Онлайн-сканирование запущенных процессов на вирусы

Если у вас есть сомнения относительно подлинности файла, особенно если он исходит от неизвестных контактов или из ненадежных источников, мы всегда советуем провести онлайн-сканирование на вирусы с помощью VirusTotal.

Сервис принадлежит Google и может быть использован путем подключения с этой страницы, позволяет сканировать любой исполняемый файл в режиме онлайн с помощью более 50 антивирусных и антивредоносных механизмов.

Когда вы получаете «подозрительное» вложение или загружаете «сомнительную» программу из Интернета, мы рекомендуем вам отправить ее в VirusTotal для мгновенной проверки на вирусы.

На практике мы также рекомендуем вам выполнять онлайн-сканирование вирусов с помощью VirusTotal для программ, которые вы загружаете из Интернета, особенно если они малоизвестны или если у вас есть сомнения в их «легитимности».

Механизмы сканирования вирусов, на которых основан VirusTotal, используют самые последние и обновленные сигнатуры вирусов, выпущенные различными производителями. Помимо самых известных имен, таких как AVG, Avira Antivir, Avast, BitDefender, ClamAV, Comodo, Dr.Web, ESET, Emsisoft, F-Secure, Fortinet, G-DATA, Malwarebytes, McAfee, Microsoft, Panda, SuperAntiSpyware, Sophos, Symantec и TrendMicro, вы автоматически сможете использовать антивирусные и антивредоносные механизмы других менее известных производителей.

При анализе ответа VirusTotal следует иметь в виду, что в некоторых случаях могут быть возвращены «ложные срабатывания», т. е. проверенный файл может быть заклеймен как опасный одним или несколькими антивирусными ядрами, хотя на самом деле это абсолютно легитимный элемент. и доброкачественный.

Что такое ложное срабатывание в антивирусе и как его распознать Если говорить об антивирусных программах, то ложное срабатывание — это предупреждение об опасности сканируемого файла, который вместо этого совершенно безвреден.

Проблема «ложных срабатываний» очень распространена, особенно среди антивирусных программ, которые основаны на анализе, проводимом исключительно с использованием базы вирусных сигнатур и не совмещающего проверки поведения приложения или проверки «в облаке» (коллективный разум). ).

Ложные срабатывания могут возникать, когда специфические характеристики файла очень близки к характеристикам известной угрозы (вирусные отпечатки пальцев) или когда определенные признаки могут привести к предположению о выполнении потенциально опасных действий для пользователя и хранящихся на нем данных. системы.

По этой причине, например, утилиты, позволяющие восстанавливать пароли или вносить глубокие изменения в конфигурацию Windows, часто расцениваются как вредоносные программы.

Однако в последнем случае всегда полезно тщательно изучить ответ, предлагаемый различными антивирусными ядрами на VirusTotal. Иногда, действительно, описание угрозы помогает лучше понять, с чем вы имеете дело.

Например, указание «не вирус» явно указывает на то, что программа не является вредоносным ПО, а скорее является утилитой (часто указывается название), которая используется для выполнения глубоких операций в системе. В других случаях, однако, сообщается, что термин «программа риска» лучше подчеркивает, что сканируемая программа сама по себе является законной программой, которая, однако, может нанести ущерб, если попадет в руки злоумышленников или тех, у кого нет достаточных технических средств. навыки его использования. Часто программы для удаленного системного администрирования, восстановления пароля, мониторинга действий, выполняемых на компьютере, IRC-клиенты и приложения, активирующие использование прокси-серверов, могут попадать в категорию «опасных программ» и попадать на VirusTotal как подозрительные.

Однако, если вы знаете, что делаете, это нормально.

Затем, когда один или два антивирусных ядра сообщают, что файл сканируется на наличие вирусов как вредоносный, вполне вероятно, что имеет место ложное срабатывание, особенно когда угроза сообщается как общая или неизвестная.

В любом случае всегда полезно действовать с максимальной осторожностью и, по возможности, избегать запуска файла.

В случае новых угроз, появившихся недавно, на самом деле существует несколько механизмов сканирования на вирусы, которые сообщат о проблеме. Тем не менее, угроза должна быть одинаково классифицирована различными двигателями, и должно быть существенное согласие в отношении ответа. В случае появления новых реальных угроз, повторно просканировав тот же элемент на VirusTotal, через несколько часов вы должны получить более своевременный ответ, а количество механизмов, обнаруживающих угрозу, должно быстро увеличиваться.

Мы говорили, что VirusTotal также очень полезен при загрузке файлов из Интернета. На самом деле разработчики программного обеспечения все чаще включают потенциально нежелательные элементы в свои «творения» или объекты, которые ведут себя на грани «шпионского ПО».

В случае, если исполняемый файл, загруженный из сети, содержит лишние или опасные компоненты, на VirusTotal какой-либо антивирусный движок обязательно укажет его как «ПНП» (потенциально нежелательная программа), как «Рекламное ПО» или как «Шпионское ПО», часто сообщая также о нежелательном компоненте. что в нем содержится процедура установки программы.

В статье Сканирование файлов онлайн с помощью VirusTotal… без загрузки каких-либо данных, которые у нас были на тот момент, представлена ​​небольшая программа, разработанная одним из наших читателей, которая позволяет выполнять онлайн-сканирование на вирусы с помощью VirusTotal содержимого целых папок без загрузка в Сеть любых данных.

Как это возможно, если VirusTotal, как только вы подключаетесь к своей домашней странице, показывает кнопку «Отправить» (позволяет выбрать файл локально и отправить его на серверы службы для продолжения онлайн-сканирования)?

Простой. VirusTotal отслеживает каждый отдельный анализ, выполненный для каждого отсканированного файла. Таким образом, за годы работы VirusTotal удалось составить обширный архив проверок, проведенных пользователями сервиса.

Каждый файл однозначно идентифицируется цифровой подписью: вычислив ее (алгоритмы MD5 или SHA1), можно запросить VirusTotal и запросить ответ (результат проверки на вирусы), выданный последнему пользователю, отправившему тот же файл.

Наше приложение, представленное в статье Сканирование файлов онлайн с помощью VirusTotal… без загрузки каких-либо данных, ничего не делает, кроме как вычисляет сигнатуры (или хэши) файлов, хранящихся локально, и запрашивает VirusTotal.

Онлайн-сканирование запущенных процессов на вирусы

— Для получения дополнительной информации о цифровых подписях и алгоритмах хеширования предлагаем прочитать статью MultiHasher: проверка целостности любого файла в Windows.

Такой же подход в последнее время использовали и авторы популярной утилиты Process Explorer.

Process Explorer — одна из лучших программ для исследования запущенных в системе процессов (Process Explorer: выявление и решение проблем, связанных с запущенными процессами) путем демаскирования тех элементов, которые занимают больше системных ресурсов и которые, возможно, связаны с действием вредоносных программ, которые установлен в Windows (см. также Мониторинг процессов Windows и запущенных программ).

С выпуском Process Explorer 16.01, одного из приложений, созданных Марком Руссиновичем (чья компания в июле 2006 года после многолетней деятельности была приобретена Microsoft), программа получает возможность сканирования на наличие вирусов на VirusTotal всех процессов, запущенных в системе. .

Чтобы активировать эту функцию, просто запустите Process Explorer, щелкните меню «Параметры», VirusTotal.com, а затем «Проверить VirusTotal.com»:

Онлайн-сканирование запущенных процессов на вирусы

В этот момент появится новый столбец «VirusTotal».

После первичного сканирования (в VirusTotal будут передаваться только хэши запущенных процессов) все ответы появятся в столбце VirusTotal:

Онлайн-сканирование запущенных процессов на вирусы

Начальный ноль (например, «0/51») указывает, что файл был классифицирован как «безопасный» всеми антивирусными ядрами, используемыми VirusTotal.

Очевидно, используя хэши каждого файла (чтобы ускорить вывод ответа), результат проверки на вирусы нужно относить к последнему анализу, который проводился каким-то другим пользователем, в предыдущие периоды, на VirusTotal.

Как видите, в нашем случае есть несколько «ложных срабатываний» (индикация «1/51» или «1/50»), выдаваемых, как мы смогли убедиться, антивирусным движком Aegis (менее известный производитель программного обеспечения) .

К сожалению, по крайней мере на момент написания, в Process Explorer отсутствует ссылка, позволяющая быстро получить доступ к странице ответов на VirusTotal.

Онлайн-сканирование запущенных процессов на вирусы

При двойном щелчке по процессу в списке, а затем по Submit, фактически соответствующий файл будет отправлен на серверы VirusTotal для фактического сканирования, но веб-страница с полным результатом анализа отображаться не будет.

Более того, поведение кнопки «Отправить» все еще кажется улучшенным: в некоторых случаях фактически результат полного сканирования так и не приходит (отображение индикации «Сканирование…»).

Чтобы проверить ручное сканирование на VirusTotal, мы предлагаем вам скопировать содержимое поля «Путь» (CTRL + C), соединиться с дом службы, нажмите «Выбрать файл», вставьте путь к файлу в поле «Имя файла» диалогового окна «Выберите файл для загрузки» (CTRL + V), затем нажмите «Открыть».

При выборе кнопки Scan to VirusTotal запустится полная проверка передаваемого файла.

Обозреватель процессов
Скачать: ilsoftware.it
Совместимость с: Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2012, Windows 8, Windows 8.1
(32- и 64-битные версии)
Лицензия: бесплатная программа InterrogaVT
Скачать: ilsoftware.it
Совместимость с: Windows XP, Windows Vista, Windows 7, Windows 8, Windows 8.1
Лицензия: бесплатная

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован.