Virus Scanner - проверка файлов на всех антивирусах. Вирус скан


Проверка файлов и сайтов на вирусы онлайн с помощью VirusTotal

07.01.2014&nbsp для начинающих | лечение вирусов

Если вы никогда не слышали о VirusTotal, то информация вам должна пригодиться — это один из тех сервисов, о которых следует знать и помнить. Я уже упоминал о нем в статье 9 способов проверить компьютер на вирусы онлайн, здесь же более подробно покажу что и как можно проверить на вирусы в VirusTotal и когда имеет смысл воспользоваться такой возможностью.

Прежде всего, о том, что такое VirusTotal — это специальный онлайн сервис проверки на вирусы и другие вредоносные программы файлов и сайтов. Принадлежит он Google, все полностью бесплатно, на сайте вы не увидите никакой рекламы или еще чего-либо, не относящегося к основной функции. См. также: Как проверить сайт на вирусы.

Пример онлайн проверки файла на вирусы и зачем это может понадобиться

Самая распространенная причина появления вирусов на компьютере — скачивание и установка (или просто запуск) какой-либо программы из Интернета. При этом, даже если у вас установлен антивирус, а загрузку вы осуществляли с проверенного источника, это не означает, что все полностью безопасно.

Живой пример: недавно в комментариях к моей инструкции про раздачу Wi-Fi с ноутбука стали появляться недовольные читатели, сообщающие что программа по ссылке, которую я давал, содержит все что угодно, но только не то, что нужно. Хотя я всегда проверяю, что именно я даю. Оказалось, что на официальном сайте, где раньше лежала «чистая» программа теперь находится непонятно что, а официальный сайт переехал. Кстати, еще один вариант, когда может пригодиться такая проверка — если ваш антивирус сообщает о том, что файл представляет угрозу, а вы с этим не согласны и подозреваете ложное срабатывание.

Что-то много слов ни о чем. Любой файл, размером до 64 Мб вы можете полностью бесплатно проверить на вирусы онлайн с помощью VirusTotal, прежде чем его запускать. При этом, будет использовано сразу несколько десятков антивирусов, куда входят и Касперский и NOD32 и BitDefender и куча других, известных и неизвестных вам (а в этом плане Google можно верить, это не просто реклама).

Приступаем. Зайдите на https://www.virustotal.com/ru/ — это откроет русскую версию VirusTotal, которая выглядит так:

Все что вам требуется, загрузить файл с компьютера и дождаться результата проверки. Если ранее такой же файл проверялся (что определяется по его хэш-коду), то вы сразу получите результат предыдущей проверки, но при желании можете проверить его еще раз.

Результат проверки файла на вирусы

После этого, вы можете просмотреть результат. При этом, сообщения о том, что файл подозрителен (suspicious) в одном-двух антивирусах может говорить о том, что на самом деле файл не особо опасен и занесен в список подозрительных лишь по той причине, что выполняет какие-то не вполне нормальные действия, например, с его помощью можно взломать ПО. Если же, напротив, отчет пестрит предупреждениями, то лучше удалить данный файл с компьютера и не запускать его.

Также, при желании, вы можете просмотреть результат запуска файла на вкладке «Поведение» или прочесть отзывы других пользователей, при их наличии, об этом файле.

Проверка сайта на вирусы с помощью VirusTotal

Аналогичным образом вы можете проверить наличие вредоносного кода на сайтах. Для этого, на главной странице VirusTotal под кнопкой «Проверить» нажмите «Проверить ссылку» и введите адрес сайта.

Результат проверки сайта на вирусы

Особенно это пригодится, если вы часто попадаете на сайты, которые настойчиво предлагают вам обновить браузер, скачать защиту или сообщают вам о том, что на вашем компьютере обнаружено множество вирусов — обычно, как раз на таких сайтах вирусы и распространяются.

Подводя итог, сервис очень полезен и, насколько я могу судить, надежен, хоть и не лишен недостатков. Тем не менее, с помощью VirusTotal начинающий пользователь сможет избежать многих возможных проблем с компьютером. А еще, с помощью VirusTotal можно проверить файл на вирусы не загружая его к себе на компьютер.

А вдруг и это будет интересно:

remontka.pro

Virus Scanner - проверка файлов на всех антивирусах

Мультипотоковый антивирус Virus Scanner

Бесплатная программа Virus Scanner проводит мультисканирование файлов всеми антивирусами в режиме онлайн одним щелчком мыши, ведет историю просканированных файлов с результатами проверок и абсолютно не нагружает системные ресурсы Вашего комьютера.

Моментальная проверка выбранного файла

Правой кнопкой мышь выберите опцию в контекстном меню файла - "Virus Scanner - проверить на вирусы". Подозрительный файл будет тут же подхвачен программой-анализатором для моментального проведения вирусного анализа.

Анализ подозрительных файлов

Сканирование и анализ подозрительных файлов на предмет обнаружения вирусов, троянов, червей и всевозможного вредоносного кода.

Результаты проверки онлайн

Проверка файлов проводится удаленно большинством известных антивирусов(более 50 работающих программ), выдается отчет с результатами проверки с записью в Вашу локальную историю проверенных файлов.

Ресурсы компьютера не задействованы

Антивирус Virus Scanner отправляет проверяемый файл на сервер, где происходит проверка всеми антивирусными программами и довольно быстро получает ответ - результаты проверки. Файлы проверяются - Ваш компьютер отдыхает!

Скачать программу Virus Scanner

Народный антивирус AVITVAБесплатный и мощный антивирус для всех

Антивирус AVITVA не грузит систему, обновляемая антивирусная база - простое и надежное антивирусное решение для всех! Распространяется на бесплатной основе.

Сайт: http://www.avitva.ru

Скриншоты программы AVITVA

Скачать антивирус AVITVA

checkfile.ru

Сканер вирусов изнутри / Хабр

Последний год я работал над реализацией вирусного сканера для одной антивирусной как ни странно компании. Пост являет собой выжимку приобретенных знаний, и повествует хабрасообществу о внутреннем устройстве как ни странно антивирусного сканера. Сканирующий движок или сканер — это фундамент антивирусного пакета. Являет собой бэк-энд антивируса и, как правило представлен в виде dll, так как сканер используется сразу несколькими программами из пакета. Графическая оболочка в этом случае — лишь красивая обертка для отображения результатов движка. Всю полезную работу, делает движок в бэк-енде.
Локации вирусного ПО

Из названия понятно, что движок используется для сканирования всех возможных локаций вредоносного ПО, а именно:

  • Сканирование произвольных файлов и папок, вплоть до целых дисков.
  • Сканирование памяти. Сканируются все загруженные в память процессы и их dll.
  • Сканирование загрузочных записей дисков (Master Boot Records — MBR).
  • Сканирование системы на предмет следов вредоносного ПО. Проверка системных папок вроде %APPDATA%, %WINDIR% на предмет определенных файлов и папок. Сканирование реестра, также на предмет следов в автозагрузке и настройках.
Виды сканирования.
Сканирование делится на два основных вида: сигнатурный и эвристический.
Сканирование на основе сигнатур.
Другое название — хэш-скан (hash scan). Сканер проверяет файлы путем сравнения сигнатур файлов со словарем. Обычно сигнатурой антивируса является MD5-хэш (16 байт) сгенерированный на основе тела известного вируса. Таким образом, файл считается зараженным, если его хэш найден в базе сигнатур. Для локализации выявления вредоноса, хэш может вычисляться только для exe-файлов на основе PE-заголовка. Такой вид сканирования позволяет определить вид атаки с высокой долей вероятности, без ложных срабатываний (чем грешит эвристическое сканирование). К недостаткам хэш-скана относят неспособность выявить новые вирусы, которые отсутствуют в базе. А также беззащитность перед полиморфными или шифрующимися вирусами, в связи с чем требуются регулярные обновления базы сигнатур. Также слабым местом хэш-скана является скорость проверки. Если бы не закон Мура, ни один современный компьютер уже не смог бы закончить сканирование с такой массой сигнатур в разумное время.
Эвристическое сканирование

Метод, в основе которого положено выявление вируса на основе заранее известных характеристик (эвристик). Например, для выявления загрузочного вируса прописавшегося в MBR, антивирус может считать загрузочную запись двумя путями: функцией WinAPI ReadFile, и с использованием драйвера прямого доступа к диску (direct disk access — DDA driver). А затем сравнить оба буфера. Если буферы различны, то с высокой долей вероятности можно сказать, что мало того что вирус загрузочный, он еще и подменяет вызовы WinAPI. Что для руткитов — обычная практика. Другим примером эвристического скана, может быть поиск следов вируса в реестре и системных директориях. Как правило вирусы создают определенный набор файлов, и/или записей в реестре, по которым можно их выявить. Перечисленные выше типы локаций вредоносного ПО, а именно сканирование следов, сканирование cookies и проверка загрузочных записей диска, также подпадают под вид эвристического сканирования.

Компоненты и вспомогательные модули сканера
Драйвер прямого доступа к диску
Необходим для обхода руткитов. В зараженной системе, руткиты используются для заметания следов своего присутствия. Лучшим способом для этого является подмена вызовов API-функций. В частности для работы с файлами: CreateFile, ReadFile итд. Когда антивирусная программа сканирует систему, вызывая эти функции, то руткит может возвращать FALSE, когда такой вызов относится к нему. Чтобы обойти это, сканер содержит в себе модуль непосредственного посекторного считывания с диска, без использования WinAPI.
Черно-Белые списки
Служат для фильтрации обнаружений, которые на самом деле не являются зловредами. Таким образом, антивирус не предупреждает об опасности, в случае ложного срабатывания. Современные антивирусы, хранят базу в среднем от 5 млн. сигнатур. Причем довольно часто, для одного вируса, может существовать с десяток сигнатур. Возможная ситуация, что из нескольких тысяч системных файлов, найдется подходящий под сигнатуру файл. А это грозит тем, что антивирус удалит его, или переместит в карантин, что может привести к отказу системы вовсе. Минимизировать ложные срабатывания — главный приоритет любой антивирусной компании. Чтобы пройти самый престижный антивирусный тест — virus bulletin, антивирус должен показать 100% результат обнаружения, при этом не выдав единого ложного срабатывания. Белый список — содержит список файлов, которые не вредят системе, но так или иначе обнаруживаются сканером. Черный список — содержит список вирусов, которым мы доверяем (также не наносят вреда системе).
Распаковщики, дешифровшики
Чтобы достичь приемлемого уровня обнаружения вируса, сканер должен отрабатывать exe-шники, зашифрованные exe-пакером (Например UPX). Тогда перед вычислением хэша, сканер обнаруживает, что файл зашифрован и сначала обращается к дешифровщику, а затем уже на этой основе, вычисляется хэш и сравнивает с имеющимся в базе. Второй вид архивов — это всем известные zip, rar, 7z итд. Антивирус также должен уметь распаковывать эти архивы, и сканировать содержимое. Третий вид — это распаковка NTFS ADS (NTFS Alternative Data Streams). В файловой системе NTFS, исполняемый файл может быть замаскирован под обычный, например текстовый. Альтернативный поток этого файла, будет ссылаться непосредственно на вирус.
Use-cases

Антивирусное ПО использует движок не только при полном сканировании системы, но и в таких случаях:

  • Интернет защита. А именно сканирование cookies'ов браузеров и Flash Player'a. Например Chrome хранит кукисы в папке %localappdata%\\Google\\Chrome\\User Data\\Default\\, Firefox в %appdata%\\Mozilla\\Firefox\\Profiles. Для Internet Explorer в %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies. Таким образом извлекая доменные имена из sql-базы кукис для Firefox и Chrome, либо из 3-ей строки каждого кукис-файла для IE, сканер сравнивает его с базой вредносных сайтов.
  • Email защита. Сканер цепляется к модулю антивируса, отвечающим за почтовую защиту. Это может быть плагин для Outlook, Thunderbird, основой которого явлется проверка аттачей на предмет вирусов.
  • Контекстный скан файла/папки. Когда юзер выбирает в контекстом меню «Проверить файл...», щелкая правой кнопкой мыши на папке или файле, антивирус также обращается к движку.

habr.com