Как проверить большой файл на virustotal

Обновлено: 04.07.2024

Сервис VirusTotal, ставший частью Google Cloud, предоставляет сведения о репутации и повышенной опасности, помогающие анализировать подозрительные файлы, URL-адреса, домены и IP-адреса для выявления киберугроз. Отчеты VirusTotal содержат большое количество краудсорсинговой информации о том, почему количество доменов, прикрепленных файлов или IP-адресов могут быть небезопасными. Больше сообщений об этом сервисе можно найти на сайте VirusTotal.

В инструменте "Анализ безопасности" присутствуют отчеты VirusTotal о файлах, прикрепленных к электронным письмам, которые передаются в вашей организации. Это позволяет получать полезную информацию для анализа информации о репутации и аллергии. Например, в отчете VirusTotal может быть указано, что несколько услуг безопасности были отмечены как вирусы.

Примечания

Для просмотра отчетов VirusTotal в инструменте "Анализ безопасности" требуется право Центр безопасности > VirusTotal > Просмотр отчета.
Сервис VirusTotal не обнаруживает вредоносного ПО или других инфекций. Он выполняет анализ безопасности и помогает вам принимать решения при устранении угрозы.
Данные (хеши прикрепленных файлов) передаются в VirusTotal только после того, как администратор решит посмотреть отчет. Другие данные не пересылаются.
Доступ к данным VirusTotal предоставляет сообществу специалистов по безопасности. Это позволяет поставщикам услуг безопасности управлять другими, широкомасштабными исследованиями и проводить исследования по борьбе с киберугрозами.
Вы также можете просмотреть отчеты VirusTotal из Центра уведомлений, чтобы получить дополнительные сведения о безопасности, связанные с уведомлениями. Подробнее о том, как посмотреть отчеты VirusTotal из Центра уведомлений…

Просмотр отчетов VirusTotal в инструменте "Анализ безопасности"

Чтобы посмотреть отчет VirusTotal в инструменте "Анализ безопасности":

В отчете VirusTotal есть несколько разделов со сведениями о возможных угрозах безопасности. Например, вы можете просмотреть список услуг безопасности, отметивших файлы как вредоносные, а также результаты файлов отдельных из этих угроз.

Версии отчета VirusTotal

Узнать больше о VT Enterprise и запросить пробный период можно на странице с информацией о сервисе VirusTotal. Чтобы оформить подписку на VT Enterprise, заполните и отправьте эту форму.

В отчете версии VirusTotal Standard следует следующая информация:

Идентификаторы файлов. Идентификаторы и свойства, с помощью которых вы можете обозначить преступления и раскрыть их другим аналитикам (например, хеши-файлы, типы файлов и размеры).
Репутация нападения. Оценки вредоносности более чем от 70 услуг безопасности.
Время задержания нападения. Ключевые слова, которые позволяют понять, когда угроза была обнаружена впервые, и как долго она остается актуальной.

Помимо всех отчетов из отчета версии Standard, в отчете версии Enhanced отчетов следующая информация:

Многовекторное обнаружение угрозы. Дополнительный анализ рисков на основе краудсорсинговых правил и оценок (например, правил YARA, Sigma и IDS).
Информация из белого списка. Полезные сведения для исключений ложноположительных результатов (Национальная справочная библиотека программного обеспечения, дистрибьюторы ПО, Microsoft Clean Metadata Feed и другие).
Связанные индикаторы компрометации. Примерами таких индикаторов являются сетевая инфраструктура, распространяющая вирусный файл, серверы, используемые для управления атаками, и первоначальные результаты доставки изучаемого файла.
Интерактивный график нападения. Графическое представление всех аспектов поступления на основе взаимосвязи между индикаторами компрометации.
Метаданные, связанные с безопасностью. Информация об издателе ПО, идентификаторы вредоносных макросов в документах, разрешениях приложений для Android и другие сведения.
По сообщению о задержании. Информация о географии и времени распространения, часто используемая методами мошенничества, а также другая информация, полученная на основе метаданных VirusTotal.
Информация о похожих угрозах. Ссылки на сведения о других угрозах, связанных с нарушением целостности набора данных VirusTotal.

Сценарии и преимущества использования версии Enhanced

Подробные сведения об отчетах VirusTotal и общая информация о сервисе представлены на сайте VirusTotal. Составление обязательной работы VirusTotal или уточните у нас интересующую информацию.

Как зарегистрировать аккаунт VT Enterprise

Как выяснилось выше, в отчетах VirusTotal version Enhanced получили дополнительные сведения для анализа угроз.Подробнее узнать об отчетах и регистрации VT Enterprise можно с помощью этой формы для связи с командой VirusTotal.

Юридическая информация

VirusTotal — это продукт конгломерата Alphabet, который анализирует подозрительные файлы, URL-адреса, домены и IP-адреса для обнаружения ПО и других видов опасных угроз и автоматически освещает их с сообществом специалистов по безопасности.

Чтобы просмотреть отчеты VirusTotal, необходимо отправить в этот сервис хешей прикрепленных файлов, IP-адресов или доменных имен.

Используете VirusTotal, вы соглашаетесь с тем, что к отправленным пользователям применяются Условия использования и Политика конфиденциальности VirusTotal, и разрешаете VirusTotal собирать совокупный объем данных с сообществом специалистов по безопасности.

Часто задаваемые вопросы

Нет. Эти отчеты принадлежат администраторам Центра безопасности > VirusTotal > Просмотр отчета.

Автоматизированное обогащение данных телеметрии безопасности – сортировка предупреждений, исключение ложноположительных результатов, достоверное подтверждение опасности и оценка уровня опасности.
Реагирование на захваты и ретроспективный анализ – сортировка оповещений системы безопасности, анализ подключений и контекста, обнаружение объектов и выявление индикаторов компрометации.
Анализ угроз и расширенных возможностей их обнаружения – обнаружение неизвестных угроз, мониторинг атак, отслеживание обнаружений, профилактическое выявление индикаторов компрометации, изучение общей картины угроз и ситуационная осведомленность.
Защита от фишинга и мошенничества, отслеживание бренда и корпоративной статистики – отслеживание фишинговых рисков, анализ банковских троянов и средств для кражи данных, мониторинг выдачи выявлений себя за брендом, выявление вредоносного ПО и отдельных случаев корпоративной статистики.
Использование «красных команд» и этический хакинг – разведка и пассивный сбор информации о системе, моделирование проникновений и атак, проверка стека безопасности.
Приоритизация уязвимостей – умные стратегии исправлений на основе рисков, мониторинг уязвимостей в глобальных масштабах и сопоставление уязвимостей с эксплуатацией уязвимостей.

Подробные сведения о том, как VT Enterprise повысить безопасность, указаны в этом обзоре. Интересующую вас информацию вы можете уточнить у специалистов VirusTotal.

Нет. Данные передаются администратором только в том случае, если есть отчет VirusTotal. После этого в VirusTotal пересылаются файлы хеши, сведения о доменах или IP-адресах, необходимые для оценки рисков, могут оказаться полезными.

Недавно я начал убеждать родственников загружать все, что они загружают, в Virus Total, чтобы они были в большей безопасности при загрузке.

Однако недавно я наткнулся на установщик игры размером около 500 МБ. Virus Total поддерживает загрузку только до 128 МБ.

Как обеспечить безопасность установки этого файла?

Чтобы быть педантичным, что на самом деле хорошо для безопасности, вы не можете «гарантировать», что файл в безопасности. То, что вы пытаетесь сделать, это быть «достаточно уверенным», что это безопасно ;-)

Я понимаю, что идеальной безопасности не бывает, но возможности проверить, идентифицируют ли 28/59 сканеров вредоносных программ файл как потенциальное шпионское ПО, мне достаточно.

Ответ @Daisetsu ниже затрагивает эту тему, но я повторю мнение в комментарии: люди обычно не просто натыкаются на файлы размером 500 МБ, их ищут намеренно, и если это требуется, то это должно быть из надежный [законный] источник. AV не очень хорош в обнаружении злого умысла в очень больших файлах. TLDR: рассмотрите источник как барометр в своем стремлении к разумной уверенности или просто сначала взорвите его на отдельной машине.

2 ответа 2

Возможно, вы не знаете об этом, но VirusTotal сохраняет загружаемые вами файлы. Компании, у которых есть подписка на VirusTotal, могут загружать загруженные вами файлы, это часть условий обслуживания. Я бы не стал загружать что-либо потенциально конфиденциальное, что вы не хотите, чтобы увидел весь мир.

Хотя VirusTotal действительно полезная служба, я не вижу смысла сканировать все, с чем вы сталкиваетесь. Предполагая, что вы используете Windows, в большинстве случаев должно быть достаточно любого из крупных игроков в антивирусной игре, таких как Защитник Windows.

Есть ли причина, по которой вы беспокоитесь об этом установщике игры? Это из законного источника или это то, что вы захватили с P2P-сервиса? Такие вещи, как игры, которые распаковывают гигантские исполняемые файлы, вряд ли будут обнаружены антивирусом. Там гораздо больше места, чтобы скрыть что-то вредоносное, что кажется безобидным.

Для чего-то такого размера я бы рекомендовал использовать песочницу. Cuckoo будет динамически анализировать файлы и исполняемые файлы. Sandboxie не анализирует файлы, а обеспечивает изоляцию, поэтому, если программа является вредоносной, она не сможет затронуть остальную часть компьютера.

Этот файл .exe безопасен?
Возможно, вы нашли эту страницу, потому что заметили странный процесс Windows .exe или службу, работающую на вашем ПК.< /p>

Возможно, программа вызывает сбой компьютера или использует слишком много памяти или ресурсов ЦП. Или, возможно, вы загрузили файл .exe и не уверены, безопасно ли его запускать.

Если вас беспокоит файл на вашем компьютере, просто выполните 5 простых шагов, описанных ниже, чтобы убедиться, что он безопасен. Наша команда помогла более 20 миллионам человек защитить свои компьютеры, так что вы обратились по адресу.

Давайте проверим этот файл на наличие угроз!

1. Как проверить файл .exe с помощью Защитника Windows

< /p>

В настоящее время все версии Windows поставляются с системой безопасности Windows (ранее Microsoft Defender), а в системе безопасности Windows есть встроенный простой способ сканирования определенных файлов .exe. Если файл находится на рабочем столе, щелкните его правой кнопкой мыши и выберите «сканировать с помощью Microsoft Defender».

Если вы нашли файл .exe, который хотите сканировать, в диспетчере задач Windows и не уверены в его местонахождении, щелкните его правой кнопкой мыши и выберите «Открыть местоположение файла». После этого файл должен быть автоматически выделен. Теперь щелкните правой кнопкой мыши файл один раз и отсканируйте его. Если он помечен как безопасный, то, вероятно, на вашем компьютере безопасно.

Вы все еще не уверены в безопасности файла .exe? Вы можете сделать еще 4 шага.

2. Проанализируйте файл с помощью VirusTotal

Когда это происходит, люди в сообществе VirusTotal часто оставляют комментарии к файлу, поэтому щелкайте комментарии и смотрите, что говорят люди.

Хотите автоматически анализировать все ваши приложения на наличие проблем с безопасностью с помощью VirusTotal? Наше программное обеспечение GlassWire делает это бесплатно для всех, кто использует приложение.

Сначала установите GlassWire (попробовать бесплатно), затем перейдите в левое верхнее меню и выберите «Настройки», затем «VirusTotal», затем включите автоматический анализ безопасности исполняемых файлов. После включения этого параметра API VirusTotal каждый раз, когда .exe-файл получает доступ к сети на вашем ПК, он будет автоматически анализироваться VirusTotal.

Не хотите выполнять автоматическую проверку файлов? Это необязательно и по умолчанию отключено. Чтобы настроить параметры безопасности, перейдите в брандмауэр GlassWire и наведите указатель мыши на столбец VirusTotal рядом с любым приложением, чтобы вручную проанализировать его с помощью VirusTotal.

3. Есть ли у .exe издатель?

Вы все еще не уверены в файле? Щелкните файл правой кнопкой мыши и проверьте его свойства, чтобы узнать, есть ли у него известный издатель. Если файл подписан Microsoft или крупной компанией, то он, скорее всего, безопасен. Если файл вообще не подписан, то все ставки сняты. Посмотрите в разделе «Цифровая подпись», чтобы увидеть, как только вы проверите свойства файла.

Обратите внимание, что с нашим собственным приложением GlassWire Network Security Monitoring мы показываем сетевую активность в реальном времени по издателям, поэтому легко увидеть, имеют ли неподписанные приложения доступ к сети. Отслеживание приложений на вашем компьютере и того, как они подписаны, — отличный способ обеспечить безопасность вашего устройства.

Вы по-прежнему не доверяете файлу .exe?

4. Проверьте это в песочнице Windows

Знаете ли вы, что в последних версиях Windows 10 или 11 есть бесплатная функция песочницы, позволяющая безопасно запускать приложения в защищенной среде на вашем ПК? Найдите Windows Sandbox в поле поиска Windows, чтобы запустить его. Теперь скопируйте файл и вставьте его в песочницу Windows. Затем вы можете запустить его и посмотреть, что он делает после выполнения.

5. Отслеживайте сетевую активность файла на предмет странного поведения

Если вы уже используете исполняемый файл .exe на своем компьютере и считаете его подозрительным, очень полезно узнать, к каким хостам подключается исполняемый файл, а также к каким типам трафика он отправляет и получает. Наше бесплатное программное обеспечение GlassWire может показать вам эти данные в режиме реального времени. Если вы обнаружите, что .exe ведет себя плохо, вы можете немедленно заблокировать его с помощью нашего брандмауэра или даже проверить его с помощью VirusTotal непосредственно из GlassWire.

Virus Total – это замечательный сервис для пользователей, которые хотят сканировать файл на наличие вредоносных программ перед его выполнением. Основное преимущество использования службы сканирования вредоносных программ заключается в том, что она сканирует выбранный файл или архив с помощью десятков антивирусных ядер. Это придает больший вес полученным результатам.

С другой стороны, популярность службы означает, что вам иногда приходится ждать в очереди, прежде чем ваш файл будет просканирован Virus Total. Другим ограничением является ограничение на размер файла в 20 мегабайт, что немного меньше. (обновление: недавно ограничение было увеличено до 128 мегабайт)

Metascan Online — это новый сервис, являющийся альтернативой Virus Total. Служба онлайн-сканирования на вирусы поддерживает 19 различных механизмов таких компаний, как Eset, Bitdefender, F-Secure, Clamwin, Symantec или McAfee. Хотя это меньше половины движков Virus Total, этого должно быть достаточно, чтобы судить о потенциальном повреждении файла.

Разработчики увеличили предельный размер файла до 40 мегабайт, чтобы даже стойкие пользователи Virus Total могли использовать новую поисковую систему (для файлов размером более 20 мегабайт). (обновление: самая последняя версия поддерживает 42 различных механизма защиты от вредоносных программ и файлы размером до 140 мегабайт)

Антивирусное сканирование работает так же, как и полное сканирование на вирусы. Просто нажмите кнопку «Обзор» в форме сканирования, чтобы отобразить окно просмотра файлов. Выберите файл в локальной системе, который вы хотите отсканировать, и затем нажмите кнопку «Сканировать».

Онлайн-сканер отображает общую информацию о файле вверху, включая размер файла, тип и хэши md5 и sha1. Результаты отображаются в виде графика справа после завершения всех сканирований.

С другой стороны, отдельные поисковые системы и их результаты отображаются непосредственно на странице. Одна интересная особенность заключается в том, что здесь также отображается время сканирования каждого отдельного двигателя. С другой стороны, некоторые времена сканирования на данный момент не кажутся правильными, например, 1 мс для Quick Heal Scan Engine или 2189 мс для Avira AntiVir Premium. Тем не менее, в теории это хорошая функция.

Поиск на сайте можно использовать для поиска контрольных сумм md5 или sha1, что может быть удобно, чтобы узнать больше о файле без его предварительного сканирования службой.

Однако есть один аспект сайта, который я хотел бы подвергнуть критике. Если вы посещаете сайт с помощью Chrome Dev или Firefox Aurora, вы получаете страницу, не поддерживаемую браузером. Однако на этой странице указана поддерживаемая версия браузера.

Разработчикам следует пересмотреть свой сценарий идентификации браузера и соответствующим образом оптимизировать его. (Обновление: это было исправлено).

Metascan Online — отличная альтернатива программам Virus Total или No Virus. Спасибо, несмотря на эту проблему. Это определенно сайт для закладок. Было бы неплохо, если бы разработчики добавили на сайт недостающие функции, такие как возможность сканирования онлайн-файла.

Обновление: Metascan Online теперь может сканировать IP-адреса или домены, чтобы отображать информацию о них в интерфейсе. Это работает аналогично опции сканирования URL-адресов Virustotal.

Исследователи обнаружили, что VirusTotal можно использовать для сбора большого количества учетных данных, не заражая организацию и не покупая их в Интернете.

Исследователи безопасности нашли способ собрать огромное количество украденных учетных данных пользователей, выполнив поиск в VirusTotal, онлайн-сервисе, используемом для анализа подозрительных файлов и URL-адресов.

Используя лицензию VirusTotal стоимостью 600 евро (около 679 долларов США) и несколько инструментов, исследовательская группа SafeBreach собрала более миллиона учетных данных, используя этот метод. Цель состояла в том, чтобы идентифицировать данные, которые мог бы собрать преступник с лицензией на VirusTotal, которая принадлежит Google и предоставляет бесплатный сервис, который можно использовать для загрузки и проверки подозрительных файлов и ссылок с помощью нескольких антивирусных ядер.

Лицензированный пользователь VirusTotal может запрашивать набор данных службы, используя, среди прочего, комбинацию запросов о типе файла, имени файла, отправленных данных, стране и содержимом файла.Команда SafeBreach создала идею «взлома VirusTotal» на основе метода «взлома Google», который преступники используют для поиска уязвимых веб-сайтов, устройств Интернета вещей, веб-оболочек и утечек конфиденциальных данных.

Многие похитители информации собирают учетные данные с различных форумов, почтовых учетных записей, браузеров и других источников и записывают их в файл с фиксированным жестко заданным именем, например "all_credentials.txt", а затем удаляют этот файл с устройства жертвы. на командно-контрольный сервер злоумышленников. Используя этот метод, исследователи взяли инструменты и API VirusTotal, такие как поиск, VirusTotal Graph и Retrohunt, и использовали их для поиска файлов, содержащих украденные данные.

"Это довольно простой метод, не требующий глубокого понимания вредоносного ПО, – говорит Томер Бар, директор по исследованиям в области безопасности в SafeBreach. "Все, что вам нужно, это выбрать один из самых распространенных похитителей информации и прочитать о нем в Интернете".

Исследователи провели исследование с использованием известных вредоносных программ, включая RedLine Stealer, Azorult, Raccoon Stealer и Hawkeye, а также известных форумов, таких как DrDark и Snatch_Cloud, для кражи конфиденциальных данных. Они обнаружили, что их метод работает в больших масштабах.

RedLine Stealer – это вредоносное ПО, которое продается на подпольных форумах в виде отдельной покупки или подписки. Он использует браузеры для сбора данных, таких как сохраненные учетные данные, данные автозаполнения и данные кредитной карты. При запуске на целевой машине вредоносная программа проводит инвентаризацию системы, которая включает такую информацию, как имя пользователя, данные о местоположении, конфигурация оборудования и сведения о программном обеспечении безопасности. RedLine Stealer может загружать и скачивать файлы и выполнять команды.

Для начала исследователи использовали VirusTotal Query для поиска двоичных файлов, идентифицированных по крайней мере одним антивирусным ядром как RedLine, что дало 800 результатов. Они также искали файлы с именем DomainDetects.txt, которое является одним из имен файлов, которые эксфильтрирует вредоносное ПО. Это вернуло сотни удаленных файлов.

Затем они обратились к VirusTotal Graph, который позволяет лицензированным пользователям VirusTotal визуально исследовать набор данных. Там исследователи обнаружили файл из результатов поиска, который также был включен в файл RAR, содержащий эксфильтрованные данные, принадлежащие 500 жертвам, включая 22 715 паролей к множеству различных веб-сайтов. Дополнительные результаты включали еще большие файлы, содержащие больше паролей. Исследователи отметили, что некоторые из них предназначались для URL-адресов, связанных с государственными органами.

Процесс использования каждым из этих инструментов исследователями подробно описан в описании их результатов.

«Идеальное» киберпреступление
Несмотря на то, что существует множество похитителей информации на выбор, исследователи выбрали пять наиболее часто используемых из них из-за более высоких шансов найти эксфильтрованные ими файлы в наборе данных VirusTotal.

Команда SafeBreach изучала и улучшала свои запросы в ходе исследования VirusTotal, — говорит Бар. Например, они обнаружили, что некоторые злоумышленники сжимают данные жертв в большой архивный файл. VirusTotal предоставляет способ поиска архивных файлов, содержащих фиксированные жестко закодированные имена файлов, поэтому, когда они находили один файл, они также обнаруживали украденные данные, принадлежащие сотням жертв, объясняет он.

«Преступник, использующий этот метод, может собрать практически неограниченное количество учетных данных и других конфиденциальных данных пользователя с минимальными усилиями за короткий период времени, используя безопасный подход», — написали исследователи в своем блоге. «Мы назвали это совершенным киберпреступлением не только из-за отсутствия риска и минимальных усилий, но и из-за неспособности жертв защитить себя от такого рода деятельности».

Исследователи обратились к Google со своими выводами и запросили файлы с личными данными у VirusTotal. Они также рекомендовали периодически искать и удалять файлы с конфиденциальными данными пользователя и блокировать ключи API, которые загружают эти файлы.

SafeBreach также посоветовал Google добавить алгоритм, который запрещает загрузку файлов с конфиденциальными данными, содержащими открытый текст, или зашифрованных файлов с прикрепленным паролем для расшифровки, в виде текста или изображения.

Будьте в курсе последних угроз кибербезопасности, недавно обнаруженных уязвимостей, информации об утечках данных и новых тенденциях. Доставляется ежедневно или еженедельно прямо в ваш почтовый ящик.

Читайте также: