Не рекомендуется качать файлы от новичков, не рекомендуется качать файлы людей с отрицательной репутацией, от заблокированных пользователей. Прочитайте комментарии других людей, посмотрите комментарии к репутации человека, сверьте правильна ли ссылка на вирустотал - что именно на тот файл (сверьте md5), что не на архив и т.д. и т.п. Обязательно иметь обновляемый антивирус с файрволом. Если тема закрыта и/или у темы красный/оранжевый префикс - файлы оттуда не качать.
1. Проверить файл с помощью онлайн-проверок антивирусом, допустим http://www.virustotal.com/
2.
Пример:
В этой теме некий Arhuys выложил "MyAC 1.5.9 DLL Hack, Обход всех версий MyAC". Качаем файл, разархивируем, внутри архив "Hack by zer0.exe". Проверяем на вирусы сервисомhttp://www.virustotal.com/:
Отчет: http://www.virustotal.com/ru/analisis/6309...2161-1260547110
Видим, что 10 срабатываний, уже настораживает. Также обратите внимание, что там есть ссылка на более позний анализ того же файла и там уже 23 срабатывания, это уже четко говорит, что файл - вирус. При этом имейте ввиду, что если вирус закриптован хорошим криптером - срабатываний на вирустотале будет 1-2 или вообще 0. Поэтому 0/40 на вирустотале еще не говорит о том, что файл безопасен.
Дальше смотрим что программа делает используя онлайн сервис "Sandbox" http://camas.comodo.com/ (Sandboxie позволяет запускать браузер или другую программу так, что любые изменения, связанные с использованием этой программы, сохранялись в ограниченной среде (т.н "песочнице"), которую позже можно будет целиком удалить):
Отчет: http://camas.comodo.com/cgi-bin/submit?fil...f199db704f22161• File Info
• Keys Created• Keys Changed• Keys Deleted• Values Created• Values Changed• Values Deleted• Directories Created• Directories Changed• Directories Deleted• Files Created
• Files Changed• Files Deleted• Directories Hidden• Files Hidden• Drivers Loaded• Drivers Unloaded• Processes Created• Processes Terminated• Threads Created
• Modules Loaded• Windows Api Calls• DNS Queries• HTTP Queries• Verdict
• Events Created or Opened
Видим что программа:
Полезные ссылки:
http://www.virustotal.com/
http://virusscan.jotti.org/ru
http://www.threatexpert.com/
http://www.joebox.org/
сэндбоксы:
http://anubis.iseclab.org/index.php
http://research.sunbelt-software.com/submit.aspx
http://www.threatexpert.com/submit.aspx
http://camas.comodo.com/
http://www.norman.com/security_center/secu.../submit_file/en
1. Проверить файл с помощью онлайн-проверок антивирусом, допустим http://www.virustotal.com/
2.
Пример:
В этой теме некий Arhuys выложил "MyAC 1.5.9 DLL Hack, Обход всех версий MyAC". Качаем файл, разархивируем, внутри архив "Hack by zer0.exe". Проверяем на вирусы сервисомhttp://www.virustotal.com/:
Отчет: http://www.virustotal.com/ru/analisis/6309...2161-1260547110
| a-squared | 4.5.0.43 | 2009.12.11 | - |
| AhnLab-V3 | 5.0.0.2 | 2009.12.11 | - |
| AntiVir | 7.9.1.108 | 2009.12.11 | PCK/Obsidium |
| Antiy-AVL | 2.0.3.7 | 2009.12.11 | - |
| Authentium | 5.2.0.5 | 2009.12.02 | W32/Heuristic-210!Eldorado |
| Avast | 4.8.1351.0 | 2009.12.11 | - |
| AVG | 8.5.0.427 | 2009.12.11 | - |
| BitDefender | 7.2 | 2009.12.11 | - |
| CAT-QuickHeal | 10.00 | 2009.12.11 | (Suspicious) - DNAScan |
| ClamAV | 0.94.1 | 2009.12.11 | - |
| Comodo | 3206 | 2009.12.11 | Heur.Pck.Obsidium |
| DrWeb | 5.0.0.12182 | 2009.12.11 | - |
| eSafe | 7.0.17.0 | 2009.12.10 | Suspicious File |
| eTrust-Vet | 35.1.7170 | 2009.12.11 | - |
| F-Prot | 4.5.1.85 | 2009.12.10 | W32/Heuristic-210!Eldorado |
| F-Secure | 9.0.15370.0 | 2009.12.11 | - |
| Fortinet | 4.0.14.0 | 2009.12.11 | - |
| GData | 19 | 2009.12.11 | - |
| Ikarus | T3.1.1.74.0 | 2009.12.11 | - |
| Jiangmin | 13.0.900 | 2009.12.11 | - |
| K7AntiVirus | 7.10.918 | 2009.12.11 | - |
| Kaspersky | 7.0.0.125 | 2009.12.11 | - |
| McAfee | 5828 | 2009.12.10 | Packed-01!E309BD61BA92 |
| McAfee+Artemis | 5828 | 2009.12.10 | Packed-01!E309BD61BA92 |
| McAfee-GW-Edition | 6.8.5 | 2009.12.11 | Packer.Obsidium |
| Microsoft | 1.5302 | 2009.12.10 | - |
| NOD32 | 4679 | 2009.12.11 | - |
| Norman | 6.04.03 | 2009.12.11 | - |
| nProtect | 2009.1.8.0 | 2009.12.11 | - |
| Panda | 10.0.2.2 | 2009.12.11 | - |
| PCTools | 7.0.3.5 | 2009.12.11 | - |
| Prevx | 3.0 | 2009.12.11 | - |
| Rising | 22.25.04.07 | 2009.12.11 | - |
| Sophos | 4.48.0 | 2009.12.11 | Sus/ComPack-C |
| Sunbelt | 3.2.1858.2 | 2009.12.11 | - |
| Symantec | 1.4.4.12 | 2009.12.11 | - |
| TheHacker | 6.5.0.2.090 | 2009.12.10 | - |
| TrendMicro | 9.100.0.1001 | 2009.12.11 | - |
| VBA32 | 3.12.12.0 | 2009.12.10 | - |
| ViRobot | 2009.12.11.2083 | 2009.12.11 | - |
| VirusBuster | 5.0.21.0 | 2009.12.10 | - |
| MD5 : e309bd61ba9268cfc8ecfabbaff138a4 |
| SHA1 : 799caabe9ba4a9e31859becda3764c9be8733056 |
| SHA256: 630931107ae584a051e65672803d8a64734aa992577e9a960f199db704f22161 |
Видим, что 10 срабатываний, уже настораживает. Также обратите внимание, что там есть ссылка на более позний анализ того же файла и там уже 23 срабатывания, это уже четко говорит, что файл - вирус. При этом имейте ввиду, что если вирус закриптован хорошим криптером - срабатываний на вирустотале будет 1-2 или вообще 0. Поэтому 0/40 на вирустотале еще не говорит о том, что файл безопасен.
Дальше смотрим что программа делает используя онлайн сервис "Sandbox" http://camas.comodo.com/ (Sandboxie позволяет запускать браузер или другую программу так, что любые изменения, связанные с использованием этой программы, сохранялись в ограниченной среде (т.н "песочнице"), которую позже можно будет целиком удалить):
Отчет: http://camas.comodo.com/cgi-bin/submit?fil...f199db704f22161• File Info
| Size | 394752 |
| MD5 | e309bd61ba9268cfc8ecfabbaff138a4 |
| SHA1 | 799caabe9ba4a9e31859becda3764c9be8733056 |
| SHA256 | 630931107ae584a051e65672803d8a64734aa992577e9a960f199db704f22161 |
| Process | Active |
• Keys Created• Keys Changed• Keys Deleted• Values Created• Values Changed• Values Deleted• Directories Created• Directories Changed• Directories Deleted• Files Created
| C:\Documents and Settings\User\Start Menu\Programs\Startup\svhost.exe | 394752 | 2009.01.12 15:12:42.000 | 2009.01.12 15:12:49.468 | 2009.01.12 15:12:49.468 | 0x20 |
• Files Changed• Files Deleted• Directories Hidden• Files Hidden• Drivers Loaded• Drivers Unloaded• Processes Created• Processes Terminated• Threads Created
| 0x348 | svchost.exe | 0xf8 | 0x7c810856 | MEM_IMAGE | 0x7c910760 | MEM_IMAGE |
• Modules Loaded• Windows Api Calls• DNS Queries• HTTP Queries• Verdict
| Undetected |
• Events Created or Opened
| 0x4b8 | C:\Documents and Settings\User\Start Menu\Programs\Startup\svhost.exe | 0x77de5f48 | Global\SvcctrlStartEvent_A3752DX |
| 0x4b8 | C:\Documents and Settings\User\Start Menu\Programs\Startup\svhost.exe | 0x8ee58d | 猿も木から落ちる |
| 0x684 | C:\TEST\sample.exe | 0x77de5f48 | Global\SvcctrlStartEvent_A3752DX |
| 0x684 | C:\TEST\sample.exe | 0x8ee571 | 猿も木から落ちる |
Видим что программа:
Полезные ссылки:
http://www.virustotal.com/
http://virusscan.jotti.org/ru
http://www.threatexpert.com/
http://www.joebox.org/
сэндбоксы:
http://anubis.iseclab.org/index.php
http://research.sunbelt-software.com/submit.aspx
http://www.threatexpert.com/submit.aspx
http://camas.comodo.com/
http://www.norman.com/security_center/secu.../submit_file/en