader.Carberp/detail
Win32 / Kelihos (отправитель спама) — http: // www.virusradar.com/en/Win32_Kelihos/detail

Этот список содержит только известные семейства. Эти два хеш-значения также присутствуют в других семействах вредоносных программ, включая программы-вымогатели / шифровальщики файлов ( Win32 / Filecoder.HydraCrypt ), биткойн-майнер ( CoinMiner.LC ), WinLocker ( LockScreen.AQT ) и другие.

Пока могу еще добавить, что это довольно простое на вид правило Yara не привело ни к одному ложному срабатыванию на сегодняшний день, но тестирование проводилось только на нескольких десятках компьютеров. Поэтому я действительно выражаю надежду, что после публикации этого исследования Вы (!) и те, кто прочитал это далеко, поделятся своими отзывами, которые будут достаточно масштабными, чтобы доказать или опровергнуть точность этого правила! Конечно, использование только восьми байтов для подписи — это исключительно мало, и правило, скорее всего, перехватит некоторые «легальные» файлы. Тем не менее, это упрощенное правило Yara может жить в песочнице как часть более сложной логики анализа.

Выводы

Целью данной статьи является не реверс-инжиниринг вредоносного ПО BlackEnergy, а скорее хочу подчеркнуть тот факт, что инструменты, используемые при сборке того или иного вредоносного кода, оставляют свои следы и могут привести к появлению полезных индикаторов, которые можно использовать для защиты.И эти показатели могут жить незамеченными довольно долго…

Перевод оригинала Андрей Безверхий | Генеральный директор SOC Prime

Онлайн-сервис Virustotal.

Это позволяет выявить ложные срабатывания какого-то одного антивируса или, наоборот, превращение в новые угрозы, возможно, уже сделанные другими производителями в своих базах. Более того, все используемые сервисом антивирусные базы постоянно обновляются, а даты указываются в результатах проверки последних обновлений Все базы.

Прекрасная возможность Virustotal Это определение уже проверенных хеш-файлов. После загрузки файла система вычисляет его хеш и, если результаты проверки файла с аналогичным хешем, немедленно выдаст их пользователю с указанием всех деталей, включая дату тестирования. В этот момент можно повторить проверку с текущими обновлениями баз.

Помимо обычной загрузки файлов с помощью веб-формы, можно отправлять файлы на анализ с помощью программы-загрузчика Virustotal или по электронной почте.Для этого создайте новое сообщение с адресатом. [Электронная почта защищена] Запись Скан. В поле «Тема». Прикрепите файл для проверки (размер файла не должен превышать 20 МБ, если размер прикрепленного файла превышает 10 МБ, система его не примет). Вы получите почтовый отчет с отчетом о проверке. Время ответа зависит от загрузки системы на момент вашего запроса.

На сайте вы можете увидеть статистику проверок в реальном времени, количество файлов, которые были обнаружены как зараженные среди общего числа файлов, 10 самых зараженных файлов, количество обновлений антивируса, количество файлов для проверки с помощью Virustotal И последнее найдены вирусы.

Услуги:

. Бой самостоятельной службы
. Использование набора антивирусных систем
. Автоматическое обновление вирусных баз в реальном времени
. Детальные результаты для каждого антивируса
Глобальная статистика в реальном времени

Virustotal не заменяет антивирусное программное обеспечение, установленное на ПК. Только проверяет (вирусы не уничтожаются) отдельные файлы по запросу. Но более 40 антивирусов одновременно. !!!

Список компаний, участвующих в Virustotal со своим антивирусом:

Анлаб (v3)
.Ntiy Labs (Antiy-AVL)
.Aladdin (ESAFE)
.Alwil (Avast! Antivirus)
.Authentium (Command Antivirus)
.Avg Technologies (AVG)
.Avira (Antivir)
Компьютерные службы Cat (Quick Heal)
.Clamav (clamav)
.Comodo (Comodo)
.Ca inc (PTO)
. «Доктор Веб» (DrWeb)
.Emsi Software GmbH (Emsisoft)
.Set Software (ESET NOD32)
.Fortinet (Fortinet)
.Frisk Software (F-PROT)
.F-Secure (F-Secure)
.G Программное обеспечение данных (GDATA)
.HackSoft (Hacker)
.Hauri (Virobot)
.Ikarus Software (Ikarus)
.Inca Internet (NProtect)
.K7 computational (K7Antivirus)
. «Лаборатория Касперского» (AVP)
.Mcafee (Virusscan)
.Microsoft (защита от вредоносных программ)
. Norman Antivirus
.Panda Security (Panda Platinum)
.Pc Tools (PCTools)
.Prevx (PrevX1)
.Rising Antivirus (Rising)
.Secure Computing (SecureWeb)
.Bitdefender GmbH (BitDefender)
.Sophos (SAV)
.Sunbelt Software (Sunbelt Antivirus)
.SuPerantISPYWARE (SuperantISPYWARE)
.Symantec (Norton Antivirus)
Virus Civilone (VBA32)
.Trend Micro (Trendmicro, Trendmicro-Houcall)

Проверить файл на вирусы в онлайн-сервисе Virustotal можно несколькими способами:

• скачать файл с компьютера через браузер
• отправить файл подозрительного электронного письма
• установить специальный загрузчик из Virus Total

1.В первом случае воспользуйтесь формой на сайте сервиса. Вызвать проводник (кнопка «Обзор» или в некоторых браузерах «Выбрать файл»), указать нужный файл и нажать кнопку «Отправить файл». Через некоторое время, продолжительность которого зависит от скорости соединения и размера файла, появится страница с информацией о проверенном файле и возможность перехода на страницу с результатами тестирования для каждой антивирусной программы.

Кстати, обновленный сервис онлайн-проверки файлов VirusTal, к сожалению, пока не поддерживает русский язык.Однако все просто: скачайте файл и получите результат проверки. Максимальный размер файла — 20 МБ, тест проводится с помощью 43 антивирусных программ.

Для английской версии делаем так:

• Заходим на сайт нажав кнопку вверху.
• Щелкните обзор, выберите нужный файл на компьютере. Программы лучше скачивать в архиве. Максимальный размер 20 МБ.
• Затем нажмите кнопку Отправить файл.

Сервис Virustotal предоставляет функцию определения уже проверенных хеш-файлов.После загрузки файла система вычисляет его хеш и проверяет наличие файла с таким же хешем. Если аналогичный файл уже был проанализирован, сервис выдаст вам результаты его проверки с указанием всех деталей, включая дату проверки. Обратите внимание на дату!

Если последняя проверка была давным-давно, имеет смысл перепроверить файл еще раз. Это вообще предпочтительнее, т.к. ежедневно появляются и новые вирусы, и обновляются антивирусные базы.Чтобы повторно проверить файл на вирусы в Virustotal, нажмите на кнопку. Повторить анализ сейчас . Для английской версии: нажмите кнопку ReaNalyse (Analyze more) Проверка отображается в реальном времени и показывает результат проверки каждым антивирусом.

Начнется проверка файла, результаты которой отобразятся в таблице ниже.
Когда все полностью просканировано, смотрим на результат. Вот пример (см. Фото).

Что мы видим?
Результат: 0 вирусов!
Ни один антивирус из 43 ничего подозрительного не обнаружил!
Вы можете безопасно использовать этот файл.Если программа была проверена, то установите ее на компьютер.

А вот еще пример анализа файла (сделанный давно, когда панель VirusTal была на русском):

Здесь нашлось 4 штуки какой-то дряни.
В графе Результат — Имя вируса.
Теперь вы решаете запускать эту программу или нет …

Проверить ссылку или сайт

После полной проверки появится отчет о безопасности.

В итоге видим -0.Чистый сайт — чистый взгляд!

Хотя индикатор обнаружения обеспечивается использованием нескольких антивирусных программ, эти результаты не гарантируют проверку файла !!!

2. Второй вариант — Отправка файлов прямо на электронную почту. Для этого необходимо отправить на адрес службы [Email Protected] письмо с прикрепленным файлом для анализа. В поле Тема укажите — сканировать. Размер проверяемого файла не должен превышать 20 МБ, если файл больше установленного лимита, система его не примет.Через некоторое время вы получите почтовое сообщение с подробными результатами проверки. Скорость ответа зависит от загруженности сервиса на момент отправки вашего запроса.

3. Вариант третий — Чтобы проверить файл на вирусы в онлайн-сервисе Virus Total, вы можете использовать специальную утилиту Virustotal Uploader 2.0, которую вы хотите скачать и установить на свой компьютер. После его установки в контекстном меню операционной системы добавьте пункт Virustotal . Эта команда позволяет напрямую скачивать файлы с вашего компьютера для антивирусной проверки в сервисе Virustotal.Необходимо, чтобы компьютер был подключен к Интернету.

Результаты отчета в этом случае отображаются в окне браузера.

Главное окно программы выглядит следующим образом:

В верхней части вы можете скачать исходный код любого процесса для проверки. Ниже находится кнопка «Выбрать файл (S) и загрузить», нажав на которую, можно загрузить сразу несколько файлов. У каждого не должно быть больше 20 Мб, а количество не больше 5.

Еще ниже (в главном окне) есть функция проверки файла по ссылке. При вводе ссылки появляется окно с 3 вариантами:

1) Файл загружается на компьютер, загружается с компьютера, при этом не сохраняется в системе.

2) Файл загружается и сохраняется во временной папке, а затем загружается на сервер для проверки.

3) Файл загружается и сохраняется в указанной папке, затем загружается на удаленный сервер для проверки.

Если хеш файла файла совпадал с хешем базы данных сервера, программа выводит следующее окно:

Мы рассмотрели возможности программы Virustotal Uploader 2.0 — утилиты для быстрой загрузки файлов для проверки доступности вирусов.

По материалам сайтов onservis.ru, lp-digital.ru и blogs.mail.ru (автор Егорова Татьяна)

См. Также видео-сообщение «Как проверить файлы на вирусы с помощью сервиса Virustotal»:

Онлайн-сервис Virustotal предназначен для проверки файлов и ссылок на вирусы.Этот бесплатный сервис проверяет файлы, сайты, другие ссылки с помощью сервисов (сканеров) антивирусного ПО большого количества производителей. На данный момент сервис Virustotal принадлежит Google.

Бесплатный онлайн-сервис Virustotal.com поддерживает проверку более 50 антивирусных сканеров. Список производителей антивирусного ПО постоянно пополняется новыми сканерами.

После проверки на вирусы вы получите результат проверки, выданный всеми антивирусами, доступными в сервисе, а не одним производителем, например установленной на вашем компьютере антивирусной программой.Таким образом, вы можете получить более объективную картину, если сомневаетесь в надежности того или иного файла или ссылки.

Сканеры обнаруживают все типы вредоносных программ: вирусы, трояны, черви, вредоносные программы и т. Д., Одним словом, все виды такого опасного программного обеспечения, которое может быть обнаружено антивирусами.

Способы проверки на Virustotal

Что может понадобиться для такой проверки файла с помощью онлайн-сервиса Virustotal? Все время идет борьба между теми, кто пишет вирусы или другие вредоносные программы, и теми, кто защищает компьютеры пользователей от воздействия вирусов.Установленная на компьютере антивирусная программа не может гарантировать немедленное обнаружение зараженного кода. Особенно это актуально, только если вирусы запускаются в сеть (в общем смысле этого слова).

После выпуска нового вируса проходит некоторое время, пока антивирусная программа не обнаружит эту новую угрозу. Те антивирусы, которые раньше обнаруживали опасный объект, быстрее заносят данные о вредоносной программе в свои базы данных. Поэтому при одновременной проверке большим количеством антивирусных сканеров вероятность обнаружения вредоносного кода возрастает.

Возможны ложные срабатывания и от антивируса, установленного на вашем компьютере. Если проверка показала, что что-то опасное обнаружил только один антивирус, а сам файл создавался давно, то в этом случае вероятность того, что антивирус, установленный на вашем компьютере, дал ложный ответ.

Проверенный файл вычисляет хэш (контрольную сумму файла), который будет сравниваться с хешем того же файла, если аналогичный файл уже был ранее проверен.Сервис проверяет хеш-значения MD5, SHA1, SHA256.

Подробнее о том, как узнать хеш-файл, вы можете прочитать в статье программы HashTab. Сравнивая хеш-значения файла, с контрольными суммами исходного файла, можно узнать, был ли изменен этот файл или нет.

Онлайн-сервис Virustotal не является заменой, установленной на вашем антивирусном компьютере. Ваш антивирус должен найти и защитить компьютер от всех вредоносных и опасных данных.Если у вас есть сомнения по поводу некоторых файлов или ссылок, с помощью Virustotal вы можете проверить эти подозрительные данные.

Результаты тестирования могут отличаться даже при использовании раствора одного производителя. Вы получите информацию перед тем, как совершить какое-либо действие.

Для проведения проверки вам необходимо зайти на сайт www.virustotal.com.

Проверка файлов на viruustotal.com

Во вкладке «Файл» загружаются файлы для тестирования антивирусных сканеров. Максимальный размер загружаемого файла ограничен 128 МБ.Используя кнопку «Выбрать файл», вам нужно будет выбрать файл на вашем компьютере, а затем загрузить его в службу Virustotal.

После выбора файла нажмите «Проверить!» Кнопка.

Через некоторое время будет скачан служебный файл. Это окно нельзя закрыть до завершения загрузки файла. Время выполнения этой операции будет зависеть от размера файла, скорости соединения, загрузки сети.

Должен заметить, что таким образом я не мог проверить ни один файл, несмотря на их небольшой размер, потому что загрузка файла продолжалась бесконечно долго.Но не стоит расстраиваться, выход из этой ситуации есть.

Для быстрой проверки файлов вам потребуется приложение VirusTotal Uploader, о котором вы можете прочитать ниже.

Проверка ссылок на Virustotal.com

Чтобы проверить URL-адрес, вам нужно будет вставить ссылку на сайт, конкретную веб-страницу, ссылку из почтового сообщения и т. Д. В поле напротив поля «Введите URL». «, а затем нажмите» Проверить! » Кнопка.

После проверки сайта на вирусы (ссылки проверяются очень быстро), вы увидите результат, полученный от антивирусных сканеров.В пункте «URL» отобразится адрес проверенной ссылки (сайта). В точке индикатора обнаружения вы увидите результат проверки URL на вирусы. В данном случае найдено — 0, количество сканеров — 52.

Также правая форма, в которой отображаются баллы, полученные по результатам отзывов пользователей. Эти данные должны быть сфокусированы в последнюю очередь, поскольку пользователи, отправившие личный отзыв, могут иметь разный уровень подготовки и знания предмета.

На вкладке «Анализ» вы можете увидеть результат по конкретным сканированным ссылкам.При проверке могут не работать отдельные сканеры, абсолютное большинство сканеров реагируют нормально.

Если несколько сканеров находят на странице (сайте) что-то подозрительное, то есть повод для проявления большей осторожности. На сайте может не быть ничего опасного, но с сайта может вестись ссылка на угрозу того или иного ресурса.

Антивирус имеет ложные срабатывания. Итак, однажды установленный на моем компьютере антивирус обнаружил вредоносную ссылку на моем сайте. Я связался с этой службой поддержки, и она сразу поняла, что произошла ошибка.Правда, запись об опасной ссылке с баз была удалена не сразу, а через некоторое время.

Облегченный интерфейс Virustotal для устаревших браузеров

В 2019 году на сервисе VirusTotal была создана специальная страница для пользователей устаревших операционных систем в стиле ретро. Устаревшие браузеры не справляются с современным интерфейсом сервиса, поэтому была создана специальная облегченная версия сервиса. Страница работает на английском языке.

1. Войдите на страницу www.virustotal.com / old-browsers ..
2. На вкладках «Файл», «URL» и «ПОИСК» проверьте наличие вирусов или адресов в Интернете.

Установка VirusTotal Uploader

Для проверки файлов удобнее использовать утилиту VirusTotal Uploader, предназначенную для пользователей Windows.

загрузить Virustotal Uploader

Программа Virustotal Uploader быстро загружает файлы для проверки в онлайн-сервисе. Также с помощью этой утилиты вы можете проверять ссылки.Загрузите приложение Virustotal Uploader на свой компьютер, а затем запустите исполняемый файл.

1. В первом окне мастера установки нажмите кнопку «СОГЛАСЕН».

1. Во втором окне вы можете оставить все по умолчанию, а затем нажать кнопку «Далее».

1. В следующем окне нажмите кнопку «Установить».

После установки утилиты Virustotal Uploader нажмите кнопку «Закрыть».

Проверка на вирусы в Virustotal Uploader

После запуска программы откроется окно Virustotal Uploader. Если вы перейдете по ссылке «Щелкните здесь, чтобы показать все (требуется администратор)», то откроется окно программы, работающее от имени администратора.

В этом окне вы можете выбрать конкретный процесс (выделив его), чтобы проверить исполняемый файл этого процесса.

После нажатия на кнопку ЗАГРУЗИТЬ Process Executable будет вычислен хэш исполняемого файла, после чего он будет отправлен на проверку.После этого вы попадете на страницу онлайн-сервиса Virustotal COM с результатами теста. Возможно, этот файл уже был проверен ранее, тогда вы узнаете об этом со дня анализа.

Для проверки файлов вам необходимо использовать кнопку «Выбрать файл (S) и загрузить», которая находится в разделе «Файл (S)». После выбора файла откроется служебное окно, а после завершения антивирусной проверки Вы узнаете ее результат. Для добавления файлов вы также можете использовать командную строку.

Проверить URL (ссылки) можно в разделе «URL». В поле «URL» вам нужно будет вставить ссылку на веб-страницу (сайт), а затем нажать кнопку «Получить и загрузить». После этого ссылка будет проверена антивирусными сканерами на сервисе Virustotal.

Для использования на мобильных устройствах под управлением операционных систем Android Вы можете загрузить приложение Virustotal для Android.

Файл на компьютере также можно проверить с помощью контекстного меню. После щелчка правой кнопкой мыши по файлу в контекстном меню Вам необходимо выбрать «Отправить в Virustotal».Утилита проверит хеш-файл и отправит результат проверки сервису Virustotal. Далее открывается служебное окно с результатами проверки на вирусы.

Расширение для браузеров

Онлайн-сервис Virustotal предлагает установить расширения для браузеров Mozilla Firefox., Google Chrome., Internet Explorer .. Эти расширения также подходят для других браузеров, созданных на основе Firefox и Chrome.

Для браузера Mozilla. Firefox необходимо установить расширение Vtzilla.В браузере Google Chrome установлено расширение vtchromizer. Для обозревателя Internet Explorer — VTexplorer.

После нажатия на значок расширения (в данном примере — расширение Vtchromizer) откроется окно, в котором необходимо будет проверить сайт на вирусы, либо ввести значение хеш-файла, адрес веб-страницы, электронную почту и т. д. для поиска результатов предыдущего сканирования.

Чтобы проверить веб-страницу (сайт), щелкните ссылку «Сканировать текущий сайт». Далее будет проверена эта ссылка, после чего вы увидите результат проверки на вирусы.По ссылке «Перейти на главную страницу Virustotal» вы можете перейти на страницу онлайн-сервиса.

Выводы Статьи

Онлайн-сервис Virustotal COM осуществляет проверку подозрительных файлов и URL-адресов (ссылок), проводимую большим количеством антивирусных сканеров. При использовании этой услуги у вас будет дополнительная информация о потенциально опасных данных, которые могут угрожать вашему компьютеру.

Virustotal.com — Онлайн-сервис для проверки на вирусы (видео)

Сервисов вроде Virusotala, позволяющих проверять устройство на вирусы, довольно много.Все они достаточно эффективны, но не дают стопроцентного результата. Однако это не умаляет их реальной помощи в защите системы от злонамеренных атак извне. Бесплатная онлайн-служба Virustotal предназначена для анализа подозрительных файлов и обнаружения вирусов, троянов, червей, шпионского ПО и других вредоносных элементов.

Особенности онлайн-сканера

Этот метод тестирования отличается высокой надежностью и не зависит от характеристик или возможностей какого-либо одного антивируса.Здесь используются практически всех известных утилит , которые находят опасные файлы и уведомляют пользователя об их местонахождении.

Virustotal выявляет уязвимые места используемых антивирусов, определяет их ложные срабатывания, а также те атаки, которые они не распознали.

В результате проверки применяются самые современные вирусные базы с постоянно пополняемыми списками имён вредоносных программ. Напротив каждого из них проставляется дата последнего обновления.

Сервис позволяет не только выполнять обычную загрузку файлов, предназначенных для анализа, но и отправлять их с помощью загрузчика или по электронной почте. Прилагаемый к письму файл не должен иметь размер более 20 МБ. Иначе система его просто не примет.

Сканер также предоставляет данные по всем проверкам. Вы можете просматривать их в режиме реального времени.

Здесь вы можете увидеть:

Общее количество зараженных файлов,

10 самых опасных из них

Количество обновлений вирусных баз,

Список всех обнаруженных вредоносных программ.

Способность к вирусу

Служба не может полностью заменить антивирусные программы, установленные на компьютере. Он отлично справляется с задачей обнаружения вирусов, но не уничтожает их. Однако по прямому назначению система работает безупречно.

Среди основных функций можно выделить:

• одновременная проверка мощных антивирусов;

• автоматическое обновление баз в реальном времени;

Очень важно, что у сервиса русскоязычный интерфейс, что сказывается на удобстве работы с ним.

Основные методы поиска вирусов

1. Скачать с компьютера через веб-браузер

Для удобства пользователя на сервисе есть специальная форма. Кнопка Обзор вызовет проводник, в котором можно выбрать подозрительный файл. Далее нажимаем «Отправить файл» и немного подождем до конца его загрузки.

Время обработки зависит от скорости интернет-соединения и размера самого файла. После завершения проверки перед пользователем откроется страница с ее результатами.

Возможен анализ не только файла, но и ссылок или всего сайта . Для этого используйте вкладку «Отправить URL». В появившемся списке необходимо ввести HTTP-адрес страницы или ссылку.

Нажатие кнопки «Отправить URL» запустит проверку, после завершения на экране появится отчет о безопасности.

2. Отправка подозрительных файлов по электронной почте

Письмо с прикрепленным к нему файлом отправляется вирусу. В строке «Тема» необходимо написать слово Сканировать.Размер вложения не должен превышать 20 МБ, иначе система просто не ответит на запрос.

Через некоторое время пользователь получит ответ на электронную почту пользователя. Скорость работы зависит от степени загруженности сервиса на момент получения письма.

3. Использование специального загрузчика от Virustotal

Его можно загрузить и установить прямо на компьютер. Основное требование для возможности проверки — наличие интернет-соединения.Результаты анализа будут отображены в окне браузера.

При этом вы можете сканировать не более 5 файлов, а их общий размер не должен превышать 20 МБ.

Virus Total — один из самых популярных сервисов для проверки файла или URL на наличие вредоносных программ. Обеспечивает стопроцентную вероятность обнаружения опасных данных, включая различные вирусы, трояны и черви, несущие особую угрозу любой информации на вашем компьютере.

На главной странице бесплатного сервиса Проверка сайта есть три вкладки — «Отдельный файл, ссылка и поиск».Чтобы загрузить нужный объект из памяти ПК, достаточно выделить его через встроенный файловый менеджер и нажать кнопку «Проверить». Если вам нужно проверить ссылку, скопируйте URL-адрес из адресной строки браузера, затем откройте соответствующую вкладку для вируса., Переместите курсор в специальное поле ввода, щелкните его правой кнопкой мыши и нажмите «Вставить» или используйте сочетание клавиш Ctrl + V.

Virtual работает со всеми современными веб-браузерами, в том числе: Google Chrome, Mozilla Firefox, Internet Explorer, Opera и многими другими.Обратите внимание, что проверенный файл любого формата не должен превышать 128 мегабайт. После завершения сканирования в режиме реального времени вы увидите список с результатами работы разных антивирусов. Virustotal COM дает возможность повторить последний анализ, просмотреть подробную статистику и быть в курсе всех потенциально опасных объектов, обнаруженных во время диагностики. Кроме того, в правой верхней части интерфейса есть специальная вкладка с рейтингами файлов и ссылками. Таким образом, каждый пользователь может проверить на наличие вирусов онлайн и оставить свое мнение о безвредности или зараженности этого файла или страницы сайта.

Сервис использует следующие антивирусы: Dr.Web Link Scanner (Dr.Web), EMSIOFT (EMSI Software GmbH), ESET, Fortiguard Web Filtering (Fortinet), Fraudsense (Fraudsense), G-Data (G Data), Google Safebrowsing. (Google), K7Antivirus (K7 Computing), Kaspersky URL Advisor (Лаборатория Касперского), Черный список вредоносных доменов (DNS-BH), Autoshun (Riskanalytics), Avg, Avira Checkurl, UrlQuery (Urlquery.net), Vault Vault, ParetoLogic URL Clearing House (ParetoGic), PhishTank (OpenDns), Quttera, Qihoo 360, Spyeye Tracker (Abuse.ch), StopBadware, Threathive, Центр безопасности сайтов Trend Micro (Trend Micro), Wepawet (iSeclab.org), MalwareS.com (Saint Security), Netcraft (Netcraft), Alexlab WebGuard (Aegislab), Alexa (Amazon), Alienvault, Comodo Site Inspector (Comodo Group), CyberCrime (Xylitol), Dr.Web Link Scanner (Dr.Web), Wepawet (iSeclab.org), Yandex Safebrowsing (Яндекс), ZDB Zeus, Zeus Tracker (abuse.ch), Zvelo, C-Sirt (Cyscon Sirt), Clean MX, Antiy Labs, Kaspersky Virusdesk, K7Computing (k 7Antivirus, K7GW), F-Prot, F-Secure, Baidu-International (Baidu), BitDefender, BKAV, TrendMicro, Trendmicro Houcecall и так далее.

Многие пользователи не особо хотят устанавливать антивирусные продукты на свой компьютер.

Многие из них платные, некоторые меры.

Специально для таких пользователей были придуманы сервисы для проверки на вирусы в сети.

Только отдельные файлы можно проверять на вирусы, чтобы проверить компьютер на вирусы.

Кроме того, максимальный размер Проверяемый элемент ограничен.

Проверить весь ПК (как использую штатный) не получится.

Лучшие сервисы

В список лучших онлайн-антивирусов входят даже сервисы таких известных гигантов, как или.

Но есть ребята от менее известных разработчиков. И по функционалу они не уступают разработкам известных компаний.

Конечно, в таблице приведены далеко не все характеристики онлайн-антивирусов. Подробнее Вся эта продукция будет разобрана ниже. Но уже при максимальном объеме скачиваемых файлов вы можете выбрать подходящий сервис.

Virus Total

На сегодняшний день это наиболее продвинутый и успешный онлайн-сервис для проверки на вирусы отдельных файлов и ссылок.

Этим антивирусом может воспользоваться кто угодно. Это совершенно бесплатно.

В сервисе используется около 50 антивирусных сканеров от различных разработчиков.

Это позволяет добиться отличных результатов при проверке файлов на вирусы и другое вредоносное ПО.

Максимальный размер файла, доступного для загрузки в Virus Total, составляет 128 мегабайт.Этого достаточно для проверки исполняемых файлов (EXE и), скриптов и прочего. Сервис также умеет проверять ссылки, ведущие на определенные подозрительные сайты.

Преимущества Virus Total

• алгоритм расширенного поиска угроз;
• использование нескольких сканеров от разных разработчиков;
• быстрая работа;
• возможность предоставления полного отчета;
• работа с любыми типами файлов;
• за проверку не нужно платить;
• без рекламного контента;
• есть русский язык;
• современный декор.

• для проверки требуется постоянный доступ в Интернет;
• сканирование требует высокой скорости соединения.

Отзывы о сервисе

Есть как положительные, так и отрицательные отзывы. Без этого никак.

Например пользователь с Ником «SteelsLife» пишет, что доволен работой сервиса.

Было всего несколько ложных срабатываний. Но они появились благодаря сканерам от неизвестных разработчиков, которые включены в сервисные инструменты.

Однако какой-то сэр «REPROCECTED» Решил, что антивирус работает некорректно, так как не может проверить архив под паролем.

Онлайн-сервис от известного разработчика.

Обладает минималистичным интерфейсом и высокой скоростью работы.

Воспользоваться данной услугой можно абсолютно бесплатно. В отличие от других продуктов Dr.Web.

Максимальный размер файла, который можно загрузить для проверки, составляет всего 10 мегабайт.

И не важно, сколько файлов было загружено.Это ограничение на общий объем всех элементов.

В своей работе Dr.Web Online использует исключительно собственные алгоритмы поиска угроз, не полагаясь на продукты других разработчиков. Из-за этого не видит реальных угроз. Бывают случаи, когда при проверке элементов на других сервисах вирусы присутствовали.

• слишком мал допустимый объем файла;
• иногда не находит угроз.

Отзывы о сервисе

Некий «Гость» пишет, что проверял ссылку на сайт с помощью этого сервиса, сказал, что вирусов нет, зашел на сайт и ОС оказалась заблокированной.

«Доктор Веб Онлайн» угроз не обнаружил. И такой пост не единственный.

При этом пользователь с псевдонимом Just1234 отмечает, что этот онлайн-антивирус отлично справляется со своей работой.

Результаты проверил с ПК версией и все вышло.

Есть разные мнения. Но почему-то негативные отзывы о работе онлайн-версии антивируса Dr.Web преобладают в Сети.

А если с ней все так плохо, то полноценный продукт? Стоит задуматься над этим вопросом.

Видео:

Kaspersky VirusDesk.

Еще один продукт от известного разработчика. Вообще очень странно, что «Лаборатория Касперского» запустила бесплатный сервис.

Раньше этот офис не отличался конкретным лицом. Тем не менее, это случилось.

Онлайн сервис от Касперского работает. И очень хорошо.

Для поиска угроз используется собственный сканер с расширенным алгоритмом работы.

Умеет найти даже самое крутое.Существуют собственные базы данных для проверки определенных ссылок. И все задачи выполняются достаточно быстро.

Максимальный размер файла, разрешенного для загрузки на сервер, составляет 50 мегабайт. Не так много, как хотелось бы, но Dr.Web еще меньше. Однако сервис позволяет проверять все типы файлов. И это его главное преимущество.

• быстрая работа;
• собственный алгоритм проверки;
• всегда актуальные вирусные базы;
• возможность проверки ссылок;
• есть русский язык;
• простой и понятный интерфейс;
• Советы по безопасности;
• подозрительных файлов можно отправить в лабораторию.

VirusTotal бесплатно просканирует файл или веб-сайт на вирусы всеми основными антивирусами

В последнее время многие антивирусы увлеклись облачными технологиями. Либо Microsoft, либо Panda, а вскоре и ESET также добавят аналогичные средства в корпоративные продукты. Но «облака» — это еще не все, что Интернет может предложить в борьбе с неизвестными типами вирусов. Вы, конечно, можете анализировать процессы, службы и другие файлы с помощью специализированных утилит, но есть более пестрый способ, готовый зажать один-единственный файл в тисках шестидесяти антивирусов.

Сейчас существует большая потребность в онлайн-проверке подозрительных файлов с помощью антивирусных решений. Проблема только одна — пользователи привыкли, что какой-то тонкий антивирус в трее делает все за них, а отправка каждого файла на проверку — обычный случай, когда ситуация полностью выходит из-под контроля.

Одним из инструментов онлайн-проверки давно стал сервис под названием VirusTotal. Например, вы заподозрили вредоносный файл с работающей флешки, зашли на VirusTotal.com, добавил (до 32 МБ), и система начала проверку. Если он обнаружит похожий отсканированный файл, он сообщит вам о результате предыдущего сканирования, а если вам нужно его повторно просканировать, VirusTotal начнет сканирование с помощью 43 антивирусов. Мой 14-мегабайтный файл система проверила менее чем за 2 минуты, со скоростью нет никаких проблем.

Другое дело, что сервис больше подходит для проверки сайтов на наличие вредоносных программ, чем для отдельных файлов, поскольку безумно редко можно встретить файлы, которые игнорировались бы ведущими антивирусными решениями и, тем более, в сочетании с такой утилитой, как AnVir Task Manager. .

С одной стороны, преимуществом сервиса является то, что он проверяет сразу 43 антивирусные базы, но который не позволяет скачать пару антивирусных сканеров из ведущих лабораторий и начать поиск в конкретная папка или файл? Не думаю, что они обойдут зараженный файл. Другое дело, когда вы не хотите обновлять утилиты, а вам нужно проверить файл свежими базами.

Для более комфортной работы с ресурсом существует утилита «VirusTotal Loader».К сожалению, на официальном сайте информации о ней нет, но она умеет выполнять очень полезные операции. При запуске программа отображает список активных процессов в вашей системе, из которого вы можете выбрать подозрительный и отправить его на проверку в VirusTotal. Утилита также позволяет выбрать локальные файлы на диске для сканирования или указать URL-адрес удаленного файла.

выводы

Сервис VirusTotal очень полезен в случаях, когда вы вообще не используете антивирусное ПО или подозреваете, что ваш антивирус пропустил «вредоносное ПО» и хотите проверить его с помощью других антивирусных решений.Это может быть очень полезно в случае ложных срабатываний, а также когда антивирусы «крестят» программы вредоносными программами только потому, что разработчики этого антивируса имеют конкурирующее решение и, таким образом, получают выгоду от избавления от конкурентов. За примерами далеко ходить не надо — антивирус AVG легко и естественно называет Reg Organizer «потенциально опасным», предлагая при этом собственный продукт. VirusTotal также поможет вам проверить сайт, который вы хотите посетить, на наличие вредоносных скриптов.

Эксперты FireEye нашли исходный код вредоносного ПО CARBANAK на сайте VirusTotal Security Affairs

Исследователи кибербезопасности из FireEye обнаружили, что исходный код Carbanak был доступен на VirusTotal в течение двух лет, и никто этого раньше не замечал.

Исследователи FireEye обнаружили, что исходный код Carbanak был доступен на VirusTotal в течение двух лет, но раньше его не заметили.

Банда Carbanak (также известная как FIN7, Anunak или Cobalt) украла более миллиарда евро из банков по всему миру, название Carbanak происходит от названия вредоносного ПО, которое они использовали для взлома компьютеров в банках, других финансовых учреждениях, ресторанах и других странах. другие отрасли.

CARBANAK была впервые раскрыта в 2014 году Лабораторией Касперского, которая датировала свою деятельность еще 2013 годом, когда группа использовала вредоносное ПО Anunak в целевых атаках на финансовые учреждения и сети банкоматов.В период с 2014 по 2016 год группа использовала новое нестандартное вредоносное ПО под названием Carbanak, которое считается более новой версией Anunak.

Начиная с 2016 года группа разработала новое пользовательское вредоносное ПО, используя Cobalt Strike, легитимную платформу для тестирования на проникновение.

Эксперты обнаружили исходный код, компоновщики и некоторые ранее неизвестные плагины в двух разных архивах RAR.

Оба архива были загружены два года назад с одного российского IP-адреса.

«Вслед за этой публикацией наш коллега Ник Карр обнаружил пару архивов RAR, содержащих исходный код CARBANAK, компоновщики и другие инструменты (оба доступны в VirusTotal: kb3r1p и apwmie ).»- говорится в сообщении в блоге , опубликованном FireEye.

«Исходный код CARBANAK составлял 20 МБ, включая 755 файлов, 39 двоичных файлов и 100 000 строк кода. Нашей целью было найти информацию об угрозах, которую мы упустили в наших предыдущих анализах ».

В прошлом году правоохранительные органы арестовали в период с января по июнь трех подозреваемых украинцев: Дмитрия Федорова, Федора Гладыря и Андрея Копакова.

Федоров, опытный хакер, подозреваемый в том, что он является менеджером группы, был арестован по запросу У.Официальные лица С. в Бельско-Бяла, Польша, в январе, и в настоящее время ожидают его экстрадиции в США.

В январе 2018 года иностранные власти также арестовали Федора Хладыра в Дрездене, Германия, в настоящее время он содержится в Сиэтле в ожидании суда. Подозревается, что Хладырь является системным администратором группы.

В конце июня 2018 г. иностранные власти арестовали Андрея Колпакова в городе Лепе, Испания. Предполагается, что этот мужчина является руководителем группы. В настоящее время он содержится под стражей в Испании в ожидании запроса США об экстрадиции.

Пьерлуиджи Паганини

(SecurityAffairs — Карбанак, Россия)

Поделиться

Malware-Traffic-Analysis.net — 10 апреля 2014 г. — Nuclear EK

2014-04-10 — ЯДЕРНЫЙ ЭК ИЗ 198.50.253.235 — TREYWOO.RU

СВЯЗАННЫХ ФАЙЛА:

• ZIP PCAP:
• ZIP-файл вредоносной программы:

ЦЕПЬ СОБЫТИЙ

СВЯЗАННЫХ ДОМЕНА

• 192.254.190.230 — troysbilliards.ca — Взломанный сайт
• 195.85.232.66 — ads.groupmailing.net — Первое перенаправление
• 66.96.223.199 — enc.beyfiersd.info — Второе перенаправление
• 198.50.253.235 — 1n2wg6d725h4sz458-8ax.treywoo.ru и 3803532846-8.treywoo.ru — Ядерная ЭК
• 91.194.254.231 — offsetodate.cc — Обратный вызов после заражения

КОМПРОМИССНЫЙ ВЕБ-САЙТ

• 07:39:42 UTC — troysbilliards.ca — GET /

ПРЯМАЯ ЦЕПЬ

• 07:39:48 UTC — ads.groupmailing.net — ПОЛУЧИТЬ /affiliate.php?pid=44b4d215f2ae10ffdb04c7e4e522030c
• 07:39:48 UTC — ads.groupmailing.net — GET /
• 07:39:49 UTC — enc.beyfiersd.info — ПОЛУЧИТЬ /zyso.cgi?18

ЯДЕРНАЯ ЭК

• 07:39:49 UTC — 1n2wg6d725h4sz458-8ax.treywoo.ru — GET /4/34db98c9e4398f0d8530803ef5f4f18a.html
• 07:39:54 UTC — 3803532846-8.treywoo.ru — GET / 1397094420.банка
• 07:39:55 UTC — 3803532846-8.treywoo.ru — ПОЛУЧИТЬ /1397094420.jar
• 07:39:56 UTC — 3803532846-8.treywoo.ru — GET / f / 1397094420/2
• 07:39:57 UTC — 3803532846-8.treywoo.ru — GET / f / 1397094420/2/2
• 07:40:01 UTC — 3803532846-8.treywoo.ru — ПОЛУЧИТЬ /1397094420.htm

ОБРАТНЫЙ ЗВОНОК ПОСЛЕ ИНФЕКЦИИ

• 07:41:12 UTC — offsetodate.cc — POST /common/man.php

ПРЕДВАРИТЕЛЬНЫЙ АНАЛИЗ ВРЕДОНОСНОГО ПО

JAVA EXPLOIT

Имя файла: 2014-04-10-Nuclear-EK-java-exploit.jar
Размер файла: 18,5 КБ (18969 байт)
Хэш MD5: 6cd120078a8e3df2f1b2c9a9e
9b
Коэффициент обнаружения: 10/51
Первая отправка: 11.04.2014 02:13:12 UTC
Virus Общая ссылка:

ВРЕДОНОСНАЯ ЗАГРУЗКА

Имя файла: 2014-04-10-Nuclear-EK-malware-payload.exe
Размер файла: 152,0 КБ (155648 байт)
Хеш MD5: d7ee08417413a6e0e64ab188e1062250
Степень обнаружения: 18/51
Первое представление: 2014-04 -10 17:42:56 UTC
Ссылка VirusTotal:
Ссылка Malwr: Я отправил EXE в Malwr.com, но через час анализ все еще не завершен.

СНОРТ СОБЫТИЯ

ИНФОРМАЦИОННЫЕ МЕРОПРИЯТИЯ ДЛЯ ИНФЕКЦИОННОГО ТРАНСПОРТА (начиная с Sguil)

• 2014-04-10 07:39:48 UTC — 192.168.1.108:50705 — 66.96.223.199:80 — ET CURRENT_EVENTS EvilTDS Redirection
• 2014-04-10 07:39:54 UTC — 192.168.1.108:50707 — 198.50.253.235:80 — ПОЛИТИКА ET Обнаружена уязвимая версия Java 1.6.x
• 2014-04-10 07:39:54 UTC — 192.168.1.108: 50707 — 198.50.253.235:80 — ET CURRENT_EVENTS Java UA запрашивает Numeric.ext из базового каталога (наблюдается в Redkit / Sakura)
• 2014-04-10 07:39:54 UTC — 192.168.1.108:50707 — 198.50.253.235:80 — ET ТЕКУЩИЕ_СОБЫТИЯ Nuclear EK JAR URI Struct 05 ноября 2013 г.
• 2014-04-10 07:39:54 UTC — 192.168.1.108:50707 — 198.50.253.235:80 — ET ТЕКУЩИЕ_СОБЫТИЯ FlimKit Jar URI Struct
• 2014-04-10 07:39:54 UTC — 198.50.253.235:80 — 192.168.1.108:50707 — ET ТЕКУЩИЕ_СОБЫТИЯ Враждебный _dsgweed.класс JAR эксплойт
• 2014-04-10 07:39:54 UTC — 198.50.253.235:80 — 192.168.1.108:50707 — ET INFO JAVA — Java Archive Download By Vulnerable Client
• 2014-04-10 07:39:55 UTC — 192.168.1.108:50707 — 198.50.253.235:80 — ET CURRENT_EVENTS Nuclear EK Payload URI Struct 05 ноября 2013 г.
• 2014-04-10 07:39:55 UTC — 198.50.253.235:80 — 192.168.1.108:50707 — ПОЛИТИКА ET PE EXE или DLL Загрузка файла Windows
• 2014-04-10 07:39:55 UTC — 198.50.253.235:80 — 192.168.1.108:50707 — GPL SHELLCODE x86 NOOP
• 2014-04-10 07:41:11 UTC — 192.168.1.108: 50709 — 91.194.254.231:80 — ET ТЕКУЩИЕ_СОБЫТИЯ Zbot UA
• 2014-04-10 07:41:11 UTC — 192.168.1.108:50709 — 91.194.254.231:80 — ET INFO Подозрительный агент пользователя Windows NT версии 7

ОСОБЕННОСТИ ДВИЖЕНИЯ

Javascript со страницы индекса зараженного сайта:

Домен первого перенаправления:

Второй домен перенаправления:

Nuclear EK предоставляет эксплойт для Java:

Nuclear EK предоставляет эксплойт MSIE:

Эксплойт Java обеспечивает полезную нагрузку EXE:

Обратный трафик после заражения:

ЗАКЛЮЧИТЕЛЬНЫЕ ЗАПИСИ

Еще раз, вот ссылки на связанные файлы:

• ZIP PCAP:
• ZIP-файл вредоносной программы:

ZIP-файлы защищены стандартным паролем.Если вы этого не знаете, загляните на страницу «О нас» на этом веб-сайте.

, чтобы вернуться на главную страницу.

угроз Intel · PyPI

## Поддерживаемые каналы аналитики угроз

Пакет содержит оболочки API для:

* OpenDNS Investigate API
* VirusTotal API v2.0
* ShadowServer API

—-

### OpenDNS Investigate API

[ OpenDNS Investigate] (https: //vestigate.opendns.com/) предоставляет API, который
позволяет запрашивать:

* Категоризацию домена
* Информация о безопасности домена
* Совместное появление для домена
* Связанные домены для домена
* Домены, связанные с IP
* Даты тегирования домена для домена
* История записи DNS для домена
* Информация WHOIS
— Информация WHOIS для электронной почты
— Информация WHOIS для сервера имен
— Историческая информация WHOIS для домена
* Последние вредоносные домены для IP-адреса

Чтобы использовать оболочку Investigate API, импортируйте класс InvestigateApi из файла «угроза_интел.модуль opendns:

« `python
from Threat_intel.opendns import InvestigateApi
` «

Для инициализации оболочки API вам нужен ключ API:

« `python
vestigate = InvestigateApi (» «)
` `

Вы также можете указать имя файла, в котором ответы API будут кэшироваться в файле JSON,
, чтобы сэкономить полосу пропускания для нескольких вызовов об одних и тех же доменах или IP-адресах:

« `python
vestigate = InvestigateApi (» «, cache_file_name =» / tmp / cache.opendns.json «)
` `

#### Категоризация доменов

Вызывает` домены / категоризацию /? showLabels` Исследует конечную точку API.
Он берет список (или любой другой перечисляемый Python) доменов и возвращает
категории, связанные с этими доменами с помощью OpenDNS вместе с оценкой [-1, 0, 1], где -1 — это вредоносный статус.

« `python
domains = [» google.com «,» baidu.com «, «bibikun.ru»]
vestigate.categorization (домены)
«

приведет к:

«
{
«baidu.com «: {» status «: 1,» content_categories «: [» Поисковые системы «],» security_categories «: []},
» google.com «: {» status «: 1,» content_categories «: [» Поиск Двигатели »],« security_categories »: []},
« bibikun.ru »: {« status »: -1,« content_categories »: [],« security_categories »: [« Вредоносное ПО »]}
}
` «

#### Информация о безопасности домена

Вызывает `security / name /` Investigate API endpoint.
Он принимает любой Python, перечисляемый с доменами, например list, и возвращает несколько параметров безопасности
, связанных с каждым доменом.

« « python
domains = [«google.com», «baidu.com», «bibikun.ru»]
vestigate.security (domains)
« `

приведет к: