metatrop
Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Не знаю, у кого как, но у меня не работает эта программа. После введения apiKey закрывает окно, ничего не делает, но остаётся в процессах с нулевой загрузкой. К сети не обращается.
Идея интересная, но тут нужным и ценным оказался скрипт командной строки, а не GUI.
На virustotal.com можно зарегистрироваться бесплатно, взять из профиля apiKey (похож на SHA-256 от неких параметров пользователя) и посылать серверу SHA-256 хэши файлов (проверить, проверялся ли файл прежде) или же непосредственно сами файлы. Частота запросов ограничена (4 запроса в минуту). Можно использовать какой-нибудь скриптовый язык (PHP, Perl, Python), или даже обойтись консольной утилитой curl.exe. Выполняется всё само собой, внимания и ресурсов процессора не требует.
Интерес в том, что можно по отдельности проверить десятки и сотни файлов. Закидывать каждый через GUI, ждать результата, копировать результат вручную в некий "лог" - очевидное безумие. Можно, конечно, все файлы послать одним архивом, но тогда нельзя понять реакцию на каждый из них в отдельности (и получить формально "безопасный" архив, если ставится такая цель).
Также использование скрипта может быть актуально в связи с недавними изменениями на virustotal.com - интерфейс перестал работать на старых версиях интернет-обозревателей. А ещё, часть антивирусов пишет о таймауте или невозможности проверить архив целиком, тогда как отдельные файлы - проверяются.
Результаты проверки файлов по отдельности и общий результат соотносятся не вполне очевидным вещи. Мной проверялся архив с несколькими сотнями отдельных утилит, по большей части консольных, где вирусов заведомо нет.
Обнаружилось, что на 38% .exe/.dll файлов какой-нибудь антивирус, из числа проверяющих, реагирует. "Под раздачу" попали даже Microsoft утилиты clip.exe и where.exe из дистрибутива Windows Server 2003 SP2
Код:
where.exe: Avira => PUA/CryptoMiner.Gen 2018-10-31
clip.exe: Trapmine => suspicious.low.ml.score 2018-11-28
|
Безобидная утилита замедления CD/DVD-привода (2002 года, работала ещё на Win9x; к сети, понятное дело, вовсе не обращается) получила следующий список реакций:
Код:
AVG Crypt2.HPY 2017-06-01
AVware Trojan.Win32.Generic!BT 2017-06-01
AegisLab Troj.Agent.Gen!c 2017-06-01
Avast Win32:Malware-gen 2017-06-01
Avira TR/Agent.56320.177 2017-06-01
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9996 2017-06-01
CAT-QuickHeal Ransom.Urausy.100029 2017-06-01
ClamAV Win.Trojan.Kryptik-1439 2017-06-01
GData Win32.Trojan.Agent.A8Z9A7 2017-06-01
Ikarus Trojan-Ransom.Win32.Foreign 2017-06-01
Jiangmin Trojan/Foreign.eth 2017-06-01
K7AntiVirus Trojan ( 004374c81 ) 2017-06-01
K7GW Trojan ( 004374c81 ) 2017-06-01
Malwarebytes Trojan.FakeAV 2017-06-01
McAfee Ransom-FBXQ!20301AD7B8A8 2017-06-01
McAfee-GW-Edition Ransom-FBXQ!20301AD7B8A8 2017-06-01
NANO-Antivirus Trojan.Win32.Agent.cqobuk 2017-06-01
Qihoo-360 Win32/Trojan.4c2 2017-06-01
Rising Trojan.Generic (cloud:CD7dofWfSmU) 2017-06-01
SUPERAntiSpyware Trojan.Agent/Gen-Kryptik 2017-06-01
Symantec Trojan.Gen 2017-06-01
Tencent Win32.Trojan.Spnr.Hnau 2017-06-01
TheHacker Trojan/Kryptik.bapz 2017-05-28
TrendMicro TROJ_SPNR.29GU13 2017-06-01
TrendMicro-HouseCall TROJ_SPNR.29GU13 2017-06-01
VIPRE Trojan.Win32.Generic!BT 2017-06-01
Webroot W32.Rogue.Gen 2017-06-01
Yandex Trojan.Kryptik!csR2IGTWgQQ 2017-05-31
|
Вместе с тем, глобальные результаты проверки архива всех файлов каждым антивирусом получился более умеренным: некие "generic" предупреждения в стиле Packed/Riskware/Malware-gen/Trojan.Generic от 11 антивирусов из 46.
Avirа, которая обнаружила криптомайнер в where.exe, глобально оказывается "зелёной". Её частная реакция очевидным образом подавляется, что видно на индивидуальной странице файла where.exe
https://www.virustotal.com/gui/file/1b9d8b63835911acb279320489ae7f7edd32aac9045b8bbce3e8ee6e847ec781/detection
- Avira проставлена в конце списка серым цветом, а не в начале красным.
|
Любую флешку и любой USB порт. 