• Чтобы скачивать файлы, нужно купить доступ к разделу "Компьютеры" .
Купить ссылку здесь

Ваша ссылка

VirusTotal

Kikim

И где теперь ваш ассемблер?
Модератор
Сообщения
370
Репутация
160
Баллы
71
295
Kompyuternyj-virus.jpg


VirusTotal — бесплатная служба, осуществляющая анализ подозрительных файлов и ссылок на предмет выявления вирусов, червей, троянов и всевозможных вредоносных программ. Результаты проверок файлов сервисом не зависят от какого-то одного производителя антивирусов. В VirusTotal используется несколько десятков антивирусных систем, что позволят делать более надёжные выводы об опасности файла.

Всем понятно, что большинство создателей вирусов заинтересованы в том, чтобы их вирус как можно дольше «жили» у пользователей. Чем больше времени малварь находится на компьютере, тем больше денег потенциально можно заработать. Основная угроза для них — антивирусы. В подавляющем большинстве случаев для защиты зло вреда от сигнатурного/эвристического детекта антивирусом вирусописатели применяют крипторы. Рынок крипторов достаточно обширен, на нём много предложений, поскольку крипторы пользуются спросом.

После того как файл «накрыли» криптором, вирусописатели проверяют его антивирусами (иначе можно выпустить то, что уже будет детектиться). Все знают, что есть сервисы, которые позволяют сканить файлы сразу кучей АВ-движков. Например, VirusTotal или Jotti Virscan.

VirusTotal
fa20777077828b29fe869.png


Jotti Virscan
68d5363ec64f9269dde26.png

Всё удобно — много движков, незначительные «тормоза» и т.д. Но для тех, кто собирается выпустить в свет очередную версию, например, блокера, у этих сервисов есть небольшой минус: эти компании в некоторых случаях отправляют сканируемые файлы в АВ-конторы.

f8a8b7eab0f0804d409be.png

С Jotti Virscan: Присланные нам файлы могут быть пересланы в антивирусные компании для того, чтобы они могли улучшить уровень детектирования своих продуктов. Подробнее об этом читайте в политике конфиденциальности. Если вы не хотите, чтобы ваши файлы передавались третьим лицам, не отправляйте их вовсе

Из FAQ VirusTotal: «Взамен предоставления вашего антивирусного ядра вы будете получать все файлы, присланные на VirusTotal, которые не детектируются вашим продуктом, но детектируются хотя бы одним другим вендором + соответствующий отчет»

Логично предположить, что малварописателей это не должно радовать, так как их файлы будут посылаться в АВ-компании на анализ, и, соответственно, это уменьшит время, которое сампл остается незамеченным. Поэтому-то они и пользуются услугами компаний, предоставляющих сервис, аналогичный VirusTotal, но при этом обеспечивающий анонимность. (так, по крайней мере, написано на сайтах со сканерами, но мы-то точно знать не может)

Есть, например, вот такой сервис:

57c2be60992c105a38ca9.png

На одном из форумов я нашел список того, что еще может эта контора:

«Доступны:

— проверка по расписанию с оповещением по почте \ жабберу

— авторегистрация и автопополнение счета через Webmoney

На нашем АВ-чекере стоят актуальные версии антивирусов и последние их обновления». Достаточно удобно получать на почту или в другое место нотификацию о том, что какой-то вендор задетектил очередной билд. Две другие конторы, предоставляющие услуги анонимного сканирования файлов.



1a829db6c4b184590713a.png

a2209bdd234534ad08d85.png

Конечно, их намного больше, но стоит отметить, что все эти сервисы очень оперативно удовлетворяют потребности своих клиентов. Также, присутствует саппорт, API для работы с сервисом, GUI-клиент и др. Это говорит о том, что на рынке существует конкуренция, и все борются за клиента.

Однако у всех подобных сервисов существует значительный минус — они сканируют лишь отдельный файл, либо отдельный домен. Это не совсем соответствует наиболее популярным схемам заражения компьютера. У всех современных антивирусов присутствует многоуровневая защита. Так, зачастую до проверки самого файла может и не дойти. В случае схемы drive-by атаки антивирус может заблокировать один из доменов, через которые осуществляется редирект, злой iframe или скрипт, либо сам эксплойт. А если малваря попала на компьютер пользователя и запустилась, то здесь уже работает песочница или проактивная защита, которая на этапе исполнения анализирует поведение программы. В тех сервисах, что я видел, нигде не было информации о проверке на детектируемость проактивной защитой — оно и понятно — это сложно реализовать. Не стоит забывать и об облаке, которое может заблокировать файл по его репутации. Так что, несмотря на все старания злоумышленников, многие реальные ситуации не проигрываются, что делает проверку одиночного объекта сигнатурным/эвристическим сканнером просто неадекватно

Всем спасибо, всем удачи!
 
Сверху Снизу