Hybrid Analysis — больше, чем просто сервис проверки файлов на вредоносность

Инструменты для анализа вредоносных ссылок и файлов

Перевод Comss.ru. По материалам Windows Secrets

Каждый день вредоносные сайты и вложения пытаются вынудить пользователей загрузить их опасное содержимое.

К счастью, существует большое количество веб-ресурсов и инструментов, которые помогают выяснить, какие сайты являются безопасными, а какие представляют собой ловушку, предназначенную для кражи персональной информации и денежных средств.

Киберпреступники стали хитрее и умнее, становится все труднее обнаружить вредоносный сайт или файл.

Тем не менее, обладая определенной информацией, некоторые мошеннические уловки несложно обнаружить. Например, при получении звонка от сотрудника Microsoft, который утверждает, что согласно отчетам ваша система заражена вредоносными программами, можно быть уверенным, что это мошенничество. Microsoft никогда не осуществляет звонки совершенно неожиданно, пользователь первоначально должен самостоятельно обратиться в центр поддержки.

Тем не менее, распознать, является ли электронное письмо или внешняя ссылка опасными, может быть довольно сложной задачей. Приведем несколько полезных инструментов и стратегий для выявления хорошо замаскированных угроз.

Помощь от онлайн-ресурсов

Предположим, что Вы не хотите проверять подозрительные ссылки из браузера каждый день. Серьезно рассмотрите вопрос использования виртуальной машины или конфигурации с двойной загрузкой для тестирования подозрительных ссылок и файлов. В наше время виртуальные машины совсем несложно развернуть, используя Microsoft Hyper-V, Oracle VirtualBox или VMware Workstation. Просто помните: виртуальная система должна иметь собственную действительную лицензию.

Затем Вы, скорее всего, захотите добавить в закладки веб-сервисы, которые позволяют загружать подозрительные файлы и проверять потенциально опасные сайты. Иногда подобные ресурсы сообщают, что вредоносная ссылка известна для антивирусных вендоров, но в других случаях они подчеркивают, что антивирусные продукты не всегда помечают зловредные объекты.

Начнем со всеми известного ресурса VirusTotal. При получении электронного сообщения с ZIP-архивом, нелишним будет проверить вложенный файл с помощью данного сервиса. Конечно, необязательно, что приложенный архив всегда будет вредоносным. Тем не менее, рекомендуется не открывать ZIP-архивы без проверки, если только передача файла не была предварительно согласована.

Если антивирус не позволяет скачать файл (чтобы впоследствии загрузить на VirusTotal), значит, продукт распознал вредоносное содержимое. Согласно отчету VirusTotal только 13 из 57 антивирусных движков обнаружили угрозу в тестовом вложении.

Рисунок 1. VirusTotal показывает, что только 13 из 57 антивирусных движков распознали подозрительный ZIP-файл как вредоносный

Существует большое количество веб-ресурсов, которые помогают обнаружить вредоносные файлы или ссылки, а именно:

• fortiguard.com/antivirus/virus_scanner.html – данный сайт сканирует вредоносные файлы и выводит отчет о потенциальных проблемах с безопасностью;
• hybrid-analysis.com – Вы можете загрузить файлы на данный сайт, но не умеет работать с архивами;
• malwr.com/submission/ – позволяет загружать файлы и проверять, какие процессы будут запущены. Сервис также показывает, сколько антивирусных движков VirusTotal сработали.
• metascan-online.com – еще один сайт для проверки потенциально опасных файлов, которые могут содержать вредоносный контент;
• phishtank.com – проверяет, содержится ли ресурс в базе известных мошеннических сайтов;
• urlquery.net – (обратите внимание, что используется доменная зона net, адрес в зоне com зарегистрирован посторонним лицом) данный сервис сканирует ссылки сайта на предмет вредоносных файлов и опасной активности;

Рисунок 2. Проверка веб-сайта с помощью сервиса urlQuery

Примечание: Все данные сайты поддерживают защищенный протокол HTTPS.

Существуют более продвинутые инструменты для исследования вредоносных веб-серверов и их местоположений или для отслеживания источников отправления опасных электронных писем.

Опять же, многие инструменты доступны из Интернета, приведем лишь некоторые из них. (Примечание: Вам нужно проверить условия использования у вашего провайдера и внутреннее законодательство, чтобы убедиться в легитимности использования данных инструментов против сайтов, которые Вы не контролируете. Для тестовых нужд использовался собственный сайт редактора).

• abuseipdb.com – ресурс, который проверяет вредоносную активность других сайтов (поддержка HTTPS отсутствует);
• ipvoid.com – данный сайт позволяет проверить, был ли конкретный IP адрес вовлечен во вредоносную активность (поддержка HTTPS отсутствует);
• mxtoolbox.com/Public/Tools/EmailHeaders.aspx – введите заголовок сообщения, чтобы определить, откуда оно было отправлено;

Рисунок 3. MxToolbox расшифровывает заголовки сообщений электронной почты для получения диагностической информации

На сайте Internet Storm Center размещена отдельная страница, которая будет полезна при исследовании потенциальных источников вредоносного содержимого. Страница содержит ссылки на некоторые сторонние сервисы, например anubis.iseclab.org/, который умеет анализировать файлы Android на предмет угроз и http://threatstop.com/checkip, который проверяет репутацию веб-сайта на предмет вредоносной истории.

Сохраняйте безопасность вашей системы и будьте в курсе!

Разумеется, после посещения потенциально опасных сайтов и загрузки подозрительных файлов, Вы захотите проверить свою систему с помощью антивирусного сканера, ведь есть вероятность, что Вы случайно инфицировали виртуальную машину или неосновную систему.

Для тщательной глубокой проверки Windows эффективнее использовать загрузочные антивирусные инструменты, например Kaspersky Rescue Disk. Сканирование с помощью альтернативной ОС помогает выявлять угрозы, которые успешно скрываются от защиты для Windows. Примечание, если Вы используете современный компьютер с UEFI, Вам нужно будет выполнить дополнительные манипуляции для запуска загрузочного диска.

Своевременная информация об актуальных изменениях вредоносного ПО также улучшит вашу безопасность. Вредоносные атаки часто поступают волнами, поэтому важно знать, какие типы атак в данный момент находятся в пике.

Среди иностранных источников актуальной информации об угрозах можно выделить OUCH! Security Awareness Newsletter и популярный сайт Krebs on Security (Брайан Кребс является бывшим журналистом Washington Post, который сейчас пишет об активности киберпреступников).

Как всегда, если есть сомнения, не стоит все списывать на паранойю. Если Вы получили странное письмо от известного источника, узнайте, действительно ли оно отправлялось вам. Большинство обычных пользователей сети теперь знают, что в некоторых сообщениях могут подменяться адреса отправителей. Вредоносные ресурсы воруют список контактов Gmail, Яндекс, Hotmail и Yahoo, которые содержат ваше имя и имена знакомых.

Компьютерная безопасность всегда будет представлять собой противоборство между новыми и инновационными методиками взлома и развивающимися защитами. В настоящее время, регулярное обновление антивируса не является достаточной мерой безопасности. Для профилактики заражений подумайте, прежде чем переходить по подозрительной ссылке.

Для пользователей, которые трепетно относятся к безопасности, приведенные ссылки определенно будут полезны.

5 сервисов для проверки ссылок на безопасность

Рассмотренные пять сервисов вполне могут дать уверенность в безопасности посещаемых сайтов

Далеко не все присылаемые нам ссылки, как друзьями, так и незнакомцами, являются безопасными. В современном мире есть множество средств для коммуникации: электронная почта, SMS, социальные сети (например, Facebook и Twitter), приложения для совместной работы и так далее. Соответственно, у злоумышленников и спамеров также масса возможности прислать что-то вредоносное. В большинстве случаев ссылки являются безопасными, но иногда нет. Однако даже единичные инциденты могут доставить массу неприятностей или даже привести к катастрофе.

Одна из наиболее быстрорастущих проблем в сфере безопасности – программы-вымогатели, часто распространяющиеся через рассылку вредоносных ссылок. Остальные виды вредоносов и фишинговые сайты также представляют серьезную угрозу. В этой статье мы поговорим о различных сервисах для проверки ссылок, которые сделают ваше пребывание в сети еще более безопасным и помогут избежать множества проблем.

Что должен уметь сервис по проверке ссылок

Вначале рассмотрим два вида URL’ов:

• Стандартный URL, состоящий из имени сайта, перед которым может стоять префикс www., и оканчивающийся на .com, .net, .org или любое другое имя домена верхнего уровня.
• Короткий URL, как, например, goo.gl/V4jVrx.

Вне зависимости от вида присылаемого URL’а (стандартного или короткого) если ссылка ведет на вредоносный сайт, проверяльщик ссылок должен выдать предупреждение. В случае с прямыми ссылками на программы-вымогатели и другие типы вредоносов, а также о других рисках, сервис по проверке также должен вас оповестить.

Существует несколько сайтов для проверки ссылок на вредоносность, и мы рассмотрим пять наиболее популярных. Советуем пользоваться несколькими, чтобы вы смогли получить наиболее достоверный результат.

1. AVG Threatlabs

AVG Threatlabs – наилучший сервис подобного рода, позволяющий сканировать все ссылки на указанном сайте на предмет вредоносов и других угроз. Все, что нужно сделать – ввести URL и ожидать результатов.

AVG является заметным игроком в сфере сетевой безопасности и сервис по проверке ссылок еще больше укрепляет эту репутацию. Кажется, что результатам проверки можно доверять, а если немного прокрутить вниз, то можно найти перечень вредоносных сайтов, обновляемый еженедельно.

Плюс выделяется топ-5 сайтов, где обнаружено наибольшее количество вредоносов. Кажется, это не тот перечень, где бы вы хотели найти один из своих любимых сайтов, не так ли?

2. Kaspersky VirusDesk

Еще один популярный сервис для проверки ссылок – Kaspersky VirusDesk , который может оказаться полезным, если вы доверяете рекомендациям в сфере безопасности от всемирно известной компании. Это продукт двойного назначения, умеющий проверять не только ссылки, но и файлы. Пользоваться сервисом очень удобно. Достаточно скопировать ссылку или перетащить файл в соответствующее поле.

Для проверки ссылки введите URL и нажмите кнопку Scan. Результаты появятся довольно быстро. Если вы не согласны с результатами сканирования, кликните на кнопку «I disagree with the scan results». В этом случае специалисты компании будут рассматривать вашу ситуацию более подробно и пришлют результаты своих исследований на указанную электронную почту.

Еще один независимый сервис, заслуживающий внимания – ScanURL, принимающий запросы на проверку через безопасное HTTPS-соединение. Несмотря на рекламу, проверка выполняется довольно качественно.

ScanURL опрашивает Google Safe Browsing, PhishTank и Web of Trust (у последнего сервиса подмоченная репутация ), а также предоставляет информацию о Whois для указанного сайта. По результатам проверки вместе с рекомендациями от ScanURL становится понятно, стоит ли посещать проверяемый сайт.

ScanURL сопоставляет результаты нескольких сервисов, некоторые из которых рассматриваются в этой статье. За результатами проверки закрепляется постоянный URL, которым вы можете поделиться со своими родственниками и друзьями. Очень удобно!

Сервис PhishTank вместо вредоносов больше фокусируется на проверке фишинговых сайтов. Однако общий принцип остается тот же. После указания сайта, подозреваемого на предмет фишинга, начнется проверка. Если ссылка уже находится «в хранилище», результаты появятся незамедлительно. В противном случае вам будет выдан номер для отслеживания результатов. К сожалению, фишинговые сайты проверять намного сложнее, чем искать вредоносы.

Большинство мошеннических схем, направленных на кражу персональных данных, основаны на фишинге. Соответственно, проверить подозрительную ссылку через PhishTank никогда не будет лишним.

Можно потратить еще время и помочь в развитии сервиса, отправляя подозрительные ссылки, которыми вы не пользуетесь. Если у вас есть время, почему бы не сделать доброе дело.

5. Google Transparency Report

Вероятно, Google – не самая известная компания на поприще заботы в вашей конфиденциальности, но сервис Google Transparency Report может оказаться полезным. Как и в предыдущих случаях, для проверки нужно указать URL подозрительного сайта, и через несколько секунд появятся результаты, собираемые веб-пауками.

Наряду с вредоносами сервис Google Transparency Report сообщает о рисках, связанных с фишингом. Обеспокоены кражей личной информации? Тогда следует помнить, что фишинг потенциально более опасен, чем вредоносы, и следует заблаговременно убедиться в безопасности посещаемого сайта.

Какой сервис выбрать?

Есть хорошие сервисы, проверяющие ссылки, а есть не очень. Не следует путать инструменты, оценивающие вредоносность и другие риски, связанные с безопасностью, с сервисами, которые проверяют битые ссылки.

Вам нужны инструменты, позволяющие детектировать вредоносов и фишинг. Кроме того, должна быть возможность поделиться результатами с другими. Нам кажется, что рассмотренные пять сервисов вполне могут дать уверенность в безопасности посещаемых сайтов.

Если вы знаете о других подобных инструментах, заслуживающих доверия, поделитесь в комментариях. Также будем признательны, если вы расскажете о случаях, когда были неблагоприятные последствия (например, потеря или кража информации) после посещения вредоносных сайтов.

Онлайн-сервисы для проверки файлов на вирусы

Антивирус является софтом обязательным на Windows-компьютере обывателя. Однако у этого типа софта есть масса недостатков: он может подгружать ресурсы слабого устройства, допускать ложные срабатывания, при этом в идеале он не является панацеей. Даже при условии постоянного обновления антивирусных баз. Надёжно обезопаситься от интернет-угроз поможет периодическое резервирование данных в облако или на съёмный носитель, резервирование системных и программных настроек, а также умение оперативно переустанавливать Windows. Ну и как же без личной гигиены? Если не посещать сомнительные сайты, не вестись на спам-рассылку, не тянуть из Интернета сомнительные файлы, нужен ли тогда антивирус в принципе? Продвинутые пользователи (и только таковые) пусть сами для себя решат это. В случае отказа от антивируса разобраться с единичными случаями проверки подозрительных файлов помогут специальные онлайн-сервисы.

Онлайн-сервисы для проверки файлов на вирусы – это либо ресурсы от создателей антивирусных продуктов, либо отдельно созданные веб-проекты с привлечением технологий нескольких антивирусных продуктов. Принцип работы таких сервисов прост: загружаем через форму сайта на сервер подозрительный файл, получаем по нему вердикт – заражён он или нет. Если сайт работает с базами нескольких антивирусов, вердикт получаем от каждого из них. Некоторые из таких сервисов могут ещё предусматривать возможность проверки сайтов в Интернете на предмет их репутации – не фишинговые ли они. Рассмотрим пятёрку таких онлайн-сервисов, всеми ими можно пользоваться бесплатно.

1. Kaspersky VirusDesk

Сервис Kaspersky VirusDesk – это ресурс от Лаборатории Касперского, и он, соответственно, базируется на её антивирусных базах. Здесь можем проверять на предмет вредоносности файлы весом до 50 Мб. Заходим на сайт, загружаем файл, жмём кнопку «Проверить».

И получаем результат.

Сервис Kaspersky VirusDesk позволяет проверять URL-адреса – не ведут ли они на фишинговые сайты. Просто вставляем ссылку в то же поле, куда и добавляются файлы с компьютера. И вот он – вердикт.

2. VirusTotal

VirusTotal – самый известный онлайн-сервис для проверки файлов на вирусы от компании Google. Сервис использует более 70-ти антивирусных баз, из наиболее известных – Лаборатория Касперского, BitDefender, AVG, Panda Security, Avira, Eset, Doctor Web. Официально установленный предел загружаемого файла по весу – 128 Мб. Но при недавнем тестировании сервиса он свободно принял файл с весом немного больше установленного лимита.

Заходим на сайт VirusTotal, на главной вкладке «File» загружаем на сервер файл.

Получаем по нему сведённую таблицу с вердиктом от каждого антивирусного движка.

VirusTotal предлагает проверку ссылок на предмет их принадлежности к фишинговым сайтам. Вставляем ссылку в поле во второй вкладке сервиса «URL» и жмём «Search». Получаем результат.

VirusTotal также позволяет осуществлять проверку по IP, доменам и хеш-кодам файлов.

Более того, этот сервис интегрирован в некоторые Windows-программы. Так, например, при работе с продвинутой альтернативой штатному диспетчеру задач Windows – программой AnVir Task Manager – прямо в её окне можем загружать файлы для проверки на VirusTotal.

А программа для работы с автозагрузкой Windows – Autorun Organizer – с помощью VirusTotal позволяет проверять ПО, назначенное на автозапуск вместе с операционной системой.

3. Jotti’s malware scan

Сервис Jotti’s malware scan предназначен только для проверки файлов, работает с 15-ю антивирусными движками, в числе которых – Avast, Doctor Web, Eset, BitDefender. Ограничение по весу одного загружаемого файла – 250 Мб.

Для загрузки файла на сайт сервиса жмём кнопку «Обзор».

По итогу получаем результат по каждому антивирусному продукту.

4. VirScan.org

Сервис VirScan.org предлагает онлайн-проверку на предмет наличия угроз только файлов. Сотрудничает с 45-ю антивирусными движками, в числе которых – Лаборатория Касперского, Avira, Eset, Doctor Web, Panda Security, Nano Antivirus. Лимит по весу – 20 Мб.

Загружаем файл на сервер с помощью кнопки «Choose file», жмём «Scan».

В итоге получаем результаты по каждому антивирусному продукту.

5. Nano Antivirus

Nano Antivirus – решение для сторонников продукции отечественного производителя. Это платный антивирус от российских программистов с бесплатным онлайн-сканером для отдельных файлов на официальном сайте. Сервис использует только антивирусные базы Nano Antivirus. Ограничение по весу файла – 20 Мб.

На страничке онлайн-сервиса кнопкой «Выбрать» добавляем файл на сервер. Жмём «Сканировать».

У онлайн-сканера Nano Antivirus есть клиентское UWP-приложение для Windows 10. Его можно установить в Microsoft Store по ссылке с официального сайта. Оно просто являет собой альтернативный интерфейс доступа к функционалу онлайн-сервиса.

Онлайн-сервисы для проверки файлов на вирусы

Антивирус является софтом обязательным на Windows-компьютере обывателя. Однако у этого типа софта есть масса недостатков: он может подгружать ресурсы слабого устройства, допускать ложные срабатывания, при этом в идеале он не является панацеей. Даже при условии постоянного обновления антивирусных баз. Надёжно обезопаситься от интернет-угроз поможет периодическое резервирование данных в облако или на съёмный носитель, резервирование системных и программных настроек, а также умение оперативно переустанавливать Windows. Ну и как же без личной гигиены? Если не посещать сомнительные сайты, не вестись на спам-рассылку, не тянуть из Интернета сомнительные файлы, нужен ли тогда антивирус в принципе? Продвинутые пользователи (и только таковые) пусть сами для себя решат это. В случае отказа от антивируса разобраться с единичными случаями проверки подозрительных файлов помогут специальные онлайн-сервисы.

Онлайн-сервисы для проверки файлов на вирусы – это либо ресурсы от создателей антивирусных продуктов, либо отдельно созданные веб-проекты с привлечением технологий нескольких антивирусных продуктов. Принцип работы таких сервисов прост: загружаем через форму сайта на сервер подозрительный файл, получаем по нему вердикт – заражён он или нет. Если сайт работает с базами нескольких антивирусов, вердикт получаем от каждого из них. Некоторые из таких сервисов могут ещё предусматривать возможность проверки сайтов в Интернете на предмет их репутации – не фишинговые ли они. Рассмотрим пятёрку таких онлайн-сервисов, всеми ими можно пользоваться бесплатно.

1. Kaspersky VirusDesk

Сервис Kaspersky VirusDesk – это ресурс от Лаборатории Касперского, и он, соответственно, базируется на её антивирусных базах. Здесь можем проверять на предмет вредоносности файлы весом до 50 Мб. Заходим на сайт, загружаем файл, жмём кнопку «Проверить».

И получаем результат.

Сервис Kaspersky VirusDesk позволяет проверять URL-адреса – не ведут ли они на фишинговые сайты. Просто вставляем ссылку в то же поле, куда и добавляются файлы с компьютера. И вот он – вердикт.

2. VirusTotal

VirusTotal – самый известный онлайн-сервис для проверки файлов на вирусы от компании Google. Сервис использует более 70-ти антивирусных баз, из наиболее известных – Лаборатория Касперского, BitDefender, AVG, Panda Security, Avira, Eset, Doctor Web. Официально установленный предел загружаемого файла по весу – 128 Мб. Но при недавнем тестировании сервиса он свободно принял файл с весом немного больше установленного лимита.

Заходим на сайт VirusTotal, на главной вкладке «File» загружаем на сервер файл.

Получаем по нему сведённую таблицу с вердиктом от каждого антивирусного движка.

VirusTotal предлагает проверку ссылок на предмет их принадлежности к фишинговым сайтам. Вставляем ссылку в поле во второй вкладке сервиса «URL» и жмём «Search». Получаем результат.

VirusTotal также позволяет осуществлять проверку по IP, доменам и хеш-кодам файлов.

Более того, этот сервис интегрирован в некоторые Windows-программы. Так, например, при работе с продвинутой альтернативой штатному диспетчеру задач Windows – программой AnVir Task Manager – прямо в её окне можем загружать файлы для проверки на VirusTotal.

А программа для работы с автозагрузкой Windows – Autorun Organizer – с помощью VirusTotal позволяет проверять ПО, назначенное на автозапуск вместе с операционной системой.

3. Jotti’s malware scan

Сервис Jotti’s malware scan предназначен только для проверки файлов, работает с 15-ю антивирусными движками, в числе которых – Avast, Doctor Web, Eset, BitDefender. Ограничение по весу одного загружаемого файла – 250 Мб.

Для загрузки файла на сайт сервиса жмём кнопку «Обзор».

По итогу получаем результат по каждому антивирусному продукту.

4. VirScan.org

Сервис VirScan.org предлагает онлайн-проверку на предмет наличия угроз только файлов. Сотрудничает с 45-ю антивирусными движками, в числе которых – Лаборатория Касперского, Avira, Eset, Doctor Web, Panda Security, Nano Antivirus. Лимит по весу – 20 Мб.

Загружаем файл на сервер с помощью кнопки «Choose file», жмём «Scan».

В итоге получаем результаты по каждому антивирусному продукту.

5. Nano Antivirus

Nano Antivirus – решение для сторонников продукции отечественного производителя. Это платный антивирус от российских программистов с бесплатным онлайн-сканером для отдельных файлов на официальном сайте. Сервис использует только антивирусные базы Nano Antivirus. Ограничение по весу файла – 20 Мб.

На страничке онлайн-сервиса кнопкой «Выбрать» добавляем файл на сервер. Жмём «Сканировать».

У онлайн-сканера Nano Antivirus есть клиентское UWP-приложение для Windows 10. Его можно установить в Microsoft Store по ссылке с официального сайта. Оно просто являет собой альтернативный интерфейс доступа к функционалу онлайн-сервиса.

Сервис Payload Security: бесплатный анализ файла (проверка на вирусы) онлайн

В ряду онлайн-антивирусов, осуществляющих анализ подозрительных файлов на предмет выявления вирусов, червей, троянов и прочего вредоносного ПО, сервис Payload Security стоит на особом месте. Во-первых, можно выбрать среду анализа (Windows, Linux или Android), а во-вторых, получить исчерпывающий, со скриншотами, отчет о проделанной работе. Читайте ниже обзор функционала антивирусного сканера Payload Security, оценивающего неизвестные угрозы с помощью “фирменной” технологии Hybrid Analysis.

Сервис предлагает три пакетных режима сканирования: бесплатный “Free Service“, с лимитом 30 файловых проверок в месяц, и два коммерческих, “Private Cloud” (250 файлов / URL-ов за 199€ в месяц) и безлимитный “Full Standalone” для корпоративных клиентов. Дабы убедиться в сказанном, предлагаю воспользоваться службой в режиме “Free Service“, который активен по умолчанию.

Перейдем на официальный сайт Payload Security по прямой ссылке . Как видите, дизайном и функционалом стартовая страница очень схожа с заглавной популярнейшего сканера VirusTotal. Анализ ссылок без денег недоступен, поэтому через вкладку “Файл” отметим на компьютере подозрительный файл, выгрузим его через кнопку “Открыть”, введем капчу и поставим галочку напротив “I consent to the Terms & Conditions and Data Protection Policy“. Что интересно, можно выбрать виртуальную среду анализа (32-битная Windows 7, Linux Ubuntu 16.04, Android), сценарий действий исполняющей среды и время выполнения, а если файл большой (до максимальных 100 Мб) – указать электропочту для получения уведомления о завершении проверки.

Сама бесплатная онлайн-проверка на вирусы помещается в очередь, и ваша позиция в ней отображается на экране. Обычно очередь небольшая, до 10 записей, т.е. ждать придется недолго. Время сканирования зависит от размера выгруженного файла, в среднем это несколько минут.

Страница, отображаемая в конце процесса, предлагает очень обширную информацию. Примеры таких страниц доступны по ссылке выше, смотрите в панели меню “Отправки“. Если перед антивирусной проверкой отметить пункт “Не показывать мою выборку сообществу“, то результаты анализа файла не появятся на сайте.

Основные возможности сервиса Payload Security:

• проверяет файлы 66 антивирусными движками от известных компаний-разработчиков;
• весь процесс установки и работы приложения в виртуальной среде VxStream Sandbox скриншотится;
• показывает интегрированные в файлы IP / URL-адреса, которые помечаются как небезопасные;
• распознает “вкладыши”-надстройки, читающие системный реестр, сканирующие запущенные процессы или удаляющие файлы;
• получает данные о версии файла, вычисляет его хэш, классифицирует с использованием TrlD file identifier;
• фиксирует прикрепленные и извлеченные при инсталляции ПО файлы.

Таким образом, информация, предоставляемая онлайн-сканером, поможет специалистам и опытным пользователям решить, является ли файл потенциально опасным. Конечно, нельзя забывать о ложных срабатываниях, когда антивирусные движки ошибочно определяют некоторые файлы как вредоносные.

Подытоживая, Payload Security – удобная служба онлайн-проверки на вирусы файлов и ссылок, которую надо использовать, чтобы узнать больше о новых приложениях перед их запуском на ПК. Анализ включает необходимые скриншоты, данные от десятков антивирусных вендоров и полученные от исполнения в виртуальной среде.

Important!

В статье использована информация с сайта gHacks.net (Martin Brinkmann “Analyze files with Payload Security“).

Дмитрий dmitry_spb Евдокимов

www.hybrid-analysis.com

Последние события

u00abu041fu0440u0438 u0440u0430u0441u0447u0451u0442u0435 u0418u041au0421 u043cu044b u043du0430u043cu0435u0440u0435u043du044b u0438u0441u043fu043eu043bu044cu0437u043eu0432u0430u0442u044c u0432u0441u0435u0432u043eu0437u043cu043eu0436u043du044bu0435 u0438u043cu0435u044eu0449u0438u0435u0441u044f u0443 u043du0430u0441 u0434u0430u043du043du044bu0435 u043au0430u043a u043e u0441u0430u0439u0442u0435, u0442u0430u043a u0438 u043e u0441u0442u043eu044fu0449u0435u043c u0437u0430 u043du0438u043c u0431u0438u0437u043du0435u0441u0435. u042du0442u0438 u0434u0430u043du043du044bu0435 u043cu043eu0433u0443u0442 u0431u044bu0442u044c u043fu043eu043bu0443u0447u0435u043du044b u043au0430u043a u0438u0437 u041fu043eu0438u0441u043au0430, u0442u0430u043a u0438 u0438u0437 u043bu044eu0431u044bu0445 u0434u0440u0443u0433u0438u0445 u0441u0435u0440u0432u0438u0441u043eu0432 u042fu043du0434u0435u043au0441u0430: u043du0430u043fu0440u0438u043cu0435u0440, u041cu0435u0442u0440u0438u043au0438, u041au0430u0440u0442, u0414u0437u0435u043du0430 u0438 u0442u0430u043a u0434u0430u043bu0435u0435u00bb u2014 u042fu043du0434u0435u043au0441.u0412u0435u0431u043cu0430u0441u0442u0435u0440 n

u0420u0430u0437u043cu0435u0441u0442u0438u0442u0435 u043au043eu043cu043fu0430u043du0438u044e u043du0430 u042fu043du0434u0435u043au0441.u041au0430u0440u0442u0430u0445 n

u041fu043eu0441u043bu0435 u043cu043eu0434u0435u0440u0430u0446u0438u0438 u0437u0430u043fu043eu043bu043du0438u0442u0435 u0438u043du0444u043eu0440u043cu0430u0446u0438u044e u043e u043au043eu043cu043fu0430u043du0438u0438: u0434u043eu0431u0430u0432u044cu0442u0435 u043du0430u0437u0432u0430u043du0438u0435, u0430u0434u0440u0435u0441, u043au043eu043du0442u0430u043au0442u044b, u0444u043eu0442u043eu0433u0440u0430u0444u0438u0438, u0441u0441u044bu043bu043au0438, u043eu0440u0438u0435u043du0442u0438u0440u044b. u041fu043eu0441u043bu0435 u043eu0434u043eu0431u0440u0435u043du0438u044f u0437u0430u044fu0432u043au0438 u043fu043eu044fu0432u0438u0442u0441u044f u0432u043eu0437u043cu043eu0436u043du043eu0441u0442u044c u0443u043au0430u0437u0430u0442u044c u0434u043eu043fu043eu043bu043du0438u0442u0435u043bu044cu043du044bu0435 u0434u0430u043du043du044bu0435 u0432 u0437u0430u0432u0438u0441u0438u043cu043eu0441u0442u0438 u043eu0442 u0442u0438u043fu0430 u043au043eu043cu043fu0430u043du0438u0438 u2014 u043cu0435u043du044e, u0433u0430u043bu0435u0440u0435u044e, u043fu0440u0430u0439u0441-u043bu0438u0441u0442 u0438 u043fu0440u043eu0447u0435u0435. n

u041eu0440u0433u0430u043du0438u0437u0430u0446u0438u044f u043du0430 u042fu043du0434u0435u043au0441.u041au0430u0440u0442u0430u0445 n

u0414u043eu043fu043eu043bu043du0438u0442u0435u043bu044cu043du043e u043cu043eu0436u043du043e u043fu043eu0434u043au043bu044eu0447u0438u0442u044c u0442u043eu0432u0430u0440u044b u043cu0430u0433u0430u0437u0438u043du0430 u043a u0441u0438u0441u0442u0435u043cu0435 u042fu043du0434u0435u043au0441.u041cu0430u0440u043au0435u0442 , u0432u0435u0441u0442u0438 u0431u043bu043eu0433 u0432 u042fu043du0434u0435u043au0441.u0414u0437u0435u043du0435 . n

u0420u0430u0437u043cu0435u0441u0442u0438u0442u0435 u043au043eu043cu043fu0430u043du0438u044e u043du0430 Google u041au0430u0440u0442u0430u0445 n

u041du0435u043au043eu0442u043eu0440u044bu043c u0441u0430u0439u0442u0430u043c u042fu043du0434u0435u043au0441 u0440u0430u0437u0434u0430u0435u0442 u0437u043du0430u043au0438 u043eu0442u043bu0438u0447u0438u044f , u043eu043du0438 u043du0430u0445u043eu0434u044fu0442u0441u044f u0432 u0432u044bu0434u0430u0447u0435 u043eu043au043eu043bu043e u0441u043du0438u043fu043fu0435u0442u0430. u0421u043du0438u043fu043fu0435u0442u044b u0441u043e u0437u043du0430u043au0430u043cu0438 u043fu0440u0438u0432u043bu0435u043au0430u044eu0442 u0431u043eu043bu044cu0448u0435 u0432u043du0438u043cu0430u043du0438u044f, u0441u043eu043eu0431u0449u0430u044eu0442 u043fu043eu043bu044cu0437u043eu0432u0430u0442u0435u043bu044fu043c u0434u043eu043fu043eu043bu043du0438u0442u0435u043bu044cu043du0443u044e u0438u043du0444u043eu0440u043cu0430u0446u0438u044e u043e u0441u0430u0439u0442u0435 u0438 u0441u043bu0443u0436u0430u0442 u0433u0430u0440u0430u043du0442u043eu043c u043au0430u0447u0435u0441u0442u0432u0430 u043eu0442 u043fu043eu0438u0441u043au043eu0432u0438u043au0430. n

u0421u043du0438u043fu043fu0435u0442 u0441u043e u0437u043du0430u043au043eu043c u00abu0412u044bu0431u043eu0440 u043fu043eu043bu044cu0437u043eu0432u0430u0442u0435u043bu0435u0439u00bb n

u0417u043du0430u043au0438 u043fu043eu043bu0443u0447u0430u044eu0442 u0441u0430u0439u0442u044b, u0441u043eu043eu0442u0432u0435u0442u0441u0442u0432u0443u044eu0449u0438u0435 u0437u0430u043fu0440u043eu0441u0430u043c u043fu043eu043bu044cu0437u043eu0432u0430u0442u0435u043bu0435u0439 u0431u043eu043bu044cu0448u0435 u0432u0441u0435u0433u043e. u0414u043bu044f u0440u0430u0437u043du044bu0445 u043au0430u0442u0435u0433u043eu0440u0438u0439 u043au043eu043cu043fu0430u043du0438u0439 u0435u0441u0442u044c u0440u0430u0437u043du044bu0435 u0432u0438u0434u044b u0441u043e u0441u0432u043eu0438u043cu0438 u043au0440u0438u0442u0435u0440u0438u044fu043cu0438: u043eu0444u0438u0446u0438u0430u043bu044cu043du044bu0439 u0441u0430u0439u0442, u043eu0444u0438u0446u0438u0430u043bu044cu043du044bu0439 u0434u0438u043bu0435u0440, u0441u0435u0440u0432u0438u0441 u042fu043du0434u0435u043au0441u0430, u0432u044bu0431u043eu0440 u043fu043eu043bu044cu0437u043eu0432u0430u0442u0435u043bu0435u0439, u043fu043eu043fu0443u043bu044fu0440u043du044bu0439 u0441u0430u0439u0442 u0438 u0434u0440u0443u0433u0438u0435. u0423 u0441u0430u0439u0442u0430 u043cu043eu0436u0435u0442 u0431u044bu0442u044c u043eu0434u043du043eu0432u0440u0435u043cu0435u043du043du043e u043du0435u0441u043au043eu043bu044cu043au043e u0437u043du0430u043au043eu0432. n

u0417u043du0430u043au0438 u043eu0442u043bu0438u0447u0438u044f u0441u0430u0439u0442u0430 n

u041fu0440u043eu0432u0435u0440u044cu0442u0435 u043fu0440u043eu0446u0435u0441u0441 u043fu043eu043bu0443u0447u0435u043du0438u044f u0437u043du0430u043au043eu0432 u043eu0442u043bu0438u0447u0438u044f u0434u043bu044f u0441u0432u043eu0435u0433u043e u0441u0430u0439u0442u0430 u0438 u043eu0446u0435u043du0438u0442u0435 u043au0440u0438u0442u0435u0440u0438u0438, u043du0430u0434 u043au043eu0442u043eu0440u044bu043cu0438 u043du0443u0436u043du043e u0440u0430u0431u043eu0442u0430u0442u044c. n

u0421u0430u0439u0442, u043du0430u0440u0443u0448u0430u044eu0449u0438u0439 u043fu0440u0430u0432u0438u043bu0430 u043eu043fu0442u0438u043cu0438u0437u0430u0446u0438u0438 u0438 u043fu0440u043eu0434u0432u0438u0436u0435u043du0438u044f u0432 u043fu043eu0438u0441u043au043eu0432u044bu0445 u0441u0438u0441u0442u0435u043cu0430u0445, u043fu043eu043bu0443u0447u0438u0442 u0441u0430u043du043au0446u0438u0438 u0438u043bu0438 u043fu043eu043fu0430u0434u0435u0442 u043fu043eu0434 u0444u0438u043bu044cu0442u0440 u043fu043eu0438u0441u043au043eu0432u0438u043au043eu0432 . u042du0442u043e u043eu0437u043du0430u0447u0430u0435u0442 u043fu043eu043du0438u0436u0435u043du0438u0435 u043fu043eu0437u0438u0446u0438u0439 u0432 u043fu043eu0438u0441u043au043eu0432u043eu0439 u0432u044bu0434u0430u0447u0435, u0432u044bu043fu0430u0434u0435u043du0438u0435 u0438u0437 u0438u043du0434u0435u043au0441u0430 u0438u043bu0438 u0434u0430u0436u0435 u0431u043bu043eu043au0438u0440u043eu0432u043au0443 u0440u0435u0441u0443u0440u0441u0430. u0421u0430u043du043au0446u0438u0438 u043cu043eu0436u0435u0442 u043fu043eu043bu0443u0447u0438u0442u044c u0441u0430u0439u0442 u0446u0435u043bu0438u043au043eu043c u0438u043bu0438 u043eu0442u0434u0435u043bu044cu043du044bu0435 u0441u0442u0440u0430u043du0438u0446u044b u0437u0430 u043au043eu043du043au0440u0435u0442u043du044bu0435 u043du0430u0440u0443u0448u0435u043du0438u044f. u0415u0441u043bu0438 u0440u0435u0441u0443u0440u0441 u043fu0440u043eu0434u0432u0438u0433u0430u0435u0442u0441u044f u043du0435u0447u0435u0441u0442u043du043e, u043du043e u0435u0449u0435 u043du0435 u043fu043eu043bu0443u0447u0438u043b u0441u0430u043du043au0446u0438u0438, u044du0442u043e u043du0435 u0437u043du0430u0447u0438u0442, u0447u0442u043e u043fu043eu0438u0441u043au043eu0432u0438u043a u043du0438u043au043eu0433u0434u0430 u0434u043e u043du0435u0433u043e u043du0435 u0434u043eu0431u0435u0440u0435u0442u0441u044f. n

u0420u0435u043au043eu043cu0435u043du0434u0443u0435u043c u0438u0437u0443u0447u0438u0442u044c u0434u043eu0441u0442u0443u043fu043du0443u044e u0438u043du0444u043eu0440u043cu0430u0446u0438u044e u043eu0431 u0430u043bu0433u043eu0440u0438u0442u043cu0430u0445 u0438 u043fu0440u043eu0432u0435u0440u0438u0442u044c u0441u043eu0431u0441u0442u0432u0435u043du043du044bu0439 u0440u0435u0441u0443u0440u0441, u043a u043fu0440u0438u043cu0435u0440u0443, u043du0430 u043fu0435u0440u0435u0441u043fu0430u043c u0432 u0442u0435u043au0441u0442u0430u0445, u043du0430u0432u044fu0437u0447u0438u0432u044bu0435 u0432u0441u043fu043bu044bu0432u0430u044eu0449u0438u0435 u043eu043au043du0430 u0438u043bu0438 u043du0435u043au0430u0447u0435u0441u0442u0432u0435u043du043du044bu0435 u0441u0441u044bu043bu043au0438. n