Virustotal.com
Содержание:
- Что нужно сделать для установки?
- О сервисе
- Функционал
- Заключение
- Перейти на онлайн-антивирус
- Реакция разработчиков
- О сервисе VirusTotal
- Особенности VirusTotal
- Использование упаковщиков
- Политика конфиденциальности
- Онлайн сервис проверки на вирусы VirusTotal
- Как пользоваться сервисом VirusTotal через браузер
- File reports Summary
- AVC UnDroid – ресурс проверок apk-элементов
- Example use cases
- Онлайн сервис VirSCAN
- File Reports Details
- API V2 third party scripts and client libraries
- Domain and IP address reports
- Как работает PeStudio
- Особенности VirusTotal
Что нужно сделать для установки?
- скачать VirusTotal – онлайн-антивирус для Windows бесплатно последнюю версию с нашего ресурса по официальной ссылке;
- установить по инструкции в этом обзоре;
- запустить VirusTotal – онлайн-антивирус на русском языке и наслаждаться Интернет-серфингом!
О сервисе
Полная безопасность в Интернете уже давно не мечта, а реальность. И все благодаря замечательным онлайновым сервисам, которые проанализируют любую предложенную ссылку или файл и вынесут вердикт – использовать, лечить или удалить скорее.
Одно из таких приложений – VirusTotal. Принцип его работы заключается в том, что он использует сразу несколько десятков антивирусных движков, прогоняя файл или ссылку, предложенную ему по многочисленным базам. Если проверяемая информация вызывает хоть малейшее подозрение, он тут же сообщает об этом.
Он может пригодиться как для компьютеров, где антивирус по какой-то причине отсутствует, устарел, или просто не вызывает доверия. Впрочем, порой даже если вы уверены в своем “защитнике” на все сто дополнительная проверка не помешает – базы антивирусов обновляются не каждую секунду, и вполне возможно, что он еще просто не получил новой информации.
Однако если подозрительный файл найден, VirusTotal самостоятельно с ним сделать ничего не сможет. Просто сообщит о том, что нашел что-то нехорошее. Подозрительную ссылку можно просто не открывать, а вот файл придется либо удалять вручную, либо лечить с помощью антивируса. Также следует учитывать, что максимальный объем проверяемого файла – 256 МБ.
VirusTotal – онлайн-антивирус
Функционал
VirusTotal – бесплатный независимый сервис, созданный для анализа данных и обнаружения потенциальных угрозах. Для этого у него имеется следующий набор функций.
- Проверка файлов и интернет-ссылок на вирусы и другое вредоносное ПО.
- Использование для проверки и анализа большого количества антивирусных баз.
- Информирование пользователя об обнаруженных проблемах.
- Выведение подробного отчета по проверке каждым из используемых антивирусным сервисом.
- Сообщение о том, какой рейтинг безопасности дали файлу или ссылке пользователи (не слишком надежная информация, на нее советуют ориентироваться в последнюю очередь).
Сервис не требует установки. Просто запустите VirusTotal в любом браузере, введите в окошко адрес ссылки или с помощью кнопки “Выберите файл” добавьте подозрительный с вашей точки зрения объект с вашего компьютера. За считанные секунды вы получите подробную информацию в виде таблицы. “Чистые” файлы и ссылки будут обозначены зеленым цветом, вызывающие подозрения – красным.
Достоинства и недостатки
Достоинства:
- Нет необходимости в установке.
- Анализирует сразу с помощью баз десятков антивирусов.
- Проста в использовании.
- Быстрота работы.
Недостатки:
- Не может вылечить зараженный файл – лишь информирует о проблеме.
- Имеет английский интерфейс (хотя разобраться в нем все равно очень просто).
- Имеется ограничение по размеру файла.
Заключение
VirusTotal – удобный и простой в обращении сервис, позволяющий пользователям проверять подозрительные файлы и ссылки и обеспечивающий дополнительную защиту для вашего компьютера. Он прост в эксплуатации, не требует места и не “грузит” систему. Все что VirusTotal требуется для работы – стабильный интернет сигнал.
Перейти на онлайн-антивирус
Ссылки на скачивание ведут на официальные сайты. Если вы сомневаетесь в файле, проверьте с помощью антивирусной программы.
Версии ОС: | Windows 7, Windows 8, 8.1, Windows 10 | |
Разработчик: | ||
Размер: | онлайн-сервис | |
Лицензия: | бесплатно | |
Русская версия: | английский, русский и ещё 26 языков |
Реакция разработчиков
Разработчики uTorrent пока никак не отреагировали на жалобы по поводу конфликта их продуктов с популярными антивирусными решениями, поэтому пользователям остается применять торрент-клиент на свой страх и риск.
Знаменитый торрент-клиент распознается популярными антивирусами как угроза
Как пояснили CNews в компании «Доктор Веб», «антивирус Dr.Web не относит торрент-клиент к вирусам или нежелательному ПО. Причиной, по которой uTorrent попал в список «нежелательных», является то, что в клиент до недавнего времени был встроен бандл с рекламой Openсandy – сайта, который может устанавливать приложения, в комплекте которого присутствует библиотека OpenCandy. В этом случае становится возможна установка стороннего ПО на основе сканирования системы и местоположения пользователя, которое может модифицировать рабочий стол или браузер. Также на торрент-клиенте в настоящий момент присутствует реклама ПО от Lavasoft, которое и является нежелательным. К данной категории относятся программы, не являющиеся по своей сути вредоносными, однако и не несущие какой-либо полезной нагрузки, а в ряде случаев – требующие покупки платной лицензии за выполнение тех или иных действий».
Это не первый случай, когда uTorrent попадает под прицел разнообразных антивирусов. Аналогичная реакция антивирусных систем на него была зафиксирована в 2018 г. Тогда в Bittorrent ее назвали ложной. Компания приостановила распространение последнего на тот момент релиза, в котором, по всей видимости, и заключалась проблема.
В 2015 г. вокруг uTorrent разгорелся нешуточный скандал, связанный с тем, что вместе с релизом 3.4.2 клиента для Windows без согласия пользователя на ПК начала устанавливаться программа Epic Scale. Программа была предназначена для майнинга криптовалюты Litecoin на вычислительных мощностях пользователя. Прибыль от майнинга получали разработчики Epic Scale, которые впоследствии утверждали, что передают ее благотворительным организациям.
CIO и СTO: как меняется влияние ИТ-руководителей в компаниях?
Новое в СХД
Выявить тайную работу программы помогло то, что пользователи стали массово замечать возросшую нагрузку на свои устройства и замедление их работы. Как сообщила позднее Bittorrent, скрытый майнер был установлен на компьютерах примерно 6% пользователей клиента для Windows. Установка происходила в январе-марте 2015 г. В результате скандала Bittorrent убрала майнер из своего клиента, а Epic Scale опубликовала инструкцию по его удалению. Почему программа устанавливалась без ведома пользователя, компании не пояснили.
О сервисе VirusTotal
Но, прежде чем приступить к обзору программ, работающих в связке с сервисом VirusTotal, небольшая инфосправка о самом сервисе для тех, кто, возможно, ещё с ним не знаком. Это бесплатный антивирусный веб-сервис компании для проверки файлов и ссылок на предмет наличия в них вредоносного ПО любого типа. Это не единственный в мире антивирусный веб-сервис, но его примечательность и, соответственно, популярность заключается в комплексности анализа файлов и ссылок: VirusTotal работает на базе не одного, не десятки, а на базе более чем 70 антивирусных движков. В их числе движки от известных разработчиков антивирусных продуктов как то: BitDefender, Eset Software, Comodo, Avira, AVG Technologies, Nano Security, Malwarebytes Corporation, Panda Security, Microsoft, Panda Security, Qihoo 360. Комплексный анализ поможет вынести точный вердикт файлу или сайту – заражены ли они, либо же какие-то антивирусы допускают ложное срабатывание. Сервис VirusTotal живой, поддерживаемый и развиваемый, базы антивирусных движков постоянно обновляются.
Работать с VirusTotal предельно просто.
Заходим на его сайт:
На сайте выбираем вкладку «File» или «URL» и, соответственно, загружаем на сервер сайта подозрительный файл, либо же вставляем ссылку сомнительной веб-страницы.
Вредоносные коды также можно искать по IP, доменам и хеш-кодам файлов во вкладке сайта «Search».
Единственный нюанс: VirusTotal позволяет проверять файлы весом не более 550 Мб.
Ну а теперь вернёмся непосредственно к теме статьи – Windows-программы с интегрированной возможностью работы с антивирусным сервисом. Они позволяют использовать возможности VirusTotal для проверки активных системных процессов и прочих объектов внутри нашей операционной системы — то, что не может быть предусмотрено функционалом веб-интерфейса сервиса.
Рассмотрим тройку таких программ.
Особенности VirusTotal
Раньше (в детстве и юношестве) сервис был многоязычным, даже очень. Была поддержка и русского языка. Но новые владельцы вероятно решили, что в мире остались одни англичане (американцы) и почему-то испанцы…
Именно эти два языка остались в интерфейсе сервиса. Но вот, что скажу — даже если бы оставили один китайский язык, всё-равно было бы понятно, как пользоваться этим антивирусным онлайн-сервисом. Да и в самом быстром и популярном браузере Google Chrome этот вопрос решается на раз…
Достаточно просто перевести страницу встроенным переводчиком.
Также, особенностью сервиса VirusTotal является ограничение размера проверяемого файла — 32 Мб. Впрочем, этого достаточно в большинстве случаев.
Не стоит забывать и заблуждаться — VirusTotal не замена антивирусу в системе! Сервис способен проверять лишь отдельные, указанные файлы и ссылки.
Ещё одним предназначением сервиса является выявление ложных срабатываний антивирусов.
Использование упаковщиков
Обоюдоострое оружие. С одной стороны, в один .exe-файл можно поместить вредоносный файл и скрипт, который добавит вирус или троян в автозагрузку (или хотя бы один раз запустит его), и некоторые сканеры с сайта VirusTotal не обнаружат угрозы. С другой стороны, безвредный файл, упакованный специальной программой, может определяться некоторыми антивирусами как потенциально опасный. Посмотрите на скриншот.
Двенадцать антивирусов с помощью эвристики определили, что исполняемый файл небезопасен. На самом деле проверяемая утилита проверяет корректность штрих-кодов и не несет никакой опасности. Почему антивирусы «ругаются»? Дело в том, что исполняемый файл был упакован старой версией программы UPX, что позволило сжать программу до 17 КБ, но «напугало» некоторые антивирусы. Отметим, что сканеры крупных вендоров (Avira, Kaspersky и т.д.) на этот файл никак не отреагировали.
Политика конфиденциальности
Разработчики «Национального мультисканера» обрабатывают значительный объем персональных данных пользователей этого сервиса, которые, к тому же, могут быть переданы третьим лицам без предварительного уведомления. Сканером можно пользоваться без регистрации и авторизации, и в этом случае разработчики получат сведения только об обрабатываемом файле и его содержимом, операционной системе и браузере пользователя, а также о его статическом IP-адресе.
При регистрации сервис попросит указать личный адрес электронной почты, название организации, а также фамилию, имя и отчество. Эти данные тоже будут подлежать обработке.
Как пандемия изменила подходы к организации рабочего пространства
Интеграция
Создатели ресурса оставляют за собой право раскрывать перечисленную информацию компаниям-партнерам. «Мы можем раскрыть ваши данные нашим партнерам по безопасности в целях обнаружения вредоносного кода и улучшения их антивирусных систем», – сказано в политике конфиденциальности «Национального мультисканера».
Делиться с создателями «Национального мультисканера» реальными данными необязательно
Помимо этого, создатели «Национального мультисканера» сообщают, что все персональные данные пользователей будут храниться на серверах годами. «Мы храним ваши персональные данные в течение 5 (пяти) лет, что соответствует разумно необходимому периоду для соблюдения требований законодательства. Это делается, например, на случай возникновения судебных исков или жалоб и в целях защиты», – утверждают они.
Редакция CNews выяснила, что на момент публикации проверка корректности введенной при регистрации информации о пользователе на сервисе реализована не была.
Это означает, что пользоваться «Национальным мультисканером» можно и без раскрытия подлинных персональных данных.
Онлайн сервис проверки на вирусы VirusTotal
Иногда бывают ситуации, когда штатный антивирус не в состоянии распознать угрозу. Поэтому для анализа особо подозрительных файлов я пользуюсь сервисом VirusTotal. Это бесплатный онлайн сервис, осуществляющий анализ файлов на предмет наличия вирусов, червей, троянов и прочих вредоносных программ. Основным достоинством VirusTotal является возможность проверки сразу несколькими антивирусными программами, что обеспечивает высокую надежность. Кстати, VirusTotal является подразделением Google.
Пользоваться сервисом достаточно просто. Открываем страницу https://www.virustotal.com, выбираем файл и жмем на кнопку «Проверить». Загружать файлы для проверки можно только по одному, при этом размер загружаемого файла не должен превышать 64 Мб. Если надо проверить несколько файлов, то можно схитрить и положить их все в архив.
После нажатия кнопки файл загружается для проверки. Время загрузки зависит от размера файла и загруженности сети, но как правило не превышает нескольких минут.
После загрузки файла вычисляется его хэш-сумма и файл ставится в ставится в очередь. Затем начинается анализ файла на наличие вредоносного кода. Как видите, для анализа моего файла использовалось 47 антивирусных программ. Результаты проверки, общий и для каждого антивируса отдельно выводятся на экран. Дальше решение принимать вам, лечением или удалением вирусов сервис не занимается.
Все проверяемые файлы заносятся в общую базу, так что вполне возможна ситуация, когда файл уже проверялся. В этом случае вам будет выдано уведомление и можно либо посмотреть результаты предыдущей проверки, либо проверить заново.
Кроме файлов VirusTotal умеет сканировать ссылки, так что можно не загружать файл к себе на диск, а просто указать его URL.
В этом случае отдельно будет проанализирован ресурс, на котором находится загружаемый файл, а уже затем можно будет перейти к анализу самого файла.
Для проверки файлов можно установить десктопное приложение VirusTotal Uploader. С его помощью мы сможем:
• Upload Process Executable — выбрать подозрительный системный процесс и отправить его на проверку. Эта возможность есть только в приложении; • Select file(s) and upload — выбрать один или несколько файлов и отправить их на проверку. Одновременно можно загрузить не более 5 файлов весом до 20Мб каждый; • Get and upload — загрузить файл и отправить его на проверку.
Дополнительно в настройках (Options) можно указать, как поступать с загружаемыми файлами — не хранить на диске (по умолчанию), помещать в папку Temp и удалять через некоторое время или хранить в отдельной папке.
Кроме того, если файл уже находится на компьютере то достаточно кликнуть на нем правой клавишей и перейти на пункт Отправить — VirusTotal. Подозреваемый будет тут же отправлен на проверку.
В заключение скажу, что VirusTotal не является заменой антивирусной программе. Он не умеет автоматически отслеживать угрозы и не сможет вылечить зараженный файл. Его предназначение в другом — максимально подробно проверить конкретный файл на вирусы. И вот тут он вне конкуренции, ведь как говорится в известной пословице — один антивирус хорошо, а 47 лучше
Как пользоваться сервисом VirusTotal через браузер
Если устанавливать мобильное приложение нет желания либо вы хотите проверить файлы на компьютере, используйте универсальную браузерную версию веб-антивируса.
На главной странице сайта VirusTotal размещены вкладки – соответственно три функции:
- проверка файла – сканирование единичного файла размером до 128 Мб;
- URL-адреса – если на вирусы проверяется отдельная ссылка или сайт целиком;
- Поиск – полезно, если необходимо “пробить по базе” домен на подозрительные записи или файлы.
Рассмотрим для примера, как производится проверка на вирусы через файловый сканер.
Для начала загрузим файл (максимальный размер – до 128 Мб). Нажимаем «Проверить».
Ищем троян на Андроид
По результатам проверки, во вкладке «Анализ» отобразится статистика вида “Антивирус — Результат — Дата обновления ”.
Сканер VirusTotal впечатляет: проверка производится по базам нескольких десятков антивирусов.
Список поддерживаемых антивирусных баз на сервисе VirusTotal
Также как и в мобильной версии VirusTotal, в дополнительных сведениях выводится расширенная статистика. В зависимости от файлового типа доступна соответствующая информация.
Единственное нарекание в браузерной версии VirusTotal вызывает неудобная система загрузки файлов: добавить для проверки папку или несколько файлов сразу не представляется возможным.
Заключение. Возможности VirusTotal будут полезны как пользователям мобильных устройств, которые не хотят устанавливать антивирус для разовой проверки.
Пользователям десктопа сканер VirusTotal также будет полезен, например, если требуется проверить сайт на вирусы или фишинг.
File reports Summary
When you scan a file or search for a file given its hash, you’ll see a report that looks like this:
Again, this report is a sample only and does not reflect the actual ratings of any vendor listed. And again we have numbered the most characteristic elements in the screenshot above for reference. They are:
1) and 3) The total number of VirusTotal partners who consider this file harmful (in this case, 44) out of the total number of partners who reviewed the file (in this case, 60).
2) The reputation of the given URL as determined by VirusTotal’s Community (registered users). Users sometimes vote on files and URLs submitted to VirusTotal, these users in turn have a reputation themselves, the community score condenses the votes performed on a given item weighted by the reputation of the users that casted these votes. Negative (red) scores indicate maliciousness, whereas positive (green) scores reflect harmlessness. The higher the absolute number, the more that you may trust a given score. You can read more about this at: https://support.virustotal.com/hc/en-us/sections/115000737185-Community
4) SHA-256 (a cryptographic hash function) is a unique way to identify a file and used in the security industry to unambiguously refer to a particular threat. For more info see:
5) File name of last submission, and access to search by file names.
6) Tags.
7) The date and time (UTC) of the review.
8) Icon for the file type.
9) Button to reanalyse the file.
10) Multi-similarity: find similar files using different approaches. (Feature available only to Enterprise customers)
11) Search for similar files. (Feature available only to Enterprise customers)
12) Download sample. (Feature available only to Enterprise customers)
13) Explore the file in VirusTotal Graph.
AVC UnDroid – ресурс проверок apk-элементов
Данный ресурс бесплатен и создан для того, чтобы проверять вредителей в ark файле. Применяет сервис во время сканирования двигателями, такими как ssdeep и APKTool.
Для проверки элемента на предмет ark вируса, нужно кликнуть по кнопке Select APK и предоставить элемент ark, чтобы его анализировать. AVC UnDroid может провести анализ только элемента, объём которого не больше 7 Мб. Этого по большей части хватает для проверок ark элементов.
Элементы, которые вы загрузили, изучаются данным сервисом. Затем, человек забирает информацию о проведённом сканировании – хэши файлов, уровень угрозы и прочие данные.
Недостаток сервиса в том, что кроме ark элементов, прочие файлы сервис не сканирует. Загрузка происходит по одному элементу за одно сканирование. Если вы желаете получить более обширную информацию, вам нужна регистрация. Она откроет путь к статистике с комментариями и повысит объём на файл загрузки (то есть, можно будет сканировать файлы объёмом более 7 Мб).
Не забывайте, что написано на самой странице. Данный сервис «Beta». Другими словами, он пока остаётся экспериментальным.
Войти на AVC UnDroid
Example use cases
This section details some common searches users have asked for in the past, they serve just as examples to illustrate how all of the info provided in the previous sections glues together.
Studying malicious PDFs
Some academics have used VirusTotal in the past to research malicious PDFs and develop new detection approaches. An example of this research is the Static Detection of Malicious JavaScript-Bearing PDF Documents paper by fellows of the University of Tübingen.
In order to try to extract a study base of malicious PDFs from VirusTotal the first idea that comes to our minds is to do something as simple as:
typepdf positives5+
But this is not the only thing you can do. Very often PDFs with exploits will have an invalid XREF table, hence, it also makes sense to do something along the lines of:
typepdf taginvalid-xref
Other tags can also be combined to retrieve juicy PDFs, for example, let us get all those PDFs that contain JavScript and contains an automatic action (perhaps to launch the previous JavaScript):
typepdf tagautoaction tagjs-embedded
Even easier, there is a specific tag for exploits (whenever we have enough indications is or contains an exploit), so let us just make use of it:
typepdf tagexploit
Retrieving exploit samples
The last example of the previous study case ended with the simplest form of searching for exploits:
tagexploit
Even more interesting is the fact that you can search for samples tagged with specific Common Vulnerability and Exposure (CVE) identifiers:
tagcve-2012-0158
Identifying potential false positives
A false positive is another way of saying «mistake». As applied to the field of antivirus programs, a false positive occurs when an antivirus program mistakenly flags an innocent file as being malicious. This may seem harmless enough, but false positives can be a real nuisance.
VirusTotal can be used to identify potential false positives. For example, very often signed Portable Executables with a low number of detections will be a false positive (although not always). Let us just suppose we are interested in retrieving false positives by Symantec, we can do something along the lines of:
tagsigned positives3- symantecinfected
These are most probably files that we want to check twice to verify that they are indeed malicious.
Solitary detections can also be sometimes potential false positives (although not always):
positives1 symantecinfected
We surely also want to look at all those files that are either in the National Software Reference Library or an online reputed software collection and are being detected:
(tagnsrl OR tagsoftware-collection) AND symantecinfected AND positives10-
The number of unique sources that sent a given file to VirusTotal can also be a good indicator of whether a given file is innocuous. Very often, the files that are extremely widespread are benign in nature (although not always):
sources2000+ symantecinfected
If you are interested in receiving further information regarding some study case of your own please do not hesitate to contact us.
Онлайн сервис VirSCAN
VirSCAN.org является бесплатным online ресурсом, чтобы анализировать подозрительные элементы с использованием сразу нескольких технологий в одно время. После проверки Ресурс даст вам файл с данными по их безопасности.
Также, данный сервис не помешает, если вы проверили весь смартфон на предмет вирусов, и не нашли их. Но, у вас остались подозрения, что они находятся на определённом файле. Вы присылаете данный файл и узнаёте, опасный он, или нет. Сервис может найти вирус там, где не смог найти его домашний антивирус.
На данном ресурсе обширная антивирусная база. Причём, эта база собирается с разных антивирусных баз, вроде Касперского, Доктора Веба, AVG и прочих. Создатели предупреждают, что онлайн-антивирус может дать ложную тревогу. Но, лучше лишний раз перепроверить, чем проверить гаджет не полностью. Кроме этого, недостатком сервиса является медлительность. Это также связано с обширной базой от многих антивирусов.
Зайти на сервис VirSCAN
File Reports Details
1) A list of each reviewing partner and their findings. Possible findings are:
- Undetected: The given engine does not detect the file as malicious.
- Suspicious: The given engine flags the file as suspicious.
- Unable to process file type: The given engine does not understand the type of file submitted and so will not produce verdicts for it.
- Timeout: The given engine reached VirusTotal’s time execution limit when processing the file and so no verdicts were recorded for it.
2) Displays more information about the item being reviewed. For instance, for an Office document file this might list VBA code streams seen in document macros and other file type specific information. Similarly, VirusTotal specific metadata such as first submission and last submission dates, upload file names, etc are also recorded in this section.
3) VirusTotal’s backend generates rich relationships: URLs from which a file has been downloaded, whether a given file been seen contained in some other files, what are the parents of a given Portable Executable, domain to IP address mappings over time, etc.
4) The samples submitted to VirusTotal get executed automatically in a controlled (sandboxed) environment and the actions performed are recorded in order to give the analyst a high level overview of what the sample is doing.
5) Content of the file: Strings and hexadecimal content extracted from the file. Preview of the full content is available depending of the filetype(pdf, docx, etc) (Feature available only to Enterprise customers)
6) Detailed listing about the submissions of this file with information like origin countries and dates. (Feature available only to Enterprise customers)
7) These are comments made by members of the VirusTotal Community. Most recent comments are listed first. This section also records the votes made by members of the VirusTotal Community on this file or URL.
8) List of Analyses with the detections evolution and the option to click on Previous Analyses. (Feature available only to Enterprise customers)
9) Copy detections as plain text to the clipboard. (Feature available only to Enterprise customers)
API V2 third party scripts and client libraries
Our API V2 will be soon deprecated, it will remain available but we encourage every new user to adopt API v3 instead, where we will include our new functionalities.
Go
VirusTotal public API 2.0 implementation in Go by Willi Ballenthin.
VirusTotal public API 2.0 implementation in Go by dutchcoders.
VirusTotal public API 2.0 implementation in Go by Vighneswar Rao Bojja.
Java
VirusTotal public API 2.0 implementation in Java by Mauricio Correa.
VirusTotal public API 2.0 implementation in Java by Kanishka Dilshan.
VirusTotal public API 2.0 implementation in Java by Vighneswar Rao Bojja.
Set of local Maltego transforms for VirusTotal’s public API by Michael Yip.
VirusTotal local Maltego transforms by Lookingglass.
.NET
VirusTotal public API version 2.0 implementation in C#.NET by Ian Qvist.
VirusTotal public API version 2.0 implementation in VB.NET by omegatechware.
Implementation and Integration of VirusTotal’s API in ASP.NET + Python by Nilay Sangani.
VirusTotal public API version 2.0 implementation in perl by Michelle Sullivan from SORBS.
Perl script to submit files and retrieve their results by Christopher Frenz (@cfrenz).
PHP
VirusTotal public API version 2.0, with internal PHP curl, and no other dependencies. by @IzzyOnDroid.
VirusTotal public API version 2.0 implementation in PHP by @jayzeng.
PHP script for accessing VirusTotal public API Version 2.0 by Andreas Breitschopp (@abtools).
PHP script for scanning files with VirusTotal public API Version 2.0 by @adrianTNT.
VirusTotal public API version 2.0 implementation in Powershell by @DBHeise.
Hash lookups using API version 2.0 in Powershell by @cbshearer.
Python
VirusTotal public API version 2.0 implementation in Python 2.x by Chris Clark and Adam Meyers.
VirusTotal public API version 2.0 implementation in Python 2.x by Gawen Arab.
VirusTotal public API version 2.0 implementation in Python 2.x by @techno_vikiing.
Single and bulk lookups with VirusTotal public API version 2.0 by Claudio Guarnieri.
VirusTotal public API version 2.0 implementation in Python 2.x by @Erethon.
Full VirusTotal public and private API version 2.0 implementation in Python 2.x by Andriy Brukhovetskyy.
VirusTotal public API version 2.0 implementation in Python 3.x by Xiaokui Shu.
VirusTotal public API version 2.0 implementation in Python 2.x by Phillip Martin.
VirusTotal public and private API version 2.0 implementation in Python 2.x by Blacktop.
VirusTotal domain scanner by Matthew Clairmont.
VirusTotal public API version 2.0 implementation in Python by Tal Melamed.
VirusTotal public API version 2.0 implementation in Python 2.x by Harry Chauhan.
VirusTotal API wrapper version 2.0 implementation in Python 3.x by José Lopes.
VirusTotal public API version 2.0 implementation in Python 3.x by Dextroz.
URLs and hash lookups CLI using API version 2.0 in Python 3.x by TheresAFewConors
Domain and IP address reports
Unlike file and URL reports, network location views do not record partner verdicts for the resource under consideration. Instead, these reports condense all of the recent activity that VirusTotal has seen for the resource under consideration, as well as contextual information about it. These details include:
- Autonomous System and location country for IP addresses.
- Passive DNS replication information: all the IP-domain name mappings that VirusTotal has seen over time for the item being studied. These resolutions are performed when contacting URLs submitted to VirusTotal for scanning, when executing files in sandboxes, through partnerships with third-parties, etc.
- Whois lookups: registered users or assignees of an Internet resource, such as a domain name, an IP address block, or an autonomous system, but is also used for a wider range of other information.
- Observed subdomains: domains seen hierarchically under another domain stored in VirusTotal.
- Sibling domains: domains at the same hierarchical level as the domain being studied.
- URLs: latest URLs seen under the domain or IP address being studied. Note that the date reflected in this section is not the date at which the URL was contacted but rather the date of the last report that we have for the resource, this might be more recent or older than the retrieval date.
- Downloaded files: latest files that have been retrieved from URLs sitting at the domain or IP address under study. Note that the date recorded in this section is not the date at which the file was downloaded but rather the date of the last report that we have for the resource.
- Communicating files: latest files that, through their execution in a sandboxed virtual environment, have been seen to perform some kind of communication with the IP address or domain under consideration. Note that the date recorded in this section is not the date at which the communication took place but rather the date of the last report that we have for the resource.
- Files referring: VirusTotal will inspect the strings contained in files submitted to the service and apply certain regular expressions to these in order to identify domains and IP addresses. This section records files that have referenced the domain or IP address under consideration. Note that the date recorded in this section is not the date at which the file that give raise to the relationship was submitted but rather the date of the last report that we have for the resource.
Как работает PeStudio
Ссылка на скачивание программы будет в конце обзора, как всегда, а пока расскажу, как ею пользоваться.
Попытки повысить удобство использования сервиса Virustotal предпринимались давно. Одним из популярных методов остается до сих пор добавление пункта в контекстном меню Проводника для быстрой отправки файла на проверку…
Реализовать все это дело можно бесплатной и маленькой программкой .
Конечно, таким образом проверять скачанные из сети Интернет файлы удобнее, чем переходить на сам сервис (писал уже про визуальные закладки) и в ручном режиме указывать их расположение на компьютере, но существенные минусы остались:
…
…
- нужно запускать браузер (хоть это происходит и в автоматическом режиме)
- проверяемый файл физически загружается на сервис
- требуется время для запуска самого Virustotal (отображения страницы)
- сохраненная информация на главной странице сервиса о предыдущей проверке файла каким-то пользователем далеко не всегда самая актуальная (желательно в любом случае проходить проверку самостоятельно)
С PeStudio все гораздо проще, быстрее и удобнее — перетаскиваете файл в окно программы (или все-таки указываете путь к нему ручками, если не привыкли использовать более современный и быстрый метод перетаскивания)…
…и сразу получаете актуальную информацию именно о своем файле…
Для отображения результатов с Virustotal нужно перейти в соответствующий раздел программы (третья строка в левой половине окна)…
Как видите, дата проверки отображается правее в окне программы и у каждого антивирусного движка она своя (показывает, когда последний раз именно он «щупал» файл).
Такая скорость работы программы достигается использованием только хеш-суммы файла (писал как-то про это дело), а не физического его закачивания на сервис с последующей проверкой.
Пусть тратят время на весь этот процесс (обеспечивая нам актуальную информацию о наличии вирусов в файлах ) только те пользователи, которые не читают сайт OptimaKomp.ru и поэтому даже не догадываются о существовании программы PeStudio.
PeStudio выдает информацию про уже ранее отсканированный пользователями на сервисе Virustotal файл.
Она не проверяет файлы на вирусы, а предоставляет (моментально) информацию, которая известна сервису Virustotal о нем (по его хеш-сумме).
Программа PeStudio, кроме наличия (или отсутствия) вирусов, очень быстро собирает и некоторую другую техническую информацию о файле, но она большинству пользователей совершенно бесполезна.
Особенности VirusTotal
Раньше (в детстве и юношестве) сервис был многоязычным, даже очень. Была поддержка и русского языка. Но новые владельцы вероятно решили, что в мире остались одни англичане (американцы) и почему-то испанцы…
Именно эти два языка остались в интерфейсе сервиса. Но вот, что скажу — даже если бы оставили один китайский язык, всё-равно было бы понятно, как пользоваться этим антивирусным онлайн-сервисом. Да и в самом быстром и популярном браузере Google Chrome этот вопрос решается на раз…
Достаточно просто перевести страницу встроенным переводчиком.
Также, особенностью сервиса VirusTotal является ограничение размера проверяемого файла — 32 Мб. Впрочем, этого достаточно в большинстве случаев.
Не стоит забывать и заблуждаться — VirusTotal не замена антивирусу в системе! Сервис способен проверять лишь отдельные, указанные файлы и ссылки.
Ещё одним предназначением сервиса является выявление ложных срабатываний антивирусов.
…
…
Очень актуальная проблема — «закричит» антивирус у одного пользователя и он давай по всему интернету орать на программу, сайт и автора сайта… , а ведь другие 71 (!) антивируса молчат при этом оказывается.
Любой сканер или антивирус, хоть и обновляется постоянно, но всё-равно является лишь программой, набором команд и кодов, они тоже могут ошибаться.
Создатели сервиса это понимают снижая процент ошибок не только постоянно увеличивая число аудиторов (сканеров), но и внедрив дополнительное средство определения зловредности файла — личный опыт пользователей.
Это реализовано в очень симпатичной и оригинальной форме — путём голосования за файл или ссылку…
Не забудьте ткнуть на чёртика или ангела, если знаком проверяемый файл, программа или ссылка.
Как-то плавно перешёл к описанию…