Рубрики Часто пользователи скачивают файлы из сети Интернет. Иногда они могут оказаться заражены, а поэтому представляют существенную угрозу для данных пользователя.
Например, иногда заядлые геймеры считают необходимым исправить возникающую во время запуска любимой игры ошибку, которая сообщает об отсутствии какого-либо библиотечного dll-файла. Тогда игроман идет в сеть Интернет в поисках необходимой dll-ки, откуда скачивает ее. На следующем шаге очень важно проверить загруженную библиотеку на наличие вирусной угрозы, например, воспользовавшись одним из онлайновых антивирусных сервисов.
Содержание статьи
Антивирусные сервисы
Иногда такие сервисы называют антивирусными сканерами. Эти сервисы предлагают различные антивирусные услуги, среди которых предлагается также онлайн проверка файлов на вирусы. Интерфейс этой услуги обычно весьма прост — кнопка «Обзор», благодаря которой пользователь выбирает электронный документ со своего ПК; текстовое поле, где отображается название исследуемого объекта; кнопка для запуска проверки.
Автор также рекомендует:
После загрузки выбранного пользователем документа, сервис начинает процедуру проверки. Некоторые онлайн-сервисы используют для анализа ресурсы сторонних сканеров, другие же используют собственные ресурсы, включая вирусные базы. Наиболее авторитетными антивирусными сканерами для проверки электронных документов являются VirusTotal, Metascan Online, Dr.Web и некоторые другие. Например, первые два используют ресурсы сторонних сканеров, тогда как Dr.Web предоставляет для проверки собственную базу.
В этой статье рассмотрим сканирование двух файлов на базе выше названных сервисов. Один из проверяемых нами объектов это обычный текстовый электронный документ, о котором изначально известно, что он не заражен. Второй исследуемый объект — это библиотечный файлик с расширением .dll. О нем известно, что он представляет собой обыкновенный руткит.
Исследование вместе с VirusTotal
На главной странице веб-ресурса VirusTotal обнаруживается несколько сервисов, среди которых и необходимый нам. Для начала нужно открыть обзорное окно компьютера через кнопку «Выбрать файл». В этом окне укажем имя нашего текстового документа и загрузим его на сервер.
VirusTotal содержит ограничение на загружаемые документы, которые не должны оказаться по своему объему больше 128 Мб. Далее, жмем кнопку «Проверить» — и запускаем задание проверки. Полученный результат показывает, что ни один из доступных антивирусных сканеров (всего их 26) не определил загруженный нами объект как вредоносный.
Протестируем сервис с помощью текстового документа «Рецепт».
Далее, жмем кнопку «Проверить».
Загрузка файлика на сервер.
Процесс анализа «Рецепт.txt».
Результат анализа.
Теперь, подгрузим на сервер библиотеку с руткитом. Уже на стадии загрузки перед нами выскакивает окошко, сообщающее, что данный объект уже проходил исследование и тогда 16 сканеров из 57 признали, что он вредоносный.
Сделав еще одно исследование, получим результат в виде 18 сканеров из 56 признающих загруженный объект вредоносным. Как видим, часть антивирусных сетевых сканеров продолжают считать нашу библиотеку вполне безобидной, хотя в ее составе находится руткит.
Представим результат предыдущего анализа.
И посмотрим на результат нового анализа.
Как видим, не все антивирусы считают «rootkit_lib» вредным.
Исследование с помощью Metascan Online
Metascan, как и VirusTotal, предлагает сервис проверки файлов, однако этот сервис выглядит немного лучше по дизайну. Кроме того, он поддерживает загрузку документов на сервер объемом до 140 Мб, что выше, чем у VirusTotal. Для начала загрузим на сервер наш текстовый файлик, выбрав его из диалогового окна компьютера, после нажатия кнопки «Select a file». Как только объект загружается, веб-сервис начинает его проверять ресурсами 39 сканеров. В итоге, мы получаем сообщение, что наш объект полностью здоров.
Анализ файла «Рецепт.txt».
Как видим, результат вполне очевиден
Далее, подгрузим на сервер руткит.
В этот раз исследование проводится 43 доступными антивирусными сервисами. Из них только 12 признали наш объект вредоносным, а все остальные не считают его вредным. Результат практически такой же, как у VirusTotal.
На этом скрине изображена часть антивирусов, признавших вредоносность «rootkit_lib».
Проверка с помощью Dr. Web
Dr.Web — специализированный ресурс, располагающий собственной базой данных вредоносных программ. Для исследования нам понадобится воспользоваться услугами «Файлопатолога Dr.Web». Вес загружаемого на сервер документа не может превышать 10 Мб. При необходимости исследовать можно целый пакет файлов, создав из них архив.
Загрузим наш текстовый файлик и протестируем его на заражение. «Файлопатолог» выдаст результат в отдельном окошке, где предоставит информацию о времени проверки, самом объекте, а также о его здоровье.
Проанализируем сначала «Рецепт.txt».
Как видим, угроз не обнаружено.
Попросим «Файлопатолог» проверить наш руткит. После непродолжительного сканирования, он выдаст информацию о зараженном файле. При этом определит название «болезни», которым принято у специалистов Dr.Web обозначать данный руткит — Trojan.Virtumod.10616.
Файлопатолог признал анализируемую библиотеку инфицированной
Краткий итог
В нашем небольшом исследовании мы постарались проверить два документа на заражение с помощью различных антивирусных сетевых сканеров: VirusTotal, Metascan Online, Dr.Web.
При загрузке текстового файлика все три сервиса определяли, что он вполне безобиден. При исследовании библиотеки с руткитом «мнения» разных сканеров немного разошлись. Данный факт свидетельствует о том, что сигнатура нашего вредоносного файла оказалась только в части антивирусных баз, поэтому проверять подозрительные объекты следует, как минимум, несколькими сервисами, которые считаются авторитетными в антивирусных кругах.