Virustotal
Содержание:
- Полное описание
- Антивирусные движки, используемые для проверки URL-адресов
- Domain and IP address reports
- Стандартные размеры конструкции
- Что покупают и не покупают в России
- О сервисе VirusTotal
- URL Reports Details
- Ограничения
- Virus Total
- Пример онлайн проверки файла на вирусы и зачем это может понадобиться
- Антивирусные движки, используемые сервисом
- Getting started
- API V2 third party scripts and client libraries
- URL Reports Summary
- VirScan
- Антивирусные движки, используемые сервисом
- File Reports Details
- File reports Summary
- Способы проверки на VirusTotal
- Kasperskiy Virus Disk
- Как читать отчеты VirusTotal?
Полное описание
Virus Total является одним из самых популярных сервисов, позволяющих проверить файл или URL на наличие вредоносных программ. Обеспечивает стопроцентную вероятность обнаружения опасных данных, в том числе разнообразных вирусов, троянов и червей, несущих особую угрозу любой информации, находящейся на вашем компьютере.
На главной странице бесплатного сервиса проверки сайтов, находится три вкладки — «отдельный файл, ссылка и поиск». Чтобы загрузить необходимый объект из памяти ПК, достаточно выбрать его через встроенный файловый менеджер и нажать кнопку «Проверить». Если вам нужно проверить ссылку, скопируйте интересующий URL из адресной строки браузера, затем откройте соответствующую вкладку на ВирусТотал, наведите курсор на специальное поле ввода, кликните по нему правой кнопкой мыши и нажмите «Вставить» либо используйте клавиатурную комбинацию Ctrl+V.
Виртуальное программное обеспечение работает со всеми современными веб-обозревателями, среди таких: Google Chrome, Mozilla Firefox, Internet Explorer, Opera и многие другие
Обратите внимание, что проверяемый файл любого формата, не должен быть больше 128 мегабайт. После завершения сканирования в реальном времени, перед вами откроется список с результатами от разных антивирусов
VirusTotal com даёт возможность повторить последний анализ, можно просматривать подробную статистику и быть в курсе всех потенциально опасных объектов, найденных в ходе диагностики. Кроме того, в верхней правой части интерфейса присутствует специальная вкладка с оценками файлов и ссылок. Таким образом, каждый пользователь может проверить вирусы в онлайне и оставить своё мнение о том, безвредный или зараженный это файл или страница сайта.
Сервис использует следующие антивирусы: Dr.Web Link Scanner (Dr.Web), Emsisoft (Emsi Software GmbH), ESET, FortiGuard Web Filtering (Fortinet), FraudSense (FraudSense), G-Data (G Data), Google Safebrowsing (Google), K7AntiVirus (K7 Computing), Kaspersky URL advisor (Kaspersky Lab), Malware Domain Blocklist (DNS-BH), AutoShun (RiskAnalytics), AVG, Avira Checkurl, urlQuery (urlQuery.net), VX Vault, ParetoLogic URL Clearing House (ParetoLogic), Phishtank (OpenDNS), Quttera, Qihoo 360, SpyEye Tracker (Abuse.ch), StopBadware, ThreatHive (The Malwarelab), Trend Micro Site Safety Center (Trend Micro), Wepawet (iseclab.org), Malwares.com (Saint Security), Netcraft (Netcraft), AegisLab WebGuard (AegisLab), Alexa (Amazon), AlienVault, Comodo Site Inspector (Comodo Group), CyberCrime (Xylitol), Dr.Web Link Scanner (Dr.Web), Wepawet (iseclab.org), Yandex Safebrowsing (Yandex), ZDB Zeus, Zeus Tracker (Abuse.ch), Zvelo, C-SIRT (Cyscon SIRT), CLEAN MX, Antiy Labs, Kaspersky VirusDesk, K7 Computing (K7AntiVirus, K7GW), F-Prot, F-Secure, Baidu-International (Baidu), BitDefender, Bkav, TrendMicro, TrendMicro-HouseCall и так далее.
Антивирусные движки, используемые для проверки URL-адресов
- ADMINUSLabs (ADMINUSLABS)
- AegisLab WebGuard (AegisLab)
- Alexa (Amazon)
- AlienVault (AlienVault)
- Antiy-AVL (Antiy Labs)
- AutoShun (RiskAnalytics)
- Avira Checkurl (Avira)
- Baidu-International (Baidu)
- BitDefender (BitDefender)
- Blueliv (Blueliv)
- CRDF (CRDF FRANCE)
- C-SIRT (Cyscon SIRT)
- CLEAN MX (CLEAN MX)
- Comodo Site Inspector (Comodo Group)
- CyberCrime (Xylitol)
- Dr.Web Link Scanner (Dr.Web)
- Emsisoft (Emsi Software GmbH)
- ESET (ESET)
- FortiGuard Web Filtering (Fortinet)
- FraudSense (FraudSense)
- G-Data (G Data)
- Google Safebrowsing (Google)
- K7AntiVirus (K7 Computing)
- Kaspersky URL advisor (Kaspersky)
- Malc0de Database (Malc0de)
- Malekal (Malekal’s MalwareDB)
- Malwarebytes hpHosts (Malwarebytes)
- Malwared (Malware Must Die)
- Malware Domain Blocklist (DNS-BH — Malware Domain Blocklist)
- Malware Domain List (Malware Domain List)
- MalwarePatrol (MalwarePatrol)
- Malwares.com (Saint Security)
- Netcraft (Netcraft)
- OpenPhish (FraudSense)
- Opera (Opera)
- Palevo Tracker (Abuse.ch)
- ParetoLogic URL Clearing House (ParetoLogic)
- Phishtank (OpenDNS)
- Quttera (Quttera)
- Rising (Rising)
- SCUMWARE (Scumware.org)
- SecureBrain (SecureBrain)
- Sophos (Sophos)
- Spam404 (Spam404)
- SpyEye Tracker (Abuse.ch)
- StopBadware (StopBadware)
- Sucuri SiteCheck (Sucuri)
- ThreatHive (The Malwarelab)
- Trend Micro Site Safety Center (Trend Micro)
- Trustwave (Trustwave)
- urlQuery (urlQuery.net)
- VX Vault (VX Vault)
- Web Security Guard (Crawler, LLC)
- Websense ThreatSeeker (Websense)
- Webutation (Webutation)
- Wepawet (iseclab.org)
- Yandex Safebrowsing (Yandex)
- ZCloudsec (Zcloudsec)
- ZDB Zeus (ZDB Zeus)
- Zeus Tracker (Abuse.ch)
- Zvelo (Zvelo)
Domain and IP address reports
Unlike file and URL reports, network location views do not record partner verdicts for the resource under consideration. Instead, these reports condense all of the recent activity that VirusTotal has seen for the resource under consideration, as well as contextual information about it. These details include:
- Autonomous System and location country for IP addresses.
- Passive DNS replication information: all the IP-domain name mappings that VirusTotal has seen over time for the item being studied. These resolutions are performed when contacting URLs submitted to VirusTotal for scanning, when executing files in sandboxes, through partnerships with third-parties, etc.
- Whois lookups: registered users or assignees of an Internet resource, such as a domain name, an IP address block, or an autonomous system, but is also used for a wider range of other information.
- Observed subdomains: domains seen hierarchically under another domain stored in VirusTotal.
- Sibling domains: domains at the same hierarchical level as the domain being studied.
- URLs: latest URLs seen under the domain or IP address being studied. Note that the date reflected in this section is not the date at which the URL was contacted but rather the date of the last report that we have for the resource, this might be more recent or older than the retrieval date.
- Downloaded files: latest files that have been retrieved from URLs sitting at the domain or IP address under study. Note that the date recorded in this section is not the date at which the file was downloaded but rather the date of the last report that we have for the resource.
- Communicating files: latest files that, through their execution in a sandboxed virtual environment, have been seen to perform some kind of communication with the IP address or domain under consideration. Note that the date recorded in this section is not the date at which the communication took place but rather the date of the last report that we have for the resource.
- Files referring: VirusTotal will inspect the strings contained in files submitted to the service and apply certain regular expressions to these in order to identify domains and IP addresses. This section records files that have referenced the domain or IP address under consideration. Note that the date recorded in this section is not the date at which the file that give raise to the relationship was submitted but rather the date of the last report that we have for the resource.
Стандартные размеры конструкции
Что покупают и не покупают в России
У российских покупателей существуют б/у товары повышенного спроса и традиционно неликвидные товары.
Популярные товары:
- зимняя детская одежда и обувь (от года);
- гаджеты;
- бытовая техника;
- дорогостоящие детские товары (коляски, автокресла, самокаты-велосипеды, мебель);
- селективные парфюмы;
- дизайнерские сумки.
Неликвид:
- б/у одежда для новорождённых и беременных;
- свадебные платья.
Эти вещи в идеальном состоянии (как правило, каждую из них надевают всего по одному-несколько раз), но продать их практически нереально в силу нашего менталитета, примет и предрассудков, особенно у юных мам и невест.
О сервисе VirusTotal
Но, прежде чем приступить к обзору программ, работающих в связке с сервисом VirusTotal, небольшая инфосправка о самом сервисе для тех, кто, возможно, ещё с ним не знаком. Это бесплатный антивирусный веб-сервис компании для проверки файлов и ссылок на предмет наличия в них вредоносного ПО любого типа. Это не единственный в мире антивирусный веб-сервис, но его примечательность и, соответственно, популярность заключается в комплексности анализа файлов и ссылок: VirusTotal работает на базе не одного, не десятки, а на базе более чем 70 антивирусных движков. В их числе движки от известных разработчиков антивирусных продуктов как то: BitDefender, Eset Software, Comodo, Avira, AVG Technologies, Nano Security, Malwarebytes Corporation, Panda Security, Microsoft, Panda Security, Qihoo 360. Комплексный анализ поможет вынести точный вердикт файлу или сайту – заражены ли они, либо же какие-то антивирусы допускают ложное срабатывание. Сервис VirusTotal живой, поддерживаемый и развиваемый, базы антивирусных движков постоянно обновляются.
Работать с VirusTotal предельно просто.
Заходим на его сайт:
На сайте выбираем вкладку «File» или «URL» и, соответственно, загружаем на сервер сайта подозрительный файл, либо же вставляем ссылку сомнительной веб-страницы.
Вредоносные коды также можно искать по IP, доменам и хеш-кодам файлов во вкладке сайта «Search».
Единственный нюанс: VirusTotal позволяет проверять файлы весом не более 550 Мб.
Ну а теперь вернёмся непосредственно к теме статьи – Windows-программы с интегрированной возможностью работы с антивирусным сервисом. Они позволяют использовать возможности VirusTotal для проверки активных системных процессов и прочих объектов внутри нашей операционной системы — то, что не может быть предусмотрено функционалом веб-интерфейса сервиса.
Рассмотрим тройку таких программ.
URL Reports Details
1) A list of each reviewing partner and their findings. Possible findings include:
-
Clean site: no malware detected.
-
Unrated site: the partner never reviewed the given site.
-
Malware site: distributes malware.
-
Phishing site: the site tries to steal users’ credentials.
-
Malicious site: the site contains exploits or other malicious artifacts.
-
Suspicious site: the partner thinks this site is suspicious. Grey area.
- Spam site: involved in unsolicited email, popups, automatic commenting, etc.
2) Additional information about the scanned resource, such as the category of its content, the HTTP response headers returned by the server upon asking for the given URL, etc.
3) VirusTotal’s backend generates rich relationships: URLs from which a file has been downloaded, whether a given file been seen contained in some other files, what are the parents of a given Portable Executable, domain to IP address mappings over time, etc.
4) These are comments made by members of the VirusTotal Community. Most recent comments are listed first. This section also records the votes made by members of the VirusTotal Community on this file or URL.
Ограничения
Сервис не заменяет антивирус на локальном компьютере, поскольку проверяются только отдельные файлы и отдельные URL-адреса по требованию. Сервис не обеспечивает постоянной защиты на компьютере пользователя и является дополнением к установленному антивирусу. Хотя сервис и использует несколько антивирусных движков, результат антивирусов не гарантирует безвредности файла или URL-ссылки. Максимальный размер загружаемого файла ограничен 550 мегабайтами.
Virustotal не предназначен для сравнения антивирусов по следующим причинам:
- антивирусные движки, используемые на Virustotal, являются консольными версиями, поэтому в зависимости от продукта они не будут вести себя точно так же, как их аналоги для настольных компьютеров. Например, версия антивируса для настольного компьютера может также использовать проактивную защиту и брандмауэр, которые повышают вероятность обнаружения угроз;
- в консольных версиях антивирусов на Virustotal эвристический анализ может быть более агрессивным и параноидальным по сравнению с антивирусами для настольных компьютеров, поэтому на Virustotal ложных срабатываний может быть больше.
Согласно санкционной политике США в отношении Крыма, сервис не доступен жителям Крыма, как и многие другие сервисы компании Google.
Virus Total
Несмотря на то, что предыдущие два сервиса создали самые известные антивирусные компании России, Virus Total является наверное самым известным и самым лучшим онлайн сканером, и многие люди пользуются именно им. И на это есть причины:
- Несмотря на то, что он зарубежный, здесь есть поддержка русского языка.
- Этот сервис активирует более 60 антивирусных сканеров, что делает процесс поиска вирусов более точным. Кроме того, отчет выдается по каждому сканеру.
- Вирус тотал проверяет еще и ссылки.
- Максимальный объем проверяемого файла составляет 128 мегабайт, что в 2,5 раза больше, чем у Касперского.
Чтобы воспользоваться сервисом, зайдите на сайт Virustotal и выберите вкладку File, после чего нажмите на Upload file to scan.
Сервис автоматически начнет анализ и проверку, после чего выдаст вам полный отчет по каждому из антивирусных сканеров
Обратите внимание, что те же самые Касперский и Доктор Веб здесь также присутствуют
Если вы хотите проверить ссылки на вирусы, то на главной странице утилиты выберите вкладку URL, а зетем вставьте адрес и нажмите на значок лупы. После этого пройдет точно такая же проверка на вирусы, после чего вы увидите отчет по всем сканерам.
Данный способ проверки отличается тем, что вам всё же придется установить небольшой клиент. Но в отличие от полноценного программного обеспечения, он не будет
Пример онлайн проверки файла на вирусы и зачем это может понадобиться
Самая распространенная причина появления вирусов на компьютере — скачивание и установка (или просто запуск) какой-либо программы из Интернета. При этом, даже если у вас установлен антивирус, а загрузку вы осуществляли с проверенного источника, это не означает, что все полностью безопасно.
Что-то много слов ни о чем. Любой файл, размером до 64 Мб вы можете полностью бесплатно проверить на вирусы онлайн с помощью VirusTotal, прежде чем его запускать. При этом, будет использовано сразу несколько десятков антивирусов, куда входят и Касперский и NOD32 и BitDefender и куча других, известных и неизвестных вам (а в этом плане Google можно верить, это не просто реклама).
Приступаем. Зайдите на https://www.virustotal.com/ru/ — это откроет русскую версию VirusTotal, которая выглядит так:
Все что вам требуется, загрузить файл с компьютера и дождаться результата проверки. Если ранее такой же файл проверялся (что определяется по его хэш-коду), то вы сразу получите результат предыдущей проверки, но при желании можете проверить его еще раз.
Результат проверки файла на вирусы
После этого, вы можете просмотреть результат. При этом, сообщения о том, что файл подозрителен (suspicious) в одном-двух антивирусах может говорить о том, что на самом деле файл не особо опасен и занесен в список подозрительных лишь по той причине, что выполняет какие-то не вполне нормальные действия, например, с его помощью можно взломать ПО. Если же, напротив, отчет пестрит предупреждениями, то лучше удалить данный файл с компьютера и не запускать его.
Также, при желании, вы можете просмотреть результат запуска файла на вкладке «Поведение» или прочесть отзывы других пользователей, при их наличии, об этом файле.
Антивирусные движки, используемые сервисом
- AegisLab (AegisLab)
- Agnitum (Agnitum)
- AhnLab (V3)
- Alibaba Group (Alibaba)
- Antiy Labs (Antiy-AVL)
- ALWIL (Avast! Antivirus)
- Arcabit (Arcabit)
- AVG Technologies (AVG)
- Avira (AntiVir)
- BluePex (AVware)
- Baidu (Baidu-International)
- BitDefender GmbH (BitDefender)
- Bkav Corporation (Bkav)
- ByteHero Information Security Technology Team (ByteHero)
- Cat Computer Services (Quick Heal)
- CMC InfoSec (CMC Antivirus)
- Cyren (Cyren)
- ClamAV (ClamAV)
- Comodo (Comodo)
- Doctor Web, Ltd. (DrWeb)
- ESTsoft (ALYac)
- Emsi Software GmbH (Emsisoft)
- Eset Software (ESET NOD32)
- Fortinet (Fortinet)
- FRISK Software (F-Prot)
- F-Secure (F-Secure)
- G DATA Software (GData)
- Hacksoft (The Hacker)
- Hauri (ViRobot)
- Ikarus Software (Ikarus)
- INCA Internet (nProtect)
- Jiangmin
- K7 Computing (K7AntiVirus, K7GW)
- Kaspersky Lab (Kaspersky)
- Kingsoft (Kingsoft)
- Lavasoft (Ad-Aware)
- Malwarebytes Corporation (Malwarebytes Anti-malware)
- Intel Security (McAfee)
- Microsoft (Malware Protection)
- Microworld (eScan)
- Nano Security (Nano Antivirus)
- Panda Security (Panda Platinum)
- Qihoo 360 (Qihoo 360)
- Rising Antivirus (Rising)
- Sophos (SAV)
- SUPERAntiSpyware (SUPERAntiSpyware)
- Symantec Corporation (Symantec)
- Tencent (Tencent)
- ThreatTrack Security (VIPRE Antivirus)
- TotalDefense (TotalDefense)
- Trend Micro (TrendMicro, TrendMicro-HouseCall)
- VirusBlokAda (VBA32)
- Zillya! (Zillya)
- Zoner Software (Zoner Antivirus)
Getting started
Installing the tool
For installing the tool you can download one the pre-compiled binaries we offer for Windows, Linux and Mac OS X, or alternatively you can compile it yourself from source code. For compiling the program you’ll need Go 1.13.x or higher installed in your system and type the following commands:
Configuring your API key
Once you have installed the vt-cli tool you may want to configure it with your API key. This is not strictly necessary, as you can provide your API key every time you invoke the tool by using the option ( in short form), but that’s a bit of a hassle if you are going to use the tool frequently (and we bet you’ll do!). For configuring your API key just type:
This command will ask for your API key, and save it to a config file in your home directory (~/.vt.toml). You can also specify your API key using the environment variable. If you specify your API key in multiple ways, the option will have the highest precedence, followed by the environment variable, the API key in the configuration file will be used as the last resort.
Use with a proxy
If you are behind a HTTP proxy you can tell which is the address of your proxy server by multiple ways. One is using the option, like in:
You can also use the environment variable, or add the following line to the config file:
Setup Bash completion
If you are going to use this tool frequently you may want to have command auto-completion. It saves both precious time and keystrokes. Notice however that you must configure your API as described in the previous section before following the steps listed below. The API is necessary for determining the commands that you will have access to.
-
Linux:
-
Mac OS X:
Add the following lines to
-
Cygwin:
Make sure the package is installed (Cygwin doesn’t installed it by default) and type:
You may need to restart your shell in order for autocompletion to start working.
API V2 third party scripts and client libraries
Our API V2 will be soon deprecated, it will remain available but we encourage every new user to adopt API v3 instead, where we will include our new functionalities.
Go
VirusTotal public API 2.0 implementation in Go by Willi Ballenthin.
VirusTotal public API 2.0 implementation in Go by dutchcoders.
VirusTotal public API 2.0 implementation in Go by Vighneswar Rao Bojja.
Java
VirusTotal public API 2.0 implementation in Java by Mauricio Correa.
VirusTotal public API 2.0 implementation in Java by Kanishka Dilshan.
VirusTotal public API 2.0 implementation in Java by Vighneswar Rao Bojja.
Set of local Maltego transforms for VirusTotal’s public API by Michael Yip.
VirusTotal local Maltego transforms by Lookingglass.
.NET
VirusTotal public API version 2.0 implementation in C#.NET by Ian Qvist.
VirusTotal public API version 2.0 implementation in VB.NET by omegatechware.
Implementation and Integration of VirusTotal’s API in ASP.NET + Python by Nilay Sangani.
VirusTotal public API version 2.0 implementation in perl by Michelle Sullivan from SORBS.
Perl script to submit files and retrieve their results by Christopher Frenz (@cfrenz).
PHP
VirusTotal public API version 2.0, with internal PHP curl, and no other dependencies. by @IzzyOnDroid.
VirusTotal public API version 2.0 implementation in PHP by @jayzeng.
PHP script for accessing VirusTotal public API Version 2.0 by Andreas Breitschopp (@abtools).
PHP script for scanning files with VirusTotal public API Version 2.0 by @adrianTNT.
VirusTotal public API version 2.0 implementation in Powershell by @DBHeise.
Hash lookups using API version 2.0 in Powershell by @cbshearer.
Python
VirusTotal public API version 2.0 implementation in Python 2.x by Chris Clark and Adam Meyers.
VirusTotal public API version 2.0 implementation in Python 2.x by Gawen Arab.
VirusTotal public API version 2.0 implementation in Python 2.x by @techno_vikiing.
Single and bulk lookups with VirusTotal public API version 2.0 by Claudio Guarnieri.
VirusTotal public API version 2.0 implementation in Python 2.x by @Erethon.
Full VirusTotal public and private API version 2.0 implementation in Python 2.x by Andriy Brukhovetskyy.
VirusTotal public API version 2.0 implementation in Python 3.x by Xiaokui Shu.
VirusTotal public API version 2.0 implementation in Python 2.x by Phillip Martin.
VirusTotal public and private API version 2.0 implementation in Python 2.x by Blacktop.
VirusTotal domain scanner by Matthew Clairmont.
VirusTotal public API version 2.0 implementation in Python by Tal Melamed.
VirusTotal public API version 2.0 implementation in Python 2.x by Harry Chauhan.
VirusTotal API wrapper version 2.0 implementation in Python 3.x by José Lopes.
VirusTotal public API version 2.0 implementation in Python 3.x by Dextroz.
URLs and hash lookups CLI using API version 2.0 in Python 3.x by TheresAFewConors
Rubygems command-line tool to interact with VirusTotal public API version 2.0 by hammackj.
Ruby Gem for VirusTotal API version 2.0 by pwelch.
URL Reports Summary
After your URL is scanned, you’ll see a report that looks like this. Note that this is a sample report and does not reflect the actual ratings of any of the vendors listed. We’ve numbered the elements in the screenshot above for easy reference. They are:
1) The total number of VirusTotal partners who consider this url harmful (in this case, 0) out of the total number of partners who reviewed the file (in this case, 66).
2) The URL you scanned. Note that the URL may not match exactly your submission, this is because we canonicalize URLs, i.e. we normalize them in order to make sure that different variations of the same URL do not affect its detections.
3) The link to the domain repo which this url belongs to.
5) The date and time (UTC) of the review.
6) Favicon from the domain that belongs to the url scanned.
7) You can reanalyse the URL to get an updated report. URLs statuses are updated frequently by VirusTotal as they are distributed by antivirus companies.
8) Explore the URL VirusTotal Graph.
9) The reputation of the given URL as determined by VirusTotal’s Community (registered users). Users sometimes vote on files and URLs submitted to VirusTotal, these users in turn have a reputation themselves, the community score condenses the votes performed on a given item weighted by the reputation of the users that casted these votes. Negative (red) scores indicate maliciousness, whereas positive (green) scores reflect harmlessness. The higher the absolute number, the more that you may trust a given score. You can read more about this at: https://support.virustotal.com/hc/en-us/categories/360000162858-Community
VirScan
Перед вами еще один довольно хороший антивирусный сканер, который работает примерно по такому же принципу, как и предыдущие. Сам по себе сервис зарубежный, но он поддерживает целую кучу языков, в том числе и русский. Для этого достаточно выбрать его из контекстного меню справа.
Тем не менее, сервис использует в своей работе 39 популярных сканеров, среди которых есть Касперский, Dr Web, Avast, Bit Defender, Comodo и многие другие.
Для того, чтобы воспользоваться системой, зайдите на сайт VirScan и кликните на поле Choose File, чтобы выбрать документ для проверки. После этого жмите на Scan и ждите результатов.
Хочется также отметить скорость его работы, причем не в самом хорошем смысле. Процесс сканирования занимает явно больше времени, нежели у конкурентов. Но вы все равно получите ваш отчет с результатами п каждому из сканеров. Если напротив них горит зеленая надпись Found Nothing, то можете ни о чем не беспокоиться. А вот если надпись красная, то это уже серьезнее.
Антивирусные движки, используемые сервисом
- AegisLab (AegisLab)
- Agnitum (Agnitum)
- AhnLab (V3)
- Alibaba Group (Alibaba)
- Antiy Labs (Antiy-AVL)
- ALWIL (Avast! Antivirus)
- Arcabit (Arcabit)
- AVG Technologies (AVG)
- Avira (AntiVir)
- BluePex (AVware)
- Baidu (Baidu-International)
- BitDefender GmbH (BitDefender)
- Bkav Corporation (Bkav)
- ByteHero Information Security Technology Team (ByteHero)
- Cat Computer Services (Quick Heal)
- CMC InfoSec (CMC Antivirus)
- Cyren (Cyren)
- ClamAV (ClamAV)
- Comodo (Comodo)
- Doctor Web, Ltd. (DrWeb)
- ESTsoft (ALYac)
- Emsi Software GmbH (Emsisoft)
- Eset Software (ESET NOD32)
- Fortinet (Fortinet)
- FRISK Software (F-Prot)
- F-Secure (F-Secure)
- G DATA Software (GData)
- Hacksoft (The Hacker)
- Hauri (ViRobot)
- Ikarus Software (Ikarus)
- INCA Internet (nProtect)
- Jiangmin
- K7 Computing (K7AntiVirus, K7GW)
- Kaspersky Lab (Kaspersky)
- Kingsoft (Kingsoft)
- Lavasoft (Ad-Aware)
- Malwarebytes Corporation (Malwarebytes Anti-malware)
- Intel Security (McAfee)
- Microsoft (Malware Protection)
- Microworld (eScan)
- Nano Security (Nano Antivirus)
- Panda Security (Panda Platinum)
- Qihoo 360 (Qihoo 360)
- Rising Antivirus (Rising)
- Sophos (SAV)
- SUPERAntiSpyware (SUPERAntiSpyware)
- Symantec Corporation (Symantec)
- Tencent (Tencent)
- ThreatTrack Security (VIPRE Antivirus)
- TotalDefense (TotalDefense)
- Trend Micro (TrendMicro, TrendMicro-HouseCall)
- VirusBlokAda (VBA32)
- Zillya! (Zillya)
- Zoner Software (Zoner Antivirus)
File Reports Details
1) A list of each reviewing partner and their findings. Possible findings are:
- Undetected: The given engine does not detect the file as malicious.
- Suspicious: The given engine flags the file as suspicious.
- Unable to process file type: The given engine does not understand the type of file submitted and so will not produce verdicts for it.
- Timeout: The given engine reached VirusTotal’s time execution limit when processing the file and so no verdicts were recorded for it.
2) Displays more information about the item being reviewed. For instance, for an Office document file this might list VBA code streams seen in document macros and other file type specific information. Similarly, VirusTotal specific metadata such as first submission and last submission dates, upload file names, etc are also recorded in this section.
3) VirusTotal’s backend generates rich relationships: URLs from which a file has been downloaded, whether a given file been seen contained in some other files, what are the parents of a given Portable Executable, domain to IP address mappings over time, etc.
4) The samples submitted to VirusTotal get executed automatically in a controlled (sandboxed) environment and the actions performed are recorded in order to give the analyst a high level overview of what the sample is doing.
5) Content of the file: Strings and hexadecimal content extracted from the file. Preview of the full content is available depending of the filetype(pdf, docx, etc) (Feature available only to Enterprise customers)
6) Detailed listing about the submissions of this file with information like origin countries and dates. (Feature available only to Enterprise customers)
7) These are comments made by members of the VirusTotal Community. Most recent comments are listed first. This section also records the votes made by members of the VirusTotal Community on this file or URL.
8) List of Analyses with the detections evolution and the option to click on Previous Analyses. (Feature available only to Enterprise customers)
9) Copy detections as plain text to the clipboard. (Feature available only to Enterprise customers)
File reports Summary
When you scan a file or search for a file given its hash, you’ll see a report that looks like this:
Again, this report is a sample only and does not reflect the actual ratings of any vendor listed. And again we have numbered the most characteristic elements in the screenshot above for reference. They are:
1) and 3) The total number of VirusTotal partners who consider this file harmful (in this case, 44) out of the total number of partners who reviewed the file (in this case, 60).
2) The reputation of the given URL as determined by VirusTotal’s Community (registered users). Users sometimes vote on files and URLs submitted to VirusTotal, these users in turn have a reputation themselves, the community score condenses the votes performed on a given item weighted by the reputation of the users that casted these votes. Negative (red) scores indicate maliciousness, whereas positive (green) scores reflect harmlessness. The higher the absolute number, the more that you may trust a given score. You can read more about this at: https://support.virustotal.com/hc/en-us/sections/115000737185-Community
4) SHA-256 (a cryptographic hash function) is a unique way to identify a file and used in the security industry to unambiguously refer to a particular threat. For more info see:
5) File name of last submission, and access to search by file names.
6) Tags.
7) The date and time (UTC) of the review.
8) Icon for the file type.
9) Button to reanalyse the file.
10) Multi-similarity: find similar files using different approaches. (Feature available only to Enterprise customers)
11) Search for similar files. (Feature available only to Enterprise customers)
12) Download sample. (Feature available only to Enterprise customers)
13) Explore the file in VirusTotal Graph.
Способы проверки на VirusTotal
Для чего может возникнуть необходимость для такой проверки файла, при помощи онлайн сервиса VirusTotal? Все время идет борьба между теми, кто пишет вирусы или другие вредоносные программы, и теми, кто защищает компьютеры пользователей от воздействия вирусов. Установленная на компьютере антивирусная программа не может с 100 % гарантировать, что она сразу обнаружит зараженный код. Особенно это касается новых, только, что запущенных в сеть вирусов (в общем смысле этого слова).
После выхода нового вируса, проходит некоторое время, пока антивирусная программа не обнаружит эту новую угрозу. Те антивирусы, которые раньше обнаружат опасный объект, быстрее занесут данные о вредоносной программе в свои базы. Поэтому, при одновременной проверке при помощи большого количества антивирусных сканеров, повышается вероятность нахождения вредоносного кода.
Также возможны ложные срабатывания у антивируса, который установлен на вашем компьютере. Если проверка показала, что только один антивирус обнаружил что-то опасное, а сам файл был создан достаточно давно, то в этом случае, высока вероятность того, что у установленного на вашем компьютере антивирусе было ложное срабатывание.
У проверяемого файла вычисляется хэш (контрольная сумма файла), который будет сравнен с хэшем такого же файла, если подобный файл ранее уже был проверен. Сервис проверяет значения хэша по MD5, SHA1, SHA256.
Подробнее о том, как узнать хэш файла, вы можете прочитать здесь, в статье посвященной программе HashTab. Сравнивая значения хэша файла, с контрольными суммами оригинального файла, вы можете узнать, был ли модифицирован данный файл или нет.
Онлайн сервис VirusTotal не является заменой, установленному на вашем компьютере антивирусу. Ваш антивирус должен находить и защищать компьютер от всех вредоносных и опасных данных. В том случае, если у вас есть сомнения по некоторым файлам или ссылкам, то при помощи VirusTotal вы можете произвести проверку этих подозрительных данных.
Результаты проверки могут отличаться даже при использовании решения одного и того же производителя. Вы получите информацию перед тем, как предпринять какие-либо действие.
Для проведения проверки необходимо будет перейти на сайт www.virustotal.com.
Kasperskiy Virus Disk
Kasperskiy Virus Disk — бесплатный антивирусный онлайн сканер от одного из самых известных производителей России, лаборатории Касперского. Данный сервис использует при проверке все те же самые технологии, что используются в самом антивирусе Касперского.
Ну а теперь посмотрим саму работу на практике:
- Заходим на сайт virusdesk kaspersky и нажимаем на значок скрепки, чтобы выбрать файл или архив с несколькими документами. Если вы знаете ссылку, то вы также можете ее вставить в это поле.
- Далее, жмем на кнопку «Проверка» и ждем, пока пройдет анализ. После этого нам покажется отчет о проверки. В цифры вдаваться не нужно. Важен только результат. Если файл безопасен, то выдыхаем спокойно.
Кстати, вы можете даже несогласиться с результатом проверки, нажав на соответствующую кнопку. В этом случае будет проходить дополнительная проверка непосредственно в лаборатории Касперского.
Как читать отчеты VirusTotal?
Если часть файловых сканеров можно «обмануть», то, возможно, не стоит доверять VirusTotal? Нет, сервису вполне можно доверять, но необходимо учитывать:
- Полное отсутствие детектов на VirusTotal – не гарантия безопасности файла. Об этом мы уже говорили. Но если файл проверялся еще и настольным антивирусом и был признан безопасным, то вероятность заражения в этом случае минимальна.
- «Подозрения» со стороны двух-трех или даже десяти антивирусов могут быть как обоснованными, так и беспочвенными. Внимательно присмотритесь к отчету: если антивирусы помечают файл по-разному (например, Worm, Trojan и heuristic), а часть детектов сопровождается описанием «возможно», «потенциально» и т.д. – файл, вполне вероятно, упакован для уменьшения размера, но неопасен. А вот если десять антивирусов однозначно указывают, что программа является троянской, то здесь уровень опасности выше.
- Если хотя бы половина сканеров считает, что файл опасен, скорее всего, это не простое совпадение. Не запускайте его. Советуем после обнаружения такого файла провести проверку вашей ОС десктопным антивирусом.
Если любопытство все-таки не дает вам покоя и запустить подозрительный файл очень хочется, советуем сделать это в специальной программе-песочнице или в виртуальной машине.
Поделиться