Virustotal не работает в windows xp
Такая программка есть у самих разработчиков Virustotal, однако в 2017 году они прекратили её поддержку и обновления программы больше не выходят. Однако загрузчик отлично работает и сейчас и его можно установить на любую версию Windows начиная с Висты.
Распаковываем аржив запускаем установщик, если у вас появилось окно контроля учетных записей нажимаем Да. В первом окне установщика соглашаемся с условиями использования и нажимаем I Agree, в новом окне можно снять вторую и третью галочки если вам не нужны ярлыки на Рабочем столе и в меню Пуск и нажимаем Next Далее выбираем путь куда будет установлена программка, можно оставить по умолчанию, нажимаем Install Готово, загрузчик установлен.
Теперь можно открыть любую папку например папку, или выбрать любой файл и проверить работу загрузчика. Делаем правый клик по файлу и как видим в контекстном меню появился новый пункт Send to VirusTotal, выбираем его, сначала появляется небольшое окно после чего открывается браузер и мы видим результаты проверки, получается всего два клика. В открывшемся окне мы можем посмотреть результаты проверки, а так же откроется окно где написано, что на сайте Virustotal было найдена контрольная сумма файла. В общем вполне удобно и хотя программа на английском, однако для простой загрузки файлов никаких знаний языка не требуется, как вы убедитесь.
Если загрузчик вам не понравился то можно удалить его очень просто через панель Параметры открываем Приложения здесь загрузчик можно поискать в списке визуально и найдя его выделить и нажить Удалить. Далее подтверждаем в этом окне нажимая Uninsall, готово. Загрузчик удалён нажимаем Close программа удалена с компьютера.
Проверка папок и файло производится таким же не хитрым способом который описан выше. Сайт Virustotal проверяет файлы размером не более 650 мегабайт при попытке загрузить больший файл появляется уведомление, что бесплатный API ключ имеет ограничения и пользователь с таким ключом может проверять файлы не чаще четырех раз в минуту и 500 раз в день или 15 тысяч раз в месяц. В общем эти ограничения таковы что обычный пользователь о них скорее всего не узнает вряд ли вам нужно проверять такое количество файлов.
Всем привет. Ниже будет много глупого текста, ностальгических воспоминаний и школотного кода. Кроме того будет рассмотрена эффективность сервиса VirusTotal, а также антивирусных движков в отношении исполняемых файлов.
Часть 1. Бредово-ностальгическое вступление
В моей жизни многое поменялось. Мне стала интересна (местами — до недосыпов) моя текущая работа, в моём регионе четвёртый год идёт война, многое изменилось и переосмыслилось в личной жизни.
Многие взгляды и мнения изменились.
Лет 15-20 назад мне была интересна тема взлома и написания вредоносного кода, потом интересы сменились на прямо противоположные — защиту от этого дела, а потом я понял, что всем правят деньги и личные интересы, а вовсе не альтруизм и желание помочь.
Но то такое. В любом случае ИТ оказалось частью даже моей настоящей работы, хотя вовсе не относится к исходной специализации.
Лет 10 назад я написал в очень узком кругу про возможность снятия детекта антивируса с помощью самораспаковывающихся архивов. Тогда это было, кажется, на Virusinfo, потом кое-кто это перепостил под своим ником на DrWeb — так сказать, без копирайтов и со своим авторством, потом даже скандал был — но то тоже давно и неправда.
А недавно я вспомнил старое. Многое прошло, многие вещи обновились и угнаться за прогрессом, не варясь в теме, оказалось сложно.
Но суть осталась та же: сенсации, деньги и личные интересы. И игра на незнаниях — которые доходят иногда до того, что уязвимости Meltdown/Spectre ищут в телевизорах и бортовых компьютерах автомобилей )))
Но довольно этого неинтересного бреда. Итак, я решил вспомнить старое, а поскольку вспомнилось мало — то решил по старинке снять детекты с нескольких вирусов.
Часть 2. Совсем немного теории
Для того, чтобы двигаться дальше, давайте разберёмся, о чём пойдёт речь. В настоящий момент, как, впрочем, и ранее, активно продвигается тема антивирусов. Дескать, антивирусы помогают не допустить потери важных данных, антивирусы спасают от уязвимостей, антивирусы — то, антивирусы — сё и так далее.
При этом зачастую рядовой пользователь даже не понимает, что антивирус — это не просто сканер, это и резидентная защита, и эвристик, а зачастую — и проактивная защита, файервол и песочница.
Каждому из этих компонентов мы можем посвятить не то что статью — книгу, но остановимся на самом базовом: сканере.
Этот компонент не позволит предотвращать соединения с вредоносными сайтами, он не будет ловить вредоносный код на лету, но он позволяет проверить файл и дать ответ: стоит его хранить — или лучше удалить сразу и навсегда.
Ниже мы протестируем разные движки антивирусов и посмотрим, насколько они справляются с этой задачей хорошо.
Отдельно хотелось бы отметить ресурс VirusTotal — он позволяет не только проверить файл различными движками антивирусов, но и представляет собой некую песочницу по тестированию вредоносного (и вообще любого) кода. Плюс платформы — бесплатность, минус — все образцы, которые высылаются на VirusTotal впоследствии передаются всем антивирусным лабораториям.
Именно по этой причине ниже я не буду давать ссылки на страницы с результатами сканирования, а предоставлю скриншоты с этими результатами, полученными в ходе работы. Очевидно (и я хочу в это верить!) после этой статьи результаты улучшатся.
Авторы вредоносного кода чрезвычайно часто используют упаковщики и протекторы, которые не только сжимают вредоносный файл, но и затрудняют его детектирование по сигнатурам, а также его последующий анализ. При использовании ворованных лицензий протекторов типа WinLicense и Themida обычно антивирусные лаборатории не затрудняют себя распаковкой, а просто добавляют сигнатуры протектора с ворованным ключом в детект (знаменитые детекты типа Trojan:W32/Black.A). Это приводит к появлению ложных срабатываний — аналогичными ворованными лицензиями пользуются авторы генераторов ключей, патчеров и некоторых программ, которые по сути вредоносными не являются, но тем не менее защищаются от реверсинга.
Поскольку всё, описанное в этой статье, ниже будет предоставлено читателю для ознакомления, я не работал с реальным вредоносным кодом (хотя ниже предоставлю и его результаты сканирования), а использовал файл Eicar, популярный при тестировании антивирусов: это — своеобразная заглушка, на которую любой антивирус должен давать стойкий детект.
Часть 3. Практика
Итак, как сейчас детектируется Eicar на VirusTotal
Признаться честно, увиденное меня несколько поразило, потому что два антивирусных движка — Comodo и Malwarebytes почему-то решили не следовать общим стандартам и проигнорировать детект. Тем не менее результат очевиден — файл имеет детект, близкий к 100%.
Как мы договаривались в самом начале, мы — полная школота, а потому не будем изобретать свои методы упаковки, а просто упакуем файл в архив с помощью 7Z:
Да, детектов стало поменьше, поскольку не все антивирусные движки включают распаковщик архивов 7Z (ну либо это настройка не включена в VirusTotal по умолчанию) — но всё равно детект высок.
Усложняем задачу: пакуем файл в архив с паролем. Пусть пароль будет fun:
Файл — чист, поскольку даже имея процедуру распаковки антивирус не знает пароль на файл.
Детект снят — но мы не получили исполняемый файл.
В реальных пакерах решение бывает достаточно сложным и мы не будем вдаваться в эти подробности. Воспользуемся услугами QBC и напишем простейший скрипт:
Скрипт просто распаковывает архив и запускает полученный файл. QBC позволяет не только сформировать простейший исполняемый файл на основе этого скрипта, но и включить в этот файл необходимое (7za.exe и архив eicar-fun.7z), доступ к которому выполняется через переменную %myfiles%.
Полученный выполняемый файл может быть без открытия окна терминала (так называемый «Ghost»), а это нам как раз и надо:
Итоговый код выглядит следующим образом:
После компиляции полученный файл dumb_bat.exe распаковывает Eicar и запускает его.
Забавно, детект уменьшился с 60 для неупакованного файла и 41 для архива до 17 — при этом ни один из антивирусных движков не обнаружил Eicar, детекты явно имеют эвристический характер, а в ряде случаев напоминают ложное срабатывание (DrWeb, Baidu и др.)
Пойдём дальше — добавим в наш скрипт защиту от исполнения в тестовой среде — простейшую проверку, что файл выполняется в реальной системе. Для этого запустим распаковку только при условии, что в системе есть диск D и на нём есть хотя бы один файл:
Особое внимание — на низ таблицы, я его выделил отдельно, потому что на одну картинку всё не влезало:
Итак, проверка диска D «отломала» детекты китайцев, россиян и украинцев: Baidu, DrWeb, Zillya. При этом указанные движки, как и ряд других, были остановлены по таймауту (!)
Справедливости ради стоит отметить, что повторный запуск всё-таки довёл сканирование до конца
Однако в этом случае эксперимент нельзя считать «чистым», поскольку прошло значительное время после первой проверки.
Мне эта ситуация показалась любопытной — и я изменил строчку в коде на следующую:
Налицо разница в работе эвристиков ряда антивирусов (AegisLab и Baidu почему-то не обнаружили ничего во втором случае), а также налицо проблема в сканировании в случае проверки на наличие диска D. Впрочем, возможно это совпадение, хотя в ходе всего исследования я больше ни разу не наблюдал «отвала» такого количества движков сразу.
Движемся дальше — добавим нашему файлу интерактивности, которой точно не будет ни в одной тестовой среде. Изменим скрипт — сделаем его полноценным консольным (не «Ghost»), а также добавим команду pause:
Вот как выглядит итог выполнения такого файла:
Я не хочу наговаривать на пользователей, но кажется мне, что практически каждый нажмёт клавишу в этом случае :) В любом случае перед нами простой пример, который может быть завернут куда в более яркую обёртку социального инжениринга.
6 детектов из 67. Шесть, Карл! Все — эвристические. И скорее всего ничего не подозревающий пользователь посчитает файл безопасным.
Интересный итог я получил после сжатия итогового файла с помощью UPX командой:
Если делать это для самого первого нашего кода - который был вообще без проверок, то по детектам отвалился Antiy-AVL
Детекты добавили китайцы, а вот украинский Zillya благополучно провалил тест.
Часть 4. Выводы
А можно без них? ;) Ну ладно.
Безусловно, описанное выше — это примитивно, просто и в жизни всё не так. Хотя бы потому, что в реальности выполнение нашего файла сначала вызовет срабатывания проактивки, а потом будет заблокировано резидентным модулем, который увидит итоговый файл Eicar.
Но дело не в том.
Дело в том, что современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода. Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы. Со старым, открытым и разжёванным до потрохов UPX как был бардак — так он и остался. А ведь я вполне мог упаковать не файл, вызывающий вредоносную активность, а непосредственно код, работать не с файлами на диске в %temp%, а в памяти, использовать не свободно доступные утилиты, а собственные или закрытые разработки — и таким образом обойти срабатывание резидентной защиты. Я вполне мог добавить интересные элементы интерфейса или скопировать таковой из распространённой программы — и обойти проактивку у неискушённого пользователя, который просто будет соглашаться с любыми запросами, доверяя тому, что запустил.
То, что мы сделали выше — примитивный способ обмануть антивирус, который может понять и реализовать практически любой. И он сработал. Что говорить про искушённых специалистов!
Архив с файлами, скриптами и результатами можно скачать здесь.
В архив не вошло следующее (не войдёт и не будет предоставлено по любой просьбе по понятным причинам): файлы, обработанные по выше изложенному механизму и содержащие:
Установка нескольких антивирусов в одной операционной системе может привести к конфликтам программного обеспечения и нерациональному использованию вычислительных ресурсов. Однако иногда хочется проверить подозрительный файл несколькими антивирусами для того, чтобы не допустить заражения системы (или наоборот, добавить безопасный файл в исключения). В этом случае на помощь приходит известный сайт Virus Total: он позволяет проверить загруженные файлы с использованием нескольких десятков антивирусов. Однако и такой метод обнаружения угроз нельзя считать абсолютно надежным.
Ограничения VirusTotal
Перед тем как продолжить рассказ об особенностях онлайн-проверки файлов, кратко остановимся на некоторых ограничениях сервиса VirusTotal.
- VirusTotal – не замена полноценному антивирусу. Онлайн-сканирование может помочь в оценке безопасности того или иного файла, но не защитит от всех угроз.
- Антивирусные движки, представленные на VirusTotal, не дают стопроцентной гарантии безопасности файла. Даже файл, признанный большинством сканеров безопасным, может содержать вредоносный код. Ошибиться может любой антивирус.
- Настройки антивирусных сканеров на VirusTotal могут отличаться от стандартных. Сервис использует консольные версии сканеров, которые славятся более агрессивным эвристическим анализом загруженных файлов (в сравнении с десктопными версиями антивирусов). В связи с этим процент ложных срабатываний может быть выше.
Когда VirusTotal может запутать пользователя
Ограничения онлайн-сканеров отчасти объясняют те не слишком частые случаи, когда «мнения» антивирусных продуктов расходятся. В этих случаях часть сканеров с помощью эвристического анализа находит в загруженном файле вредоносный код, а часть считает файл безопасным. В то же время некоторые сканеры можно достаточно легко «обмануть». Как? Рассмотрим некоторые методы.
Архивирование вредоносных файлов
Не всегда консольные сканеры, используемые сервисом VirusTotal, проверяют содержимое архивов, поэтому потенциально опасный файл, упакованный в .zip, .7z и т.п., может не детектироваться некоторыми антивирусами. Хотя в данном случае такая «невнимательность» онлайн-сканера неопасна: если на компьютере пользователя установлен любой настольный антивирус, угроза будет устранена (в подавляющем большинстве случаев).
Использование упаковщиков
Обоюдоострое оружие. С одной стороны, в один .exe-файл можно поместить вредоносный файл и скрипт, который добавит вирус или троян в автозагрузку (или хотя бы один раз запустит его), и некоторые сканеры с сайта VirusTotal не обнаружат угрозы. С другой стороны, безвредный файл, упакованный специальной программой, может определяться некоторыми антивирусами как потенциально опасный. Посмотрите на скриншот.
Двенадцать антивирусов с помощью эвристики определили, что исполняемый файл небезопасен. На самом деле проверяемая утилита проверяет корректность штрих-кодов и не несет никакой опасности. Почему антивирусы «ругаются»? Дело в том, что исполняемый файл был упакован старой версией программы UPX, что позволило сжать программу до 17 КБ, но «напугало» некоторые антивирусы. Отметим, что сканеры крупных вендоров (Avira, Kaspersky и т.д.) на этот файл никак не отреагировали.
Запуск вредоносного кода только в реальной среде
Методика не нова: скрипт, запускающий вредоносный код, проверяет наличие других разделов в системе, их метки, наличие каких-либо файлов и т.п. Если по итогам проверок выясняется, что скрипт запущен в тестовой песочнице, то запуск вредоносного исполняемого файла отменяется или откладывается. Эта техника позволяет в ряде случаев обмануть некоторые сканеры с VirusTotal.
Отметим: вышеуказанные приемы способны «запутать» онлайн-сканер, но не настольный антивирус.
Современные настольные версии антивирусов содержат в себе не только файловый сканер, но также проактивную защиту и резидентные модули, которые не дадут выполниться подозрительной программе. При этом в состав антивирусного продукта может быть включена программа-песочница, которая позволит запустить файл и отследить его активность без вреда для системы. Именно поэтому в ОС семейства Windows необходимо использовать настольную версию антивируса, а онлайн-сканерами пользоваться только как дополнительным средством защиты.
Как читать отчеты VirusTotal?
Если часть файловых сканеров можно «обмануть», то, возможно, не стоит доверять VirusTotal? Нет, сервису вполне можно доверять, но необходимо учитывать:
- Полное отсутствие детектов на VirusTotal – не гарантия безопасности файла. Об этом мы уже говорили. Но если файл проверялся еще и настольным антивирусом и был признан безопасным, то вероятность заражения в этом случае минимальна.
- «Подозрения» со стороны двух-трех или даже десяти антивирусов могут быть как обоснованными, так и беспочвенными. Внимательно присмотритесь к отчету: если антивирусы помечают файл по-разному (например, Worm, Trojan и heuristic), а часть детектов сопровождается описанием «возможно», «потенциально» и т.д. – файл, вполне вероятно, упакован для уменьшения размера, но неопасен. А вот если десять антивирусов однозначно указывают, что программа является троянской, то здесь уровень опасности выше.
- Если хотя бы половина сканеров считает, что файл опасен, скорее всего, это не простое совпадение. Не запускайте его. Советуем после обнаружения такого файла провести проверку вашей ОС десктопным антивирусом.
Если любопытство все-таки не дает вам покоя и запустить подозрительный файл очень хочется, советуем сделать это в специальной программе-песочнице или в виртуальной машине.
Такая программка есть у самих разработчиков Virustotal, однако в 2017 году они прекратили её поддержку и обновления программы больше не выходят. Однако загрузчик отлично работает и сейчас и его можно установить на любую версию Windows начиная с Висты.
Распаковываем аржив запускаем установщик, если у вас появилось окно контроля учетных записей нажимаем Да. В первом окне установщика соглашаемся с условиями использования и нажимаем I Agree, в новом окне можно снять вторую и третью галочки если вам не нужны ярлыки на Рабочем столе и в меню Пуск и нажимаем Next Далее выбираем путь куда будет установлена программка, можно оставить по умолчанию, нажимаем Install Готово, загрузчик установлен.
Теперь можно открыть любую папку например папку, или выбрать любой файл и проверить работу загрузчика. Делаем правый клик по файлу и как видим в контекстном меню появился новый пункт Send to VirusTotal, выбираем его, сначала появляется небольшое окно после чего открывается браузер и мы видим результаты проверки, получается всего два клика. В открывшемся окне мы можем посмотреть результаты проверки, а так же откроется окно где написано, что на сайте Virustotal было найдена контрольная сумма файла. В общем вполне удобно и хотя программа на английском, однако для простой загрузки файлов никаких знаний языка не требуется, как вы убедитесь.
Если загрузчик вам не понравился то можно удалить его очень просто через панель Параметры открываем Приложения здесь загрузчик можно поискать в списке визуально и найдя его выделить и нажить Удалить. Далее подтверждаем в этом окне нажимая Uninsall, готово. Загрузчик удалён нажимаем Close программа удалена с компьютера.
Проверка папок и файло производится таким же не хитрым способом который описан выше. Сайт Virustotal проверяет файлы размером не более 650 мегабайт при попытке загрузить больший файл появляется уведомление, что бесплатный API ключ имеет ограничения и пользователь с таким ключом может проверять файлы не чаще четырех раз в минуту и 500 раз в день или 15 тысяч раз в месяц. В общем эти ограничения таковы что обычный пользователь о них скорее всего не узнает вряд ли вам нужно проверять такое количество файлов.
Читайте также: