VirusTotal. Testare antivirus gratuită
În articolul dedicat soluţiilor de scanare online, am amintit despre site-ul VirusTotal.com şi vă spuneam că oferă servicii de testare antivirus gratuită. VirusTotal nu este singurul serviciu de acest gen, dar spre deosebire de alte soluţii similare (ca de exemplu NoVirusThanks, prezentat tot în cadrul acestui blog) numărul scanerelor disponibile este ceva mai mare.
Astăzi am să fac o prezentare mai pe larg a serviciilor pe care le oferă VirusTotal, dar înainte să încep am o întrebare pentru voi: în condiţiile în care VirusTotal a fost desemnat de către ediţia americană a revistei PC World, ca fiind unul din cele mai bune produse ale anului 2007 (la secţiunea site-uri web de securitate), de ce acest serviciu gratuit nu beneficiază decât de un număr infim de semnalări în media românească de specialitate ?
VirusTotal permite testarea fişierelor trimise şi detectează rapid viruşii, troienii, programele de tip spyware şi celelalte ameninţărilor informatice, graţie celor aproximativ 40 de scanere antivirus pe care le foloseşte. Serviciul este dezvoltat de Hispasec Sistemas, un laborator de securitate IT, şi foloseşte mai multe versiuni de tip „linie de comandă” ale motoarelor antivirus, actualizate regulat cu fişierele oficiale de semnături publicate de respectivii producători. Scanarea este complet gratuită, iar rezultatele sunt afişate în timp real. Ultimul scaner adăugat pe listă este Antiy-AVL, produs de Antiy Labs o companie antivirus chineză.
Deloc de neglijat (şi cu asta închei introducerea şi trecem la lucruri serioase) VirusTotal este disponibil în nu mai puţin de 26 de localizări, printre care şi cea în limba română. Felicitări dezvoltatorilor de la Hispasec Sistemas care au înţeles că securitatea este o problemă care transcende graniţele şi barierele lingvistice. Mulţumim traducătorilor.
VirusTotal:
URL: http://www.virustotal.com/ro/
Trimiterea fişierelor spre testare la VirusTotal
Aşa cum spuneam şi cadrul articolului dedicat soluţiilor de scanare online, puteţi trimite fişiere spre testare gratuită la VirusTotal trei moduri:
1. Prin interfaţa de upload pusă la dispoziţie (care acceptă şi conexiune SSL);
2. Folosind aplicaţia Virus Total Uploader (ajunsă între timp la versiunea 2.0) şi care vă dă posibilitatea să trimiteţi în mod direct fişiere din calculatorul dumneavoastră folosind meniul contextual.
3. Ca ataşament la un e-mail, pe adresa scan@virustotal.com şi nu uitaţi ca la subiect să scrieţi SCAN, dar atenţie, fişierul ataşat nu trebuie să depăşească 20MB.
Am testat toate cele trei posibilităţi şi cea mai „la îndemână” (dacă pot s-o numesc aşa), este prin aplicaţia Virus Total Uploader. Un simplu clic dreapta pe fişierul suspect şi pot să-l trimit direct la VirusTotal.
În funcţie de gradul de încărcare al serviciului s-ar putea ca analiza fişierului să mai întârzie câteva minute, aşa că mai bine verificaţi din timp slider-ul care afişează nivelul de încărcare al serviciului. Cu cât este mai încărcat cu atât veţi aştepta un timp mai îndelungat pentru rezultate şi de aceea, atunci când indicatorul se află în zona galbenă sau roşie, este mai bine să trimiteţi fişierele prin e-mail.
Un test cu VirusTotal
E uşor impropriu să mă refer la singur test, în condiţiile în care folosesc VirusTotal de prin 2008, iar cea mai interesantă facilitate pe care mi-o oferă acest serviciu este identificarea fişierelor care au fost deja scanate. Vă dau un exemplu. Dacă trimit un fişier pentru scanare (iar el fost deja verificat), se precizează data la care s-a făcut verificarea anterioară, câte scanere s-au folosit şi dacă vreau să-l retrimit spre analiză.
Aşa se face că la reverificare, am fost plăcut surprins să observ că unul dintre scanerele antivirus care nu detectase ameninţarea, având acum semnăturile actualizate a găsit problema ! Ca să mă conving am mai făcut un test, mai întâi cu un antivirus local neactualizat… care nu a găsit nimic… în timp ce pe site-ul VirusTotal, acelaşi antivirus a găsit troianul. Morala ? Actualizaţi-vă antivirusul cât mai des ! Dacă este posibil să-l setaţi să-şi facă actualizarea o dată la mai puţin de 24 de ore e foarte bine ! De exemplu, eu folosesc actualizarea automată la 8 ore.
HashSearch
Înainte de a vorbi despre HashSearch (ro. căutare după „hash”), cred că ar trebuie să explic pe scurt ce înseamnă hash şi ce semnificaţie au codările MD5, SHA-1 sau SHA-256.
Ca de fiecare dată, ne sare în ajutor Wikipedia de unde aflăm că hash este o funcţie matematică, iar valoarea funcţiei hash se numeşte rezumat, cod hash, sumă hash sau mai simplu, hash. O valoare hash (numită în engleză şi „digest” sau „checksum”) este un fel de semnătură pentru un flux de informaţii care reprezintă conţinutul. Funcţiile hash preiau un mesaj ca dată de intrare (input) şi produc un rezultat (output) referit ca rezultat hash, cod hash sau valoare hash.
MD5 (Message Digest Algorithm 5) este o funcţie criptografică de tip hash, care livrează ca rezultat o valoare fixă, cu mărimea de 128 biţi. Şirurile MD5 au 32 de caractere.
Dezvoltat ulterior, SHA (Secure Hash Algorithm) reprezintă un set de funcţii criptografice tot de tip hash, creat de Agenţia Naţională de Securitate (NSA). Cei trei algoritmi SHA sunt structuraţi diferit şi se definesc ca atare: SHA-0, SHA-1 şi SHA-2. Familia SHA-2 foloseşte algoritmi identici, dar cu o lungime de cheie variabilă, de unde şi clasificarea în SHA-224, SHA-256, SHA-384 şi SHA-512.
Asta a fost teoria. Practic, fiecare fişier analizat pe VirusTotal generează un cod distinct, de lungime fixă (minim 32 de caractere), calculat folosind un algoritm (MD5, SHA-1 sau SHA-256). Pe baza acestui cod se poate verifica imediat dacă un fişier a mai fost sau nu scanat şi se pot accesa rapoartele.
Dacă doriţi, puteţi să instalaţi Win Md5Sum, un program gratuit care vă generează hash-ul MD5 pentru orice fişier. Nu vă rămâne decât să verificaţi hash-ul la VirusTotal şi numai este nevoie să trimiteţi fişierul propriu-zis. Este o metodă eficientă, mai ales atunci când beneficiaţi de o conexiune la internet cu trafic limitat.
Interpretarea rezultatelor
Nu întâmplător am decis să acord câteva rânduri şi interpretării rezultatelor, fiindcă e greu de distins între un raport care arată o posibilă problemă (însă indiciile ne fac să înclinăm mai degrabă că ar fi vorba de o alarmă falsă) şi un fişiere detectat ca fiind curat, acolo unde nu este cazul.
În situaţia de faţă, faptul că fişierule este arhivat cu UPX şi doar McAfee găseşte ceva suspect (Suspect-02!7E36D32A3ACE), e o dovadă destul de clară că nu poate fi decât o alarmă falsă.
Pe de altă parte, un „scor” de 30 / 41 (o rată de detecţie de minim 25%) indică o problemă serioasă. Sigur, nu oferă certitudine, dar puteţi ignora un aşa avertisment ?
Ca o paranteză, îmi place modul compact de vizualizare a rezultatelor, însă dacă ar oferi şi un export în PDF, ar şi de-a dreptul extraordinar. E bine însă că aceste informaţii sunt disponibile.
Statisticile VirusTotal
URL: http://www.virustotal.com/ro/estadisticas.html
Îmi plac statisticile deoarece ele arată tendinţa (cosmopoliţii ar spune trend) şi este mult mai uşor să faci faţă ameninţărilor informatice, atunci când ştii cu ce te confrunţi. Doar dacă ne uităm la primul grafic, observăm că din totalul fişierelor scanate, cele găsite infectate reprezintă aproximativ 60-70%. Ce se poate deduce de aici ?
- VirusTotal este folosit în special pentru a verifica acele fişiere pe care antivirusul local le identifică deja ca fiind cu probleme. Nu vreau să mă gândesc că există răuvoitori care îşi testează „operele”.
- Din nefericire, numărul viruşilor, troienilor, viermilor de internet, etc. pare să fie în creştere şi unele dintre soluţiile antivirus „consacrate” nu mai fac faţă.
De ce îmi place VirusTotal ?
1. În primul rând pentru că este un serviciu independent. Nu este afiliat unui producător anume de programe antivirus şi de aceea nu poate fi bănuit de „complicităţi”.
2. Este gratuit, nu necesită înregistrare şi nici vreun alt fel de condiţionări.
3. Site-ul are şi o variantă în limba română. Ştiţi că acord o atenţie deosebită localizărilor.
4. Foloseşte mai multe motoare de scanare, iar numărul acestora continuă să crească. La această oră sunt 42 astfel de scanere, ultimul pe listă fiind SUPERAntiSpyware.
5. Ştim cu toţii ce greu este ai antivirusul permanent actualizat, mai ales că sunt şi update-uri de program, nu doar de semnături. VirusTotal reuşeşte să menţină actualizate, la oră, nu la zi, semnăturile a aproximativ 40 de programe antivirus.
6. Îmi oferă posibilitatea de a trimite fişiere mari spre testare.
7. Rezultatele foarte rapide şi cuprinzătoare, iar site-ul VirusTotal oferă statistici globale în timp real.
Blogul VirusTotal
URL: http://blog.hispasec.com/virustotal/
VirusTotal. Casetă tehnică
URL: http://www.virustotal.com/
URL română: http://www.virustotal.com/ro/
Categorie: Testare antivirus gratuită
Deţinător: Hispasec Sistemas
Create de: Hispasec Sistemas
Lansat: iunie 2004
În loc de încheiere…
Vreau să vă reamintesc că VirusTotal nu este un substitut pentru antivirusul de pe calculatorul personal.
Instalarea unui antivirus local, cu protecţie activă, nu mai este doar o chestiune de securitate personală, ci o reacţie de bun-simţ faţă de colegii de reţea. Aşa cum se precizează şi pe site-ul oficial, cu toate că rata de detecţie obţinută cu ajutorul mai multor scanere antivirus este mult superioară aceleia oferite de un singur produs, VirusTotal NU garantează faptul că un fişier nu poate fi infectat.
Pentru moment nu există nici un produs antivirus care să ofere o rată de detecţie de 100%, fie că ne referim la viruşi, troieni viermi de internet sau alte ameninţări informatice. Dacă totuşi, vă este oferit un produs ce garantează detecţie 100%, atunci sunteţi o victima unei farse… sau, mai rău, folosiţi un spyware deghizat în antivirus (un aşa numit program „rogue”).
Şi încă ceva, înainte să închei. Nu uitaţi să citiţi articolul despre NoVirusThanks (o soluţie alternativă la VirusTotal, cel puţin la fel de eficientă).
Materiale bibliografice:
- http://blog.hispasec.com/virustotal/
- http://ro.wikipedia.org/wiki/MD5
- http://en.wikipedia.org/wiki/VirusTotal.com
Chestia asta cu Virus Total a fost pentru mine, de cele mai multe ori Salvarea mea de la job … pentru ca sa conving pe unul si pe altul ca nu are dreptate, in anumite privinte …
Salut. Pe VirusTotal mă bazez şi eu destul de mult. Mai poţi încerca şi „No Virus Thanks”, despre ca a scris topo. http://www.topopage.net/securitate/no-virus-thanks-scanare-fisiere-online-cu-22-programe-antivirus/. Şi „Jotti malware scan” face treabă bună.
interesant : la cautarea pe google a cuvintelor virus total ,stefamedia e a doua afisare iar novirus thanks a cincea. placuta surpriza
.