Перейти к содержанию
ktotama

Проверка ссылок на Virustotal хуже или лучше стала, и насколько она полноценна

Recommended Posts

ktotama

Всем привет!

Последнее время проверка ссылок на Virustotal, на тот момент состоящая в двойной проверке - по базам разных ссылкоанализирующих организаций, и многодвижковая проверка ссылок он-лайн - стала часто сбоить: либо полностью, либо работало только первое окно результатов.

Так, многодвижковая проверка ссылок онлайн либо вообще не работала, или подвисала на сто- или тысяча- каком-нибудь месте.

То есть была нагрузка на многодвижковые антивирусные серверы, неадекватная их мощностям.

В том числе и поэтому стало тяжелее добиваться результатов анализа загружаемых файлов.

Позавчера Virustotal предстал в новом обличье в части проверки ссылок - теперь нет вышеописанных двух окон выдачи результатов, только одно, но информативность его вроде как побольше, чем ранее в первом окне, кое-кто добавился...

Вопросы:

Он-лайн проверка ссылок на работающих ав-движках кроме простого поиска по базам ссылок хоть в каком-то виде там сохранена?

На сколько процентов можно полагаться на Безопасный вердикт проверки ссылок на Virustotal: ранее и сейчас?

То, что некоторые из вендоров слегка параноидальны - понятно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
На сколько процентов можно полагаться на Безопасный вердикт проверки ссылок на Virustotal: ранее и сейчас?

То, что некоторые из вендоров слегка параноидальны - понятно.

Как и в случае с файлами я бы не рекомендовал смотреть на % срабатываний от общего, а смотрел бы по вердиктам уважаемых вендоров (их не больше 10), с остальными вероятность ошибки может быть очень высока.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Их не больше 3х ИМХО. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
StamilT

Также хочу добавить, что теперь на VT комментарии могут оставлять только зарегистрированные участники сообщества. Больше нет анонимных троллей, которые писали ложь и просто спамили :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama

Спасибо за мнения!

Но имелось в виду: насколько вообще можно было раньше и сейчас безопасно доверять Virustotal'у при, скажем, тактике, когда установлен фаервол с проактивкой без резидентного вэбантивируса и без обычного ав, а каждая или незнакомая ссылка перед посещением проверялась бы.

То есть не о том проценте речь, который написан на сайте - "Virustotal community". Каждому по опыту примерно понятно, кому он из перечисленных он в принципе доверяет, а кому не очень.

Вопрос: на сколько мы вообще можем доверять проверяльщику ссылок на Virustotal как таковому - до и после последних изменений, насколько совершенен его механизм? Насколько стало ущербнее при модернизации, или может и не особо нужно было раньше второе окно результатов?

По поводу троллей: плюсовать или минусовать мнения За и Против о репутации и безопасности конкретной ссылки может кто угодно без регистрации! А комментировать да, без регистрации нельзя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama

В догонку вопрос: на Virustotal движки антивирусов и репутационные базы ссылок раньше и сейчас включали и включают ли в себя он-лайн облачный обмен по факту каждого обращения или какой еще - с серверами своих разработчиков-поддержки?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
Их не больше 3х ИМХО. :)

DrWeb, Kaspersky, ....? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
StamilT

Comodo (одна из самых лучших лаборатрий, проводящая расследование сложных инцидентов и экспертиз) :lol::lol::lol:

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

Eset?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ole44
DrWeb, Kaspersky, ....?

agnitum :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mike 1
Как и в случае с файлами я бы не рекомендовал смотреть на % срабатываний от общего, а смотрел бы по вердиктам уважаемых вендоров (их не больше 10), с остальными вероятность ошибки может быть очень высока.

Извините а не могли бы вы назвать этот список. Иногда бывает нужно понять ложное ли это срабатывание или нет. Спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama
DrWeb, Kaspersky, ....? :)
Comodo (одна из самых лучших лаборатрий, проводящая расследование сложных инцидентов и экспертиз) :lol::lol::lol:
Eset?
agnitum :rolleyes:

Не участвуют они теперь на Virustotal'e в проверке ссылок - только в проверке файлов, но это другая история.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat
Извините а не могли бы вы назвать этот список. Иногда бывает нужно понять ложное ли это срабатывание или нет. Спасибо

интересный вопрос, возможно это можно вывести по двум признакам или больше

1) отсутствие заимствования детектов

2) минимальное количество фолсов

% детекта тут не особо важен, если фолсов мало, и сами разбирают вирусы, то как минимум их вердикт надо принимать во внимание

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Comodo (одна из самых лучших лаборатрий, проводящая расследование сложных инцидентов и экспертиз)

После инцидентов "в своей компании" не пропущено? ;)

PS: Сколько можно мерять VirusTotal'ом качество детекта?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
StamilT
После инцидентов "в своей компании" не пропущено? wink.gif

Виталий Я., ну я как бы на это и намекнул :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Но имелось в виду: насколько вообще можно было раньше и сейчас безопасно доверять Virustotal'у при, скажем, тактике, когда установлен фаервол с проактивкой без резидентного вэбантивируса и без обычного ав, а каждая или незнакомая ссылка перед посещением проверялась бы.

Честно говоря я не очень понимаю зачем придумывать себе такие сложности. Вариант 1: отключить скрипты для всех сайтов за исключением короткого списка доверенных (вероятность взлома которых небольшая) + не работать с правами админа и запретить запуск программ за исключением опять же доверенных. Вариант 2 (более простой, но менее надежный, можно использовать в дополнение к Варианту 1): поставить себе плагин для браузера, который показывает репутацию сайта, например, McAfee SiteAdvisor или аналог. Да, наверное, это будет не так круто, как если бы проверять репутацию сайта сразу по всем базам, но точно проще.

В догонку вопрос: на Virustotal движки антивирусов и репутационные базы ссылок раньше и сейчас включали и включают ли в себя он-лайн облачный обмен по факту каждого обращения или какой еще - с серверами своих разработчиков-поддержки?

Если задействована репутация (в чем нет уверенности), то запрос должен по определению уходить вендору. Я не знаю, как технологически работает у Virustotal проверка сайтов, транслируют ли они запросы вендорам или каким-то образом кешируют у себя БД и обновляют их периодически, как в случае с сигнатурами.

Извините а не могли бы вы назвать этот список. Иногда бывает нужно понять ложное ли это срабатывание или нет. Спасибо

Если мы говорим о веб-репутации, то это: Symantec, Trend Micro, McAfee, Kaspersky + может быть Websense и фильтры крупнейших поисковые системы типа Google или Яндекс. Может быть из коллег кто-то этот список поправил или дополнит.

Из них на VirusTotal в проверке URL есть только Trend Micro, Google Safebrowsing, Yandex Safebrowsing и Websense.

В части достоверности результатов посмотрите вот это например

https://www.virustotal.com/url/bdb553776bb1...sis/1326790004/

Какое-то поделье под названием ParetoLogic ругается на все страницы нашего сайта :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Какое-то поделье под названием ParetoLogic ругается на все страницы нашего сайта

Поделье? В Twitter им пожалуйся ;) www.twitter.com/paretologic/

Или, Чапай, на спину ему посмотри:

http://www.alexa.com/paretologic.com

Silver Microsoft Independent Software Partner

Rank:19,315

Category: Computers > Security

Keywords: registry cleaner, dll search, pc health advisor, clean registry, regcure

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND
Их не больше 3х ИМХО. :)

Др.Веб, Симантек и Avast? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mike 1
Если мы говорим о веб-репутации, то это: Symantec, Trend Micro, McAfee, Kaspersky + может быть Websense и фильтры крупнейших поисковые системы типа Google или Яндекс. Может быть из коллег кто-то этот список поправил или дополнит.

Нет меня интересует другая информация при анализе подозрительного ПО/Файла/библиотеки на Virustotal на какие антивирусные бренды стоит обратить внимание при анализе подозрительного файла и вывода результа сканирования?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
maxz
Др.Веб, Симантек и Avast? :)

Предлагаете доверять Симантеку, детектирующему безвредные кейгены как страшные "Trojan Horse" ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Нет меня интересует другая информация при анализе подозрительного ПО/Файла/библеотеки на Virustotal на какие антивирусные бренды стоит обратить внимание при анализе подозрительного файла и вывода результа сканирования?
Их не больше 3х ИМХО. :)

ЛК, Dr.Web и ... (но сразу скажу, это не Symantec, Trend Micro, McAfee, Avira, Eset - у данных контор "неадекватные" вирлабы).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
maxz
ЛК, Dr.Web и ...

...Microsoft ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator

Danilka респект - закрутил интригу :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
StamilT

Наиболее понятливая для восприятия и более точная методика классификации вредоносного ПО у ЛК и Microsoft (имхо). И детекты от данных вендоров действительно заслуживают доверия.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Нет меня интересует другая информация при анализе подозрительного ПО/Файла/библиотеки на Virustotal на какие антивирусные бренды стоит обратить внимание при анализе подозрительного файла и вывода результа сканирования?

Большая тройка (Symantec, McAfee, Trend Micro) + Kaspersky, Dr.Web, BitDefender, Microsoft. Но это мое ИМХО, коллеги могут дать свой список кому можно точно доверять.

Предлагаете доверять Симантеку, детектирующему безвредные кейгены как страшные "Trojan Horse" ?

Не совсем корректно. Дело в том, что у Symantec обезличенный вердикт Trojan Horse означает срабатывание эвристики. Я часто такое видел во время нашего теста проактивной защиты. У других тоже самое называется "Suspicious.что-то_там". И еще у Symantec традиционно один из самых низких уровней ложных срабатываний. Мы тут не берем в расчет их Quorum, он на Virustotal не работает.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×