Найти в Дзене
TheNikita. Блог о кибербезопасности
14 подписчиков

Раскрываем тайны VirusTotal: Как определить настоящую угрозу среди множества результатов

1120
2 мин
VirusTotal — полезная вещь, однако… Как часто мы, обычные пользователи, сталкиваемся с загадочными файлами, которые приходится проверять на наличие вирусов? Думаю, не так уж и редко, как нам хотелось бы. Вряд ли кто-то из нас обладает экспертными знаниями в области кибербезопасности. И вот мы, с надеждой и трепетом, загружаем подозрительный файл на VirusTotal, надеясь, что он скажет нам “да” или “нет”. Но что делать, если результаты сканирования выглядят как набор абракадабры? Как разобраться в этом мире цифровых индикаторов и ложных срабатываний? Давайте вместе разгадаем этот загадочный код и узнаем, как правильно определять опасность файлов на VirusTotal. Ведь, как говорится, “знание — сила”, а в нашем случае — это сила, способная защитить нас от угроз. Важно: Далее речь пойдёт про проверку исполняемых файлов для систем Windows (exe, bat, vbs и прочие подобные). Проверка файлов для других ОС (например, APK для Android) не рассматривается. 1. Открываем VirusTotal и выбираем подозрите
Оглавление

VirusTotal — полезная вещь, однако…

Как часто мы, обычные пользователи, сталкиваемся с загадочными файлами, которые приходится проверять на наличие вирусов? Думаю, не так уж и редко, как нам хотелось бы.

Вряд ли кто-то из нас обладает экспертными знаниями в области кибербезопасности. И вот мы, с надеждой и трепетом, загружаем подозрительный файл на VirusTotal, надеясь, что он скажет нам “да” или “нет”. Но что делать, если результаты сканирования выглядят как набор абракадабры? Как разобраться в этом мире цифровых индикаторов и ложных срабатываний?

Давайте вместе разгадаем этот загадочный код и узнаем, как правильно определять опасность файлов на VirusTotal. Ведь, как говорится, “знание — сила”, а в нашем случае — это сила, способная защитить нас от угроз.

Источник изображения: https://thehackernews.com/2022/04/researchers-report-critical-rce.html
Источник изображения: https://thehackernews.com/2022/04/researchers-report-critical-rce.html

Важно: Далее речь пойдёт про проверку исполняемых файлов для систем Windows (exe, bat, vbs и прочие подобные). Проверка файлов для других ОС (например, APK для Android) не рассматривается.

И так, как же правильно определять опасность файлов на VirusTotal?

Алгоритм действий следующий:

1. Открываем VirusTotal и выбираем подозрительный файл, который необходимо проверить.

2. Проверяем дату последнего анализа файла (выделена на скриншоте). Если последний анализ файла был более трёх часов назад - нажимаем на кнопку "Reanalyze" и ждём окончания повторной проверки.

Дата последнего анализа файла находится в правом верхнем углу, выделена на скриншоте. Рядом с ней кнопка "Reanalyze" для повторной проверки файла.
Дата последнего анализа файла находится в правом верхнем углу, выделена на скриншоте. Рядом с ней кнопка "Reanalyze" для повторной проверки файла.

3. Смотрим на количество обнаружений и на то, от кого они поступают.

а) Если обнаружений очень мало (или вовсе одно) и они все поступают от малоизвестных антивирусов, то файл, вероятнее всего, безопасен, поскольку у таких антивирусов очень часто бывают ложные срабатывания.

  • Малоизвестными я считаю такие «антивирусы», как SecureAge, Jiangmin, MaxSecure, CrowdStrike Falcon, Webroot, VBA32, Trapmine, Bkav Pro, Skyhigh, Cylance, Kingsoft, Varist и прочие подобные, о которых вы, я уверен, как об антивирусах для Windows ничего не слышали.

б) Если среди обнаружений есть Kaspersky, Dr.Web или ESET, то файл, вероятно, заражён. Открывать его лучше не стоит.

4. Обращаем внимание на рейтинг файла (Community Score) и комментарии, если они есть.

Community Score находится под общим счётчиком обнаружений, выделен на скриншоте.
Community Score находится под общим счётчиком обнаружений, выделен на скриншоте.

Отрицательный рейтинг и негативные комментарии, предупреждающие о вирусе в файле, могут свидетельствовать о потенциальной опасности файла, который вы проверили на VirusTotal.

Рейтинг файла (Community Score) находится под общим счётчиком обнаружений, а комментарии - во вкладке "COMMUNITY" (см. скриншот).

5. Смотрим на наименования обнаружений.

Иногда бывает и такое, что файл имеет десятки обнаружений, включая обнаружение от ESET или другого известного антивируса, но по факту является чистым. Как такое может происходить?

Такое может происходить при проверке «кряков» для игр, читов, «кейгенов» и прочих подобных программ. Дело в том, что помимо привычного нам "Trojan" есть множество других определений, которыми антивирусы могут помечать файлы. Среди них:

  • HackTool/Crack или HackTool/Keygen («кряк», программа для взлома);
  • GameTool (инструмент для игры);
  • GameHack (программа для взлома игры);
  • PUA или PUP (потенциально нежелательное приложение).

Именно так чаще всего популярные антивирусы вроде ESET, Malwarebytes и Microsoft Defender помечают «кряки», читы и тому подобное ПО. Файлы с такой пометкой опасными не являются.

Важно помнить, что сервис VirusTotal не заменяет антивирус на компьютере, а лишь является дополнительным средством обнаружения вредоносных программ в подозрительных файлах. Ваша бдительность и соблюдение правил кибергигиены — залог сохранности ваших данных.