Как определять файл вирус или нет

Screwy

Screwy

Пользователь
Регистрация
9 Фев 2014
Сообщения
3,914
Реакции
29
Репутация:
- 1 +
Не рекомендуется качать файлы от новичков, не рекомендуется качать файлы людей с отрицательной репутацией, от заблокированных пользователей. Прочитайте комментарии других людей, посмотрите комментарии к репутации человека, сверьте правильна ли ссылка на вирустотал - что именно на тот файл (сверьте md5), что не на архив и т.д. и т.п. Обязательно иметь обновляемый антивирус с файрволом. Если тема закрыта и/или у темы красный/оранжевый префикс - файлы оттуда не качать.

1. Проверить файл с помощью онлайн-проверок антивирусом, допустим http://www.virustotal.com/

2.
Virustotal это не показатель безопасности, нужно смотреть что программа делает, то есть sandboxing

вот ещё с такой прогой можно запускать на своём компе, если нет виртуалки

Пример:
В этой теме некий Arhuys выложил "MyAC 1.5.9 DLL Hack, Обход всех версий MyAC". Качаем файл, разархивируем, внутри архив "Hack by zer0.exe". Проверяем на вирусы сервисомhttp://www.virustotal.com/:


Отчет: http://www.virustotal.com/ru/analisis/6309...2161-1260547110

a-squared4.5.0.432009.12.11-
AhnLab-V35.0.0.22009.12.11-
AntiVir7.9.1.1082009.12.11PCK/Obsidium
Antiy-AVL2.0.3.72009.12.11-
Authentium5.2.0.52009.12.02W32/Heuristic-210!Eldorado
Avast4.8.1351.02009.12.11-
AVG8.5.0.4272009.12.11-
BitDefender7.22009.12.11-
CAT-QuickHeal10.002009.12.11(Suspicious) - DNAScan
ClamAV0.94.12009.12.11-
Comodo32062009.12.11Heur.Pck.Obsidium
DrWeb5.0.0.121822009.12.11-
eSafe7.0.17.02009.12.10Suspicious File
eTrust-Vet35.1.71702009.12.11-
F-Prot4.5.1.852009.12.10W32/Heuristic-210!Eldorado
F-Secure9.0.15370.02009.12.11-
Fortinet4.0.14.02009.12.11-
GData192009.12.11-
IkarusT3.1.1.74.02009.12.11-
Jiangmin13.0.9002009.12.11-
K7AntiVirus7.10.9182009.12.11-
Kaspersky7.0.0.1252009.12.11-
McAfee58282009.12.10Packed-01!E309BD61BA92
McAfee+Artemis58282009.12.10Packed-01!E309BD61BA92
McAfee-GW-Edition6.8.52009.12.11Packer.Obsidium
Microsoft1.53022009.12.10-
NOD3246792009.12.11-
Norman6.04.032009.12.11-
nProtect2009.1.8.02009.12.11-
Panda10.0.2.22009.12.11-
PCTools7.0.3.52009.12.11-
Prevx3.02009.12.11-
Rising22.25.04.072009.12.11-
Sophos4.48.02009.12.11Sus/ComPack-C
Sunbelt3.2.1858.22009.12.11-
Symantec1.4.4.122009.12.11-
TheHacker6.5.0.2.0902009.12.10-
TrendMicro9.100.0.10012009.12.11-
VBA323.12.12.02009.12.10-
ViRobot2009.12.11.20832009.12.11-
VirusBuster5.0.21.02009.12.10-


MD5 : e309bd61ba9268cfc8ecfabbaff138a4
SHA1 : 799caabe9ba4a9e31859becda3764c9be8733056
SHA256: 630931107ae584a051e65672803d8a64734aa992577e9a960f199db704f22161



Видим, что 10 срабатываний, уже настораживает. Также обратите внимание, что там есть ссылка на более позний анализ того же файла и там уже 23 срабатывания, это уже четко говорит, что файл - вирус. При этом имейте ввиду, что если вирус закриптован хорошим криптером - срабатываний на вирустотале будет 1-2 или вообще 0. Поэтому 0/40 на вирустотале еще не говорит о том, что файл безопасен.

Дальше смотрим что программа делает используя онлайн сервис "Sandbox" http://camas.comodo.com/ (Sandboxie позволяет запускать браузер или другую программу так, что любые изменения, связанные с использованием этой программы, сохранялись в ограниченной среде (т.н "песочнице"), которую позже можно будет целиком удалить):






Отчет: http://camas.comodo.com/cgi-bin/submit?fil...f199db704f22161• File Info
Size394752
MD5e309bd61ba9268cfc8ecfabbaff138a4
SHA1799caabe9ba4a9e31859becda3764c9be8733056
SHA256630931107ae584a051e65672803d8a64734aa992577e9a960f199db704f22161
ProcessActive




• Keys Created• Keys Changed• Keys Deleted• Values Created• Values Changed• Values Deleted• Directories Created• Directories Changed• Directories Deleted• Files Created
C:\Documents and Settings\User\Start Menu\Programs\Startup\svhost.exe3947522009.01.12 15:12:42.0002009.01.12 15:12:49.4682009.01.12 15:12:49.4680x20



• Files Changed• Files Deleted• Directories Hidden• Files Hidden• Drivers Loaded• Drivers Unloaded• Processes Created• Processes Terminated• Threads Created
0x348svchost.exe0xf80x7c810856MEM_IMAGE0x7c910760MEM_IMAGE



• Modules Loaded• Windows Api Calls• DNS Queries• HTTP Queries• Verdict
Undetected



• Events Created or Opened

0x4b8C:\Documents and Settings\User\Start Menu\Programs\Startup\svhost.exe0x77de5f48Global\SvcctrlStartEvent_A3752DX
0x4b8C:\Documents and Settings\User\Start Menu\Programs\Startup\svhost.exe0x8ee58d猿も木から落ちる
0x684C:\TEST\sample.exe0x77de5f48Global\SvcctrlStartEvent_A3752DX
0x684C:\TEST\sample.exe0x8ee571猿も木から落ちる



Видим что программа:

Прописывается в автозагрузку, антиотладочные приёмы, лезет в память explorer.exe, имя сходное с системным процессом... конечно же это вирусня



Полезные ссылки:

http://www.virustotal.com/
http://virusscan.jotti.org/ru

http://www.threatexpert.com/
http://www.joebox.org/


сэндбоксы:

http://anubis.iseclab.org/index.php

http://research.sunbelt-software.com/submit.aspx

http://www.threatexpert.com/submit.aspx

http://camas.comodo.com/

http://www.norman.com/security_center/secu.../submit_file/en
 
Сверху