Как определять файл вирус или нет

03.10.2015, 16:26

Не рекомендуется качать файлы от новичков, не рекомендуется качать файлы людей с отрицательной репутацией, от заблокированных пользователей. Прочитайте комментарии других людей, посмотрите комментарии к репутации человека, сверьте правильна ли ссылка на вирустотал - что именно на тот файл (сверьте md5), что не на архив и т.д. и т.п. Обязательно иметь обновляемый антивирус с файрволом. Если тема закрыта и/или у темы красный/оранжевый префикс - файлы оттуда не качать.

1. Проверить файл с помощью онлайн-проверок антивирусом, допустим http://www.virustotal.com/

2.

Цитата:

Virustotal это не показатель безопасности, нужно смотреть что программа делает, то есть sandboxing

вот ещё с такой прогой можно запускать на своём компе, если нет виртуалки

Пример:
В этой теме некий Arhuys выложил "MyAC 1.5.9 DLL Hack, Обход всех версий MyAC". Качаем файл, разархивируем, внутри архив "Hack by zer0.exe". Проверяем на вирусы сервисомhttp://www.virustotal.com/:

Отчет: http://www.virustotal.com/ru/analisis/6309...2161-1260547110

a-squared 4.5.0.43 2009.12.11 -

AhnLab-V3 5.0.0.2 2009.12.11 -

AntiVir 7.9.1.108 2009.12.11 PCK/Obsidium

Antiy-AVL 2.0.3.7 2009.12.11 -

Authentium 5.2.0.5 2009.12.02 W32/Heuristic-210!Eldorado

Avast 4.8.1351.0 2009.12.11 -

AVG 8.5.0.427 2009.12.11 -

BitDefender 7.2 2009.12.11 -

CAT-QuickHeal 10.00 2009.12.11 (Suspicious) - DNAScan

ClamAV 0.94.1 2009.12.11 -

Comodo 3206 2009.12.11 Heur.Pck.Obsidium

DrWeb 5.0.0.12182 2009.12.11 -

eSafe 7.0.17.0 2009.12.10 Suspicious File

eTrust-Vet 35.1.7170 2009.12.11 -

F-Prot 4.5.1.85 2009.12.10 W32/Heuristic-210!Eldorado

F-Secure 9.0.15370.0 2009.12.11 -

Fortinet 4.0.14.0 2009.12.11 -

GData 19 2009.12.11 -

Ikarus T3.1.1.74.0 2009.12.11 -

Jiangmin 13.0.900 2009.12.11 -

K7AntiVirus 7.10.918 2009.12.11 -

Kaspersky 7.0.0.125 2009.12.11 -

McAfee 5828 2009.12.10 Packed-01!E309BD61BA92

McAfee+Artemis 5828 2009.12.10 Packed-01!E309BD61BA92

McAfee-GW-Edition 6.8.5 2009.12.11 Packer.Obsidium

Microsoft 1.5302 2009.12.10 -

NOD32 4679 2009.12.11 -

Norman 6.04.03 2009.12.11 -

nProtect 2009.1.8.0 2009.12.11 -

Panda 10.0.2.2 2009.12.11 -

PCTools 7.0.3.5 2009.12.11 -

Prevx 3.0 2009.12.11 -

Rising 22.25.04.07 2009.12.11 -

Sophos 4.48.0 2009.12.11 Sus/ComPack-C

Sunbelt 3.2.1858.2 2009.12.11 -

Symantec 1.4.4.12 2009.12.11 -

TheHacker 6.5.0.2.090 2009.12.10 -

TrendMicro 9.100.0.1001 2009.12.11 -

VBA32 3.12.12.0 2009.12.10 -

ViRobot 2009.12.11.2083 2009.12.11 -

VirusBuster 5.0.21.0 2009.12.10 -

MD5 : e309bd61ba9268cfc8ecfabbaff138a4

SHA1 : 799caabe9ba4a9e31859becda3764c9be8733056

SHA256: 630931107ae584a051e65672803d8a64734aa992577e9a960f 199db704f22161

Видим, что 10 срабатываний, уже настораживает. Также обратите внимание, что там есть ссылка на более позний анализ того же файла и там уже 23 срабатывания, это уже четко говорит, что файл - вирус. При этом имейте ввиду, что если вирус закриптован хорошим криптером - срабатываний на вирустотале будет 1-2 или вообще 0. Поэтому 0/40 на вирустотале еще не говорит о том, что файл безопасен.

Дальше смотрим что программа делает используя онлайн сервис "Sandbox" http://camas.comodo.com/ (Sandboxie позволяет запускать браузер или другую программу так, что любые изменения, связанные с использованием этой программы, сохранялись в ограниченной среде (т.н "песочнице"), которую позже можно будет целиком удалить):

Отчет: http://camas.comodo.com/cgi-bin/submit?fil...f199db704f22161• File Info

Size 394752

MD5 e309bd61ba9268cfc8ecfabbaff138a4

SHA1 799caabe9ba4a9e31859becda3764c9be8733056

SHA256 630931107ae584a051e65672803d8a64734aa992577e9a960f 199db704f22161

Process Active

• Keys Created• Keys Changed• Keys Deleted• Values Created• Values Changed• Values Deleted• Directories Created• Directories Changed• Directories Deleted• Files Created

C:\Documents and Settings\User\Start Menu\Programs\Startup\svhost.exe 394752 2009.01.12 15:12:42.000 2009.01.12 15:12:49.468 2009.01.12 15:12:49.468 0x20

• Files Changed• Files Deleted• Directories Hidden• Files Hidden• Drivers Loaded• Drivers Unloaded• Processes Created• Processes Terminated• Threads Created

0x348 svchost.exe 0xf8 0x7c810856 MEM_IMAGE 0x7c910760 MEM_IMAGE

• Modules Loaded• Windows Api Calls• DNS Queries• HTTP Queries• Verdict

Undetected

• Events Created or Opened

0x4b8 C:\Documents and Settings\User\Start Menu\Programs\Startup\svhost.exe 0x77de5f48 Global\SvcctrlStartEvent_A3752DX

0x4b8 C:\Documents and Settings\User\Start Menu\Programs\Startup\svhost.exe 0x8ee58d зЊїг‚‚жњЁгЃ‹г‚‰иђЅгЃЎг� ��‹

0x684 C:\TEST\sample.exe 0x77de5f48 Global\SvcctrlStartEvent_A3752DX

0x684 C:\TEST\sample.exe 0x8ee571 зЊїг‚‚жњЁгЃ‹г‚‰иђЅгЃЎг� ��‹

Видим что программа:

Цитата:

Прописывается в автозагрузку, антиотладочные приёмы, лезет в память explorer.exe, имя сходное с системным процессом... конечно же это вирусня

Полезные ссылки:

http://www.virustotal.com/
http://virusscan.jotti.org/ru

http://www.threatexpert.com/
http://www.joebox.org/

сэндбоксы:

http://anubis.iseclab.org/index.php

http://research.sunbelt-software.com/submit.aspx

http://www.threatexpert.com/submit.aspx

http://camas.comodo.com/

http://www.norman.com/security_center/secu.../submit_file/en

Статус:[?]:	Администратор
На форуме с:	12.08.2015
Рейтинг:	73
Сообщений:	4,490 [ Все сообщения ]
Темы:	3620 [ Все темы ]

Статус:[?]:	Пользователь
На форуме с:	28.02.2016
Рейтинг:	0
Сообщений:	2 [ Все сообщения ]
Темы:	0 [ Все темы ]

Последние сообщения

Тема: Как определять файл вирус или нет

Опции темы

Поиск по теме

Отображение

Пользователи, которые читали эту тему: 0

Ваши права

Войти

Войти с помощью

a-squared	4.5.0.43	2009.12.11	-
AhnLab-V3	5.0.0.2	2009.12.11	-
AntiVir	7.9.1.108	2009.12.11	PCK/Obsidium
Antiy-AVL	2.0.3.7	2009.12.11	-
Authentium	5.2.0.5	2009.12.02	W32/Heuristic-210!Eldorado
Avast	4.8.1351.0	2009.12.11	-
AVG	8.5.0.427	2009.12.11	-
BitDefender	7.2	2009.12.11	-
CAT-QuickHeal	10.00	2009.12.11	(Suspicious) - DNAScan
ClamAV	0.94.1	2009.12.11	-
Comodo	3206	2009.12.11	Heur.Pck.Obsidium
DrWeb	5.0.0.12182	2009.12.11	-
eSafe	7.0.17.0	2009.12.10	Suspicious File
eTrust-Vet	35.1.7170	2009.12.11	-
F-Prot	4.5.1.85	2009.12.10	W32/Heuristic-210!Eldorado
F-Secure	9.0.15370.0	2009.12.11	-
Fortinet	4.0.14.0	2009.12.11	-
GData	19	2009.12.11	-
Ikarus	T3.1.1.74.0	2009.12.11	-
Jiangmin	13.0.900	2009.12.11	-
K7AntiVirus	7.10.918	2009.12.11	-
Kaspersky	7.0.0.125	2009.12.11	-
McAfee	5828	2009.12.10	Packed-01!E309BD61BA92
McAfee+Artemis	5828	2009.12.10	Packed-01!E309BD61BA92
McAfee-GW-Edition	6.8.5	2009.12.11	Packer.Obsidium
Microsoft	1.5302	2009.12.10	-
NOD32	4679	2009.12.11	-
Norman	6.04.03	2009.12.11	-
nProtect	2009.1.8.0	2009.12.11	-
Panda	10.0.2.2	2009.12.11	-
PCTools	7.0.3.5	2009.12.11	-
Prevx	3.0	2009.12.11	-
Rising	22.25.04.07	2009.12.11	-
Sophos	4.48.0	2009.12.11	Sus/ComPack-C
Sunbelt	3.2.1858.2	2009.12.11	-
Symantec	1.4.4.12	2009.12.11	-
TheHacker	6.5.0.2.090	2009.12.10	-
TrendMicro	9.100.0.1001	2009.12.11	-
VBA32	3.12.12.0	2009.12.10	-
ViRobot	2009.12.11.2083	2009.12.11	-
VirusBuster	5.0.21.0	2009.12.10	-

Size	394752
MD5	e309bd61ba9268cfc8ecfabbaff138a4
SHA1	799caabe9ba4a9e31859becda3764c9be8733056
SHA256	630931107ae584a051e65672803d8a64734aa992577e9a960f 199db704f22161
Process	Active

0x4b8	C:\Documents and Settings\User\Start Menu\Programs\Startup\svhost.exe	0x77de5f48	Global\SvcctrlStartEvent_A3752DX
0x4b8	C:\Documents and Settings\User\Start Menu\Programs\Startup\svhost.exe	0x8ee58d	зЊїг‚‚жњЁгЃ‹г‚‰иђЅгЃЎг� ��‹
0x684	C:\TEST\sample.exe	0x77de5f48	Global\SvcctrlStartEvent_A3752DX
0x684	C:\TEST\sample.exe	0x8ee571	зЊїг‚‚жњЁгЃ‹г‚‰иђЅгЃЎг� ��‹