Как стать автором
Обновить
«Лаборатория Касперского»
Ловим вирусы, исследуем угрозы, спасаем мир

VirusTotal для «своих»

Время на прочтение 3 мин
Количество просмотров 14K
Сегодня мы выпускаем очередной пост для Хабрахабра. Наш старший вирусный аналитик Закоржевский Вячеслав расскажет про интересную сторону киберкриминала.

Всем понятно, что большинство малварщиков заинтересованы в том, чтобы их детища как можно дольше «жили» у пользователей. Чем больше времени малвара находится на компьютере, тем больше денег потенциально можно заработать. Основная угроза для них — антивирусы. В подавляющем большинстве случаев для защиты зловреда от сигнатурного/эвристического детекта антивирусом вирусописатели применяют крипторы. Рынок крипторов достаточно обширен, на нём много предложений, поскольку крипторы пользуются спросом.

image
image
После того как файл «накрыли» криптором, вирусописатели проверяют его антивирусами (иначе можно выпустить то, что уже будет детектиться). Все знают, что есть сервисы, которые позволяют сканить файлы сразу кучей АВ-движков. Например, VirusTotal или Jotti Virscan.

image
VirusTotal
image
Jotti Virscan

Всё удобно — много движков, незначительные «тормоза» и т.д. Но для тех, кто собирается выпустить в свет очередную версию, например, блокера, у этих сервисов есть небольшой минус: эти компании в некоторых случаях отправляют сканируемые файлы в АВ-конторы.

image
С Jotti Virscan: "Files uploaded here are shared with anti-virus companies so detection accuracy of their anti-virus products can be improved. Read more about this in our privacy policy. If you do not want your files to be distributed, please do not send them at all.” (Присланные нам файлы могут быть пересланы в антивирусные компании для того, чтобы они могли улучшить уровень детектирования своих продуктов. Подробнее об этом читайте в политике конфиденциальности. Если вы не хотите, чтобы ваши файлы передавались третьим лицам, не отправляйте их вовсе»).

Из FAQ VirusTotal: “In exchange for providing an antivirus engine you will receive all files submitted to VirusTotal that are not detected by your product and are detected by at least one other antivirus, along with their corresponding VirusTotal reports.” («Взамен предоставления вашего антивирусного ядра вы будете получать все файлы, присланные на VirusTotal, которые не детектируются вашим продуктом, но детектируются хотя бы одним другим вендором + соответствующий отчет»)

Логично предположить, что малварописателей это не должно радовать, так как их файлы будут посылаться в АВ-компании на анализ, и, соответственно, это уменьшит время, которое сампл остается незамеченным. Поэтому-то они и пользуются услугами компаний, предоставляющих сервис, аналогичный VirusTotal, но при этом обеспечивающий анонимность. (так, по крайней мере, написано на сайтах со сканерами, но мы-то точно знать не может:)).

Есть, например, вот такой сервис:

image
На одном из форумов я нашел список того, что еще может эта контора:
«Доступны:
— проверка по расписанию с оповещением по почте \ жабберу
— авторегистрация и автопополнение счета через Webmoney
На нашем АВ-чекере стоят актуальные версии антивирусов и последние их обновления».
Достаточно удобно получать на почту или в другое место нотификацию о том, что какой-то вендор задетектил очередной билд.

Две другие конторы, предоставляющие услуги анонимного сканирования файлов.

image
image
Конечно, их намного больше, но стоит отметить, что все эти сервисы очень оперативно удовлетворяют потребности своих клиентов. Также, присутствует саппорт, API для работы с сервисом, GUI-клиент и др. Это говорит о том, что на рынке существует конкуренция, и все борются за клиента.

Однако у всех подобных сервисов существует значительный минус — они сканируют лишь отдельный файл, либо отдельный домен. Это не совсем соответствует наиболее популярным схемам заражения компьютера. У всех современных антивирусов присутствует многоуровневая защита. Так, зачастую до проверки самого файла может и не дойти. В случае схемы drive-by атаки антивирус может заблокировать один из доменов, через которые осуществляется редирект, злой iframe или скрипт, либо сам эксплойт. А если малвара попала на компьютер пользователя и запустилась, то здесь уже работает песочница или проактивная защита, которая на этапе исполнения анализирует поведение программы. В тех сервисах, что я видел, нигде не было информации о проверке на детектируемость проактивной защитой — оно и понятно — это сложно реализовать. Не стоит забывать и об облаке, которое может заблокиовать файл по его репутации. Так что, несмотря на все старания злоумышленников, многие реальные ситуации не проигрываются, что делает проверку одиночного объекта сигнатурным/эвристическим сканнером просто неадекватной :)
Теги:
Хабы:
+15
Комментарии 7
Комментарии Комментарии 7

Публикации

Информация

Сайт
www.kaspersky.ru
Дата регистрации
Дата основания
Численность
5 001–10 000 человек
Местоположение
Россия