Понимание отчета VirusTotal

519
Xabache

Я проверил файл на VirusTotal, и 10% отзывов говорят, что это плохо. Мой вопрос: почему они все не сказали, что это плохой файл? Почему компании, которые я узнаю и которым доверяю, не сказали, что это плохо? Могу ли я получить некоторые мнения о том, как можно интерпретировать отчет, подобный приведенному ниже? 10% просто не правы? И наоборот, 90% ошибаются?

https://www.virustotal.com/#/file/c6bf8ec7f158734b5201e080bebcd37bc2553cc6588dda0d6f0bc2fbda07bf08/detection

2
Различные компании используют разные методы для проверки на наличие вредоносных программ. Все они будут помечать некоторые хорошие файлы как вредоносные и не смогут пометить некоторые плохие файлы как вредоносные. Причина, по которой вы будете использовать VirusTotal, состоит в том, чтобы узнать, каково общее мнение. В этом случае кажется, что вероятность того, что файл плохой, составляет около 10%. Blackwood 6 лет назад 2

1 ответ на вопрос

2
TOOGAM

Я начну с данных со ссылочной веб-страницы, на которую я ссылаюсь. (Столбцы не были помечены, поэтому я вставил значения, основываясь на том, что они выглядели так, как они упоминали.)

Поставщик антивируса: CAT-QuickHeal
Trojan.IGENERIC
Антивирусное программное обеспечение: Cyren
W32 / GenBl.DEAF24C0! Olympus

Поставщик антивируса: GData
Win32.Trojan.Agent.2OV2PC
Антивирусное программное обеспечение: Ikarus
Trojan.Win32.Agent

Поставщик антивируса:
растущее вредоносное ПО. Не определено! 8.C (CLOUD)
Антивирусное программное обеспечение: TrendMicro-HouseCall
Suspicious_GEN.F47V0716

Как только вы обнаружите, что что-то помечено, стоит обратить внимание на следующее: «Почему это было помечено?» Итак, начните спрашивать каждого.

Для CAT-QuickHeal он, по-видимому, маркирует программный продукт как троян (сокращенно «Троянский конь», названный в честь знаменитой ловушки и используемый в индустрии компьютерной безопасности для обозначения программного обеспечения, которое действует так, как будто выполняет одно, но имеет очень зловещая цель). И в какой семье это троянские кони? IGeneric. Может быть, я стоит за Интернет?

W32 / GenBl.DEAF24C0! Olympus выглядит более конкретно, поэтому я использовал его в качестве строки поиска.

Еще один универсальный сайт (то есть, тесно связанный только с одним поставщиком), CVEDetails. Перейдя к источнику данных об уязвимостях Ultimate Security CAT-QuickHeal, я искал Olympus W32 / GenBl.DEAF24C0! Или другие варианты, но ничего не нашел.

"DEAF24C0" состоит из полностью шестнадцатеричной. Сначала я подумал, что это может быть какое-то осмысленное слово, но через некоторое время я начал думать, что это просто шестнадцатеричное число (которое, как правило, начинается с английского слова «Глухой»). Я начал верить, что гораздо больше, когда заметил, что вкладка «Подробности» VirusTotal показывает MD5, начиная с deaf24c0. Таким образом, deaf24c0 - это первые 8 "цифр" хеша MD5.

С другой стороны, Google Search для GenBL Olympus, похоже, показал несколько вариантов, и никто, похоже, не знал точно, что он делает.

Продвигаясь дальше, мы видим, что GData считает, что это Win32 (32-разрядная совместимая с Microsoft Windows платформа) троянская программа (программа с поддельными намерениями) (программное обеспечение, работающее в фоновом режиме). Это много общих фраз. Наиболее конкретный, 2OV2PC, не дал результатов поиска.

Энциклопедия угроз TrendMicro не показывает ничего для F47V0716.

Мы также можем проверить другие детали VirtusTotal.

Вкладка « Поведение» из этого файла показывает, что он создает некоторые временные файлы, выполняет код (он же запускает программу) в файле с именем, оканчивающимся на .tmp (см. Раздел «Процессы созданы»), и использует пакет innocallback.dll.

Innocallback.dll предлагает мне использовать InnoSetup, программу, которая делает установщики. Это также подтверждается тем, что вы переходите на вкладку «Сведения» этого поиска и видите 76,6% участия «Установщика Inno Setup». На вкладке dDetails отображается комментарий «Эта установка была собрана с помощью Inno Setup».

Итак, основываясь на всем вышеизложенном, я пришел к неокончательному выводу (который я с тех пор изменил свое мнение), что это программное обеспечение кажется «безопасным», по моим стандартам «безопасного». Некоторым антивирусным программам может показаться, что это похоже на «Adware», но меня это не особо беспокоит, если я в конечном итоге вижу рекламу. Это может быть связано с тем, что какое-то программное обеспечение беспокоит при запуске установщика, поскольку установщики, как правило, делают такие вещи, как оставление файлов позади, и, возможно, регистрируют файлы DLL или другие действия, требующие прав администратора.

Однако я продолжал искать, а затем заметил некоторые детали, объясняющие, почему я перестал доверять этой программе. Все эти детали были найдены на вкладке «Подробности» этого поиска . Я начну с того, что просто приведу подробности, которые мне показались наиболее интересными:

  • Размер файла 3,92 МБ
  • Время создания 2012-10-02 05:04:04
  • Впервые увиденный в дикой природе 2010-11-20 23:29:33
  • Упаковщики: F-PROT INNO, в комплекте
  • Copyright FitGirl
  • Описание Wolfenstein II Setup
  • Содержащиеся ресурсы: 9 нейтральных, 5 китайских упрощенных, 3 американских английских

Хорошо, вот причины, по которым я вижу проблемные аспекты в этом.

  1. Прежде всего, почему программа была замечена в 2010 году, но сообщала о времени создания 2012 года?

  2. Тот факт, что он, кажется, имеет некоторые китайские компоненты, кажется подозрительным, если нет каких-либо объяснений. Если это программное обеспечение было связано с какой-то международной торговлей, в которой участвует Китай, это может иметь некоторый смысл. Если бы это была программа, только что скачанная из Интернета, я был бы намного осторожнее. Я достаточно непредубежден, чтобы хотеть честно дать людям во всем мире шанс, и я лично предпочитаю дать бизнесу в Китае, чтобы у нас были веские основания поддерживать дружеские связи с ними, и я знаю, что куча материала, который я использую, была изготовлена в Китае. Но, несмотря на все это, когда я вижу участие Китая в Интернете, я обнаружил, что чаще всего это связано с какой-то кибератакой, мошенничеством или другими крайне нежелательными вещами.

  3. Возможно, наиболее осуждающе, он идентифицирует себя как «Настройка Wolfenstein II». Теперь я оказался геймером в то время, когда был продан Замок Вольфенштейн. Сиквел Beyond Castle Wolfenstein, выпущенный в 1984 году, выглядит так, что его можно загрузить в размере от 52 до 55 КБ. Если это так, то почему этот файл близок к 4000 КБ? Или, возможно, это должно было быть «Возвращение в замок Вольфенштайн», размер которого составлял около 36 000 КБ. Или, возможно, это был новый Wolfenstein II: Новый Колосс, выпущенный в 2017 году, для которого требуется 27 000 000 КБ свободного места ( NintendoLife: Wolfenstein 2 ). Ни в одном из этих случаев размер файла 3,92 МБ не имеет большого смысла, если только это не включает эмулятор или загрузчик. В таких случаях я чувствовал бы себя намного удобнее, просто загружая полезные файлы напрямую.

Кроме того, почему этот установщик распространяется "FitGirl", а не MUSE, "id Software", Bethesda или Activision? Это не похоже ни на дистрибьютора программного обеспечения, участвующего в оригинальном программном обеспечении Wolfenstein, ни на кого-либо из нынешних крупных компаний-разработчиков программного обеспечения, которые были связаны с именем Wolfenstein.

Похоже, в лучшем случае вы, вероятно, смотрите на файл, который нарушает авторские права. Особенно, если этот файл был предназначен для коммерческого использования, это широко рассматривается как серьезное нет-нет (даже игнорируя идею, что развлекательное программное обеспечение может считаться неподходящим для многих предприятий). Это лучший вариант развития событий. Если мы не имеем дело с лучшим сценарием, то, вероятно, мы имеем дело с кем-то, кто вводит в заблуждение. В любом случае, я не считаю вероятным, что это кажется хорошим / безопасным / рекомендованным.

Теперь, чтобы ответить на ваш вопрос о различных вирусных программах, сообщающих о разных вещах, это просто известно. Многое из того, что делается во время обнаружения вредоносных программ, основано на ранее выявленных и известных проблемах или наилучших предположениях, основанных на поведении программного обеспечения.

Антивирусное программное обеспечение умерло, говорит эксперт по безопасности Symantec ... «Руководитель информационной службы Norton Developer утверждает, что программное обеспечение в целом пропускает 55% атак».

Wired.com: Микко Гиппонен (из F-Secure): Почему Антивирусные компании Как Mine удалось поймать Flame и Stuxnet упоминается

«Это означает, что все мы пропустили обнаружение этой вредоносной программы в течение двух или более лет. Это впечатляющий провал для нашей компании и для антивирусной индустрии в целом ».

«Это был не первый раз, когда это произошло. Stuxnet оставался незамеченным в течение более года после того, как был выпущен в дикой природе, и был обнаружен только после того, как антивирусная фирма в Беларуси была вызвана, чтобы посмотреть на машины в Иране »

«Эта история не заканчивается Flame. Весьма вероятно, что уже ведутся другие подобные атаки, которые мы еще не обнаружили. Проще говоря, атаки, подобные этим, работают ».

«Flame был провалом для антивирусной индустрии. Мы действительно должны были сделать лучше. Но мы не сделали. Мы были вне нашей лиги, в нашей собственной игре ».

Итак, поймите, что хотя эти программные продукты пытаются обеспечить душевное спокойствие, реальность такова, что они не являются надежными.

You are correct on every doubt i can confirm you doubt is correct. And can say good show man! It is a FitGirl redistribution of a copyright infringing game of 2017s Wolfenstein II a 60GB game, for which this is the installer. Don't judge me, you don't know my reasons. And the chinese i suspect would be 3Dm related, the infamous chinese game cracker who breaks Denuvo frequently, supplying FitGirl with his RePack. And of course to answer my real question, which you did. Majority rules, trust your brand names, not everyone is right all the time. Go with the flow! Xabache 6 лет назад 0

Похожие вопросы