metatrop
Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Не знаю, у кого как, но у меня не работает эта программа. После введения apiKey закрывает окно, ничего не делает, но остаётся в процессах с нулевой загрузкой. К сети не обращается. Идея интересная, но тут нужным и ценным оказался скрипт командной строки, а не GUI. На virustotal.com можно зарегистрироваться бесплатно, взять из профиля apiKey (похож на SHA-256 от неких параметров пользователя) и посылать серверу SHA-256 хэши файлов (проверить, проверялся ли файл прежде) или же непосредственно сами файлы. Частота запросов ограничена (4 запроса в минуту). Можно использовать какой-нибудь скриптовый язык (PHP, Perl, Python), или даже обойтись консольной утилитой curl.exe. Выполняется всё само собой, внимания и ресурсов процессора не требует. Интерес в том, что можно по отдельности проверить десятки и сотни файлов. Закидывать каждый через GUI, ждать результата, копировать результат вручную в некий "лог" - очевидное безумие. Можно, конечно, все файлы послать одним архивом, но тогда нельзя понять реакцию на каждый из них в отдельности (и получить формально "безопасный" архив, если ставится такая цель). Также использование скрипта может быть актуально в связи с недавними изменениями на virustotal.com - интерфейс перестал работать на старых версиях интернет-обозревателей. А ещё, часть антивирусов пишет о таймауте или невозможности проверить архив целиком, тогда как отдельные файлы - проверяются. Результаты проверки файлов по отдельности и общий результат соотносятся не вполне очевидным вещи. Мной проверялся архив с несколькими сотнями отдельных утилит, по большей части консольных, где вирусов заведомо нет. Обнаружилось, что на 38% .exe/.dll файлов какой-нибудь антивирус, из числа проверяющих, реагирует. "Под раздачу" попали даже Microsoft утилиты clip.exe и where.exe из дистрибутива Windows Server 2003 SP2 Код: where.exe: Avira => PUA/CryptoMiner.Gen 2018-10-31 clip.exe: Trapmine => suspicious.low.ml.score 2018-11-28 | Безобидная утилита замедления CD/DVD-привода (2002 года, работала ещё на Win9x; к сети, понятное дело, вовсе не обращается) получила следующий список реакций: Код: AVG Crypt2.HPY 2017-06-01 AVware Trojan.Win32.Generic!BT 2017-06-01 AegisLab Troj.Agent.Gen!c 2017-06-01 Avast Win32:Malware-gen 2017-06-01 Avira TR/Agent.56320.177 2017-06-01 Baidu Win32.Trojan.WisdomEyes.16070401.9500.9996 2017-06-01 CAT-QuickHeal Ransom.Urausy.100029 2017-06-01 ClamAV Win.Trojan.Kryptik-1439 2017-06-01 GData Win32.Trojan.Agent.A8Z9A7 2017-06-01 Ikarus Trojan-Ransom.Win32.Foreign 2017-06-01 Jiangmin Trojan/Foreign.eth 2017-06-01 K7AntiVirus Trojan ( 004374c81 ) 2017-06-01 K7GW Trojan ( 004374c81 ) 2017-06-01 Malwarebytes Trojan.FakeAV 2017-06-01 McAfee Ransom-FBXQ!20301AD7B8A8 2017-06-01 McAfee-GW-Edition Ransom-FBXQ!20301AD7B8A8 2017-06-01 NANO-Antivirus Trojan.Win32.Agent.cqobuk 2017-06-01 Qihoo-360 Win32/Trojan.4c2 2017-06-01 Rising Trojan.Generic (cloud:CD7dofWfSmU) 2017-06-01 SUPERAntiSpyware Trojan.Agent/Gen-Kryptik 2017-06-01 Symantec Trojan.Gen 2017-06-01 Tencent Win32.Trojan.Spnr.Hnau 2017-06-01 TheHacker Trojan/Kryptik.bapz 2017-05-28 TrendMicro TROJ_SPNR.29GU13 2017-06-01 TrendMicro-HouseCall TROJ_SPNR.29GU13 2017-06-01 VIPRE Trojan.Win32.Generic!BT 2017-06-01 Webroot W32.Rogue.Gen 2017-06-01 Yandex Trojan.Kryptik!csR2IGTWgQQ 2017-05-31 | Вместе с тем, глобальные результаты проверки архива всех файлов каждым антивирусом получился более умеренным: некие "generic" предупреждения в стиле Packed/Riskware/Malware-gen/Trojan.Generic от 11 антивирусов из 46. Avirа, которая обнаружила криптомайнер в where.exe, глобально оказывается "зелёной". Её частная реакция очевидным образом подавляется, что видно на индивидуальной странице файла where.exe https://www.virustotal.com/gui/file/1b9d8b63835911acb279320489ae7f7edd32aac9045b8bbce3e8ee6e847ec781/detection - Avira проставлена в конце списка серым цветом, а не в начале красным. |