VirusTotal — полезная вещь, однако…
Многие люди достаточно наслышаны о VirusTotal как о «чудо-помощнике» в обнаружении вредоносных программ. В Интернете и на различных форумах можно увидеть множество ответов, где люди советуют проверять файлы через этот сервис. Некоторые даже убеждены, что он может заменить антивирус.
Однако в 99% случаев никто из этих людей не поясняет, как интерпретировать результаты после проверки файлов. Из-за этого во многих ситуациях возникает путаница, люди бьют тревогу от любого детектирования, даже не вдаваясь в детали.
В этой статье мы разберёмся, как правильно использовать VirusTotal и как же всё-таки разобраться, какой файл с высокой долей вероятности вредоносный, а какой — нет.
Важно: Далее речь пойдёт про проверку исполняемых файлов для систем Windows (exe, bat, vbs и прочие подобные). Проверка файлов для других ОС (например, APK для Android) не рассматривается.
И так, как же правильно определять опасность файлов на VirusTotal?
Алгоритм действий следующий:
1. Открываем VirusTotal, нажимаем "Choose file" и выбираем подозрительный файл, который необходимо проверить.
2. Проверяем дату последнего анализа файла (выделена на скриншоте). Если последний анализ файла был более трёх часов назад — нажимаем на кнопку "Reanalyze" и ждём окончания повторной проверки.
3. Смотрим на количество обнаружений и на то, от кого они поступают.
а) Если обнаружений очень мало (или вовсе одно) и они все поступают от малоизвестных антивирусов, то файл, вероятнее всего, безопасен. У таких антивирусов очень часто бывают ложные срабатывания, и опираться исключительно на них при проверке файлов я не рекомендую.
- К малоизвестным я отношу такие «антивирусы», как SecureAge, Jiangmin, MaxSecure, CrowdStrike Falcon, Webroot, VBA32, Trapmine, Bkav Pro, Skyhigh, Cylance, Kingsoft, Varist и прочие подобные, о которых вы, я уверен, как об антивирусах для Windows ничего не слышали.
б) Если среди обнаружений есть Kaspersky, Dr.Web или ESET, то файл, вероятно, заражён. Открывать его лучше не стоит.
4. Обращаем внимание на рейтинг файла (Community Score) и комментарии, если они есть.
Отрицательный рейтинг и негативные комментарии, предупреждающие о вирусе в файле, могут свидетельствовать о потенциальной опасности файла, который вы проверили на VirusTotal.
Рейтинг файла (Community Score) находится под общим счётчиком обнаружений, а комментарии - во вкладке "COMMUNITY" (см. скриншот).
5. Смотрим на наименования обнаружений.
Иногда бывает и такое, что файл имеет десятки обнаружений, включая обнаружение от ESET или другого известного антивируса, но по факту является чистым. Как такое может происходить?
Такое может происходить при проверке «кряков» для игр, читов, «кейгенов» и прочих подобных программ. Дело в том, что помимо привычного нам "Trojan" есть множество других определений, которыми антивирусы могут помечать файлы. Среди них:
- HackTool/Crack или HackTool/Keygen («кряк», программа для взлома);
- GameTool (инструмент для игры);
- GameHack (программа для взлома игры);
- PUA или PUP (потенциально нежелательное приложение).
Именно так чаще всего популярные антивирусы вроде ESET, Malwarebytes и Microsoft Defender помечают «кряки», читы и тому подобное ПО. Файлы с такой пометкой опасными не являются.
Важно помнить, что сервис VirusTotal не заменяет антивирус на компьютере, а лишь является дополнительным средством обнаружения вредоносных программ в подозрительных файлах. Ваша бдительность и соблюдение правил кибергигиены — залог сохранности ваших данных.