Меню Рубрики

Как отправить подозрительные файлы для анализа

Если когда-нибудь вам «повезет» поймать какого-нибудь паразита, который еще не детектируется вашим антивирусом (напр., вредоносное действие на лицо или благодаря сайту virustotal.com), то сделайте доброе дело, отправьте его образец (копию) вирусным аналитикам соответствующей компании, чтобы у них появилась возможность как можно быстрее добавить его в свою базу.

Как можно убрать файлы из проекта или куда их убрать
допустим есть преокт WinForms с подключенными библиотеками . человек должен скачать установщик .

Подозрительные файлы на компьютере
На этом компьютере я заметил подозрительные файлы, которые могут быть вирусами. Так-то никаких.

Подозрительные файлы в автозагрузке
Появились подозрительные файлы в автозагрузке. Есть не которые проблемы с загрузкой некоторых .

В автозагрузку просятся подозрительные файлы
программа 2IPStatGurd постоянно ловит какие то объекты автозагрузки.

Нехватка памяти. Подозрительные файлы
Здравствуйте. В последнее время системе, вдруг, стало не хватать оперативной памяти. Просит.

  • K7 Computing:
    • E-mail:k7viruslab@k7computing.com (отправлять в запароленном zip-архиве, указав пароль в письме)

  • Kaspersky:
    • E-mail:newvirus@kaspersky.com (отправлять в запароленном архиве, указав пароль в письме)
    • Через веб-форму:http://support.kaspersky.ru/virlab/helpdesk.html

  • Kingsoft:
    • Через веб-форму:http://www.pc120.com/fileident/

  • Malwarebytes’ Anti-Malware:
    • Необходимо создать тему в одном из разделов форума: Ложные антивирусы или Вредоносное ПО. В сообщении необходимо указать следующую информацию:
      • Имя сэмпла, MD5 Hash, ссылку на анализ файла на Virustotal;
      • Или прикрепить сам файл зловреда упакованного архиваторами ZIP или RAR без пароля.

  • McAfee:
    • E-mail:virus_research@nai.com (отправлять в запароленном архиве, пароль infected)
    • E-mail:virus_research@avertlabs.com (отправлять в запароленном архиве, пароль infected)
    • Через веб-форму:https://mysupport.mcafee.com/ (требуется регистрация, отправка сэмплов производится в разделе Interactive Support — Submit a Sample)

  • Microsoft:
    • E-mail:avsubmit@submit.microsoft.com (отправлять в запароленном архиве, пароль infected)
    • E-mail:windefend@submit.microsoft.com (отправлять в запароленном архиве, пароль infected)
    • Через веб-форму:https://www.microsoft.com/security/portal/Submission/Submit.aspx

  • Mischel Internet Security, TrojanHunter:
    • E-mail:submit@trojanhunter.com (отправлять в запароленном архиве, указав пароль в письме)

  • mks_vir:
    • Через веб-форму:http://www.mks.com.pl/pomoc/wyslij_zarazony_plik

  • MooSoft:
    • Через веб-форму:http://moosoft.com/submit-sample

  • Nano AV:
    • E-mail:virus@nanoav.ru (отправлять в запароленном архиве, пароль 123)
    • Через веб-форму:http://www.nanoav.ru/index.php?optio. m >
    • NictaTech Software, Digital Patrol:
      • Через веб-форму:http://www.nictasoft.com/new-virus/

    • Norman Antivirus:
      • E-mail:analysis@norman.no (отправлять в запароленном архиве, указав пароль в письме)
      • Через веб-форму:http://safeground.norman.com/busines. malicious_file
      • Через веб-форму:http://sandbox.norman.no/live_4.html

    • Panda:
      • E-mail:virus@pandasoftware.com (отправлять в запароленном .rar-архиве, пароль 111)
      • Через веб-форму:http://www.xandora.net/cloudantivirus/
      • Через веб-форму:http://pandatechnik.de/blog/send-suspicious-file/

    • PC Tools Spyware Doctor:
      • Через веб-форму:http://www.pctools.com/mrc/submit/

    • PC Tools ThreatFire:
      • Через веб-форму:http://www.threatfire.com/submitfile/

    • Preventon:
      • E-mail:sample@preventon.com (отправлять в запароленном архиве, пароль infected)

    • Prevx:
      • E-mail:report@prevxresearch.com (отправлять в запароленном архиве, пароль infected)

    • Protector Plus:
      • Через веб-форму:http://www.pspl.com/support/samplesubmit.htm

    • Quick Heal:
      • E-mail:viruslab@quickheal.com (отправлять в запароленном архиве, указав пароль в письме)
      • Через веб-форму:http://support.quickheal.com/esupport/index.php?_m=tickets&_a=submit

    • Rising AV:
      • Через веб-форму:http://sample.rising-global.com/webmail/upload_en.htm (отправлять в незапароленном .zip архиве)

    • Simply Super Software, Trojan Remover:
      • E-mail:submit@simplysup.com (отправлять в запароленном архиве, пароль infected)

    • SmartCOP:
      • E-mail:support@scopnew.com (отправлять в запароленном архиве, указав пароль в письме)

    • Sophos:
      • E-mail:samples@sophos.com (отправлять в запароленном архиве, указав пароль в письме) — так же в письме необходимо приложить следующую информацию (на английском языке):
        1. Информация о каких-либо симптомах:
          • Предупреждение брандмауэра;
          • Обнаружение другой антивирусной программой;
          • Чрезмерный трафик при подключении к Интернету;
          • Странное поведение браузера;
        2. Версия операционной системы;
        3. Контактная информация:
          • Имя;
          • Должность;
          • Организация;
          • Страна;
      • Через веб-форму:https://secure.sophos.com/support/samples

    • Spybot-S&D:
      • E-mail:detections@spybot.info (отправлять в запароленном архиве, пароль infected)

    • SUPERAntiSpyware:
      • Для передачи сэмплов используется программа SUPERSampleSubmit.

    • Symantec, Norton:
      • E-mail:avsubmit@symantec.com (отправлять в запароленном архиве, пароль infected)
      • Через веб-форму:https://submit.symantec.com/websubmit/retail.cgi

    • TG Soft, VirIT eXplorer:
      • E-mail:assistenza@viritpro.com (отправлять в запароленном архиве, указав пароль в письме)

    • TheHacker:
      • E-mail:virus@hacksoft.com.pe (отправлять в запароленном архиве, указав пароль в письме)

    • TotalDefense:
      • Через веб-форму:http://www.totaldefense.com/support/submit-a-malware-sample.aspx

    • Trend Micro:
      • E-mail:trendlabs@av-emea.com (отправлять в запароленном архиве, пароль virus)
      • Через веб-форму:http://www.trendmicro.com/us/about-u. ion/index.html

    • TrustPort:
      • E-mail:support@trustport.com (отправлять в запароленном архиве, указав пароль в письме)
      • E-mail:support@trustport.com.ua (отправлять в запароленном .zip-архиве, пароль virus)

    • UnThreat Antivirus:
      • Через веб-форму:http://www.unthreat.com/submit-probe

    • USB-AV:
      • Через веб-форму:http://virscan.usb-av.com/

    • VBA:
      • E-mail:newvirus@anti-virus.by (отправлять в запароленном архиве, указав пароль в письме)
      • E-mail:feedback@anti-virus.by (отправлять в запароленном архиве, указав пароль в письме)

    • Vexira:
      • Через веб-форму:http://support.vexira.com/Main/frmNewTicket.aspx

    • VIPRE:
      • E-mail:spywarereport@sunbelt-software.com (отправлять в запароленном архиве, указав пароль в письме)
      • Через веб-форму:http://www.sunbeltsecurity.com/threat/
      • Через веб-форму:http://www.sunbeltsecurity.com/sandbox/

    • ViRobot:
      • Через веб-форму:http://www.hauri.net/support/virus_report.html (отправлять в незапароленном .zip архиве)

    • Webroot:
      • E-mail:submissions@webroot.com (отправлять в запароленном архиве, указав пароль в письме)

    • Zillya!:
      • E-mail:virus@zillya.com (отправлять в запароленном архиве, указав пароль в письме)
      • Через веб-форму:http://www.zillya.ua/ru/contact_us_form.html

    P.S. Если кто-то из пользователей может ещё подсказать адрес, куда можно отправлять образцы зловредов,
    то пишите в сообщениях, а модераторы обновят эту тему.

    Комментарий модератора
    Просьба, не задавать в этой теме вопросов (создавайте новую тему) .
    Здесь оставлять можно только ссылки на актуальные EMAIL и URL формы для сообщений об отправке на анализ подозрительных файлов.

    Больше спасибо за список. Он мне очень помог. Ниже, моя благодарность.
    Я приведу здесь ссылки не только для отправки объектов для проверки, но и только для проверки, т.к. это так же будет полезным, а вы уже сами решайте, что с ними делать. Приведенный мной список не заменяет имеющийся, а только дополняет и/или исправляет его.

    И ещё есть вопрос. Почему разделены темы с отправкой подозрительных объектов и объектов при ложном срабатывании? Более, того, я бы туда добавил и ссылки для проверки файлов и URL. Например, у ЛК всё в одном адресе https://virusdesk.kaspersky.ru/ . Проверка файлов и URL, а так же, можно указать, если не согласен с результатом. У BitDefender’а общая ссылка для отправки файлов и URL как подозрительных, так и при ложном срабатывании https://www.bitdefender.com/submit/ . У Microsoft так же общий адрес. Если общий список нормально оформить, у пользователей не будет путаницы.

    360 Total Security (Qihoo 360, 360 Internet Security, Total Security)
    Через сайт:
    отправка подозрительных файлов — https://www.360totalsecurity.com/ru/suspicion/
    Размер файла 10 МБт через FTP — https://kb.cyren.com/av-support/inde. -files-via-ftp

    Как раз наоборот.
    Вот представьте, что вам нужно быстро отправить чистый файл в несколько лабораторий.
    Правильно, вы заходите в тему по ложным срабатываниям, где для вас уже заранее разделены ссылки (и в половине случаев, там будет именно форма для фолсов). Иначе, вам бы пришлось делать больше телодвижений. Говоря прямо: это сделано, чтобы уменьшить вероятность ошибки оператора.
    Так что для юзеров нет никакой путаницы.
    По поводу адресов для проверки не думаю, что это очень актуально при наличии таких сервисов как VirusTotal и им подобным, в т.ч. уже упомянутых в шапке темы по фолсам.

    По вашим ссылкам, синхронизирую сюда данные с форума ассоциации, где обновляется чаще, и потом пересмотрю, что можно дополнить. Спасибо.

    источник

    ESET Live Grid собирает о компьютерах пользователей информацию, которая связана с новыми
    обнаруженными угрозами. Это может быть образец кода или копия файла, в котором возникла угроза, путь к
    такому файлу, его имя, дата и время, имя процесса, в рамках которого угроза появилась на компьютере, и
    сведения об операционной системе.

    По умолчанию программа ESET Smart Security отправляет подозрительные файлы в вирусную лабораторию
    ESET для тщательного анализа. Всегда исключаются файлы с определенными расширениями, такими как .doc и
    .xls. Также можно добавить другие расширения, если политика вашей организации предписывает исключение
    из отправки.

    Меню настройки ESET Live Grid позволяет воспользоваться рядом параметров для включения и отключения
    системы ESET Live Grid, которая служит для отправки подозрительных файлов и анонимной статистической
    информации в лабораторию ESET. Эти параметры доступны через дерево расширенных параметров в разделе
    Служебные программы > ESET Live Grid.

    Принять участие в ESET Live Grid (рекомендуется): включает или отключает систему ESET Live Grid, которая
    служит для отправки подозрительных файлов и анонимной статистической информации в лабораторию ESET.

    Не отправлять статистику: установите этот флажок, если системе ESET Live Grid не следует отправлять
    анонимную информацию о компьютере. Эта информация связана со вновь обнаруженными угрозами и может
    содержать имя заражения, информацию о дате и времени обнаружения, версии ESET Smart Security,
    информацию о версии операционной системы компьютера и параметрах местоположения. Обычно
    статистика передается на сервер ESET один или два раза в день.

    Не отправлять файлы: подозрительные файлы, содержимое или поведение которых напоминает заражение,
    не отправляются в ESET на анализ средствами технологии ESET Live Grid.

    Дополнительные настройки. открывается окно с дополнительными параметрами ESET Live Grid.

    Если система ESET Live Grid использовалась ранее, но была отключена, могут существовать пакеты данных,
    предназначенные для отправки. Эти пакеты будут отправлены в ESET при первой возможности даже после
    выключения системы. После этого новые пакеты создаваться не будут.

    4.6.6.1 Подозрительные файлы

    На вкладке Файлы расширенных параметров ESET Live Grid можно сконфигурировать, как угрозы будут
    отправляться в вирусную лабораторию ESET на анализ.

    При обнаружении подозрительного файла его можно отправить в лабораторию ESET на анализ. Если это
    вредоносное приложение, информация о нем будет включена в следующее обновление сигнатур вирусов.

    Фильтр исключения: этот вариант позволяет исключить из отправки определенные файлы или папки.
    Перечисленные в этом списке файлы никогда не будут передаваться в ESET на анализ, даже если они содержат
    подозрительный код. Например, может быть полезно исключить файлы, в которых может присутствовать
    конфиденциальная информация, такие как документы и электронные таблицы. Файлы наиболее
    распространенных типов (.doc и т. п.) исключаются по умолчанию. При желании можно дополнять список
    исключенных файлов.

    Ваш адрес электронной почты (необязательно): можно отправить адрес электронной почты вместе с
    подозрительными файлами, чтобы специалисты ESET могли обратиться к вам, если для анализа потребуется
    дополнительная информация. Имейте в виду, что компания ESET не отправляет ответы пользователям без
    необходимости.

    Установите флажок Вести журнал, чтобы создать журнал событий для регистрации фактов отправки файлов и
    статистической информации. В

    будут вноситься записи при каждой отправке файлов или

    источник

    В практике исследования исполняемых файлов с возможным вредоносным функционалом имеется богатый арсенал инструментария — от статического анализа с дизассемблированием до динамического анализа с отладчиками. В настоящем обзоре я не буду пытаться дать информацию по всем возможным приёмам, поскольку они требуют некоторых специфических знаний, однако я хотел бы вооружить неискушённого пользователя набором приёмов, которые позволяют довольно быстро провести анализ неизвестного файла.

    Итак, ситуация: у нас есть странный файл с подозрением на вредоносность, при этом существующий мультисканеры типа VirusTotal не дают никакой информации. Что же делать?

    ОНЛАЙН-ПЕСОЧНИЦЫ

    В сети имеется ряд проектов по информационной безопасности, реализующий свои решения в качестве отдельно работающих виртуализированных систем для исполнения кода с последующим анализом произведённых изменений. Как правило, у этих проектов имеются онлайн-версии таких систем с бесплатным использованием. Вы можете благополучно загрузить подозрительный файл и через некоторое время получить полную информацию о том, что он делает, будучи запущен в системе.

    ThreatExpert
    Система ThreatExpert осуществляет сравнение снимков системы до и после запуска, а также перехват некоторых API в ходе выполнения кода. В результате, Вы получаете отчёт со следующей информацией:

    • Какие новые процессы, файлы, ключи реестра и мутексы были созданы в ходе выполнения кода.
    • C какими хостами и IP проводилось соединение, также приводятся шестнадцатеричные и ASCII-дампы данных обмена.
    • Имеется ли детект популярных антивирусов на присланный файл и файлы, созданные в ходе выполнения.
    • Какова возможная страна происхождения кода на основании языковых ресурсов и прочих следов, найденных в коде.
    • Возможная категория угрозы (кейлоггер, бэкдор и т.д.) и её уровень.
    • Скриншоты новых окон, если таковые были отображены в ходе выполнения.

    Возможна регистрация на сайте, в таком случае история всех Ваших анализов будет сохранена, и Вы в любой момент можете её вызвать. Возможна установка программы Submission Applet и автоматическая отправка файлов на анализ из контекстного меню Проводника.

    CWSandbox — разработка University of Mannheim, которые продают эту систему. Однако, анализ можно провести в онлайн бесплатно.
    Особенностью этой песочницы является то, что анализ выполняется в результате инжектирования библиотеки песочницы в исполняемый код и перехвата всех API-вызовов. Понятно, что если выполняется вызов нативных API либо работа в режиме ядра, песочница не работает. Тем не менее, благодаря тому, что проводится анализ реально работающего файла, CWSandbox иногда даёт большую информпцию, чем все остальные.

    Бесплатная онлайн версия имеет ряд ограничений, по сравнению с коммерческой:

    • Возможен анализ только РЕ-файлов. Платная версия позволяет анализировать BHO, zip-архивы, документы Microsoft Office.
    • В бесплатной версии возможна только загрузка через веб-интерфейс. В платной возможен прим файлов на анализ по почте, через honeypot и др.
    • В платной версии возможен выбор проведения анализ в виртуальной среде или на реальной системе.
    • Коммерческая версия включает в себя анализ файлов, скачиваемых в ходе выполнения кода, созданный в системных папках или инжектированных в другие процессы.

    Anubis
    Anubis — один из самый распространённых вариантов песочницы, ставший популярный благодаря исчерпывающему содержанию отчётов и скорости ответа. Некоторые особенности этой системы:

    • Возможность указания URL вместо самого вредоносного файла. В таком случае система загрузит указанный URL в Internet Explorer и проанализирует поведение системы.
    • Вместе с исследуемым файлом можно загрузить дополнительные библиотеки (в zip-архиве без пароля или с паролем “infected”). Этот приём очень удобен для анализа вредоносных динамических библиотек (если єто так же интересно — отпишитесь в комментах, можно будет посвятить отдельную статью).
    • Отчёт предоставляется в различных форматах — HTML, XML, plain text, PDF, также возможно скачивание полного сетевого дампа, полученного в ходе анализа.
    • Возможна загрузка файлов в Anubis посредством SSL (удобно, если вас блокирует антивирус на проксе).

    Joebox
    И наконец — он. Joebox, Великий и Ужасный. Будучи результатом трудов Стэфана Бульманна, на мой взгляд Joebox — самая мощная система для анализа. Особенностью этой системы является то, что она единственная осуществляет перехваты SSDT и EAT ядра в ходе анализа файлов. С одной стороны, это приводит к потере небольшого количества информации вызовов верхнего уровня (например, создание новых процессов посредством ShellExecute или WinExec), однако с другой стороны позволяет изучать вредоносные файлы, работающие с нативными API или в режиме ядра. Кроме того, Joebox предоставляет следующие возможности в анализе:

    • Joebox поддерживает загрузку и изучение поведения исполняемых файлов, DLL, драйверов ядра, документов Microsoft Word, PDF-файлов и др.
    • Вы можете выбрать среду выполнения кода:Windows XP, Windows Vista, или Windows 7.
    • Вы можете выбрать выполнение кода в виртуальной среде либо на реальной системе (в последнем случае реализуется решение на базе FOG)
    • Возможно получение полного дампа сетевого трафика, накопленного в ходе анализа.
    • Имеется поддержка модулей популярных песочниц amun и nepenthes для автоматической загрузки новых образцов из песочниц в Joebox.
    • Имеется поддержка скриптов AutoIT19 для организации контролируемой среды выполнения вредоносных файлов в Joebox.

    Особенную важность, на мой взгляд, имеет именно поддержка скриптового языка. На сайте проекта имеется описание возможных функций и их толкование, укажу только на наиболее популярные.

    1. Предположим, вредоносный код проверяет путь, по которому расположен файл, и выполняется только в случае нахождения «там где надо». Решается простым скриптом:
    Script
    _JBSetSystem(“xp”)
    ; анализ будет проведён в Windows XP
    _JBStartAnalysis()
    ; Начало анализа
    _JBStartSniffer()
    ; Запуск сетевого сниффера
    $NewFile = @SystemDir & “/” & “malware.exe”
    FileCopy(“c:\malware.exe”, $NewFile, 1)
    ; копируем подозрительный файл в системную папку
    FileDelete(“c:\malware.exe”)
    ; удаляем файл с исходного пути
    Run($NewFile, @TempDir, @SW_HIDE)
    ; и выполняем его
    Sleep(120)
    ; ждём 120 секунд
    _JBStopSniffer()
    ; останавливаем сниффер
    _JBStopAnalysis()
    ; и завершаем анализ
    EndScript

    2. В случае, если необходимо провести простейший анализ вредоносной библиотеки, можно воспользоваться следующим скриптом (в данном случае используется инжект в новый процесс Internet Explorer):
    Script
    #include
    ; доступ к функциям IE
    _JBSetSystem(“xp”)
    _JBStartAnalysis()
    _JBStartSniffer()
    $NewFile = @SystemDir & “/” & “malware.dll”
    FileCopy(“c:\malware.dll”, $NewFile, 1)
    RegWrite(
    “HKLM\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows”,
    “AppInit_DLLs”, “REG_SZ”, “malware.dll”)
    ; добавляем новое значение AppInit_DLLs
    $oIE = _IECreate(“http://www.sbrf.ru”)
    ; открываем сайт банка
    Sleep(120)
    ; done with IE now
    _IEQuit ($oIE)
    _JBStopSniffer()
    _JBStopAnalysis()
    EndScript

    Точно так же можно анализировать BHO — достаточно прописать нужные ключи в реестр. Однако часто возникает проблема: AppInit_DLLs справедлив только для вновь созданных процессов, как быть, если инжект нужно сделать в explorer.exe? Для этого подойдёт следующий скрипт:
    Script
    Func KillProcess($process)
    Local $hproc
    Local $p > If $p > Return
    EndIf
    $hproc = DllCall(
    “kernel32.dll”, “hwnd”, “OpenProcess”,
    “dword”, BitOR(0x0400,0x0004,0x0001),
    “int”, 0, “dword”, $pid)
    If UBound($hproc) > 0 Then
    If $hproc[0] = 0 Then Return
    Else
    Return
    EndIf
    $hproc = $hproc[0]
    Local $code = DllStructCreate(“dword”)
    $ret = DllCall(
    “kernel32.dll”, “int”, “TerminateProcess”,
    “hwnd”, $hproc, “uint”, DllStructGetData($code,1))
    Return
    EndFunc
    _JBSetSystem(“xp”)
    _JBStartAnalysis()
    _JBStartSniffer()
    $NewFile = @SystemDir & “/” & “malware.dll”
    FileCopy(“c:\malware.dll”, $NewFile, 1)
    RegWrite(
    “HKLM\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows”,
    “AppInit_DLLs”, “REG_SZ”, “malware.dll”)
    KillProcess(“explorer.exe”)
    ; убиваем процесс, который автоматически будет перезапущен winlogon.exe
    Sleep(10000)
    _JBStopSniffer()
    _JBStopAnalysis()
    EndScript

    3. Если необходимо, чтобы обращение в сеть происходило из определённой страны, можно сконфигурировать прокси в выполняемой среде Joebox:
    Script
    _JBSetSystem(“xp”)
    _JBStartAnalysis()
    _JBStartSniffer()
    $ProxyServer = “1.2.3.4:8080”
    ; определяем нашу проксю
    RegWrite(
    “HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings”,
    “ProxyServer”, “REG_SZ”, $ProxyServer)
    RegWrite(
    “HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings”,
    “ProxyEnable”, “REG_DWORD”, 1)
    ; и включаем её в настройках
    _JBLoadProvidedBin()
    Sleep(10000)
    _JBStopSniffer()
    _JBStopAnalysis()

    Безусловно, наличие такой гибкости и богатства возможностей делает Joebox одним из самых востребованных песочниц — и в этом его худшая сторона. Мне приходилось ждать иногда по несколько дней, пока придёт результат анализа. Что же, авторы предлагают купить свою собственную копию этой замечательной песочницы, но довольно за дорого. Как же построить свою собственную систему для анализа файлов без особенных затрат — об этом будет в следующей статье, если, конечно, Хабраобщество одобрит этот опус и у меня окончательно не растает карма 😉

    P.S. Примеры других онлайн-песочниц:

    UPD: Joebox ввели обязательную регистрацию: если Вы хотите бесплатно пользоваться услугами этой онлайн-песочницы, то отправьте на адрес info@joebox.org электронное письмо со следующей информацией на английском языке:
    1. Ваше имя
    2. Цель регистрации и краткое описание, что Вы будете исследовать на Joebox
    3. Электронная почта для отправки отчётов об исследовании (она впредь будет указываться в первом поле Вашего запроса).

    После подачи заявки обещают, что откроют доступ для указанного ящика.

    источник

    Антивирусное программное обеспечение не может обнаружить все вирусы, поэтому они также зависят от пользователей, чтобы представить образцы своих вирусного аналитика для ручного анализа с помощью различных методов. Это может быть либо через веб-форму, электронную почту или специальный инструмент, который делает его очень хлопотно, чтобы отправить образцы, потому что каждый веб-форма не такая, и они имеют различные предпосылки.

    Например, некоторые хотят отправляемого файла в формате RAW и некоторые хочет, чтобы вы сжать файл в zip или 7z архивов. Некоторым требуется использовать определенный пароль для zip-файла, а некоторые нет. Кроме этого, представлять образцы для SUPERAntiSpyware осуществляет необходим специальный инструмент под названием SUPERSampleSubmit. Это почти невозможно для человека, чтобы представить образцы для нескольких антивирусных компаний, потому что это слишком хлопотно, пока рентген был создан.

    Рентген — это программное обеспечение, созданное Raymond.cc для автоматизации представления данных, что вы считаете подозрительным до 35 (Агнитум Antiy Labs установите Аваст, авг, Авира, Антивирус, QuickHeal, антивирусом clamav, Comodo, и Доктор Веб, квадрат, ЕСЕТА, Ф-прот, Ф-защищенное, Фортинет, Hacksoft, Икарус, K7Antivirus, Касперского, компанией kingsoft, Мак, Майкрософт, Норман, с nprotect, Панда, ПК, инструменты, поднявшись, Антивирус, SUPERAntiSpyware осуществляет компания Symantec, TotalDefense, антивируса, VBA32, антивирус McAfee, Вироботку) антивирусных компаний для ручного анализа специалистов вирусный аналитик с одним нажатием кнопки.

    – Автоматически отправлять файлы до 35 различных антивирусных компаний по электронной почте или веб-метод представления на основе ручного анализа.
    – Прервать ход загрузки
    – Получить последний отчет о проверке с сайта (с API 2.0)
    – Отправить файл на VirusTotal для сканирования (для API 2.0)
    – Автоматическое переключение при выборе способ для отправки файлов на VirusTotal не удается.
    – Два способа отправки файлов на VirusTotal (электронной почты и API)
    – Копирование хеша MD5 и результаты в буфер обмена через контекстное меню правой кнопки.
    – История (отчет об обнаружении VirusTotal и анализ представления даты и времени)
    – Очистить Историю
    – Способ представления изменений для конкретного антивируса из настройки
    – Настройки тестовое письмо
    – Проверка автоматического обновления
    – Поддержка 6 сервис распознавания капчи
    – Поддержка Прокси
    – Правой Кнопкой Мыши “Отправить”
    – Поддержка Windows ХР/Vista/7/8 (32bit и 64bit)
    – Бесплатная (без Spyware или Adware встраивается)
    – Портативная (истории и зашифрованные настройки хранятся в папке appdata)


    Х-ray 2.0 и получен отчет о проверке сайта на вредоносные программы в Windows 8

    1. Скачать X-Ray от ссылке в конце этой страницы и извлеките.

    3. Нажмите кнопку параметры , чтобы настроить учетную запись электронной почты, который будет использоваться, чтобы отправить подозрительный файл в антивирусные вендоры. Вы можете нажать на проверить кнопки, чтобы убедиться, что учетная запись электронной почты, который вы ввели возможность отправки электронной почты. Необязательно введите свое имя и фамилию.

    4. Перейти к анализу добавить подозрительный файл. Вы можете либо перетащить файл в интерфейс программы либо нажать кнопку “Добавить подозрительные файлы” кнопку, чтобы просмотреть файл.

    5. После добавления файла нажмите кнопку “Получить последние VirusTotal будет отчет” кнопку, чтобы проверить, если файл был загружен и по этой у VirusTotal раньше.

    а) если вы получаете сообщение о том, никаких отчетов, доступных для “именем”, это означает, что файл не был загружен и по этой у VirusTotal раньше. Просто щелкните на кнопке ОК, чтобы загрузить файл на VirusTotal для сканирования.

    б) если х-Рэй сообщает “сервиса не удалось обнаружить файл как подозрительный”, это не обязательно означает, что файл чист, потому что вредоносных программ всегда выходят как обнаружить и может занимать от нескольких дней до нескольких недель для того, чтобы узнать, обнаруженных на компьютере. Желательно чтобы отправить файл на анализ, чтобы подтвердить, если файл является безопасным.

    C) если х-Рэй сообщает “VirusTotal будет обнаружено…”, это означает, что файл уже был помечен как вредоносный конкретного антивируса. Не надо представлять файл для дальнейшего анализа, поэтому флажок автоматически снимается.

    Дополнительные Важные Примечания

    После нажатия на “Отправить на кнопку Анализ”, вам будет предложено ввести комментарий о подозрительном файле. Просьба предоставить полезную информацию для аналитика объяснив, чего вы взяли, что этот файл является подозрительным, когда вы скачали файл, если другой антивирус уже обнаружил его как опасный и т. д.

    – Некоторые веб-форм требует от вас, чтобы решить капчу. Вы можете либо ввести его вручную в поле или с помощью автоматического распознавания капчи платной услугой, которая может быть настроена в настройки > настройки капчи.

    – “Получить недавний отчет VirusTotal будет” только за то, что последний отчет от VirusTotal будет. Он не используется для отправки файла на VirusTotal. Чтобы отправить файл на VirusTotal для сканирования, пожалуйста, используйте “Отправить кнопку сервиса”.

    – После отправки файла на VirusTotal, отчет не доступен сразу. Это может занять несколько часов в зависимости от нагрузки на сервера сервиса. Это стандартное ограничение сервиса публичного API.

    – Если вы получаете сообщение об ошибке “приложение не удалось инициализировать должным образом (0xc0000135). Нажмите кнопку ОК для завершения приложения.” при запуске х-Рэй, это означает, что Вы не у Майкрософт .Net Платформа 4 установлена. Вы можете скачать его здесь.

    источник

    Проверка на вирусы онлайн проводится с помощью специализированных сервисов, использующих в своей работе технологии антивирусных сканеров. Подобный онлайн сервис использует при проверке некоторое количество разных антивирусных движков, которые проверяют файл или ссылку по своим базам.

    Онлайн сервис для проверки на вирусы подозрительных файлов и ссылок, может быть полезен, если на компьютере отсутствует антивирусная программа, для дополнительной проверки файла средствами некоторых или нескольких антивирусов.

    Своевременная проверка файла на вирусы онлайн и проверка ссылок на вирусы онлайн позволит обнаружить вирусы и другое вредоносное программное обеспечение. Во время проверки возможны ложные срабатывания.

    Имейте в виду, что проверка файлов с помощью онлайн сервиса не может защитить компьютер от заражения, сервисы только информируют. Для лечения файлов используйте антивирусные сканеры, запускаемые непосредственно на компьютере.

    Среди упомянутых в этой статье сервисов, есть сервисы, использующие для анализа технологии нескольких антивирусных сканеров, и сервисы, проводящие проверку на наличие вредоносного программного обеспечения, средствами одного производителя.

    В данной статье рассмотрены антивирусные сканеры, работающие на онлайн сервисе, которые не затрагивают компьютер. Облачные антивирусные сканеры (F-Secure Online Scanner, ESET Online Scanner т. д.), запускаемые непосредственно с компьютера, не являются в прямом смысле онлайн сервисами.

    Сервис VirusTotal проводит проверку на вирусы онлайн с помощью более 62 антивирусных сканеров. Антивирусные базы сканеров автоматически обновляются.

    Это самый известный в мире онлайн сервис для проверки на вирусы. VirusTotal.com поддерживает работу на русском языке.

    На бесплатном сервисе VirusTotal проверяются файлы и ссылки. Результаты проверки показываются по каждому антивирусному сканеру.

    Для проверки на вирусы, необходимо добавить в соответствующее поле файл с компьютера или ссылку на веб-страницу (URL адрес). Максимальный размер проверяемого файла – 128 МБ.

    Добавьте файл или ссылку, дождитесь окончания проверки, а затем получите подробный результат проверки (показатель выявления) по каждой антивирусной утилите. Вирус Тотал показывает репутацию файла, по мнению пользователей (на этот показатель следует ориентироваться в последнюю очередь).

    Специальное приложение VirusTotal Uploader отправляет файлы на проверку в VirusTotal.com непосредственно с компьютера. Имеются расширения для популярных браузеров. Подробнее о работе с VirusTotal читайте здесь.

    Сервис Metadefender от компании OPSWAT осуществляет проверку на наличие вирусных угроз с помощью 43 антивирусных сканеров.

    Metadefender Online (прежнее название — Metascan Online) работает на английском языке. В Metadefender Cloud поддерживается проверка файлов размером до 140 МБ. Есть возможность проанализировать хэш файлов, просканировать IP адрес с помощью 13 сервисов мониторинга репутации IP адресов.

    После завершения сканирования, вы увидите результаты проверки по каждому антивирусному сканеру.

    Dr.Web online — бесплатный сервис для проверки файлов на наличие вредоносного ПО. Онлайн сервис Dr.Web имеет две отдельные страницы для проверки файлов и ссылок (URL).

    В Dr Web онлайн проверка файлов ограничена размером до 10 МБ. Добавьте файл, нажмите на кнопку «Проверить».

    Далее откроется окно, в котором вы увидите результат проверки на вирусы в Доктор Веб онлайн.

    На отдельной странице проверяются ссылки на сайты.

    Подробнее о работе с сервисом читайте тут. Расширение Dr.Web Link Checker для проверки веб-страниц и скачанных файлов поддерживается популярными браузерами.

    Kaspersky VirusDesk — бесплатный антивирусный онлайн сервис для проверки файлов и ссылок на известные угрозы.

    Сервис поддерживает работу с файлами размером до 50 МБ. В работе Kaspersky VirusDesk используются технологии из Антивируса Касперского.

    Перетащите с помощью мыши файл или вставьте ссылку в специальное поле, а затем нажмите на кнопку «Проверить».

    После завершения проверки, в окне отобразится мнение онлайн сервиса по поводу проверенного файла. При желании, ознакомьтесь с подробным описанием проверки.

    В случае несогласия с результатом проверки на вирусы, отправьте файл для дополнительной проверки в Лабораторию Касперского. Подробное описание сервиса читайте на этой странице.

    VirSCAN — бесплатный китайский сервис для проверки на вирусы онлайн. VirSCAN.org поддерживает работу технологии 39 антивирусных сканеров.

    Сервис работает, в том числе, на русском языке (выберите русский язык в правом верхнем углу страницы). Онлайн сервис имеет ограничение по размеру проверяемых файлов до 20 МБ.

    Выберите файл на компьютере (кнопка «Shoose file»), запустите сканирование (кнопка «Scan»), дождитесь результатов анализа файла.

    После завершения проверки, VirSCAN покажет подробный отчет об исследуемом файле, который можно сохранить на свой компьютер (кнопка «Copy to clipboard») для дальнейшего изучения.

    источник

    Автор: Chiron
    Дата последнего обновления: 12 сентября 2013
    Оригинал статьи
    Перевод: Александр Рябов

    В наши дни интернет наводнен вредоносными программами. Вы никогда не можете быть уверены, что загруженный вами файл не окажется каким-нибудь вредоносным, притворяющимся безвредным. Фактически многие из вредоносных файлов разработаны, чтобы делать именно это. Эта статья объяснит, как отличить опасный файл от безопасного.

    Несмотря на то, что это может показаться грандиозной задачей, я обещаю, что это будет не так уж трудно. Сегодня есть много как очень сложных, так и простых онлайновых служб, которые позволяют проверить файл на безопасность. Если вы полагаете, что файл, вероятно, безопасен, то убедитесь, что вы прочли раздел 1, прежде чем продолжать. Это может сэкономить вам много времени.

    Если вы уже считаете, что рассматриваемый файл, вероятнее всего, безопасен, то следование дальнейшим шагам, описанным в этой статье, может не понадобиться. Сначала закачайте файл на Comodo Valkyrie. Это бесплатная услуга, предоставляемая компанией Comodo, которая позволяет пользователям загружать файлы, объемом до 20 МБ, которые будут проанализированы почти сразу же. После закачки файла посмотрите в левый верхний угол. Там есть надпись «SHA1». Скопируйте всю строку букв и чисел, которая следует за ней. Теперь перейдите на страницу Comodo File Intelligence.

    Мы воспользуемся этой службой, чтобы выяснить, не был ли файл уже проверен ранее на безопасность и не находится ли он в огромном списке безопасных файлов Комодо. На этом сайте переключите поисковую панель с режима «Search by Filename» на «Search by SHA1». После этого вставьте из буфера обмена SHA1 и нажмите «Search Now». Посмотрите информацию, которая появилась. Если ответ был «The file is safe» («Файл надёжен»), то сразу смотрите результаты Comodo Valkyrie. Если окончательный результат (Final Result) от Comodo Valkyrie сообщает, что файл безопасен или неизвестен, тогда вы можете доверять этому файлу. Вам не нужно переходить к остальной части шагов. Однако, если Comodo Valkyrie сообщает, что файл вредоносный, тогда вы, возможно, захотите перейти ко второму разделу, чтобы убедиться, что файл действительно безопасен. Он почти наверняка безвреден, но проверка с помощью еще нескольких методов не займет много времени.

    Comodo Valkyrie — это бесплатная веб-служба Comodo, которая позволяет пользователям загружать файлы до 20 МБ для быстрого анализа. Эта служба может быть найдена на этой странице. Просто перейдите к сайту и найдите файл, который хотите оценить. Теперь закачайте туда этот файл. Загруженные файлы проверяются с помощью проверок многих типов, включая статический метод обнаружения, поведенческий анализ, независимо от того, обнаружены они антивирусом Comodo или с помощью продвинутой эвристики.

    Используя эти проверки, служба может дать прогноз относительно того, является файл нормальным (“Normal”), неизвестным (“Unknown”) или вредоносным (“Malicious”). Оценка “Normal” означает, что файл безопасен. “Malicious” означает, что он опасен. Если служба посчитала, что файл неизвестен (“Unknown”), это значит, что «она не уверена».

    2.1 Используйте Валькирию, чтобы узнать наверняка, безопасен ли файл

    Кроме того, некоторые файлы, возможно, уже были вручную проанализированы сотрудниками Comodo. Если они были проанализированы сотрудниками, то у них будет статус нормальных, неизвестных или вредоносных. Если там дали оценку «Unknown» или «Malicious», то я советовал бы избавиться от этого файла. Я не стал бы ему доверять.

    Кстати, наличие их анализа файла вручную — это единственная возможность быть абсолютно уверенным, что файл безопасен. Таким образом, если вы хотите быть уверены в надежности файла, который еще не был проанализирован, вы можете сами отправить файл персоналу Comodo на анализ. Чтобы сделать это, сперва убедитесь, что у вас есть учетная запись в Comodo Valkyrie и что вы вошли. Если у вас еще нет учетной записи, то ее очень легко получить. Просто перейдите по ссылке «Sign Up», введите новое имя пользователя, предоставьте подлинный адрес электронной почты и создайте пароль. Я очень советую вам создать учетную запись. После того, как вы войдете, вы увидите, что в верхней части страницы показаны фото сотрудников-аналитиков, которым можно поручить анализ файла. Вы можете выбрать любого из них. Не имеет значения, кого вы выберете.

    После передачи файла сотруднику там вручную проанализируют его и дадут вам результат. Возможные варианты оценок уже объяснены выше. Этот анализ обычно занимает меньше 24 часов. Если вы решили получить результаты «анализа вручную», то вы не должны волноваться ни о каких других методах, обсуждавшихся еще в этой статье. Просто отправьте файл и ожидайте результатов. Однако, если вы хотите узнать больше о файле и не хотите ждать результатов ручной работы, то остальная часть этой статьи должна быть очень полезной для вас.

    2.2 Интерпретируйте результаты автоматического анализа самостоятельно

    Если вы решили не ждать анализа, тогда вы можете также использовать эту службу, чтобы сразу же получить больше информации о файле. После того, как файл проанализирован, наиболее важным моментом, заслуживающим вашего внимания, будут пункты «Auto Result» («Автоматический результат») и «Final Result» («Окончательный результат»). Оба результата даны вверху страницы. «Auto Result» даст вам полный итог статического сканирования. «Final Result» комбинирует результаты всех типов сканирования, предоставляя общий прогноз по поводу безопасности файла. Веб-службы более подробно рассмотрены ниже. Если обе из них дают оценку «нормально», тогда файл, вероятнее всего, безопасен. Однако, перед тем, как посмотреть общие результаты, проверьте вкладки «Dynamic Detection» и «Advanced Heuristics», чтобы убедиться, что они закончили анализировать. Это займет больше времени, чем статический метод обнаружения. Однако, чтобы получить еще большее понимание, действительно ли безвреден файл, вам также захочется более тщательно рассмотреть результаты для каждой вкладки.

    Обратите внимание, что для некоторых файлов вместо результата будет выведено «No PE File». Это означает, что файл не содержит достаточной информации для Valkyrie, чтобы его можно было запустить. Более подробную информацию можно найти на этой странице. Таким образом, если вы получаете этот результат, я рекомендую вам перейти к следующему разделу и продолжить анализировать файл, используя альтернативные методы, обсуждаемые в этой статье.

    После того, как файл проанализирован, вам будут показаны три информационные вкладки. Первая называется “Static Detection” (Статический метод обнаружения). Вкладка показывает оценку 17-ти различных детекторов AI, которые проверяли файл. Отдельные оценки этих детекторов не важны. Comodo использует очень сложный алгоритм, чтобы вынести итоговую оценку на основе работы каждого из этих детекторов. То, что важно, это общий результат, показанный внизу экрана. Будет показана автоматическая оценка под надписью “Static Verdict Combination” (“Суммарная оценка статического сканирования”). Также под надписью “Probability of Static Verdict” (“Вероятность статической оценки”) будет показана степень вероятности.

    На вкладке «Dynamic Detection» есть результаты как от Comodo Antivirus (CAV), так и от Comodo Instant Malware Analysis — модуля, также известного как CAMAS. Секция для Comodo Antivirus сообщит вам, если в текущий момент что-то обнаружено антивирусом Comodo, и, если это имеет место, какого типа вредоносное ПО он обнаружил. CAMAS, также известный как CIMA, является поведенческим анализатором. Чтобы узнать больше о том, как понимать результаты, смотрите раздел 4.1 данной статьи. В результатах Валькирии опция «Report URL» соединит вас с результатами CIMA. Это полезно, поскольку вы можете понять, что, во всяком случае, было установлено что-то подозрительное в поведении файлов. Однако знайте, что есть такая ошибка, что, если вы выбираете «Report URL», тогда как в поведении ничего не обнаружено, вы вместо этого переместитесь на страницу «Static Detection».

    Еще одна вкладка, которую мы рассмотрим, называется “Advanced Heuristics” (“Продвинутая эвристика”). Здесь при исследовании файла используются более чувствительные алгоритмы. Здесь больше вероятности, что они поймают вредоносное ПО, но также здесь более вероятна неправильная идентификация файла в качестве «Неизвестного» (“Unknown”) или «Вредоносного» (“Malicious”). Пожалуйста, имейте это в виду, когда интерпретируете эти результаты.

    Еще вы можете проверить файл в разных антивирусах. Одна из лучших веб-служб для этого — VirusTotal. Ее можно найти на этой странице. Эта служба просканирует любой файл, который вы закачаете, с помощью более чем 40 различных антивирусных продуктов и покажет результаты отдельно по каждому из них. Вы можете закачать файлы размером до 64 МБ, и весь процесс займет около минуты.

    Безусловно самая трудная часть использования VirusTotal — интерпретация результатов. Иногда по результатам бывает трудно сказать, какова вероятность, что файл окажется опасным. В основном тогда, когда значительное количество сканеров показывает предупреждение о его вероятной опасности. Однако, даже если лишь немногие это обнаруживают, это не обязательно означает, что он безопасен. Ниже приведены примеры результатов для двух файлов, которые являются действительно вредоносными.

    Использование VirusTotal имеет несколько недостатков. Один из них — то, что вредоносное ПО конечно может оказаться столь новым, что ни один антивирус не распознает его. Я лично видел такое много раз. Поэтому, даже если VirusTotal показывает, что ни один из антивирусов не обнаруживает опасности, это не означает, что файл не опасен. Связанная с этим проблема состоит в том, что вредоносное ПО создается так быстро, что антивирусные компании вынуждены использовать эвристическое обнаружение и универсальные сигнатуры в стремлении не отставать от него. Проблема с этим подходом состоит в том, что при этих методах обнаружения безвредный файл может быть неверно идентифицирован как вредоносный. Это известно как ложное срабатывание (false positive). Эти типы ошибок действительно происходят и с возрастающей частотой.

    Таким образом, если только некоторые антивирусы определяют угрозу с помощью эвристики, а другие не определяют, то это может быть ложным срабатыванием. Однако, это не гарантирует, что так и есть. Именно поэтому вы должны всегда проверять файл, используя все три метода, рассмотренные в этой статье. Ниже приведены результаты в качестве примера полноценных файлов, которые VirusTotal неверно идентифицирует как опасные.

    Я хочу внести ясность, что, даже если только один антивирус определил файл как вредоносный, или даже ни один из них не определил, то файл все же может быть опасным. VirusTotal нельзя использовать с тем, чтобы гарантировать, что файл безопасен. Однако, если очень большое количество антивирусов определяют, что файл вредоносный, то вероятно так и есть. В этом и есть истинная сила VirusTotal.

    В дополнение к вышеупомянутым методам вы можете также пожелать проверить файл на вредоносное поведение. Есть много замечательных веб-служб, которые помогут сделать это, но я выбрал две из них, которые я особенно рекомендую. Помните, что хорошие файлы в них могут быть отмечены как подозрительные и что вредоносное ПО также может оказаться нераспознанным. Фактически, некоторые вредоносные программы даже могут заявить, что они запущены в виртуальной среде, и, таким образом, откажутся работать. По этой причине, опять же, для проверки файла лучше всего использовать все три метода, рассмотренные в этой статье.

    4.1 Используйте Comodo Instant Malware Analysis

    Веб-служба Comodo Instant Malware Analysis (CIMA) (Быстрая проверка на вредоносность от Comodo) может быть найдена на этой странице. Думаю, отчет проверки этой службы будет понятен всем пользователям. Вы можете загружать туда файлы любого размера, и, после того, как загрузка будет завершена, сразу начнется проверка файла. Продолжительность в основном зависит от размера файла и сложности его поведения, однако в большинстве случаев это довольно быстро. Я настоятельно рекомендую использовать эту службу, поскольку она очень эффективна при распознавании подозрительного поведения. Как только анализ завершен, результаты будут даны в конце отчета.

    Оценкой может быть “Suspicious” («Подозрительный»), “Suspicious+” или “Suspicious++”. Если выдана любая из них, это означает, что возможно вредоносное поведение было обнаружено. Также непосредственно под оценкой будут указаны причины, по которым файл был помечен как таковой. Оценка “Suspicious++” означает наиболее подозрительное поведение.

    Если вместо этого в результатах автоматического анализа (“Auto Analysis Verdict”) вы получаете оценку “Undetected” (Не обнаружено), значит подозрительных действий замечено не было. Это не гарантирует, что нет опасности, но говорит о большей вероятности этого. Таким образом, если на вышеупомянутых шагах не было обнаружено вредоносного поведения, и того же ни разу не сделал CIMA, то вы можете быть относительно уверены, что файл безопасен.

    4.2 Используйте Anubis

    Наиболее опытные пользователи могут также пожелать использовать Anubis. Эту веб-службу можно найти вот на этой странице. Это еще одна очень эффективная служба проверки на поведенческом уровне. Однако, загрузка файлов иногда занимает очень много времени, а результаты труднее интерпретировать. Тем не менее эта служба предоставляет много информации о поведении файла и послужит прекрасным вторым голосом в добавление к CIMA. Если вы продвинутый пользователь, я вам очень рекомендую проверять поведение файлов еще и в Anubis.

    Если ваш анализ показал, что определенный файл опасен, я рекомендую, чтобы вы в качестве вероятно опасного отправили его в как можно большее количество лабораторий, занятых в области антивирусного ПО. Самый простой способ сделать это — последовать совету, который я даю в своей статье «Как сообщить о вредоносном программном обеспечении или о ложных срабатываниях в многочисленные антивирусные лаборатории» (How to Report Malware or False Positives to Multiple Antivirus Vendors). Выполняя шаги, описанные в ней, вы можете помочь противодействовать распространению этого вредоносного ПО.

    источник

    Иногда бывают ситуации, когда штатный антивирус не в состоянии распознать угрозу. Поэтому для анализа особо подозрительных файлов я пользуюсь сервисом VirusTotal. Это бесплатный онлайн сервис, осуществляющий анализ файлов на предмет наличия вирусов, червей, троянов и прочих вредоносных программ. Основным достоинством VirusTotal является возможность проверки сразу несколькими антивирусными программами, что обеспечивает высокую надежность. Кстати, VirusTotal является подразделением Google.

    Пользоваться сервисом достаточно просто. Открываем страницу https://www.virustotal.com, выбираем файл и жмем на кнопку «Проверить». Загружать файлы для проверки можно только по одному, при этом размер загружаемого файла не должен превышать 64 Мб. Если надо проверить несколько файлов, то можно схитрить и положить их все в архив.

    После нажатия кнопки файл загружается для проверки. Время загрузки зависит от размера файла и загруженности сети, но как правило не превышает нескольких минут.

    После загрузки файла вычисляется его хэш-сумма и файл ставится в ставится в очередь. Затем начинается анализ файла на наличие вредоносного кода. Как видите, для анализа моего файла использовалось 47 антивирусных программ. Результаты проверки, общий и для каждого антивируса отдельно выводятся на экран. Дальше решение принимать вам, лечением или удалением вирусов сервис не занимается.

    Все проверяемые файлы заносятся в общую базу, так что вполне возможна ситуация, когда файл уже проверялся. В этом случае вам будет выдано уведомление и можно либо посмотреть результаты предыдущей проверки, либо проверить заново.

    Кроме файлов VirusTotal умеет сканировать ссылки, так что можно не загружать файл к себе на диск, а просто указать его URL.

    В этом случае отдельно будет проанализирован ресурс, на котором находится загружаемый файл, а уже затем можно будет перейти к анализу самого файла.

    Еще у VirusTotal есть специальные плагины для браузера — VTchromizer для Google Chrome, VTzilla для Firefox и VTexplorer для IE. С их помощью удобно проверять подозрительные ссылки, достаточно кликнуть правой клавишей по ссылке и выбрать пункт «Send URL to VirusTotal».

    Для проверки файлов можно установить десктопное приложение VirusTotal Uploader. С его помощью мы сможем:

    • Upload Process Executable — выбрать подозрительный системный процесс и отправить его на проверку. Эта возможность есть только в приложении;
    • Select file(s) and upload — выбрать один или несколько файлов и отправить их на проверку. Одновременно можно загрузить не более 5 файлов весом до 20Мб каждый;
    • Get and upload — загрузить файл и отправить его на проверку.

    Дополнительно в настройках (Options) можно указать, как поступать с загружаемыми файлами — не хранить на диске (по умолчанию), помещать в папку Temp и удалять через некоторое время или хранить в отдельной папке.

    Кроме того, если файл уже находится на компьютере то достаточно кликнуть на нем правой клавишей и перейти на пункт Отправить — VirusTotal. Подозреваемый будет тут же отправлен на проверку.

    В заключение скажу, что VirusTotal не является заменой антивирусной программе. Он не умеет автоматически отслеживать угрозы и не сможет вылечить зараженный файл. Его предназначение в другом — максимально подробно проверить конкретный файл на вирусы. И вот тут он вне конкуренции, ведь как говорится в известной пословице — один антивирус хорошо, а 47 лучше 🙂

    источник

    Есть два основных способа безопасно запустить подозрительный исполняемый файл: под виртуальной машиной или в так называемой «песочнице» (sandbox). Причем последнюю можно с помощью изящного способа адаптировать для оперативного анализа файла, не прибегая к специализированным утилитам и онлайн-сервисам и не используя множество ресурсов, как в случае с виртуалкой. О нем я и хочу тебе рассказать.

    Неправильное использование описанной методики может нанести вред системе и привести к заражению! Будь внимателен и осторожен.

    Люди, которые занимаются компьютерной безопасностью, хорошо знакомы с концепцией «песочницы». Если вкратце, «песочница» — эта тестовая среда, в которой выполняется некая программа. При этом работа налажена таким образом, что все действия программы отслеживаются, все изменяемые файлы и настройки сохраняются, но в реальной системе ничего не происходит. В общем, можешь запускать любые файлы в полной уверенности, что на работоспособность системы это никак не повлияет. Такие инструменты можно использовать не только для обеспечения безопасности, но и для анализа тех действий зловреда, которые он выполняет после запуска. Еще бы, ведь если есть слепок системы до начала активных действий и картина того, что произошло в «песочнице», можно легко отследить все изменения.

    Конечно, в Сети есть масса готовых онлайн-сервисов, которые предлагают анализ файлов: Anubis, CAMAS, ThreatExpert, ThreatTrack. Подобные сервисы используют разные подходы и имеют свои достоинства и недостатки, но можно выделить и общие основные минусы:

    • Необходимо иметь доступ к интернету. • Необходимо ждать очереди в процессе обработки (в бесплатных версиях). • Как правило, файлы, создаваемые или изменяемые в ходе выполнения, не предоставляются. • Невозможно контролировать параметры выполнения (в бесплатных версиях). • Невозможно вмешиваться в процесс запуска (например, нажимать на кнопки появляющихся окон). • Как правило, невозможно предоставлять специфические библиотеки, необходимые для запуска (в бесплатных версиях). • Как правило, анализируются только исполняемые РЕ-файлы.

    Такие сервисы чаще всего строятся на основе виртуальных машин с установленным инструментарием, вплоть до отладчиков ядра. Их можно организовать и дома. Однако эти системы достаточно требовательны к ресурсам и занимают большой объем на жестком диске, а анализ логов отладчика уходит много времени. Это значит, что они весьма эффективны при глубоком исследовании определенных образцов, но вряд ли смогут оказаться полезными в рутинной работе, когда нет возможности нагружать ресурсы системы и тратить время на анализ. Использование «песочницы» для анализа позволяет обойтись без огромных затрат ресурсов.

    Сегодня мы попробуем сделать свой собственный анализатор на основе «песочницы», а именно утилиты Sandboxie. Эта программа доступна как условно-бесплатная на сайте автора www.sandboxie.com. Для нашего исследования вполне подойдет ограниченная бесплатная версия. Программа запускает приложения в изолированной среде, так что они не производят вредоносных изменений в реальной системе. Но тут есть два нюанса:

    1. Sandboxie позволяет отслеживать только программы на уровне user mode. Вся деятельность вредоносного кода в режиме ядра не отслеживается. Поэтому максимум, что удастся узнать при изучении руткитов — это каким образом вредонос внедряется в систему. Проанализировать само поведение на уровне kernel mode, к сожалению, невозможно.
    2. В зависимости от настроек Sandboxie может блокировать выход в Сеть, разрешать полный доступ или доступ только для отдельных программ. Понятно, что, если для нормального запуска вредоносу нужен выход в интернет, необходимо его предоставить. С другой стороны, если у тебя на флешке валяется Pinch, который запускается, собирает все пароли в системе и отправляет их на ftp злоумышленнику, то Sandboxie с открытым доступом в интернет не защитит тебя от потери конфиденциальной информации! Это очень важно, и об этом следует помнить.

    Песочницы Sandboxie

    Sandboxie — великолепный инструмент с большим количеством настроек. Упомяну лишь те из них, которые необходимы для наших задач.

    После установки Sandboxie автоматически создается одна «песочница». Ты можешь добавить еще несколько «песочниц» под разные задачи. Доступ к настройкам «песочницы» осуществляется через контекстное меню. Как правило, все параметры, которые можно изменять, снабжены достаточно подробным описанием на русском языке. Для нас особенно важны параметры, перечисленные в разделах «Восстановление», «Удаление» и «Ограничения». Итак:

    1. Необходимо убедиться, что в разделе «Восстановление» ничего не указано.
    2. В разделе «Удаление» не должны быть никаких проставлены галки и/или отмечены добавленные папки и программы. Если неправильно выставить параметры в разделах, указанных в пунктах 1 и 2, это может привести к тому, что вредоносный код заразит систему или все данные для анализа будут уничтожены.
    3. В разделе «Ограничения» необходимо выбрать настройки, соответствующие твоим задачам. Практически всегда необходимо ограничивать доступ низкого уровня и использование аппаратных средств для всех выполняемых программ, чтобы не допустить заражения системы руткитами. А вот ограничивать доступ на запуск и выполнение, а также забирать права, наоборот, не стоит, иначе подозрительный код будет выполняться в нестандартной среде. Впрочем, всё, в том числе и наличие доступа к интернету, зависит от задачи.
    4. Для наглядности и удобства в разделе «Поведение» рекомендуется включить опцию «Отображать границу вокруг окна» и выбрать цвет для выделения программ, выполняемых в ограниченной среде.

    Работает Buster Sandbox Analyzer

    В несколько кликов мы получили отличную изолированную среду для безопасного выполнения кода, но не инструмент для анализа его поведения. К счастью, автор Sandboxie предусмотрел возможность использования целого ряда плагинов для своей программы. Концепция довольно интересна. Аддоны представляют собой динамические библиотеки, внедряемые в выполняемый в «песочнице» процесс и определенным образом регистрирующие или модифицирующие его выполнение.

    Нам понадобится несколько плагинов, которые перечислены ниже.

    1. Buster Sandbox Analyzer.
    2. SBIExtra. Этот плагин осуществляет перехват ряда функций для выполняемой в песочнице программы, чтобы блокировать следующие возможности:
      • обзор исполняемых процессов и потоков;
      • доступ к процессам вне пределов «песочницы»;
      • вызов функции BlockInput (ввод с клавиатуры и мыши);
      • считывание заголовков активных окон.
    3. Antidel. Аддон перехватывает функции, отвечающие за удаление файлов. Таким образом, все временные файлы, команда на удаление которых поступает от исходного кода, все равно остаются на своих местах.

    Как интегрировать их в «песочницу»? Поскольку это не предусмотрено средствами интерфейса Sandboxie, редактировать файл конфигурации придется вручную. Создаем папку Plugins и распаковываем в нее все подготовленные плагины. Теперь внимание: в состав Buster Sandbox Analyzer входит несколько библиотек с общим именем LOG_API*.dll, которые могут инжектироваться в процесс. Есть два типа библиотек: Verbose и Standard. Первый отображает практически полный список вызовов API, выполняемых программой, включая обращения к файлам и реестру, второй — сокращенный список. Сокращение позволяет ускорить работу и уменьшить журнал, который затем придется анализировать. Лично я не боюсь больших логов, зато опасаюсь того, что какая-нибудь нужная инфа будет заботливо «сокращена», поэтому выбираю Verbose. Именно эту библиотеку мы и будем инжектировать. Чтобы зловред не смог заметить инжект библиотеки по ее имени, применим простейшую меру предосторожности: сменим имя LOG_API_VERBOSE.dll на любое другое, например LAPD.dll.

    Окна, программ запущенные в песочнице, теперь будут выделяться

    Теперь в главном окне Sandboxie выбираем «Настроить -> Редактировать конфигурацию». Откроется текстовый конфиг со всеми настройками программы. Сразу обращаем внимание на следующие строки:

    • Параметр FileRootPath в разделе [GlobalSettings] указывает общий путь к папке изолированной среды, то есть к папке, где будут находиться все файлы «песочницы». У меня этот параметр имеет вид FileRootPath=C:\Sandbox\%SANDBOX%, у тебя он может отличаться.
    • Раздел [UserSettings_XXXXXXX] нас не интересует — его пропускаем и листаем дальше.
    • Затем идет раздел, имя которого совпадает с названием «песочницы» (пусть это будет BSA). Сюда мы и будем добавлять плагины:[BSA]InjectDll=C:\Program Files\Sandboxie\Plugins\sbiextra.dll InjectDll=C:\Program Files\Sandboxie\ Plugins\ant >Пути, конечно, могут отличаться. Но порядок инжектируемых библиотек обязательно должен быть именно таким! Это требование связано с тем, что перехват функций должен осуществляться именно в указанном порядке, иначе плагины работать не будут. Чтобы применить изменения, выбираем в главном окне Sandboxie: «Настроить -> Перезагрузить конфигурацию».

    Теперь настроим сам плагин Buster Sandbox Analyzer.

    1. Запускаем плагин вручную, воспользовавшись файлом bsa.exe из папки Plugins.
    2. Выбираем «Options -> Analysis mode –> Manual» и далее «Options -> Program Options -> Windows Shell Integration -> Add right-click action «Run BSA»».

    Теперь всё готово для работы: наша «песочница» интегрирована в систему.

    Безусловно, многим не понравится, что надо что-то устанавливать, настраивать и т. д. Так как меня всё это тоже не прельщает, я сделал портабельную версию инструмента, который можно запускать без установки и настройки, прямо с флешки. Скачать такую версию можно здесь: tools.safezone.cc/gjf/Sandboxie-portable.zip. Для запуска «песочницы» достаточно выполнить скрипт start.cmd, а по окончании работы не забыть выполнить скрипт stop.cmd, который полностью выгрузит драйвер и все компоненты из памяти, а также сохранит внесенные в ходе работы изменения в портабеле.

    Настроек у самого портабелизатора совсем не много: его работа в основном основана на манипуляциях с файлом Sandboxie.ini.template, находящегося в папке Templates. По сути, этот файл представляет собой файл настроек Sandboxie, который должным образом обрабатывается и передается программе, а по окончании работы перезаписывается обратно в Templates. Если открыть этот файл «Блокнотом», то ты вряд ли найдешь что-то интересное. Нужно обязательно обратить внимание на шаблон $(InstallDrive), повторяющийся в ряде параметров пути. Особенно нас интересует параметр FileRootPath. Если он имеет следующий вид:

    — то «песочницы» будут создаваться на диске, где находится портабельная Sandboxie. Если же параметр имеет, например, такой вид:

    — иначе говоря в нем указан определенный системный диск, то «песочницы» будут создаваться на этом диске.

    Лично я рекомендую всегда создавать песочницы на локальных дисках. Это ускоряет работу инструмента, а при запуске с флешки — ускоряет на порядки. Если же тебя настолько замучила паранойя, что хочется всё запускать и анализировать на любимом носителе, который ты носишь у сердца, то параметр можно поменять, но тогда хотя бы используй портабельные жесткие диски, чтобы всё безбожно не тормозило.

    Попробуем наш инструмент на реальной угрозе. Чтобы никто не упрекнул меня в подтасовке, я поступил просто: зашел на www.malwaredomainlist.com и скачал последнее, что там появилось на момент написания статьи. Это оказался премилый файл pp.exe с какого-то зараженного сайта. Одно только название внушает большие надежды, кроме того, на этот файл сразу заорал мой антивирус. К слову, все наши манипуляции лучше производить при отключенном антивирусе, иначе мы рискуем заблокировать/удалить что-нибудь из того, что исследуем. Как изучить поведения бинарника? Просто нажимаем правой кнопкой на этот файл и выбираем в выпавшем меню пункт Run BSA. Откроется окно Buster Sandbox Analyzer. Внимательно смотрим в строку Sandbox folder to check. Все параметры должны совпадать с теми, которые мы указали при настройке Sandboxie, то есть если песочница получила название BSA, а в качестве пути к папке был задан параметр FileRootPath=C:\Sandbox\%SANDBOX%, то вс,ёе должно быть как на скриншоте. Если же ты знаешь толк в извращениях и назвал песочницу по-другому или настроил параметр FileRootPath на другой диск или папку, его нужно изменить соответствующим образом. В противном случае Buster Sandbox Analyzer не будет знать, где искать новые файлы и изменения в реестре.

    Скачиваем образец малвари для анализа

    BSA включает в себя массу настроек по анализу и изучению процесса выполнения бинарника, вплоть до перехвата сетевых пакетов. Смело нажимай кнопку Start Analysis. Окно перейдет в режим анализа. Если песочница, выбранная для анализа, по каким-то причинам содержит результаты предыдущего исследования, утилита предложит предварительно ее очистить. Все готово к запуску исследуемого файла.

    Готов? Тогда нажми на изучаемый файл правой кнопкой мыши и в открывшемся меню выбери «Запустить в песочнице», после чего укажи ту «песочницу», к которой мы прикрутили BSA.

    Сразу после этого в окне анализатора побегут API-вызовы, которые будут фиксироваться в лог-файлах. Обрати внимание, что сам Buster Sandbox Analyzer не знает, когда завершится анализ процесса, фактически сигналом к окончанию служит именно твое жмакание на кнопку Finish Analysis. Как же узнать, что время уже наступило? Тут может быть два варианта.

    1. В окне Sandboxie не отображается ни один выполняемый процесс. Это означает, что выполнение программы явно завершилось.
    2. В списке API-вызовов долгое время не появляется ничего нового или, наоборот, одно и то же выводится в циклической последовательности. При этом в окне Sandboxie что-то еще выполняется. Такое бывает, если программа настроена на резидентное выполнение или попросту зависла. В этом случае ее необходимо вначале завершить вручную, нажав правой кнопкой в окне Sandboxie на соответствующую «песочницу» и выбрав «Завершить программы». Кстати, при анализе моего pp.exe произошла именно такая ситуация.

    После этого можно смело выбирать Finish Analysis в окне Buster Sandbox Analyzer.

    Чеклист подозрительного поведения приложения

    Нажав на кнопку Malware Analyzer, мы сразу получим некоторую сводную информацию о результатах исследования. В моем случае вредоносность файла была совершенно очевидна: в ходе выполнения создавался и запускался файл C:\Documents and Settings\Администратор\Application Data\dplaysvr.exe, который добавлялся в автозагрузку (кстати, именно он не хотел завершаться сам), происходило соединение с 190.9.35.199 и модифицировался hosts-файл. Кстати, при этом на VirusTotal файл детектировали только пять антивирусных движков, что видно из логов, а также на сайте VirusTotal.

    Отчет о проведенном анализе

    Всю информацию о результатах анализа можно получить непосредственно в меню Viewer в окне Buster Sandbox Analyzer. Здесь же приютился и журнал API-вызовов, который, безусловно, будет полезен при подробном исследовании. Все результаты хранятся в виде текстовых файлов в подпапке Reports папки Buster Sandbox Analyzer. Особый интерес представляет отчет Report.txt (вызывается через View Report), в котором приводится расширенная информация по всем файлам. Именно оттуда мы узнаём, что временные файлы на самом деле были исполняемыми, соединение шло по адресу http://190.9.35.199/view.php?rnd=787714, вредонос создал специфический мутекс G4FGEXWkb1VANr и т. д. Можно не только просматривать отчеты, но и извлекать все файлы, созданные в ходе выполнения. Для этого в окне Sandboxie нажми правой кнопкой по «песочнице» и выбери «Просмотреть содержимое». Откроется окно проводника со всем содержимым нашей «песочницы»: в папке drive находятся файлы, создаваемые на физических дисках «песочницы», а в папке user — файлы, создаваемые в профиле активного пользователя (%userprofile%). Здесь я обнаружил dplaysvr.exe с библиотекой dplayx.dll, временные файлы tmp и измененный файл hosts. Кстати, оказалось, что в него добавлены следующие строки:

    Учти, что в «песочнице» валяются зараженные файлы. Если их нечаянно запустить двойным кликом, ничего не будет (они запустятся в «песочнице»), но если ты их куда-то скопируешь, а потом выполнишь… хм, ну, ты понял. Здесь же, в папке, можно найти дамп реестра, измененного в ходе работы, в виде файла RegHive. Этот файл можно легко перевести в более читабельный reg-файл при помощи следующего командного скрипта:

    Полученный инструмент умеет:

    • Отслеживать API-вызовы запущенного приложения.
    • Отслеживать новые создаваемые файлы и параметры реестра.
    • Перехватывать сетевой трафик при выполнении приложения.
    • Проводить базовый анализ файлов и их поведения (встроенный поведенческий анализатор, анализ на VirusTotal по хешам, анализ с помощью PEiD, ExeInfo и ssdeep и т. д.).
    • Получать некоторую дополнительную информацию за счет выполнения в «песочнице» вспомогательных программ (например, Process Monitor) вместе с анализируемой.
    • Анализировать зловреды, выполняющиеся в kernel mode (требующие установки драйвера). Тем не менее возможно выявить механизм установки драйвера (до его фактического внедрения в систему).
    • Анализировать зловреды, отслеживающие выполнение в Sandboxie. Однако Buster Sandbox Analyzer включает в себя ряд механизмов, препятствующих такому отслеживанию.

    источник