Часто ли бывает, что вы скачали программу с зеленого магазина, залили на VirusTotal, увидели 0 угроз и пошли открывать? Так вот, вирустотал это не детектор вирусов, а фраза 0 угроз после сканирования буквально НИЧЕГО

Как работает VirusTotal и почему его очень легко обойти?

Что такое VirusTotal (VT) на самом деле

Вирустотал это сайт куда можно загрузить файл и он проверится десятками антивирусных движков. Когда мы заливаем файл на этот сайт мы думаем, что вот мы прогоним файл через 60 антивирусов и узнаеместь ли там вирусы. В этом есть смысл, только вот виурстотал не работает...

Как вообще работают антивирусы?

VT это буквально штука которая проводит файл через куча антивирусов, а значит для понимания проблем вирустотала нужно в целом понять как рабоатет антивирус.

Все антивирусы работают по примерно одной схеме: они просто смотрят метаданные файла, смотрят порядок фукнций, анализируют упаковщик и сравнивают сигнатуру файла с базой уже существующих вирусов. У антивирусов просто нет других способов определения вирусный файл или нет, поэтому в движках отличается внутренняя база вирусов, которую они набивали в течение своего существования.

0/60 антивирусов нашли вирусы!

“0” означает отсутствие детектов у перечисленных движков по данному файлу
и, что явных доказательств, что явных доказательств вредоновости файла нет (ровно как и нет доказательств безопасности)

Но почему-то VT нигде об этом пишет, а при проверке файла высвечивает 0/60 и слово safe и конечно же все зеленом.

Бизнес бизнесом, но так пропускаются реально опасные файлы.
Вы же помните как в юторренте нашли майнер, хотя из-за официальной подписи VT выдал результат 0/60

Технические проблемы VirusTotal

VirusTotal ничего не запускает

VT видит только часть поведения файла, его метаданные, структуру файла и сигнатуры, подпись но какое отношение оно имеет к определению вирус это или нет? Правильно, никакого.

И даже сигнатуры, поведение файла и код можно обфусцировать, тупо запутать бесплатными инструментами, и тогда даже поверхностный анализ ничем не поможет.

А еще это все значит, что разработчик может скриптом создать куча вариантов одного виурса с измененными сигнатурами... И что у нас получается? Куча однотипных программ, которые при анализе будут выглядеть как разные, а значит если один из них пометят как вирус, то другие будут жить с 0/60 в окне проверки

А что если антивирус умеет запускать файлы? Как же sandbox

Некоторые из вас могут возразить, ну как же, некоторые движки запускают файлы? Даже если так, то это обходится простой лесенкой запусков, вот например.

Если на VirusTotal попал только первый слой или лоадер, а вирусня подтянется позже, то проверка будет выглядеть чистой

Даже если файл запускается, он может не сделать ничего плохого в окне анализа. Он может ждать клика, ввода пароля, перезагрузки, времени, геолокации, конкретной версии ОС, наличия определенного ПО, домена, языка системы, прав администратора.

ПО может откладывать действия на 30–60 минут, чтобы переждать таймаут сендбокса антивируса.

Не будет же вирустотал ждать 3-4 дня пока мальварь начнет наводить суету в системе. А если подождет?..

Вирусы знают где они запущены, у вас на компе или в вирутальной машине

Вредоносы умеют распознавать где они запущены. У виртуальных окружениях антивирусов есть очевидные маркеры, по которым можно понять что ос фейковая. Сендбоксы не скачивают отдельный виндоус 11 под каждый запуск на новом пк, потому что это дорого ну и зачем когда можно использовать мелкую виртуальную машину. Вирусы это все видят, определяют есть ли инструменты анализа, отладчики, мониторинг, лабораторные домены, смотрят истории файлов

Если признаки лаборатории есть, то вредонос может уйти в пассив, показать ошибку завершиться или что еще придумайте

Антивирусы в VT очень слабые и работают не в полную силу

У VT есть своя специфика: многие вендоры не выкатывают в VT всю полноту своих облачных проверок, репутационных графов и внутренних контекстных сигналов, которые срабатывают на компьютере клиента или в их облаке. Поэтому антивирус в реальности видит больше, чем тот же бренд в VT

VirusTotal пропускает реальные вирусы и выдает чистые файлы за троян

VT маркирует файлы как безопасные по тупым и не всегда очевидным причинам. Например, разрабы выкатили новый образец, или если образец редкий и нигде не светился или что еще хуже образец рассчитан на конкретную жертву

Работает это ровно и наоборот, оно пропускает чистые файлы, потому что чистый файл ловит детекты из-за редкого упаковщика, совпадения с кусками вредонос кода (да даже такое бывает), неудачной эвристики или просто антивирусу так захотелось :/

Любой детектор балансирует между пропуском (false negative) и ложными срабатываниями (false positive). Если сделать движок слишком строгим, то он начнет банить все подряд: админские инструменты, самописные программы, инсталляторы, корпоративные агенты, скрипты. Если сделать мягким, то пропуски вырастут.

Раньше некоторые движки VT показывали вирусы... в официальном клиенте java.exe с сайта оракла.

Я позаливал разные файлы и во многих чистых приложениях у него было ложное срабатывание. Например, официальный клиент unetbootin.exe, скачанный напрямую с гитхаба. Как бы очевидно, что виурсов там нет, но мессенджнер MaxSecure и какая-то Zillya нашли трояны... ладно

Лучше проверить файл на вирустотале, чем не проверить, но доверять циферке в окне проверки не стоит. В конце концов вы по-любому имеете куча вирусов на компе, просто даже не знаете об их существовании, потому вирусы это давно не Амиго с майнерами, которые сжирают 90% твоего цп

Все ваши УДАЛЕННЫЕ сообщения в Telegram хранятся на устройстве... их можно восстановить