Популярный веб-сервис VirusTotal позволяет пропустить любой файл через 20 антивирусных сканеров за один проход и опубликовать ссылку на результаты проверки в открытом доступе. Не так давно сервис купила компания Google. Приятно знать, что он всё равно остался бесплатным. Более того, команда разработчиков продолжила развивать и вносить улучшения в его работу.

Последнее улучшение очень существенное — теперь на проверку VirusTotal можно отправлять не только обычные документы и исполняемые файлы, но ещё и дампы сетевого трафика в стандартном формате PCAP.

Дампы сетевого трафика можно сохранить снифером вроде Wireshark или tcpdump. В процессе анализа VirusTotal извлечёт оттуда все передаваемые файлы и уже в нормальном виде представит их антивирусным движкам на анализ. Зарегистрированные пользователи получат копию извлечённых файлов.

Кроме этого, трафик анализируется с помощью систем обнаружения вторжений Snort и Suricata на предмет подозрительной активности. Эти системы способны обнаружить, например, коммуникации между клиентом ботнета и командным сервером.

Результат анализа Snort и Suricata показан на вкладке “File details”.

Вот примеры некоторых подобных сканов.

https://www.virustotal.com/en/file/04a8b5a41cf58c2b9330c07e77949b0f94a632e74e7889f7c99f03e74da0f475/analysis/

https://www.virustotal.com/en/file/04cf54c95b58f15a2d06ad805a49b20233408737eb417190a817fd189bcf2329/analysis/

https://www.virustotal.com/en/file/0763ef06a07c35993775ae4cef433204f2e1127932a5555cfa9658b1b90f7fa3/analysis/

https://www.virustotal.com/en/file/59083bbd0391ed8a491924ea71905a587d71cde8fc4e8a4138a938fa78f2ebfc/analysis/

Оставить мнение