Установка нескольких антивирусов в одной операционной системе может привести к конфликтам программного обеспечения и нерациональному использованию вычислительных ресурсов. Однако иногда хочется проверить подозрительный файл несколькими антивирусами для того, чтобы не допустить заражения системы (или наоборот, добавить безопасный файл в исключения). В этом случае на помощь приходит известный сайт Virus Total: он позволяет проверить загруженные файлы с использованием нескольких десятков антивирусов. Однако и такой метод обнаружения угроз нельзя считать абсолютно надежным. 

Ограничения VirusTotal

Перед тем как продолжить рассказ об особенностях онлайн-проверки файлов, кратко остановимся на некоторых ограничениях сервиса VirusTotal.

  1. VirusTotal – не замена полноценному антивирусу. Онлайн-сканирование может помочь в оценке безопасности того или иного файла, но не защитит от всех угроз.
  2. Антивирусные движки, представленные на VirusTotal, не дают стопроцентной гарантии безопасности файла. Даже файл, признанный большинством сканеров безопасным, может содержать вредоносный код. Ошибиться может любой антивирус.
  3. Настройки антивирусных сканеров на VirusTotal могут отличаться от стандартных. Сервис использует консольные версии сканеров, которые славятся более агрессивным эвристическим анализом загруженных файлов (в сравнении с десктопными версиями антивирусов). В связи с этим процент ложных срабатываний может быть выше.

Когда VirusTotal может запутать пользователя

Ограничения онлайн-сканеров отчасти объясняют те не слишком частые случаи, когда «мнения» антивирусных продуктов расходятся. В этих случаях часть сканеров с помощью эвристического анализа находит в загруженном файле вредоносный код, а часть считает файл безопасным. В то же время некоторые сканеры можно достаточно легко «обмануть». Как? Рассмотрим некоторые методы.

Архивирование вредоносных файлов

Не всегда консольные сканеры, используемые сервисом VirusTotal, проверяют содержимое архивов, поэтому потенциально опасный файл, упакованный в .zip, .7z и т.п., может не детектироваться некоторыми антивирусами. Хотя в данном случае такая «невнимательность» онлайн-сканера неопасна: если на компьютере пользователя установлен любой настольный антивирус, угроза будет устранена (в подавляющем большинстве случаев).

 

Использование упаковщиков

Обоюдоострое оружие. С одной стороны, в один .exe-файл можно поместить вредоносный файл и скрипт, который добавит вирус или троян в автозагрузку (или хотя бы один раз запустит его), и некоторые сканеры с сайта VirusTotal не обнаружат угрозы. С другой стороны, безвредный файл, упакованный специальной программой, может определяться некоторыми антивирусами как потенциально опасный. Посмотрите на скриншот.

Двенадцать антивирусов с помощью эвристики определили, что исполняемый файл небезопасен. На самом деле проверяемая утилита проверяет корректность штрих-кодов и не несет никакой опасности. Почему антивирусы «ругаются»? Дело в том, что исполняемый файл был упакован старой версией программы UPX, что позволило сжать программу до 17 КБ, но «напугало» некоторые антивирусы. Отметим, что сканеры крупных вендоров (Avira, Kaspersky и т.д.) на этот файл никак не отреагировали.

 

Запуск вредоносного кода только в реальной среде

Методика не нова: скрипт, запускающий вредоносный код, проверяет наличие других разделов в системе, их метки, наличие каких-либо файлов и т.п. Если по итогам проверок выясняется, что скрипт запущен в тестовой песочнице, то запуск вредоносного исполняемого файла отменяется или откладывается. Эта техника позволяет в ряде случаев обмануть некоторые сканеры с VirusTotal.

Отметим: вышеуказанные приемы способны «запутать» онлайн-сканер, но не настольный антивирус.

Современные настольные версии антивирусов содержат в себе не только файловый сканер, но также проактивную защиту и резидентные модули, которые не дадут выполниться подозрительной программе. При этом в состав антивирусного продукта может быть включена программа-песочница, которая позволит запустить файл и отследить его активность без вреда для системы. Именно поэтому в ОС семейства Windows необходимо использовать настольную версию антивируса, а онлайн-сканерами пользоваться только как дополнительным средством защиты.

Как читать отчеты VirusTotal?

Если часть файловых сканеров можно «обмануть», то, возможно, не стоит доверять VirusTotal? Нет, сервису вполне можно доверять, но необходимо учитывать:

  1. Полное отсутствие детектов на VirusTotal – не гарантия безопасности файла. Об этом мы уже говорили. Но если файл проверялся еще и настольным антивирусом и был признан безопасным, то вероятность заражения в этом случае минимальна.
  2. «Подозрения» со стороны двух-трех или даже десяти антивирусов могут быть как обоснованными, так и беспочвенными. Внимательно присмотритесь к отчету: если антивирусы помечают файл по-разному (например, Worm, Trojan и heuristic), а часть детектов сопровождается описанием «возможно», «потенциально» и т.д. – файл, вполне вероятно, упакован для уменьшения размера, но неопасен. А вот если десять антивирусов однозначно указывают, что программа является троянской, то здесь уровень опасности выше.
  3. Если хотя бы половина сканеров считает, что файл опасен, скорее всего, это не простое совпадение. Не запускайте его. Советуем после обнаружения такого файла провести проверку вашей ОС десктопным антивирусом.

Если любопытство все-таки не дает вам покоя и запустить подозрительный файл очень хочется, советуем сделать это в специальной программе-песочнице или в виртуальной машине.

 

Поделиться