Популярный веб-сервис VirusTotal позволяет пропустить любой файл через 20 антивирусных сканеров за один проход и опубликовать ссылку на результаты проверки в открытом доступе. Не так давно сервис купила компания Google. Приятно знать, что он всё равно остался бесплатным. Более того, команда разработчиков продолжила развивать и вносить улучшения в его работу.
Последнее улучшение очень существенное — теперь на проверку VirusTotal можно отправлять не только обычные документы и исполняемые файлы, но ещё и дампы сетевого трафика в стандартном формате PCAP.
Дампы сетевого трафика можно сохранить снифером вроде Wireshark или tcpdump. В процессе анализа VirusTotal извлечёт оттуда все передаваемые файлы и уже в нормальном виде представит их антивирусным движкам на анализ. Зарегистрированные пользователи получат копию извлечённых файлов.
Кроме этого, трафик анализируется с помощью систем обнаружения вторжений Snort и Suricata на предмет подозрительной активности. Эти системы способны обнаружить, например, коммуникации между клиентом ботнета и командным сервером.
Результат анализа Snort и Suricata показан на вкладке “File details”.
Вот примеры некоторых подобных сканов.
