Волею судеб сегодня был заброшен на VirusTotal.com, и не сразу его узнал…
Теперь старый и угловатый, в общем то даже и не дизайн, заменен гламурными закрузлениями, пастельными тонами, модным аяксовым аплоадом и прочими популярными штучками…

Не смотря на мое крайне спокойное отношение к модным ныне тенденциям, был приятно удивлен «прозрачностью» аплоада файлов. Наконец-то появилась обычная формочка с кнопкой «Обзор...» :) появилась возможность отправлять файл на сканирование по е-почте, а заодно и програмулька, котрая позволяет отправлять файлы на VirusTotal из контекстного меню explorer'а — мелочь, а приятно :)

И главное — кажется, работать они стали шустрее!

Ни один антивирус из арсенала virustotal.com не обнаружил EICAR в тестовом файле.

Навеяно харбатопиком [Свежая malware] История о Feels-Energy.com

Куда отослать подозрительный файл, если после проверки на Virus Total часть антивирусов молчат?
Под катом список адресов — просто скопируйте их в поле To:

Вышла новая версия virustotal uploader, утилиты для быстрой загрузки файлов на virustotal.com, для проверки на вирусы.

Как показал опрос, проведённый среди пользователей Хабрахабра, только половина процента (!) (0,52%) опрошенных пользователей борются с новыми вирусами, отправляя их в техподдержку. Примерно треть лечит «фирменным антивирусом» и почти столько же — бесплатным или пытаются удалить самостоятельно.
Далее рассказ, как боролись с вирусом для «блондинок».


(p.s. Осталось 15 голосов за топик, чтобы получить инвайт на Хабр для хорошего человека. Или 65 голосов в карму, но это менее вероятно)

По мотивам этого топика, я как любопытный гик скачал этот вирус и прогнал данный файлик через сервис Virustotal и был очень удивлён результатами что только 2 из на данный момент 42 антивирусов, считали этот файл «Подозрительным».

Мне стало интересно, а сколько собственно времени потребуется антивирусным компаниям что-бы узнать об этом вирусе и внести его в свои базы. Более одной недели я терпеливо прогонял один и тот же файл через их базы, смотрел что изменилось, вносил результаты в табличку.

Возможно полученные результаты покажутся тебе %habrauser% интересными.
За подробностями, милости прошу под кат.

Доброго времени суток!

Хочу рассказать и показать как можно сделать сервис по проверке файлов различными антивирусами(аля virustotal.com).

С чего же начать?! Ах дааа… С картинки!

Известный сервис, агрегирующий определения вирусов и другого вредоносного ПО от компаний, занимающихся информационной безопасностью, стал «дочкой» корпорации Google. Руководство VirusTotal уже заявило, что сервис продолжит работать в обычном режиме и будет выполнять все существующие договоренности, а также сохранит относительную автономность от Google. Тем не менее, ожидается переход в облачную инфраструктуру поискового гиганта для увеличения скорости работы сервиса.
Я надеюсь, что благодаря этому поглощению фильтры Google Safebrowsing, а также механизм Google Play Bouncer начнут работать значительно эффективней.

Двадцать пятый выпуск подкаста — Сливки IT R&D.
iPhone 5, Amazon и новые устройства, венчурный капитал не дремлет, а Твиттер то не промах и многое другое.

Похоже на то, что компания Google собирается заняться борьбой со зловредным ПО, так либо иначе проникающим в среду Google Play. На днях в APK Google Play версии 3.9.16 были обнаружены строки, которых ранее не было, и которые могут быть прямым свидетельством скорого включения антивирусного сервиса в среду Google Play.

В этой заметке я хочу рассказать о том, как решалась проблема ложного срабатывания антивирусов на наш продукт.



Если у вас таких проблем нет, но вы планируете защищать свое ПО с помощью протектора — рекомендую ознакомиться с материалом, так как скорее всего вам предстоит пройти то же самое.

Независимый исследователь информационной безопасности Брэндон Диксон опубликовал у себя в блоге материал, в котором рассказал об обнаруженных следах использования хакерами принадлежащего Google ресурса VirusTotal, для отладки своих вредоносных программ.

На протяжении нескольких лет Диксон с помощью различных методов (каких конкретно, он не указывает) собирал данные о поведении пользователей ресурса VirusTotal, с помощью которого можно осуществлять проверку различных файлов на предмет их безопасности. По словам исследователя, сервис, который обычные пользователи сети применяют для повышения своего уровня защищенности, послужил злоумышленникам средством для отладки софта.

Авторитетный веб-ресурс VirusTotal, который является наиболее распространенным сервисом онлайн-проверки файлов и URL-ссылок различными AV-сканерами, внедрил дополнительный механизм уведомления о т. н. false positive. Под этим понятием подразумевается чистый (не зараженный) файл, обнаруживаемый (ошибочно) как вредоносная программа одним или несколькими антивирусными сканерами. Сами false positive являются довольно распространенным явлением и обнаружение с чистого файла может быть убрано вендором за несколько часов, тем не менее, такой подход вводит пользователя в заблуждение.

Разработчики известного сервиса антивирусного онлайн-сканирования VirusTotal внедрили специальные механизмы обнаружения вредоносных программ, которые могут располагаться в прошивке компьютера (firmware). Теперь отчеты о сканировании таких файлов содержат различную информацию о потенциальном производителе прошивки, необходимые идентификаторы исполняемых PE-файлов, которые хранятся в образе прошивки, а также информацию о цифровых сертификатах, использовавшихся для подписания этих файлов.



Известным примером вредоносной программы для прошивок UEFI является обнаруженный в прошлом году руткит Hacking Team. Успешная компрометация ОС на таком уровне представляет для злоумышленников весьма сложную задачу, но позволяет получить полный контроль над процессом запуска ОС на самом раннем этапе. Ниже указана информация, которую сервис предоставляет по образам прошивок. С ее помощью можно установить вероятность компрометации прошивки.

На днях прилетело мне характерное письмецо:



Не глядя пролистал, потому что и так понятно, что там за бухгалтер вместе с накладными. А сегодня с утра чистил ящик, выдалась минутка, и стало мне любопытно, что ж это за «накладные» (забегая вперед – в письме был шифровальщик).

Прочитав статью rattlersnake А твой антивирус ловит запароленные архивы? я прошел стадии от неверия через сомнение к разочарованию и обратно к пониманию.



Как вполне правильно отмечают в комментариях, получение содержимого запароленного архива без знания пароля невозможно, следовательно, невозможна и проверка. Но значит ли это, что детект вируса невозможен? Как мне кажется, я разобрался, почему такое возможно и почему такой метод имеет право на жизнь.

Три самых популярных новости этой недели так или иначе связаны с темой security intelligence — еще одного плохопереводимого, и относительно свежего термина в индустрии информационной безопасности. Под intelligence понимается сумма знаний, которая так или иначе помогает защитить пользователей и компании от киберугроз. Цитаты из книги Евгения Касперского, которые я привожу в конце каждого выпуска, отражают требования к знаниям на начало 90-х годов прошлого века: тогда один эксперт мог держать в голове все необходимое для защиты от киберугроз. Информацию о типичных методах заражения и распространения, методы определения типа угрозы и лечения. Хорошие были времена, но они давно прошли. Чтобы разбираться в угрозах современных, требуется огромный спектр знаний — от языка программирования Lua до диалектов китайского, от особенностей прошивок жестких дисков до теории шифрования данных.

Более того, не существует экспертизы универсальной и действенной для всех. Каждая компания имеет уникальный набор элементов IT-инфраструктуры, со своими уязвимыми местами и потенциальными точками проникновения. Естественно, нет единого, релевантного для всех рецепта защиты. Качественная корпоративная безопасность требует знаний о киберугрозах в целом, и о том, как они могут быть применены к конкретной ситуации. Если проще, нужно знать, в каком месте защиту будут ломать (или уже сломали!), и чем дальше, тем дороже будет оцениваться это знание. Наконец, угроз и типов атак стало так много, что проанализировать их все руками также становится сложнее. Нужно строить боевых человекоподобных роботов системы автоматизации и машинного обучения, которые возьмут на себя рутинные операции. Аналогом 120-страничного альманаха про вирусы 1992-го года сейчас являются петабайты данных, неалгоритмизируемый опыт и навыки экспертов, ну и то, что можно назвать искусственным интеллектом. Впрочем, проще говорить о теме экспертизы на примерах. Поехали.

Все выпуски доступны по тегу.

Начнем выпуск с совсем свежей новости, которая, впрочем, имеет лишь косвенное отношение к ландшафту угроз. 4 мая в блоге сервиса VirusTotal, ныне принадлежащего Google, появилась внешне неприметная запись. Сервис, позволяющий агрегировать информацию о вердиктах различных антивирусных движков, теперь будет по-другому «отдавать» информацию о детектах. Теперь для того, чтобы получать данные о задетектированных файлах автоматически, с помощью API, требуется в обязательном порядке подключать свой собственный продукт к системе VirusTotal.

Почему это важно? Изначально VirusTotal был проектом для исследователей: определить, детектируют ли защитные решения определенный файл — означало сэкономить время и потратить его на более интересные вещи. По мере роста сервиса появились и новые возможности: информация о том, когда был загружен файла иногда также могла многое подсказать о его предназначении и происхождении (особенно, если файл загружался пострадавшим пользователем, а то и самим автором вредоносной программы). Сейчас через VirusTotal проходят миллионы файлов: за последние семь дней 1,2 млн, из которых 400 тысяч задетектированы одним или несколькими антивирусными движками.

Короче, если есть доступ к этой информации, то только на ее основе можно создать свое, достаточно неплохо работающее типа защитное решение. Или, как минимум, получить несправедливое преимущество, получая от индустрии данные, но не отдавая ничего обратно. Not anymore. В посте VT приводится интересный набор правил использования сервиса, где его создателями критикуется пара устоявшихся мифов. Подробнее о них — под катом.
Все выпуски дайджеста доступны по тегу.