В базах сов­ремен­ных анти­вирус­ных про­дук­тов содер­жатся опи­сания свы­ше десяти мил­лионов вре­донос­ных прог­рамм. Мно­гие из них уже не спо­соб­ны запус­тить­ся в сов­ремен­ных ОС или вов­се никог­да не встре­чались в диком виде, но «сухой оста­ток» пред­став­ляет реаль­ную угро­зу. Час­то уста­нов­ленный анти­вирус не детек­тиру­ет отдель­ные злов­реды. Мы про­тес­тирова­ли облачные сер­висы, выпол­няющие сиг­натур­ную про­вер­ку сра­зу по десят­кам баз и допол­няющие ее рас­ширен­ным поведен­ческим ана­лизом.

В *nix-сис­темах анти­вирус всег­да был опци­ональ­ным ком­понен­том, а у поль­зовате­лей Windows даже с ним оста­ется шанс, что в их сис­тему прос­коль­знет неиз­вес­тный злов­ред. Эвристи­ка и про­активная защита тоже не панацея. При мяг­ких нас­трой­ках они про­пус­кают мно­гие потен­циаль­но опас­ные прог­раммы, а при парано­идаль­ных — руга­ются на все под­ряд и парали­зуют нор­маль­ную работу. Режим обу­чения может длить­ся веч­но, пос­коль­ку прог­рам­мная сре­да пос­тоян­но меня­ется.

Ка­залось бы, мож­но уста­новить вто­рой, тре­тий, десятый анти­вирус и повысить свою защиту, мирясь с избы­точ­ностью. Веро­ятность того, что злов­ред не будет опоз­нан ни одним из них, по идее, дол­жна быть мень­ше. Одна­ко на прак­тике все наобо­рот: каж­дый сов­ремен­ный анти­вирус содер­жит резиден­тный модуль и средс­тва самоза­щиты, которые несов­мести­мы с ана­логич­ными раз­работ­ками дру­гих ком­паний. Если ты деталь­но пред­став­ляешь механизм их работы и пла­ниру­ешь вруч­ную устра­нять кон­флик­ты, то нуж­но быть готовым к тому, что проб­лемы воз­никнут сра­зу во вре­мя уста­нов­ки: ког­да инстал­лятор одно­го анти­виру­са находит в сис­теме дру­гой, то обыч­но он прос­то отка­зыва­ется про­дол­жать уста­нов­ку.

Есть более уни­вер­саль­ный и безопас­ный спо­соб про­верить любой подоз­ритель­ный файл сра­зу по нес­коль­ким базам — отпра­вить его на авто­мати­чес­кий ана­лиз в одну из спе­циали­зиро­ван­ных служб. Они отли­чают­ся воз­можнос­тями, но прин­цип работы у всех один и тот же. На уда­лен­ном сер­вере запуще­но нес­коль­ко вир­туаль­ных машин, в которых парал­лель­но про­веря­ется прис­ланный файл. Помимо полусот­ни анти­виру­сов, сов­ремен­ные сер­висы бес­плат­но пре­дос­тавля­ют рас­ширен­ный ана­лиз, отчет о репута­ции фай­ла или сай­та, а так­же име­ют воз­можность выпол­нения пов­торной про­вер­ки и прос­мотра пре­дыду­щих резуль­татов. Пос­коль­ку у фай­лов могут быть раз­ные име­на при оди­нако­вом содер­жимом, их иден­тифика­ция выпол­няет­ся по кон­троль­ным сум­мам. Для это­го исполь­зуют­ся хеш‑фун­кции MD5, SHA-256 и дру­гие.

 

Великолепная четверка

VirusTotal (https://www.virustotal.com/ru/) — самая извес­тная сре­ди бес­плат­ных онлай­новых служб мно­гоуров­невой анти­вирус­ной про­вер­ки. Она была соз­дана десять лет назад испан­ской фир­мой Hispasec Sistemas. Осенью 2012 года ее выкупи­ла ком­пания Google, но для поль­зовате­лей прак­тичес­ки ничего не изме­нилось. Во вся­ком слу­чае, в худ­шую сто­рону. Как и преж­де, сер­вис выпол­няет ана­лиз подоз­ритель­ных фай­лов и ссы­лок на пред­мет наличия в них вирусов, чер­вей, тро­янов и фраг­ментов вре­донос­ного кода дру­гого типа. Под­держи­вает­ся ана­лиз любого бинар­ного кода: исполня­емых фай­лов Windows, пакетов APK для Android, докумен­тов PDF, скрип­тов и так далее. Для про­вер­ки в нас­тоящее вре­мя исполь­зует­ся 53 анти­виру­са, 15 ути­лит глу­боко­го авто­мати­чес­кого ана­лиза (вклю­чая SandBox, Snort, Wireshark и дру­гие) плюс 61 репута­цион­ная база дан­ных веб‑сай­тов. Весь арсе­нал обновля­ется каж­дый час. Интерфейс переве­ден на 32 язы­ка, вклю­чая рус­ский. Огра­ниче­ния на раз­мер фай­ла — 128 Мб, одна­ко по инди­виду­аль­ному зап­росу мож­но поп­росить про­ана­лизи­ровать фай­лы и боль­шего объ­ема. Вари­антов отправ­ки на VirusTotal боль­ше, чем у любого подоб­ного ресур­са. Это может быть тра­дици­онная веб‑фор­ма, элек­трон­ная поч­та, собс­твен­ный кли­ент заг­рузки или модуль для отправ­ки по HTTP через откры­тый API из любого сто­рон­него при­ложе­ния.

Ос­новной кон­курент VirusTotal — это Metascan online (https://www.metascan-online.com), бес­плат­ный сер­вис ана­лиза фай­лов про­изводс­тва аме­рикан­ской ком­пании OPSWAT. Она была осно­вана в 2002 году и пред­лага­ет чуть менее жес­ткие огра­ниче­ния: на ана­лиз мож­но прис­лать файл объ­емом до 140 Мб. Про­верять его будут 42 анти­виру­са. Их общее количес­тво хоть и мень­ше, чем у VirusTotal, но вклю­чает некото­рые отсутс­тву­ющие там прог­раммы: сей­час это Preventon, STOPzilla, VirIT, XVIRUS, Zillya и Zoner. Репута­цион­ный спи­сок гораз­до скром­нее — все­го 13 источни­ков, одна­ко сре­ди них тоже есть уни­каль­ные, такие как Brute Force Blocker, Chaos Reigns, Dragon Research Group, Feodo Tracker, The Spamhaus Project и OpenBL. Таким обра­зом, наборы средств для про­вер­ки у VirusTotal и Metascan не пол­ностью дуб­лиру­ют друг дру­га. На прак­тике целесо­образно исполь­зовать оба ресур­са для получе­ния рас­ширен­ных резуль­татов ана­лиза.

Ме­нее известен Jotti virusscan.jotti.org/ru — бес­плат­ный онлай­новый ска­нер, исполь­зующий 22 анти­виру­са (толь­ко те, у которых есть вер­сия для Linux). Мак­сималь­ный объ­ем заг­ружа­емо­го фай­ла здесь очень мал — все­го 25 Мб, но это­го обыч­но хва­тает для ана­лиза отдель­ных exe и dll. Набор средств ана­лиза у Jotti скро­мен и пол­ностью перек­рыва­ется сер­висами VirustTotal и Metascan. Хорошо знать о нем на слу­чай, если дру­гие недос­тупны, но на прак­тике сам он ока­зыва­ется перег­ружен зап­росами гораз­до чаще.

Еще один подоб­ный про­ект — VirSCAN virscan.org. Огра­ниче­ния на мак­сималь­ный раз­мер заг­ружа­емых фай­лов в нем сов­сем жес­ткие — 20 Мб, одна­ко сер­вис под­держи­вает ана­лиз архи­вов в фор­матах RAR и ZIP. Прав­да, лишь при усло­вии, что внут­ри архи­ва находит­ся не более 20 фай­лов. Почему раз­работ­чики так любят чис­ло 20 — загад­ка.

Заг­рузке фай­ла на любой из перечис­ленных сер­висов может помешать анти­вирус, уста­нов­ленный локаль­но или на сто­роне про­вай­дера. В пер­вый мож­но добавить вре­мен­ное исклю­чение, а для обхо­да вто­рого — исполь­зовать пароль­ную защиту архи­ва. VirSCAN авто­мати­чес­ки рас­паковы­вает архи­вы с пароля­ми virus и infected. В нас­тоящее вре­мя сер­вис исполь­зует 39 анти­виру­сов, но при­мер­но треть из них силь­но уста­рела. Десять ска­неров не обновля­лись с прош­лого года, а базы AhnLab и CTCH датиру­ются 2013 годом. Оставши­еся 27 акту­аль­ных ска­неров пол­ностью дуб­лиру­ются у VirustTotal и Metascan, где базы обновля­ются пос­тоян­но.

 

Полевые испытания

Срав­нивать заяв­ленные харак­терис­тики сер­висов не так инте­рес­но, как про­верять их на прак­тике. Конеч­но, я не пре­тен­дую на уро­вень срав­нитель­ного тес­тирова­ния ана­лити­чес­кой ком­пании, но мой неболь­шой экспе­римент все же дал некото­рые резуль­таты.

Для начала я запус­тил в вир­туаль­ной машине чис­тую Windows XP и устро­ил веб‑сер­финг в IE. Чес­тное извра­щен­ское, я кли­кал на все под­ряд, и тем охот­нее, чем гаже выг­лядел бан­нер. При­мер­но за пол­часа в кеше бра­узе­ра наб­ралось нес­коль­ко вре­донос­ных Java-скрип­тов и пара мел­ких тро­янов.

Windows XP — естественная среда обитания большинства зловредов
Windows XP — естес­твен­ная сре­да оби­тания боль­шинс­тва злов­редов

По­думав, что это как‑то несерь­езно, я отпра­вил­ся на охо­ту, воору­жив­шись хит­рой флеш­кой. Хит­рость зак­лючалась в том, что при помощи коман­ды mkdir "\\?\%~d0\AUTORUN.INF\LPT5" на ней был соз­дан каталог AUTORUN.INF и под­каталог LPT5. Имя пос­ледне­го сов­пада­ет с иден­тифика­тором парал­лель­ного пор­та, поэто­му штат­ными средс­тва­ми ОС Windows такую запись (и все свя­зан­ные с ней) в фай­ловой сис­теме нель­зя ни соз­дать, ни пере­име­новать, ни уда­лить.

Со­ответс­твен­но, вирусы с чужих компь­юте­ров будут спо­кой­но копиро­вать­ся на флеш­ку, но не будут пред­став­лять угро­зы до их руч­ного запус­ка. Они не ста­нут заражать дру­гие компь­юте­ры авто­мати­чес­ки, так как не смо­гут соз­дать файл autorun.inf и про­писать себя на авто­запуск. Пос­ле посеще­ния пары вузов, интернет‑цен­тра город­ской биб­лиоте­ки и компь­ютер­ного клу­ба (да, они еще сущес­тву­ют!) тес­товый набор был готов.

В архив вош­ли шесть пред­ста­вите­лей раз­ных вре­донос­ных семей­ств, вклю­чая тро­ян, бэк­дор, пару сетевых чер­вей, упа­кован­ный вирус для Win32 и одну «нежела­тель­ную прог­рамму» — SFX-архив с паролем, вымога­ющий день­ги за свою рас­паков­ку. Это не резуль­тат работы тро­яна‑шиф­роваль­щика, а баналь­ный соци­аль­ный инжи­ниринг. Поиск по сай­там анти­вирус­ных ком­паний показал, что все тес­товые объ­екты были добав­лены в базы дан­ных более двух лет назад. Как видишь, их копии встре­чают­ся до сих пор.

Тем любопыт­нее, что при про­вер­ке с помощью VirusTotal «показа­тель выяв­ления» сос­тавил 48 из 53 (bit.ly/14Nc3YB). Пять анти­виру­сов не замети­ли ни одно­го из шес­ти злов­редов в архи­ве.

Пять сканеров не видят присланных зловредов в упор
Пять ска­неров не видят прис­ланных злов­редов в упор

Здесь нуж­но пояс­нить, что AegisLab ищет толь­ко угро­зы для Android (в тес­те их не было), поэто­му его вер­дикт понятен. SUPERAntiSpyware нацеле­на пре­иму­щес­твен­но на рек­ламные модули и ожи­даемо пло­хо справ­ляет­ся с тро­яна­ми. ByteHero вооб­ще не исполь­зует базы, а опи­рает­ся на эвристи­чес­кий алго­ритм. Как покажет даль­нейшее тес­тирова­ние, проб­лема зак­люча­ется не в качес­тве его эвристи­ки, а в некор­рек­тной рас­паков­ке архи­вов на выделен­ной ему у VirusTotal вир­туаль­ной машине.

Что до AhnLab V3 и MicroWorld-eScan, то пол­ный про­вал уди­вите­лен. Оба анти­виру­са позици­они­руют­ся как ком­плексные решения для обес­печения безопас­ности на раз­ных плат­формах, но про­мор­гали все шесть угроз и соч­ли архив безопас­ным. Еще один ска­нер (Sophos) был недос­тупен на момент тес­та (видимо, обновлял­ся), а все осталь­ные ука­зали в резуль­татах имя пер­вого заражен­ного фай­ла.

Заг­ружа­ем тот же архив в Metascan. В пер­вую оче­редь сер­вис порадо­вал деталь­ностью отче­та: он единс­твен­ный показал на отдель­ной вклад­ке ста­тис­тику обна­руже­ния для каж­дого рас­пакован­ного фай­ла. Пол­ностью безопас­ным архив соч­ли лишь два анти­виру­са: Tencent и Xvirus (bit.ly/1DR9CQd). Обра­ти вни­мание: ByteHero здесь обна­ружил вре­донос­ный код, но не смог это­го сде­лать при ана­лизе того же архи­ва на VirusTotal. Видимо, у этих сер­висов есть свои осо­бен­ности рас­паков­ки. Пока архи­вы луч­ше слать на Metascan.

Общая и детальная статистика проверки Metascan
Об­щая и деталь­ная ста­тис­тика про­вер­ки Metascan

Скром­ный сер­вис Jotti дал стоп­роцен­тно вер­ный вер­дикт заражен­ному архи­ву. По количес­тву ска­неров он усту­пает дру­гим ресур­сам онлай­нового ана­лиза, но в его под­борку вош­ли дей­стви­тель­но про­верен­ные решения. Ста­тис­тика здесь, прав­да, не такая деталь­ная, как у Metascan.

Jotti — стопроцентный результат
Jotti — стоп­роцен­тный резуль­тат

Толь­ко Eset NOD32 рапор­товал об обна­руже­нии мно­жес­твен­ных угроз (без рас­шифров­ки), в то вре­мя как осталь­ные огра­ничи­лись упо­мина­нием пер­вого заражен­ного фай­ла (bit.ly/1y5BBNr).

Сер­вис VirSCAN ока­зал­ся самым кап­ризным. При выборе рус­ско­го или англий­ско­го язы­ка интерфей­са он про­дол­жал показы­вать сооб­щение на китай­ском. Ока­зыва­ется, ему не нра­вит­ся имя архи­ва, содер­жащее бук­вы AV. Без Google Translate я бы это­го никог­да не узнал.

VirSCAN ругается на пиньинь независимо от выбранного языка
VirSCAN руга­ется на пинь­инь незави­симо от выб­ранно­го язы­ка

Пос­ле игр с пере­име­нова­нием (спи­сок некошер­ных имен ниг­де не ука­зан) наконец‑то уда­лось отпра­вить файл на ана­лиз. Из 39 ска­неров 34 соч­ли архив заражен­ным (bit.ly/1ss2V5N). По понят­ным при­чинам ничего не наш­ли толь­ко анти­виру­сы для Android и откро­вен­но китай­ские подел­ки (jiangmin, hauri, pcc). Информа­тив­ность отче­та сред­няя: как обыч­но, в стро­ке резуль­тата ука­зыва­ется толь­ко имя пер­вого из обна­ружен­ных злов­редов.

Снова пять сканеров пропустили зловреды
Сно­ва пять ска­неров про­пус­тили злов­реды

Об­разцом того, как не надо выпол­нять облачный ана­лиз, стал сер­вис IObit Cloud (cloud.iobit.com). В его отче­те вооб­ще не было никакой информа­ции, кро­ме нев­нятно­го ста­туса «риск» и оче­вид­ных вещей. Тип прис­ланно­го фай­ла, его раз­мер и кон­троль­ные сум­мы были извес­тны заранее. Чем про­веря­лось и с каким резуль­татом — великая тай­на!

Мы что-то нашли, но тебе не скажем
Мы что‑то наш­ли, но тебе не ска­жем

Прицельный огонь

При желании мож­но выпол­нить про­вер­ку и кон­крет­ным анти­виру­сом. Такая услу­га обыч­но дос­тупна на сай­те его раз­работ­чика, но спо­соб ее пре­дос­тавле­ния может быть раз­ным.

Пер­вой сер­вис бес­плат­ной онлай­новой про­вер­ки (в 1996 году) соз­дала оте­чес­твен­ная ком­пания Dr.Web. Фор­ма для ана­лиза фай­лов по‑преж­нему дос­тупна по ссыл­ке www.freedrweb.ru/aid_admin.

Про­вер­ку в облачной сис­теме авто­мати­зиро­ван­ного ана­лиза мож­но выпол­нить и у Comodo (camas.comodo.com). Отве­чает за нее сер­вис Instant Malware Analyzer, исполь­зующий фир­менную тех­нологию CAMAS (Comodo Automated Malware Analysis System). Код заг­ружен­ных фай­лов про­веря­ется по сиг­натур­ным сов­падени­ям, а затем его поведе­ние ана­лизи­рует­ся в вир­туаль­ной сре­де. Если файл име­ет приз­наки вре­донос­ных прог­рамм, то он будет добав­лен в гло­баль­ный чер­ный спи­сок и передан ана­лити­кам.

Дру­гую раз­новид­ность сос­тавля­ют ути­литы, спо­соб­ные про­верять, помимо отдель­ных фай­лов, активные про­цес­сы в ОЗУ компь­юте­ра, локаль­ные и сетевые дис­ки. Нап­ример, ЕSET Online Scanner может быть как запущен в окне IE, так и заг­ружен в виде отдель­ного кли­ент­ско­го при­ложе­ния. Нас­тро­ек в нем дос­тупно боль­ше, чем у мно­гих бес­плат­ных анти­виру­сов.

Проверка компьютера при помощи Eset
Про­вер­ка компь­юте­ра при помощи Eset

По­доб­ным обра­зом работа­ет Kaspersky Security Scan. При­ложе­ние выпол­няет поиск вре­донос­ных прог­рамм и ком­понен­тов, но в отче­те так­же перечис­ляет еще и най­ден­ные уяз­вимос­ти, а так­же оце­нива­ет сос­тояние защит­ного ПО.

Bitdefender QuickScan пред­лага­ет самую быс­трую облачную анти­вирус­ную про­вер­ку запущен­ных на компь­юте­ре про­цес­сов. Он опре­деля­ет активный вре­донос­ный код при­мер­но за минуту, но не выпол­няет глу­бокий ана­лиз фай­ловой сис­темы.

Trend Micro HouseCall — бес­плат­ная ути­лита для поис­ка и уда­ления вирусов, тро­янов, бэк­доров и ком­понен­тов назой­ливой рек­ламы. Есть вер­сии для ОС с раз­рядностью 32 или 64 бита.

Из мно­жес­тва дру­гих мож­но отме­тить Panda ActiveScan и F-Secure Online Scanner.

Спецназ

В 2005 году на базе пяти тех­ничес­ких уни­вер­ситетов раз­ных стран была учрежде­на орга­низа­ция The International Secure Systems Lab. Ее кол­лектив раз­работал спе­цифи­чес­кие ути­литы для ана­лиза фай­лов, на базе которых затем соз­дали обще­дос­тупные веб‑сер­висы — Wepawet и Anubis.

Wepawet (wepawet.iseclab.org) про­веря­ет типич­ное содер­жимое веб‑сай­тов (Flash, JavaScript и PDF). Прис­ланные фай­лы ана­лизи­руют­ся по собс­твен­ному алго­рит­му для выяв­ления подоз­ритель­ной сетевой активнос­ти, наличия извес­тных экс­плой­тов, вре­донос­ных ком­понен­тов ActiveX и дру­гих неб­лагона­деж­ных фраг­ментов исполня­емо­го кода.

Anubis (anubis.iseclab.org) ана­лизи­рует исполня­емые фай­лы Windows, пакеты Android APK и подоз­ритель­ные ссыл­ки.

Это экспе­римен­таль­ные про­екты, ори­енти­рован­ные в пер­вую оче­редь на прог­раммис­тов, веб‑дизай­неров и дру­гих про­фес­сиона­лов.

 

И немного об анонимности

Ре­зуль­таты про­вер­ки бес­плат­ными онлай­новыми ска­нера­ми ста­новят­ся дос­тупны всем поль­зовате­лям, а копии подоз­ритель­ных фай­лов отправ­ляют­ся раз­работ­чикам анти­вирус­ных прог­рамм. Если по какой‑то при­чине тебе понадо­билось выпол­нить про­вер­ку без огласки, то некото­рые сер­висы готовы пре­дос­тавить подоб­ные услу­ги кон­фиден­циаль­но, но уже за день­ги. Проб­лема в том, что гаран­тий здесь никаких, а день­ги нас­тоящие. Нап­ример, на Scan4You.net обе­щает­ся про­вер­ка прис­ланных фай­лов 35 анти­виру­сами и вве­ден­ных ссы­лок по 32 попол­няемым чер­ным спис­кам. Нас­коль­ко это соот­ветс­тву­ет дей­стви­тель­нос­ти — неиз­вес­тно.

Те­оре­тичес­ки такой сер­вис может при­годить­ся для срав­нитель­ного тес­тирова­ния анти­виру­сов или для того, что­бы не потерять кон­курен­тное пре­иму­щес­тво при раз­работ­ке сво­его. Дви­жок анти­вирус­ного ска­нера мож­но лицен­зировать (сегод­ня это час­тая прак­тика), а вот база с сиг­натура­ми акту­аль­ных злов­редов — цен­ная интеллек­туаль­ная собс­твен­ность. К тому же перед релизом любой прог­раммы полез­но про­верить реак­цию анти­виру­сов на нее. Лож­ные сра­баты­вания могут быть на упа­ков­щики исполня­емых фай­лов, общие ком­понен­ты или не самую акку­рат­ную реали­зацию сетевых фун­кций. Вдруг ты написал «вирус» и даже не зна­ешь об этом?

Оставить мнение