VirusTotal — полезная вещь, однако…
Как часто мы, обычные пользователи, сталкиваемся с загадочными файлами, которые приходится проверять на наличие вирусов? Думаю, не так уж и редко, как нам хотелось бы.
Вряд ли кто-то из нас обладает экспертными знаниями в области кибербезопасности. И вот мы, с надеждой и трепетом, загружаем подозрительный файл на VirusTotal, надеясь, что он скажет нам “да” или “нет”. Но что делать, если результаты сканирования выглядят как набор абракадабры? Как разобраться в этом мире цифровых индикаторов и ложных срабатываний?
Давайте вместе разгадаем этот загадочный код и узнаем, как правильно определять опасность файлов на VirusTotal. Ведь, как говорится, “знание — сила”, а в нашем случае — это сила, способная защитить нас от угроз.
Важно: Далее речь пойдёт про проверку исполняемых файлов для систем Windows (exe, bat, vbs и прочие подобные). Проверка файлов для других ОС (например, APK для Android) не рассматривается.
И так, как же правильно определять опасность файлов на VirusTotal?
Алгоритм действий следующий:
1. Открываем VirusTotal и выбираем подозрительный файл, который необходимо проверить.
2. Проверяем дату последнего анализа файла (выделена на скриншоте). Если последний анализ файла был более трёх часов назад - нажимаем на кнопку "Reanalyze" и ждём окончания повторной проверки.
3. Смотрим на количество обнаружений и на то, от кого они поступают.
а) Если обнаружений очень мало (или вовсе одно) и они все поступают от малоизвестных антивирусов, то файл, вероятнее всего, безопасен, поскольку у таких антивирусов очень часто бывают ложные срабатывания.
- Малоизвестными я считаю такие «антивирусы», как SecureAge, Jiangmin, MaxSecure, CrowdStrike Falcon, Webroot, VBA32, Trapmine, Bkav Pro, Skyhigh, Cylance, Kingsoft, Varist и прочие подобные, о которых вы, я уверен, как об антивирусах для Windows ничего не слышали.
б) Если обнаружений мало, но среди них есть Kaspersky, Dr.Web или ESET, то файл, вероятно, заражён. Открывать такой файл лучше не стоит.
в) Если вместе с обнаружениями от Kaspersky, Dr.Web или ESET есть и другие обнаружения, то шанс того, что файл заражён, возрастает. Чем их больше, тем шанс наличия вредоносного кода в файле выше.
4. Обращаем внимание на рейтинг файла (Community Score) и комментарии, если они есть.
Отрицательный рейтинг и негативные комментарии, предупреждающие о вирусе в файле, могут свидетельствовать о потенциальной опасности файла, который вы проверили на VirusTotal.
Рейтинг файла (Community Score) находится под общим счётчиком обнаружений, а комментарии - во вкладке "COMMUNITY" (см. скриншот).
5. Смотрим на наименования обнаружений.
Иногда бывает и такое, что файл имеет десятки обнаружений, включая обнаружение от ESET или другого известного антивируса, но по факту является чистым. Как такое может происходить?
Такое может происходить при проверке «кряков» для игр, читов, «кейгенов» и прочих подобных программ. Дело в том, что помимо привычного нам "Trojan" есть множество других определений, которыми антивирусы могут помечать файлы. Среди них:
- HackTool/Crack или HackTool/Keygen («кряк», программа для взлома);
- GameTool (инструмент для игры);
- GameHack (программа для взлома игры);
- PUA или PUP (потенциально нежелательное приложение).
Именно так чаще всего популярные антивирусы вроде ESET, Malwarebytes и Microsoft Defender помечают «кряки», читы и тому подобное ПО. Файлы с такой пометкой опасными не являются.
Важно помнить, что сервис VirusTotal не заменяет антивирус на компьютере, а лишь является дополнительным средством обнаружения вредоносных программ в подозрительных файлах. Ваша бдительность и соблюдение правил кибергигиены — залог сохранности ваших данных.
