了解 VirusTotal 报告

了解 VirusTotal 报告

我在 VirusTotal 上测试了一个文件,10% 的反馈说它很糟糕。我的问题是,为什么他们没有全部说这是一个糟糕的文件?为什么我认识和信任的公司没有说它很糟糕?我能否听听大家对如何解读下面这份报告的看法?10% 是完全错误的吗?相反,90% 是错误的吗?

https://www.virustotal.com/#/file/c6bf8ec7f158734b5201e080bebcd37bc2553cc6588dda0d6f0bc2fbda07bf08/detection

答案1

我将从我引用的参考网页的数据开始。(这些列没有标签,因此我根据它们所指的内容插入了含义。)

防病毒软件供应商:CAT-QuickHeal
Trojan.IGENERIC
防病毒软件:Cyren
W32/GenBl.DEAF24C0!Olympus

防病毒软件供应商:GData
Win32.Trojan.Agent.2OV2PC
防病毒软件:Ikarus
Trojan.Win32.Agent

防病毒软件供应商:Rising
Malware.Undefined!8.C (CLOUD)
防病毒软件:TrendMicro-HouseCall
Suspicious_GEN.F47V0716

一旦发现某个东西被标记,下一步值得检查的是“为什么它被标记?”所以,开始询问每一个人。

对于 CAT-QuickHeal 来说,它似乎将该软件标记为特洛伊木马(“特洛伊木马”的缩写,以著名的陷阱命名,在计算机安全行业中用于指代行为看似做一件事但目的非常险恶的软件)。那么,它属于哪个特洛伊木马家族?IGeneric。也许 I 代表 Internet?

W32/GenBl.DEAF24C0!Olympus 看起来更具体,所以我用它作为搜索字符串。

另一个通用网站(意思是,不与某个供应商紧密相关),CVEDetails,在访问CAT-QuickHeal 的终极安全漏洞数据源,我搜索了 W32/GenBl.DEAF24C0!Olympus 或其他变体,但没有发现任何线索。

“DEAF24C0” 完全由十六进制组成。起初,我以为这可能是某种有意义的单词,但过了一会儿,我开始认为这只是一个十六进制数(恰好以英文单词“Deaf”开头)。当我注意到 VirusTotal 的“详细信息”选项卡显示以 deaf24c0 开头的 MD5 时,我开始更加相信这一点。因此,deaf24c0 是 MD5 哈希的前 8 位“数字”。

另一方面,Google 搜索 GenBL Olympus似乎有几种变体,但似乎没人知道它到底起什么作用。

接下来,我们看到 GData 认为这是一个 Win32(Microsoft Windows 32 位兼容平台)木马(具有虚假意图的程序)代理(在后台运行的软件)。有很多听起来很普通的短语。最具体的 2OV2PC 没有出现任何搜索结果。

TrendMicro 的威胁百科全书没有显示有关 F47V0716 的任何内容。

我们还可以从 VirtusTotal 查看其他详细信息。

此文件中的行为选项卡显示它会创建一些临时文件,在以 .tmp 结尾的文件中执行代码(即启动程序)(请参阅:“创建的进程”部分),并使用捆绑的 innocallback.dll

innocallback.dll 建议我使用 InnoSetup,这是一个制作安装程序的程序。转到此搜索的“详细信息”选项卡,其中“Inno Setup 安装程序”的参与度为 76.6%。dDetails 选项卡显示“此安装由 Inno Setup 构建”的注释。

因此,基于以上所有信息,我得出了一个非最终结论(后来我改变了主意),即根据我的“安全”标准,该软件似乎可能是“安全的”。一些防病毒软件可能认为这看起来像是“广告软件”,但如果我最终看到广告,我并不特别担心。这可能只是某些软件在安装程序运行时感到担忧,因为安装程序往往会做一些事情,比如留下文件,并可能注册 DLL 文件或其他需要管理员权限的操作。

然而,我继续寻找,然后注意到一些细节,解释了为什么我不再信任这个程序。这些细节都在此搜索的“详细信息”选项卡我将首先给出我发现最有趣的细节:

  • 文件大小 3.92 MB
  • 创建时间 2012-10-02 05:04:04
  • 首次在野外出现 2010-11-20 23:29:33
  • 包装机:F-PROT INNO,附加
  • 版权所有 FitGirl
  • 描述 Wolfenstein II 设置
  • 包含的资源:9 个中性资源、5 个简体中文资源、3 个美式英语资源

好的,以下是我发现存在问题的原因。

  1. 首先,为什么该程序出现在 2010 年,但报告的创建时间却是 2012 年?

  2. 除非有某种解释,否则它似乎含有一些中国组件这一事实似乎很可疑。如果这个软件与某种涉及中国的国际贸易有关,那可能有些道理。如果这是一个刚从互联网上下载的程序,我会更加谨慎。我思想开明,愿意公平地给世界各地的人们一个机会,我个人赞成给中国做生意,这样我们就有充分的理由与他们保持友好关系,而且我知道我使用的很多东西都是中国制造的。但尽管如此,当我看到中国在互联网上的参与时,我发现,它往往与某种网络攻击、诈骗或其他非常不受欢迎的事情有关。

  3. 也许最令人反感的是,它将自己标识为“Wolfenstein II Setup”。现在,我碰巧在 Castle Wolfenstein 发售时是一名游戏玩家。1984 年发布的续集 Beyond Castle Wolfenstein 看起来可以在大约 52 KB-55 KB 的容量内下载。如果是这样的话,为什么这个文件接近 4,000 KB?或者,也许这应该是 Return to Castle Wolfenstein,大约 36,000 KB。或者也许这应该是 2017 年发布的较新的 Wolfenstein II:The New Colossus,需要 27,000,000 KB 的可用空间(NintendoLife:德军总部 2)。在所有这些情况下,3.92MB 的文件大小都没有多大意义,除非这包括模拟器或下载器。在这种情况下,我会更愿意直接下载有用的文件。

另外,为什么这个安装程序是由“FitGirl”分发的,而不是由 MUSE 软件、“id Software”、Bethesda 或 Activision 分发?这听起来不像是参与原始 Wolfenstein 软件的软件分销商,也不像任何与 Wolfenstein 名称有关的当前主要软件公司。

看起来,在最好的情况下,您很可能正在查看一个侵犯版权的文件。特别是如果此文件旨在用于商业用途,这被广泛视为严重禁忌(即使忽略娱乐软件可能被认为不适合许多企业的想法)。这是最好的情况。如果我们没有处理最好的情况,那么我们可能正在处理某人做一些误导性的事情。无论如何,我发现这不太可能看起来是好的/安全的/推荐的。

现在,回答你关于不同病毒软件报告不同内容的问题,这是众所周知的。恶意软件检测过程中所做的许多工作都是基于先前发现和已知的问题,或基于软件行为的最佳猜测。

赛门铁克安全专家称防病毒软件已过时...“诺顿开发商的信息主管表示,一般软件会漏掉 55% 的攻击”

Wired.com:Mikko Hypponen(F-Secure 的):为什么像我这样的防病毒公司无法防范 Flame 和 Stuxnet提及

“这意味着我们所有人都错过了两年甚至更长时间的检测这种恶意软件的机会。这对我们公司以及整个防病毒行业来说都是一个巨大的失败。”

“这也不是第一次发生。Stuxnet 在野外传播一年多后才被发现,直到白俄罗斯的一家防病毒公司被要求检查伊朗的机器后才被发现”

“这个故事并没有随着 Flame 而结束。很可能还有其他类似的攻击正在进行,只是我们尚未发现。简而言之,这样的攻击是有效的。”

“Flame 是反病毒行业的失败之作。我们本应做得更好。但我们没有。我们超出了自己的能力范围,在自己的领域里。”

因此,要明白,虽然这些软件产品试图让您安心,但事实上它们并不是万无一失的。

相关内容