Как пользоваться вирус тотал
Обновлено: 26.04.2024
Сейчас не редко встречаются вшитые стиллеры/майнеры/ратники и тому подобное вредоносные ПО, как правило, в крякях популярных приложений или инструментов. Далеко не все могут провести полный динамический анализ файла и потратить время на разбор дампов памяти/сети, изменений в реестре и так далее. В этой статье описывается максимально подробное использование VirusTotal, как инструмента для тщательной, но не идеальной, проверки файлов. Поскольку основное предназначение VirusTotal — демонстрация выявленных разными антивирусами сигнатур вредоносного ПО, то останавливаться на этом не будем. Аналогично с разделом Details. В нём представлена основная информация о приложении. Полезным может оказаться подраздел импортов (Imports), но это происходит крайне редко.
Единственное, что нам потребуется сделать — зарегистрировать учетную запись, вить с ней можно посмотреть больше данных об анализируемом файле, нежели без неё.
Раздел Relations
Первые три подраздела показывают нам идентифицированные подключения к доменам/IP-адресам/страницам. Пример:
Исходя из доменных имён, с которыми устанавливает связь приложение, можно определить как легитимные (обычно это официальные сайты компании/разработчика), так и не совсем. Во втором случае, это могут быть веб-сайты которые:
- содержат домены бесплатных хостингов (тот же beget или 000webhost);
- имеют в имени подозрительные словосочетания (на фото примера это веб-сайт pool.supportxmr[.]com, другой пример — iplogger/crypto/steal и тому подобные). Учтём, что значительная доля веб-сайтов, содержащих в себе crypto/btc/xmr используются для добычи криптовалюты, то есть для майнеров (как в приведенном примере);
- называются произвольным набором цифро-буквенных символов, не имеющие никакого значения (пример: ttr4p; bb3u6);
- размещены на недорогих доменах верхнего уровня (пример: *.xyz, *.pw, *.wtf);
Это далеко не полный список, однако именно такими параметрами обладает большинство доменных имен, использующихся создателями вредоносного ПО. Не следует исключать веб-сайты с доменами, которые, на первый взгляд, кажутся приемлемыми.
В ином случае, когда приложение подключается к конкретным IP-адресам, не будет лишним проверить: что это за IP (воспользоваться whois); что размещено по этому адресу; файлы, которые так же связывались с этим адресом. Благо мы можем посмотреть эти данные используя VirusTotal, кликнув по интересующему нас адресу. В подразделе Details представлен whois и результаты поиска данного адреса в поисковике:
Подраздел Relations содержит информацию об веб-сайтах, размещенных на данном IP в разное время, а так же о файлах (загруженных на VirusTotal), которые подключаются к этому адресу:
Следующий полезный подраздел — Dropped files. Как можно понять из названия, это созданные приложением файлы. В экземпляре майнер создает различные скрипты, написанные на Visual Basic, и исполняемые файлы (используются как майнеры).
Graph Summary — удобный просмотр вышесказанных данных. Нет смысла заострять на нём внимание.
Раздел Behavior
В этом разделе отображается анализ с песочниц. Рекомендую использовать VirusTotal Jujubox и Dr.Web vxCube, ибо они имеют наибольшее количество информации. Что бы не повторяться разберем только отдельные подразделы.Registry Actions. Здесь мы можем посмотреть изменения (создание/удаление/изменение ключей) регистра. Я рекомендую обратить внимание на следующие разделы регистра, отвечающие за автозагрузку:
\Software\Microsoft\Windows\CurrentVersion\Run \Software\Microsoft\Windows\CurrentVersion\RunOnce \Software\Microsoft\Windows\CurrentVersion\Run \Software\Microsoft\Windows\CurrentVersion\RunOnceСпойлер: Registry Actions
Processes Tree. Возможность проследить созданные процессы. Таким образом, возможно определить какие системные/легитимные файлы (могли быть) были заражены:
VirusTotal — уникальный сервис с помощью которого можно быстро и абсолютно бесплатно проверить любой файл или подозрительную ссылку (сайт) сразу десятками антивирусов. На данный момент сервисом используется 72 (!) антивирусных сканера.
Использование сервиса, его особенности, дополнения в популярные браузеры и программка-клиент на компьютер, проверяющая из контекстного меню не только Ваши отдельные файлы, но и процессы запущенные в системе — вот с чем сегодня будем знакомиться в статье посвящённой VirusTotal.
Особенности VirusTotal
Раньше (в детстве и юношестве) сервис был многоязычным, даже очень. Была поддержка и русского языка. Но новые владельцы вероятно решили, что в мире остались одни англичане (американцы) и почему-то испанцы…
Именно эти два языка остались в интерфейсе сервиса. Но вот, что скажу — даже если бы оставили один китайский язык, всё-равно было бы понятно, как пользоваться этим антивирусным онлайн-сервисом. Да и в самом быстром и популярном браузере Google Chrome этот вопрос решается на раз…
Достаточно просто перевести страницу встроенным переводчиком.
Также, особенностью сервиса VirusTotal является ограничение размера проверяемого файла — 32 Мб. Впрочем, этого достаточно в большинстве случаев.
Не стоит забывать и заблуждаться — VirusTotal не замена антивирусу в системе! Сервис способен проверять лишь отдельные, указанные файлы и ссылки.
Ещё одним предназначением сервиса является выявление ложных срабатываний антивирусов.
Любой сканер или антивирус, хоть и обновляется постоянно, но всё-равно является лишь программой, набором команд и кодов, они тоже могут ошибаться.
Создатели сервиса это понимают снижая процент ошибок не только постоянно увеличивая число аудиторов (сканеров), но и внедрив дополнительное средство определения зловредности файла — личный опыт пользователей.
Это реализовано в очень симпатичной и оригинальной форме — путём голосования за файл или ссылку…
Не забудьте ткнуть на чёртика или ангела, если знаком проверяемый файл, программа или ссылка.
Как-то плавно перешёл к описанию…
Проверка файлов и ссылок на VirusTotal
Лично я проверяю этим сервисом все файлы, которые предлагаю Вам на этом сайте, о чём и написано в конце каждой статьи.
Для проверки ссылки или сайта — перейдите по стрелке и введите (или вставьте скопированный ранее) адрес…
Очень скоро получите результат в виде списка антивирусных сканеров, которые участвовали в определении наличия вирусов в файле. Если какой-либо сканер нашёл вирус (или ему кажется, что нашёл ), то в его строке будет название вируса написано.
Это показано, сколько сканеров обнаружило вирус из общего числа задействованных. Если будет 1 из 72 — скорее всего это ложная сработка, а вот если 30 из 72 — скорее удаляйте этот файл из компьютера.
Это проверил выполняющийся в системе процесс программы сбережения зрения при работе за компьютером, которой пользуюсь уже много лет.
Это всё здорово и отлично, но ведь можно повысить удобство использования сервиса VirusTotal.
ПОЛЕЗНОЕ ВИДЕО
Дополнения (расширения) VirusTotal в популярные браузеры
Гораздо удобнее и безопаснее проверять файлы ещё находящиеся на сайтах, а не скачанные на компьютер, верно? Для этого достаточно установить в браузер специальное дополнение и кликнув любую ссылку на файл ПРАВОЙ кнопкой мыши, проверить файл выбрав в контекстном меню…
Для Google Chrome это расширение под названием VTchromizer.
Для браузера Mozilla есть дополнение под названием VTzilla, а для Opera — VirusTotal Extension. Их работа абсолютно идентична описанной выше.
Естественно, что переходить по ссылкам для установки дополнений надо из тех браузеров, для которых и предназначено дополнение.
Программа-загрузчик VirusTotal Uploader 2.0
Кроме дополнений в браузеры есть ещё и малюсенькая программка-загрузчик (всего 140 кб) для лёгкой, быстрой загрузки и проверки файлов находящихся в Вашем компьютере — VirusTotal Uploader 2.0.
Кстати, программа умеет проверять даже выполняющиеся процессы в системе.
Установка и использование VirusTotal Uploader 2.0
Встречаем ярлык на рабочем столе с помощью которого и запускаем программу…
В окне программы-загрузчика VirusTotal Uploader 2.0 выделяем сомнительный процесс выполняющийся в системе и кликаем по кнопке указанной стрелкой.
Если процесс оказался злым — быстренько идём в диспетчер задач и убиваем его (Завершить процесс) выстрелом в голову.
ПОЛЕЗНОЕ ВИДЕО
Такая проверка файлов на вирусы онлайн — чистого компьютера и не пускайте к себе в компьютер всякие сомнительные бяки…
И не говорите потом, что не предупреждал.
До новых полезных компьютерных программ и интересных приложений для Андроид.
Несколько лет уже прошло после описания на этом сайте замечательного и очень полезного сервиса VirusTotal. С тех пор его интерфейс очень изменился и поэтому решил актуализировать предыдущий обзор путем написания нового, в 2022-м году.
Кстати, большое число пользователей, как выяснилось, хоть и читали или слышали о нем, но не знают всех тонкостей и нюансов правильного использования данного защитного онлайн инструмента. Надеюсь, помогу разобраться им в этом вопросе, раз и навсегда.
Как пользоваться сервисом VirusTotal
К сожалению, современный интерфейс VirusTotal реализован исключительно на английском языке. Еще больше удручает тот факт, что его невозможно, по какой-то странной причине, перевести даже Google-переводчиком. Во всяком случае, у меня не получилось. 🙁
Но спешу успокоить не владеющих данным языком пользователей — разобраться в сервисе можно интуитивно или с моими подсказками в этой статье.
Очень надеюсь, что большинство пользователей знает, что делает это сборище антивирусных сканеров в одном флаконе? Правильно, проверяет файлы и ссылки сразу множеством защитных алгоритмов.
Напомню, сервис VirusTotal НЕ замена антивирусу в компьютере, а всего-лишь дополнительное средство обнаружения зловредов в файлах и ссылках!
Всего, как видите на главной странице тотального сканера, нам доступны три варианта проверок:
- отдельного указанного файла (инсталлятора или архива)
- конкретного адреса в сети Интернет
- с помощью универсальной строки в которой можно указать обычный или ip-адрес ресурса (его домен), а также, хеш-сумму файла (что это значит)…
Кстати, радует, что авторы значительно увеличили доступный размер проверяемого файла с 32 Мб до 650 Мб (не заметил, когда это произошло 🙂 )…
На примере проверки отдельных файлов покажу нюансы использования сервиса VirusTotal.
Главный нюанс сервиса VirusTotal
Что имею в виду — сервис отображает сразу результат проверки файла из своей памяти, если данный архив или инсталлятор уже проверялся когда-либо любым пользователем. Это делается для ускорения процесса и облегчения работы серверов.
Эти временные промежутки могут достигать нескольких лет и терять свою актуальность по причине совершенствования антивирусных алгоритмов.
Наглядно демонстрирую озвученное выше. Как-то возник спор у меня с читателем из-за наличия вируса в сборнике красивых зимних заставок для компьютера…
При этом, пользователь совершенно не обратил внимания на шесть лет с момента реальной проверки файла на наличие зловредов.
Категорически рекомендую обновлять результаты проверки методом клика по закругленной стрелке в правом верхнем углу страницы…
Как всегда в подобных ситуациях, скачиваю файл со своего же сайта и загружаю на ВирусТотал, при этом запускаю реальную проверку…
Что мы видим — установщик по хеш-сумме тот же самый, но современные защитные алгоритмы уже не находят ничего в нем.
Вывод — инсталлятор был чистым всегда, просто антивирусы научились точнее распознавать угрозы и уменьшать тем самым процент ложных срабатываний. Такой результат можно было предвидеть и шесть лет назад, но это тема уже следующего раздела статьи…
Правильное понимание результатов антивирусного сервиса ВирусТотал
Дело в том, что даже если один или два сканера из десятков найдет что-то подозрительное в файле… это, в 99.9% не означает реального наличия вируса в нем!
Многим трудно в это поверить, но это так и есть. Проверено лично, многолетним компьютерным опытом.
Достаточно применить логику и все становится на свои места. Например, почему всего-лишь один, обычно никому неизвестный, антивирус из многих десятков знаменитых и заслуженных находит зловреда? Потому что его алгоритм не совершенен и это ложное срабатывание!
А как Вам такое — часто возбудившиеся алгоритмы даже сами не могут сказать, что нашли…
Кстати, обычно так реагируют сканеры на встроенные в установщик предложения инсталляции дополнительного софта от которых можно элементарно отказаться снятием соответствующей галочки.
Лично я начинаю как-то реагировать при трех и более обнаруженных угрозах этим коллективным сканером, но это, естественно, на усмотрение пользователей исключительно.
Почему в VirusTotal разное количество антивирусов
Почему в сервисе участвует разное количество антивирусов в сканировании? Тут все очень просто — иногда серверы некоторых сканеров не успевают ответить на запрос (выходит время ожидания ответа от них)…
В этом можно убедиться самостоятельно спустившись в самый низ страницы с результатами анализа.
Напоминаю, невероятно повысить удобство использования данным сервисом, добавив его пункт в контекстное меню Проводника Windows, можно с помощью бесплатной программы VirusTotal Uploader 2.0. Еще можно воспользоваться софтом под названием PeStudio или специальными расширениями в браузер, например, VTchromizer или VT4Browsers (про него подробнее в видео, что ниже).
ПОЛЕЗНОЕ ВИДЕО
Теперь знаете, как правильно пользоваться сервисом VirusTotal в 2022-м году. До новых полезных компьютерных программ и советов.
Опытным пользователям не всегда есть резон пользоваться имеющимся в штате Windows антивирусом или устанавливать сторонний. Безусловно, значимость антивирусов неоспорима, но у них есть и недостатки. На слабых и усреднённых компьютерах проактивная защита и фоновые регулярные сканирования могут тормозить работу системы. Если мы много работаем с сомнительным софтом, мы вынуждены будем бороться с ложными срабатываниями антивируса.
Ну и вот если мы достаточно опытны, можем отказаться от антивируса. Если же станет необходимость разобраться с подозрительными файлами, программами или процессами, мы просто прибегнем к помощи облачных антивирусных технологий, либо же поработаем с известным антивирусным сервисом VirusTotal . С которым, кстати, можно работать не только на его сайте, но и при помощи определённых Windows-программ, в которые интегрирована возможность отправки данных в этот сервис. Что это за программы?
О сервисе VirusTotal
Но, прежде чем приступить к обзору программ, работающих в связке с сервисом VirusTotal, небольшая инфосправка о самом сервисе для тех, кто, возможно, ещё с ним не знаком. Это бесплатный антивирусный веб-сервис компании Google для проверки файлов и ссылок на предмет наличия в них вредоносного ПО любого типа. Это не единственный в мире антивирусный веб-сервис, но его примечательность и, соответственно, популярность заключается в комплексности анализа файлов и ссылок: VirusTotal работает на базе не одного, не десятки, а на базе более чем 70 антивирусных движков. В их числе движки от известных разработчиков антивирусных продуктов как то: BitDefender , Eset Software , Comodo , Avira , AVG Technologies , Nano Security , Malwarebytes Corporation , Panda Security , Microsoft , Panda Security , Qihoo 360 . Комплексный анализ поможет вынести точный вердикт файлу или сайту – заражены ли они, либо же какие-то антивирусы допускают ложное срабатывание. Сервис VirusTotal живой, поддерживаемый и развиваемый, базы антивирусных движков постоянно обновляются.
Работать с VirusTotal предельно просто.
Заходим на его сайт:
Единственный нюанс: VirusTotal позволяет проверять файлы весом не более 550 Мб.
Ну а теперь вернёмся непосредственно к теме статьи – Windows-программы с интегрированной возможностью работы с антивирусным сервисом. Они позволяют использовать возможности VirusTotal для проверки активных системных процессов и прочих объектов внутри нашей операционной системы - то, что не может быть предусмотрено функционалом веб-интерфейса сервиса.
Рассмотрим тройку таких программ.
VirusTotal Uploader
Небольшая утилита VirusTotal Uploader – это родной клиент сервиса. Она дублирует функционал сервиса в части загрузки файлов и ссылок для проверки.
Но тогда как веб-интерфейс VirusTotal поддерживает загрузку файлов до 550 Мб, у клиентской утилиты размер загружаемых файлов ограничен 128 Мб. Зато VirusTotal Uploader предлагает возможность проверки текущих системных процессов. В окошке утилиты вверху кликаем ссылку для отображения всех активных в системе процессов.
Выбираем тот, что мы хотим проверить. И кликаем кнопку загрузки этого процесса на сайт VirusTotal.
В окне браузера получаем комплексный результат проверки процесса в виде таблицы результатов с участием всех антивирусов, на базе которых работает сервис. В нашем случае файл сомнительный, поэтому часть антивирусов его определила как безвредный и дала зелёную отметку положительного прохождения проверки, а часть определила как вредоносный, обозначила его красной отметкой тревоги и выдала своё предположение о типе вредоносного ПО.
AnVir Task Manager
И в окне браузера ловим отчёт VirusTotal.
Обратим внимание, что в нашем случае не все антивирусы дали положительную отметку проверяемому процессу, некоторые не сработали. Т.е. у них попросту нет информации об этом процессе. Что, собственно, и было причиной повышенного уровня риска, который для этого процесса определила AnVir Task Manager.
Программа также предусматривает опцию проверки на сайте VirusTotal сомнительных файлов.
Но это могут быть не какие-угодно файлы, а только файлы запуска ПО.
Autorun Organizer
Autorun Organizer – это бесплатный продвинутый менеджер автозагрузки Windows, с помощью которого можно, в частности, отслеживать уровень риска по объектам автозагрузки и отправлять эти объекты на проверку в VirusTotal. В окне программы выбираем вкладку всех разделов объектов автозагрузки и смотрим каждый из пунктов. В нижней информационной панели по объекту в числе прочих данных будет указан его уровень риска в виде отметки, сколькие из скольких антивирусов VirusTotal считают ПО объекта подозрительным.
К примеру, вот та же программа AnVir Task Manager, назначенная на автозапуск. Четвёртка антивирусов из всего числа, с которыми работает антивирусный сервис, как видим на скриншоте ниже, полагают, что это вредоносное ПО. Мы просто кликаем по ссылке в графе VirusTotal.
И в окне браузера смотрим отчёт сервиса, какие из антивирусов так злостно ошибаются, и за какой тип вредоносного ПО они приняли совершено безвредную программу.
Читайте также: