VirusTotal jest to potężne narzędzie online za pomocą którego możemy sprawdzić poszczególne pliki lub strony internetowe pod kątem infekcji złośliwym oprogramowaniem. Dodatkowo możemy przeskanować adresy IP oraz same domeny. Serwis ten używa jednocześnie przeszło 80 skanerów antywirusowych. Dzięki temu dane są bardziej wiarygodne w przeciwieństwie do wyników otrzymanych za pomocą jednego zainstalowanego programu antywirusowego. Niestety jest też druga strona medalu o której musisz wiedzieć zanim wyślesz swoje pliki do analizy. W artykule omówię najważniejsze aspekty na które należy zwrócić uwagę.
Do czego przyda się VirusTotal
Niestety VirusTotal nie zastąpi oprogramowania antywirusowego, które jest zainstalowane na naszym komputerze. Takie oprogramowanie zapewnia stały monitoring systemu. Natomiast VirusTotal przeznaczony jest to skanowania wybranych przez nas plików. VirusTotal idealnie sprawdzi się do sprawdzenia wszelkich załączników otrzymanych mailem, a także plików ściągniętych bezpośrednio z Internetu. Dodatkowo jest też opcja skanowania stron internetowych pod katem złośliwego oprogramowania.
Warto wspomnieć o tym, że maksymalna wielkość pliku jaką możemy wysłać do analizy wynosi 650MB. Podczas skanowania obowiązuje kolejka. Usługa ta jest w pełni darmowa. Niestety jest pewien haczyk, o którym warto wiedzieć.
Na co trzeba uważać przesyłając pliki do analizy do VirusTotal
Zazwyczaj nie ma nic za darmo i to oczywiście jest zrozumiałe. Przeważnie jeśli nie płacimy pieniędzmi, musimy przekazać nasze dane. Tak jest właśnie w przypadku VirusTotal. Użytkownicy, którzy mają wykupiony pakiet premium mają dostęp do plików przesłanych do analizy przez inne osoby.
Konto premium mogą mieć jedynie firmy z sektora publicznego. Osoby indywidualne nie mają możliwości, żeby je utworzyć. Na stronie VirusTotal nie ma oficjalnego cennika, ponieważ ceny są ustalanie indywidualnie i nie są one wcale takie małe. Mogłoby się wydawać, że zagrożenie jest przez to mniejsze.
Możesz się zastanawiać po co komu dostęp do naszych plików. Otóż jest to bardzo pomocne dla twórców systemów bezpieczeństwa. Dzięki analizie tych plików są w stanie uzupełniać swoje bazy pod kątem nowych, nieznanych jeszcze zagrożeń. Niestety nigdy się nie dowiemy kto faktycznie przegląda przesłane na serwer pliki i czy faktycznie są one wykorzystywane w dobrym celu. Właśnie dlatego nie należy przesyłać do analizy plików zawierających poufne dane, ponieważ mogą one trafić w niepowołane ręce.
W takim razie czy warto korzystać z VirusTotal?
VirusTotal jest świetnym narzędziem i gorąco zachęcam, żeby z niego korzystać. Jednak należy robić to z głową. Nie wysyłaj do analizy plików zawierających poufne dane. Nawet sam VirusTotal na swojej stronie informuje o tym:
Natomiast śmiało możesz skanować wszelkie inne pliki i strony internetowe. VirusTotal świetnie sprawdzi się do sprawdzenia plików pobranych z Internetu.
Czy VirusTotal wykryje każdego wirusa?
Standardowy program antywirusowy sprawdzając dany plik korzysta tylko ze swojej bazy. Natomiast VirusTotal ma dostęp do ponad 80 baz złośliwego oprogramowania. Dzięki temu zwiększamy prawdopodobieństwo namierzenia złośliwego kodu, jednak nie to zera. Niestety zawsze istnieje ryzyko, że dany malware nie znajduje się w bazie. Uwaga ta nie dotyczy tylko VirusTotal, ale każdego oprogramowania antywirusowego.
Jak przeskanować plik
Obsługa VirusTotal jest banalnie prosta. Po wejściu na stronę virustotal.com od razu jest widoczny formularz. W pierwszej zakładce FILE możemy wysłać plik do analizy. Dany plik możemy wybrać z dysku poprzez kliknięcie przycisku Choose file lub można go przeciągnąć w to pole.
W kolejnej zakładce URL możemy sprawdzić naszą stronę internetową.
Poniższy przykład pokazuje brak infekcji złośliwym oprogramowaniem:
Natomiast kolejny zrzut pokazuje wykryte infekcje:
Dodatkowa ważna funkcjonalność
VirusTotal dla każdego przesłanego pliku wylicza hash. Jeśli ktoś przed Tobą wysłał już dany plik do analizy, to nie ma potrzeby, żeby ponownie go wysyłać i obciążać serwer. VirusTotal po prostu wylicza hash z Twojego pliku i sprawdza, czy ma go już w swojej bazie. Jeśli tak, od razu wyświetla Ci wyniki bez zaciągania go na swój serwer.
Czy może to być dla nas przydatne? Otóż w przypadku otrzymania podejrzanego załącznika możesz sprawdzić czy już ktoś przed Tobą wysłał go do analizy. Jeśli okaże się, że jego hash znajduje się już w bazie możesz mieć prawie pewność, że masz do czynienia z oszustami.
Podsumowanie
VirusTotal jest bardzo popularnym narzędziem i używanym przez wiele osób. Sama bardzo często z niego korzystam, zwłaszcza podczas odwirusowywania stron. Narzędzie to pomaga mi zlokalizować złośliwy kod. Niestety nie każda infekcja zostaje wykryta. Jednak VirusTotal i tak bardzo mi pomaga w codziennej pracy. Wiedząc jakie jest dokładne działanie tego narzędzia możemy w pełni wykorzystać jego potencjał nie narażając się przy tym na wyciek poufnych informacji.