Как сканировать на вирусы с помощью Deepviz

Эта статья связана со статьей, опубликованной вчера: Онлайн-сканирование на вирусы: как предотвратить заражение вредоносным ПО.

Вчера мы представили два инструмента Dr.Web и VirusTotal, которые для проверки опасности файла, по сути, основаны на использовании вирусных сигнатур.

Мы завершаем обзор одним из лучших инструментов для онлайн-сканирования на вирусы: DeepViz.

Пока еще малоизвестный, DeepViz позволяет сканировать файл, на этот раз не используя вирусные сигнатуры различных антивирусных движков, а используя специальный механизм анализа, который позволяет изучить поведение любого файла.

DeepViz, немного похожий на такие продукты, как ThreatExpert и Anubis (о которых мы много говорили в прошлом), основан на использовании виртуальной машины, в которой выполняются файлы, отправленные пользователем.

Запуская отправленные пользователем файлы в виртуализированной среде, такие сервисы, как DeepViz, могут проверять их поведение, выделяя операции, явно связанные с активностью опасных и потенциально вредоносных элементов для используемой системы.

По сравнению с другими подобными инструментами DeepViz позволяет получить компактный и точный анализ поведения, которое обычно отличает вирусы от вредоносных программ. Кроме того, бесплатно зарегистрировавшись на веб-сайте DeepViz, пользователь может получить доступ к целому ряду еще более подробной информации. Например, DeepViz может извлекать наиболее важные строки символов, содержащиеся в отсканированном файле и в процессах, которые он создает и запускает в системе.

Запустите проверку на вирусы, изучив поведение файлов

Чтобы отсканировать любой файл с помощью DeepViz, просто подключитесь к главная страница сервиса затем нажмите кнопку Щелкните или перетащите файл сюда.

Как сканировать на вирусы с помощью Deepviz

Щелкнув здесь можно получить доступ к поведенческому анализу, проведенному DeepViz для одного из многих вредоносных вложений, которые сходили с ума в Италии в последние недели (это вредоносное ПО из семейства ZeuS).

Как сканировать на вирусы с помощью Deepviz

Хеши файлов (подписи MD5, SHA1, SHA256 и SHA512) отображаются в верхней части окна: эти данные также можно ввести в поле поиска VirusTotal, как уже было показано в предыдущей статье: Онлайн-сканирование антивирусом: как предотвратить заражение вредоносным ПО.

В соответствии с параграфом «Характеристики и поведение» DeepViz перечисляет наиболее релевантные поведения, хранящиеся в файле, выполняемом на виртуальной машине, и подробно анализируются:

— Попытки подключения к подозрительным странам. Файл пытается подключиться к удаленным серверам, расположенным в зарубежных странах, которые не относятся к европейской или североамериканской сфере. Этот тип соединения, очевидно, следует считать очень подозрительным.

— Привязывает сетевой порт. Файл выполняет так называемую привязку к порту, то есть связывает новый сервис с определенным IP-адресом или с сетевым интерфейсом.

— Содержит анти-отладочный код. Файл использует анти-отладочный и анти-дизассемблированный код. Используются методы, усложняющие анализ поведения файла.

— Содержит процедуру манипулирования брандмауэром Windows. Конфигурация брандмауэра Windows автоматически изменяется.

— Создает ключ реестра автозапуска. Информация включается в реестр для автоматической загрузки файла или его компонентов.

— Создает хук к неизвестному модулю. Файл «цепляется» на низком уровне с неизвестным программным модулем и поэтому считается подозрительным (см. также статью Hijack Hunter облегчает «расследование» вредоносных программ и руткитов).

— Внедряет код в другие процессы. Файл, проверенный DeepViz, внедряет код в другие процессы. Также в данном случае мы имеем дело с характеристикой, свойственной наиболее опасным вредоносным программам.

— Собирает системные данные и крадет локальные данные браузера. Исследованный файл демонстрирует поведение, обычное для вредоносных элементов: запрашивается извлечение данных, хранящихся в системе или, в любом случае, веб-браузером (подумайте об архивах паролей).

При регистрации на DeepViz внизу страницы, содержащей анализ файла, появится формулировка «Отчет»: он содержит ряд технических подробностей о функционировании исследуемого файла.

DeepViz, уже действующий и полный инструмент, который снова будет расти в течение следующих нескольких недель.

Команда разработчиков DeepViz продолжит улучшать работу службы онлайн-сканирования в течение следующих нескольких недель.

На данный момент нет выделения характеристик, которые, по всей вероятности, являются лакмусовой бумажкой аналогичного поведения того или иного вредоносного ПО.

Однако программисты DeepViz работают над инновационным механизмом, который вскоре будет представлен, который благодаря «искусственному интеллекту» оценивает каждое индивидуальное поведение и разумно предлагает пользователю, является ли сканирование представленного файла потенциально предвестником. инфекции или нет.

DeepViz не только проверяет исполняемые файлы, но и скоро сможет детально проверять PDF-документы. На самом деле, как хорошо известно, даже PDF-файлы могут скрывать в себе потенциально опасный код, часто специально написанный для использования одной или нескольких уязвимостей в системе просмотра документов.

Так называемые шелл-коды, в конечном итоге распространяемые вместе с PDF-документами, также будут дизассемблированы DeepViz и проанализированы, чтобы выяснить их поведение.

В настоящее время отсутствует только автоматическая распаковка Zip-файлов. Фактически, DeepViz на данный момент не может распаковать сжатый файл и извлечь его содержимое, а затем проанализировать его на своей виртуальной машине.

Поскольку многие вредоносные программы или, в последнее время, наиболее опасные программы-вымогатели часто распространяются по электронной почте, сжимая их внутри архивов в формате Zip (заражение Cryptolocker и CryptoWall: данные в опасности), было бы важно, чтобы DeepViz автоматически открывал архивы, сжатые извлечение и выполнение его содержимого.

В интересах разработчиков DeepViz также предоставляет API, через которые можно будет отправлять файлы на проверку и получать результаты сканирования, минуя веб-интерфейс сервиса. Для автоматизации процедур DeepViz предоставляет файл, написанный на Python.

ДипВиз
Для бесплатного анализа поведения любого файла. DeepViz выполняет отправленный пользователями файл на виртуальной машине, подробно изучая выполняемые операции.
Deepviz.com

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *