Статьи Новости Контакты

02.11.2007
Даниил Буров

Тотальный антивирус

описание антивирусного сетевого сервиса VirusTotal

Пример загрузки файла

Утверждается, что когда-то, в первоначальный период становления Интернета, один человек сказал: "Интернет?.. Это нам не интересно". И ничего бы примечательного в этом не было, если бы не персона, которой приписывают эти слова, — Билл Гейтс. В настоящее время значимость Глобальной сети для информационного пространства не подвергается сомнению. Здесь могут служить показателями не столько объемы передаваемой информации, сколько миллиардные суммы разнообразной валюты, вращающиеся в этой сфере.

Функциональность и выгода оказались настолько большими, что разработчики стали выпускать онлайн-сервисы различного назначения. Идея, подкрепленная финансовой выгодой, успешно пошла в массы: например, не так давно Adobe Systems заявила о планировании внедрения модели "программное обеспечение как сервис", собираясь предоставить пользователям возможность работать с приложениями через веб-интерфейс. Другие производители пошли дальше. Еще один из недавних примеров: шведская компания Xcerion пообещала представить принципиально новый программный продукт — так называемую "операционную систему", полностью работающую через Интернет. Получать прибыль компания Xcerion рассчитывает путем отображения рекламы на рабочих столах пользователей или же за счет введения подписной платы. В остальном количество простых и понятных онлайн-услуг по покупке-продаже всего подряд уже не поддается исчислению.

Однако по-прежнему актуальны такие моменты, когда подобные сетевые сервисы, к сожалению, могут стать жизненно необходимыми. Эта проблема — вирусы. Заражение персонального компьютера, установленного дома и используемого в развлекательно-бытовых целях, не принесет больших финансовых убытков. Если отсутствует антивирусное ПО, то радикальное средство в таких ситуациях — форматирование жесткого диска. Совершенно в другом свете предстает ситуация, если компьютер установлен в офисе, а на жестком диске важная рабочая информация наподобие годового отчета. В связи с тем что вирусы постоянно совершенствуются, ни одна антивирусная программа на текущий момент не дает 100%-ной гарантии защиты компьютера от заражения. В рамках усиления контроля за использованием лицензированного программного обеспечения юридическими лицами возникает вопрос: сколько легально приобретенных антивирусов может позволить себе небольшая по оборотам фирма? Именно в таких случаях может выручить онлайн-антивирус.

VirusTotal. Введение

Заявлено, что VirusTotal использует более тридцати антивирусных программ
VirusTotal — это сервис, который анализирует подозрительные файлы и облегчает быстрое обнаружение вирусов, червей, троянов и всех видов вредоносных программ, определяемых антивирусами. Он является абсолютно бесплатным и независимым. VirusTotal был разработан Hispasec Sistemas, независимой ИТ-лабораторией, использующей несколько версий антивирусных программ с регулярно обновляемыми официальными антивирусными базами, опубликованными их разработчиками. Данная лаборатория сотрудничает более чем с тридцатью производителями защитного антивирусного программного обеспечения. Детальнее список ее партнеров можно увидеть здесь.

VirusTotal награжден американским изданием PC World Magazine как один из 100 лучших продуктов 2007 года в категории сайтов о безопасности. Среди признанных авторитетов этой области в списке сотрудничающих фирм можно увидеть такие имена, как Doctor Web, Eset Software, Grisoft, Kaspersky Lab, Symantec. Что интересно, в списке упоминается название даже фирмы Microsoft, которую нечасто можно увидеть в бесплатных проектах. Возможно, участие в нем является рекламным шагом в продвижении их продукта Malware Protection.

VirusTotal использует множество антивирусных систем одновременно в расчете на их дублирующую работу. Например, известен факт, когда на одном из сайтов бесплатного ПО очередной "вирусописатель" пытался выдать написанную им вредоносную программку за приложение, вычищающее реестр от старых записей. Просмотр комментариев по теме показал большое количество сомневающихся пользователей. Однако не у всех антивирусные системы выдавали сообщение об опасности. Окончательное решение было принято именно по результатам проверки сервисом VirusTotal. Благодаря использованию этим сервисом сразу нескольких антивирусных приложений был найден спрятанный внутри программки троян.

Стоит отметить, что этот сервис не заменяет антивирусное приложение, установленное на персональный компьютер. Разработчики подчеркивают, что VirusTotal только проверяет отдельные файлы на наличие вредоносного кода. Естественно, учитывая постоянное появление новых вирусов, Hispasec Sistemas не гарантирует абсолютную защиту компьютера. Однако вероятность, что тридцать с лишним антивирусных систем одновременно допустят ошибку, значительно ниже, чем одна недовзломанная версия нелицензионного Касперского.

Использование проверки

Сервис предлагает скачать утилиту, добавляющую строку проверки файла в контекстное меню
Существует несколько способов проверить подозрительный файл с помощью VirusTotal. Первый вариант — это отправить письмо по адресу scan@virustotal.com. В письме — в поле "Тема" — необходимо написать SCAN (для проверки без отправки файла в антивирусные компании). Проблемный файл для проверки надо прикрепить к письму. Сам файл не должен превышать десять мегабайт. Если прикрепленный файл будет больше указанного размера, система его просто не примет. Как только файл будет проверен, придет почтовое сообщение с отчетом о проверке. Время ответа зависит от загрузки системы в момент запроса. По утверждениям разработчиков, для каждого антивируса будут расписаны детальные результаты.

Другой вариант — открыть страницу анализа файлов. В поле "Отправить файл" укажите путь к подозрительному файлу. При необходимости поставьте галочку рядом с надписью "Не публиковать", если не хотите, чтобы его распространяли среди антивирусных компаний, если файл окажется вредоносным. Если работа производится через прокси-сервер с антивирусной защитой, можно использовать зашифрованный канал, поставив галочку рядом с надписью "Отправить через SSL".

Контекстное меню

При такой форме отправки файла система попросит не закрывать данное окно. Проверка будет осуществляться в режиме реального времени — прямо на глазах у пользователя. Сам процесс займет некоторое время в зависимости от загруженности сервиса. В течение проверки можно наблюдать список антивирусных приложений, которыми тестируется отосланный файл. Результаты выдаются в виде таблицы. Обнаруженные вирусы пишутся в специальной графе красным цветом. Там, где антивирусная программа ничего не нашла, поле остается без комментария.

Третий вариант — загрузчик VirusTotal (Windows, 80 Кб, MD5: e75ba68126f3839219949f9bd20e2dab) — позволяет непосредственно напрямую посылать файлы с компьютера, используя контекстное меню. В данном случае, как видно из рисунка, загрузчик добавляет строку в контекстное меню. Благодаря этому проверить файл можно одним нажатием правой кнопки мыши.

Статистика

Диаграмма загрузок
Соотношение загруженных файлов

Помимо тестирования файлов на предмет вредоносного кода сервис VirusTotal также ведет статистику обнаруженных вирусов. Эта информация будет полезна, скорее всего, специалистам... и тем, кто эти вирусы пишет.

Статистика представлена в основном в графическом виде. В первой диаграмме показывается соотношение зараженных файлов (красным цветом) к нормальным (синим цветом). Вся данные указаны за 24-часовой период.

Ведется даже своеобразный рейтинг зараженных файлов. Наиболее популярные из них указываются в "Топ 10". Данный "хит-парад" может оказаться познавательным для анализа. Например, на текущий момент самым используемым был Win32.Virtob.Bl. А по количеству в списке лидирующие позиции уверенно занимают трояны. Интерес также вызвал упоминавшийся в другом "Топ 10" файл Infostealer.Wowcraft — хороший повод подумать, прежде чем скачивать взломанную игру или неофициальные обновления к ней.

Соотношение ошибок
Соотношение обнаруженных вирусов

Проблемы с проверкой. Эта диаграмма отображает трудности, возникшие при проверке зараженных файлов. Красным цветом показано подавляющее количество проверок. Это означает, что вредоносное приложение не было обнаружено хотя бы одной антивирусной программой. Синий цвет — считаные единицы, которые были выявлены абсолютно всеми антивирусами. Отсюда такая пессимистичная статистика, что ни одно защитное ПО не гарантирует стопроцентной протекции.

Ответную реакцию производителей компьютерной защиты можно увидеть на следующем графике. Динамика представлена также в пределах суточной развертки с почасовым указанием всплесков обновлений, чередующихся с затишьем. Предназначение графика досконально выяснить не удалось. Возможно, это сделано с целью успокоения пользовательской аудитории — чтобы показать кропотливую работу как производителей, так и сервиса.

В самом низу страницы статистики приведен список последних найденных вирусов. Просмотр дат нахождения вредоносных приложений показал, что обновление статистики происходит по крайней мере раз в сутки. К сожалению, как показало наблюдение в течение нескольких дней, графики, используемые разработчиками сервиса, в разделе статистики обновляются нерегулярно. Однако это не уменьшает объемов проделанной работы сотрудниками лаборатории Hispasec Sistemas.

Итого

Онлайн-сервисы заняли свое место в современной жизни. Благодаря своей функциональности и удобству они все больше завоевывают рынок услуг. Антивирусный сетевой сервис, такой как VirusTotal, может быть полезен как для домашнего использования, так и в критических ситуациях в офисе. Применение разработчиками VirusTotal более тридцати антивирусных программ, которые обновляются в режиме реального времени, существенно повышает вероятность обнаружения вируса. Однако сами сотрудники Hispasec Sistemas утверждают, что абсолютной гарантии не дает ни одно антивирусное программное обеспечение. Используя один из трех способов, пользователь может отправить для анализа файл объемом до десяти мегабайт. После этого VirusTotal должен прислать по электронной почте подробный отчет. Сервис является полностью бесплатным.




Скоро на сайте

  • Wordpress

    Серия статей о плагинах к движку WordPrress
  • AJAX

    Проекты и продукты, ориентированные на AJAX
  • Новые сервисы Google

    Обзор новых сервисов Google
 

Copyright © 2003—2018 Все права защищены

При использовании материалов сайта ссылка на hostinfo.ru обязательна

  • хостинг от .masterhost
  • Rambler's Top100