Prometheus
03.10.2015, 16:26
Не рекомендуется качать файлы от новичков, не рекомендуется качать файлы людей с отрицательной репутацией, от заблокированных пользователей. Прочитайте комментарии других людей, посмотрите комментарии к репутации человека, сверьте правильна ли ссылка на вирустотал - что именно на тот файл (сверьте md5), что не на архив и т.д. и т.п. Обязательно иметь обновляемый антивирус с файрволом. Если тема закрыта и/или у темы красный/оранжевый префикс - файлы оттуда не качать.
1. Проверить файл с помощью онлайн-проверок антивирусом, допустим http://www.virustotal.com/
2.
Virustotal это не показатель безопасности, нужно смотреть что программа делает, то есть sandboxing (http://www.wilderssecurity.com/showthread.php?t=242693)
вот ещё с такой прогой (http://www.sandboxie.com/index.php?DownloadSandboxie) можно запускать на своём компе, если нет виртуалки
Пример:
В этой теме (http://fpteam-cheats.com/board/index.php?showtopic=2516) некий Arhuys (http://fpteam-cheats.com/board/index.php?showuser=11192) выложил "MyAC 1.5.9 DLL Hack, Обход всех версий MyAC". Качаем файл, разархивируем, внутри архив "Hack by zer0.exe". Проверяем на вирусы сервисомhttp://www.virustotal.com/:
Отчет: http://www.virustotal.com/ru/analisis/6309...2161-1260547110 (http://www.virustotal.com/ru/analisis/630931107ae584a051e65672803d8a64734aa992577e9a960f 199db704f22161-1260547110)
a-squared
4.5.0.43
2009.12.11
-
AhnLab-V3
5.0.0.2
2009.12.11
-
AntiVir
7.9.1.108
2009.12.11
PCK/Obsidium
Antiy-AVL
2.0.3.7
2009.12.11
-
Authentium
5.2.0.5
2009.12.02
W32/Heuristic-210!Eldorado
Avast
4.8.1351.0
2009.12.11
-
AVG
8.5.0.427
2009.12.11
-
BitDefender
7.2
2009.12.11
-
CAT-QuickHeal
10.00
2009.12.11
(Suspicious) - DNAScan
ClamAV
0.94.1
2009.12.11
-
Comodo
3206
2009.12.11
Heur.Pck.Obsidium
DrWeb
5.0.0.12182
2009.12.11
-
eSafe
7.0.17.0
2009.12.10
Suspicious File
eTrust-Vet
35.1.7170
2009.12.11
-
F-Prot
4.5.1.85
2009.12.10
W32/Heuristic-210!Eldorado
F-Secure
9.0.15370.0
2009.12.11
-
Fortinet
4.0.14.0
2009.12.11
-
GData
19
2009.12.11
-
Ikarus
T3.1.1.74.0
2009.12.11
-
Jiangmin
13.0.900
2009.12.11
-
K7AntiVirus
7.10.918
2009.12.11
-
Kaspersky
7.0.0.125
2009.12.11
-
McAfee
5828
2009.12.10
Packed-01!E309BD61BA92
McAfee+Artemis
5828
2009.12.10
Packed-01!E309BD61BA92
McAfee-GW-Edition
6.8.5
2009.12.11
Packer.Obsidium
Microsoft
1.5302
2009.12.10
-
NOD32
4679
2009.12.11
-
Norman
6.04.03
2009.12.11
-
nProtect
2009.1.8.0
2009.12.11
-
Panda
10.0.2.2
2009.12.11
-
PCTools
7.0.3.5
2009.12.11
-
Prevx
3.0
2009.12.11
-
Rising
22.25.04.07
2009.12.11
-
Sophos
4.48.0
2009.12.11
Sus/ComPack-C
Sunbelt
3.2.1858.2
2009.12.11
-
Symantec
1.4.4.12
2009.12.11
-
TheHacker
6.5.0.2.090
2009.12.10
-
TrendMicro
9.100.0.1001
2009.12.11
-
VBA32
3.12.12.0
2009.12.10
-
ViRobot
2009.12.11.2083
2009.12.11
-
VirusBuster
5.0.21.0
2009.12.10
-
MD5 : e309bd61ba9268cfc8ecfabbaff138a4
SHA1 : 799caabe9ba4a9e31859becda3764c9be8733056
SHA256: 630931107ae584a051e65672803d8a64734aa992577e9a960f 199db704f22161
Видим, что 10 срабатываний, уже настораживает. Также обратите внимание, что там есть ссылка на более позний анализ того же файла и там уже 23 срабатывания, это уже четко говорит, что файл - вирус. При этом имейте ввиду, что если вирус закриптован хорошим криптером - срабатываний на вирустотале будет 1-2 или вообще 0. Поэтому 0/40 на вирустотале еще не говорит о том, что файл безопасен.
Дальше смотрим что программа делает используя онлайн сервис "Sandbox" http://camas.comodo.com/ (Sandboxie позволяет запускать браузер или другую программу так, что любые изменения, связанные с использованием этой программы, сохранялись в ограниченной среде (т.н "песочнице"), которую позже можно будет целиком удалить):
Отчет: http://camas.comodo.com/cgi-bin/submit?fil...f199db704f22161 (http://camas.comodo.com/cgi-bin/submit?file=630931107ae584a051e65672803d8a64734aa9 92577e9a960f199db704f22161)• File Info
Size
394752
MD5
e309bd61ba9268cfc8ecfabbaff138a4
SHA1
799caabe9ba4a9e31859becda3764c9be8733056
SHA256
630931107ae584a051e65672803d8a64734aa992577e9a960f 199db704f22161
Process
Active
• Keys Created• Keys Changed• Keys Deleted• Values Created• Values Changed• Values Deleted• Directories Created• Directories Changed• Directories Deleted• Files Created
C:\Documents and Settings\User\Start Menu\Programs\Startup\svhost.exe
394752
2009.01.12 15:12:42.000
2009.01.12 15:12:49.468
2009.01.12 15:12:49.468
0x20
• Files Changed• Files Deleted• Directories Hidden• Files Hidden• Drivers Loaded• Drivers Unloaded• Processes Created• Processes Terminated• Threads Created
0x348
svchost.exe
0xf8
0x7c810856
MEM_IMAGE
0x7c910760
MEM_IMAGE
• Modules Loaded• Windows Api Calls• DNS Queries• HTTP Queries• Verdict
Undetected
• Events Created or Opened
0x4b8
C:\Documents and Settings\User\Start Menu\Programs\Startup\svhost.exe
0x77de5f48
Global\SvcctrlStartEvent_A3752DX
0x4b8
C:\Documents and Settings\User\Start Menu\Programs\Startup\svhost.exe
0x8ee58d
猿も木から落ちг� ��‹
0x684
C:\TEST\sample.exe
0x77de5f48
Global\SvcctrlStartEvent_A3752DX
0x684
C:\TEST\sample.exe
0x8ee571
猿も木から落ちг� ��‹
Видим что программа:
Прописывается в автозагрузку, антиотладочные приёмы, лезет в память explorer.exe, имя сходное с системным процессом... конечно же это вирусня
Полезные ссылки:
http://www.virustotal.com/
http://virusscan.jotti.org/ru
http://www.threatexpert.com/
http://www.joebox.org/
сэндбоксы:
(http://camas.comodo.com/)http://anubis.iseclab.org/index.php
http://research.sunbelt-software.com/submit.aspx
http://www.threatexpert.com/submit.aspx
http://camas.comodo.com/
http://www.norman.com/security_center/secu.../submit_file/en (http://www.norman.com/security_center/security_tools/submit_file/en)
1. Проверить файл с помощью онлайн-проверок антивирусом, допустим http://www.virustotal.com/
2.
Virustotal это не показатель безопасности, нужно смотреть что программа делает, то есть sandboxing (http://www.wilderssecurity.com/showthread.php?t=242693)
вот ещё с такой прогой (http://www.sandboxie.com/index.php?DownloadSandboxie) можно запускать на своём компе, если нет виртуалки
Пример:
В этой теме (http://fpteam-cheats.com/board/index.php?showtopic=2516) некий Arhuys (http://fpteam-cheats.com/board/index.php?showuser=11192) выложил "MyAC 1.5.9 DLL Hack, Обход всех версий MyAC". Качаем файл, разархивируем, внутри архив "Hack by zer0.exe". Проверяем на вирусы сервисомhttp://www.virustotal.com/:
Отчет: http://www.virustotal.com/ru/analisis/6309...2161-1260547110 (http://www.virustotal.com/ru/analisis/630931107ae584a051e65672803d8a64734aa992577e9a960f 199db704f22161-1260547110)
a-squared
4.5.0.43
2009.12.11
-
AhnLab-V3
5.0.0.2
2009.12.11
-
AntiVir
7.9.1.108
2009.12.11
PCK/Obsidium
Antiy-AVL
2.0.3.7
2009.12.11
-
Authentium
5.2.0.5
2009.12.02
W32/Heuristic-210!Eldorado
Avast
4.8.1351.0
2009.12.11
-
AVG
8.5.0.427
2009.12.11
-
BitDefender
7.2
2009.12.11
-
CAT-QuickHeal
10.00
2009.12.11
(Suspicious) - DNAScan
ClamAV
0.94.1
2009.12.11
-
Comodo
3206
2009.12.11
Heur.Pck.Obsidium
DrWeb
5.0.0.12182
2009.12.11
-
eSafe
7.0.17.0
2009.12.10
Suspicious File
eTrust-Vet
35.1.7170
2009.12.11
-
F-Prot
4.5.1.85
2009.12.10
W32/Heuristic-210!Eldorado
F-Secure
9.0.15370.0
2009.12.11
-
Fortinet
4.0.14.0
2009.12.11
-
GData
19
2009.12.11
-
Ikarus
T3.1.1.74.0
2009.12.11
-
Jiangmin
13.0.900
2009.12.11
-
K7AntiVirus
7.10.918
2009.12.11
-
Kaspersky
7.0.0.125
2009.12.11
-
McAfee
5828
2009.12.10
Packed-01!E309BD61BA92
McAfee+Artemis
5828
2009.12.10
Packed-01!E309BD61BA92
McAfee-GW-Edition
6.8.5
2009.12.11
Packer.Obsidium
Microsoft
1.5302
2009.12.10
-
NOD32
4679
2009.12.11
-
Norman
6.04.03
2009.12.11
-
nProtect
2009.1.8.0
2009.12.11
-
Panda
10.0.2.2
2009.12.11
-
PCTools
7.0.3.5
2009.12.11
-
Prevx
3.0
2009.12.11
-
Rising
22.25.04.07
2009.12.11
-
Sophos
4.48.0
2009.12.11
Sus/ComPack-C
Sunbelt
3.2.1858.2
2009.12.11
-
Symantec
1.4.4.12
2009.12.11
-
TheHacker
6.5.0.2.090
2009.12.10
-
TrendMicro
9.100.0.1001
2009.12.11
-
VBA32
3.12.12.0
2009.12.10
-
ViRobot
2009.12.11.2083
2009.12.11
-
VirusBuster
5.0.21.0
2009.12.10
-
MD5 : e309bd61ba9268cfc8ecfabbaff138a4
SHA1 : 799caabe9ba4a9e31859becda3764c9be8733056
SHA256: 630931107ae584a051e65672803d8a64734aa992577e9a960f 199db704f22161
Видим, что 10 срабатываний, уже настораживает. Также обратите внимание, что там есть ссылка на более позний анализ того же файла и там уже 23 срабатывания, это уже четко говорит, что файл - вирус. При этом имейте ввиду, что если вирус закриптован хорошим криптером - срабатываний на вирустотале будет 1-2 или вообще 0. Поэтому 0/40 на вирустотале еще не говорит о том, что файл безопасен.
Дальше смотрим что программа делает используя онлайн сервис "Sandbox" http://camas.comodo.com/ (Sandboxie позволяет запускать браузер или другую программу так, что любые изменения, связанные с использованием этой программы, сохранялись в ограниченной среде (т.н "песочнице"), которую позже можно будет целиком удалить):
Отчет: http://camas.comodo.com/cgi-bin/submit?fil...f199db704f22161 (http://camas.comodo.com/cgi-bin/submit?file=630931107ae584a051e65672803d8a64734aa9 92577e9a960f199db704f22161)• File Info
Size
394752
MD5
e309bd61ba9268cfc8ecfabbaff138a4
SHA1
799caabe9ba4a9e31859becda3764c9be8733056
SHA256
630931107ae584a051e65672803d8a64734aa992577e9a960f 199db704f22161
Process
Active
• Keys Created• Keys Changed• Keys Deleted• Values Created• Values Changed• Values Deleted• Directories Created• Directories Changed• Directories Deleted• Files Created
C:\Documents and Settings\User\Start Menu\Programs\Startup\svhost.exe
394752
2009.01.12 15:12:42.000
2009.01.12 15:12:49.468
2009.01.12 15:12:49.468
0x20
• Files Changed• Files Deleted• Directories Hidden• Files Hidden• Drivers Loaded• Drivers Unloaded• Processes Created• Processes Terminated• Threads Created
0x348
svchost.exe
0xf8
0x7c810856
MEM_IMAGE
0x7c910760
MEM_IMAGE
• Modules Loaded• Windows Api Calls• DNS Queries• HTTP Queries• Verdict
Undetected
• Events Created or Opened
0x4b8
C:\Documents and Settings\User\Start Menu\Programs\Startup\svhost.exe
0x77de5f48
Global\SvcctrlStartEvent_A3752DX
0x4b8
C:\Documents and Settings\User\Start Menu\Programs\Startup\svhost.exe
0x8ee58d
猿も木から落ちг� ��‹
0x684
C:\TEST\sample.exe
0x77de5f48
Global\SvcctrlStartEvent_A3752DX
0x684
C:\TEST\sample.exe
0x8ee571
猿も木から落ちг� ��‹
Видим что программа:
Прописывается в автозагрузку, антиотладочные приёмы, лезет в память explorer.exe, имя сходное с системным процессом... конечно же это вирусня
Полезные ссылки:
http://www.virustotal.com/
http://virusscan.jotti.org/ru
http://www.threatexpert.com/
http://www.joebox.org/
сэндбоксы:
(http://camas.comodo.com/)http://anubis.iseclab.org/index.php
http://research.sunbelt-software.com/submit.aspx
http://www.threatexpert.com/submit.aspx
http://camas.comodo.com/
http://www.norman.com/security_center/secu.../submit_file/en (http://www.norman.com/security_center/security_tools/submit_file/en)