PDA

Просмотр полной версии : Новое правило - ссылка на вирус тотал обязательна. Также не забываем про сендбоксы



Prometheus
03.10.2015, 16:26
При выкладывании любого потенциально опасного файла на сайте необходимо прилагать ссылку на

http://www.virustotal.com/
(обязательна ссылка именно на virustotal.com, ссылки на другие аналогичные сервисы по желанию и только как дополнение к ссылке на ВТ. Если ВТ не работает конкретно у вас - необходимо исправить это, если сервис не работает ни у кого - необходимо ждать восстановления работы сервиса)

Либо можно использовать файлообменники с автоматической проверкой файлов в вирустотале, например:
http://freefh.ru/


Запрещено выкладывать вирустотал на архив (файл rar, zip и т.д.). Под потенциально опасными понимаются все запускные/инжектируемые (внедряемые в память) файлы, т.е. которые исполняют какой-либо программный код. Т.е. вирустотал обязателен на файлы *.exe, *.bat, *.dll и все остальные подобные.

Если запускных/инжектируемых файлов несколько - на каждый файл отдельный вирустотал.

После каждой ссылки на вирустотал необходимо скопировать со страницы отчета 4 строчки с именем файла, датой анализа, статусом, результатом.

Пример ПРАВИЛЬНО оформленного поста с файлом:

************************************************** ****************************http://rghost.ru/32542021 // ссылка на архив, в котором есть 2 файла, требующих ВТ: dll и exe
http://www.virustotal.com/file-scan/...006-1322582113 (http://www.virustotal.com/file-scan/report.html?id=0d006b879e35171e819e59b84636f05b2a2 155271ccdb0dcdc2eb85b332b0006-1322582113) - ссылка на ВТ для первого файлаFile name:
keycf 1.7.exe
Submission date:
2011-11-29 15:55:13 (UTC)
Current status:
finished
Result:
10 /43 (23.3%)http://www.virustotal.com/file-scan/...ce1-1322582125 (http://www.virustotal.com/file-scan/report.html?id=f6ff0efea6cf6bd8d90c9b65c207b51254b fcb635b349649f8a9cb9d3559bce1-1322582125) // ссылка на ВТ для второго файлаFile name:
keycf.dll
Submission date:
2011-11-29 15:55:25 (UTC)
Current status:
finished
Result:
3 /43 (7.0%)

************************************************** *****************************

Если ссылка дана на архив, если ссылка дана на другой файл, если при переходе по ссылке не открывается отчет, а открывается главная вирустотала, если вирустотала нет вообще, но есть другие альтернативные ссылки - все это полная блокировка аккаунта за распространение вирусов.

Проверяйте, одинаковы ли md5 у файла и у ссылки с вирустотала (на странице вирустотала можно посмотреть md5 проверенного файла, его надо сравнить с md5 скачанного вами файла. Посмотреть md5 можно, например, установив специальное расширение для Windows, позволяющее смотреть чек-суммы файлов)

Если файл под хайдом, то и ссылка на вирус тотал должна быть под таким же хайдом (иначе могут спарсить файл узнав его название, md5 и т.д.).

Вирустотал не обнаружит хорошо закриптованный вирус (в этом случае можно повторно залить тот же файл через неделю - если опять нули будут, скорее всего файл ок, если и через месяц норм - значит нормальный скорее всего). Поэтому также не забываем про сэндбоксы, т.е. смотрим ЧТО ФАЙЛ ДЕЛАЕТ ПРИ ЗАПУСКЕ (тоже не 100 процентная панацея):

http://anubis.iseclab.org/index.php

http://camas.comodo.com/
(http://camas.comodo.com/)
http://research.sunbelt-software.com/submit.aspx

http://www.threatexpert.com/submit.aspx

http://www.norman.com/security_center/secu.../submit_file/en
(http://www.norman.com/security_center/security_tools/submit_file/en)