为什么 VirusTotal 检测不到包含恶意软件的 zip 文件?

为什么 VirusTotal 检测不到包含恶意软件的 zip 文件?

概括

1. 开启www.virustotal.com,我刚刚使用了它的“扫描 URL”功能来查看它是否检测到 zip 文件中的恶意软件。

我在以下位置发现了一个包含恶意软件的测试 zip 文件(我相信是这样的):

https://github.com/ActorExpose/source-code-apk-malware

包含恶意软件的实际文件是

https://github.com/ActorExpose/source-code-apk-malware/archive/refs/heads/main.zip

2. 于是我将上面的 zip 文件 URL 粘贴到 VirusTotal 的 URL 框中,然后按 ENTER。但令我惊讶的是,结果显示“0/88:没有安全供应商将此 URL 标记为恶意”。

3.我的问题是:

a) 这是否意味着 VirusTotal 没有检测到恶意软件?
b) 如果不是,为什么?
c) 或者我选择的 github 上的 zip 文件实际上不包含恶意软件?
d) 如果是后者,我在哪里可以找到包含恶意软件的 zip 文件,以便在 VirusTotal 上对其进行测试?
e) 是否有一个信誉良好的网站有这样的示例 zip 文件?

详细信息

4. 首先,我运行了恶意软件检查程序www.virustotal.com在 Firefox 扩展visited-color-picker 上。这是因为我正在考虑下载该扩展,但 Firefox 指出他们没有对其进行安全检查。该扩展将访问过的链接的颜色更改为您选择的颜色。

您会看到,Firefox 自己的访问过链接颜色选择器不能令人满意地工作(是的,我在 Firefox 的“首选项”...“颜色”中选择了“始终”)。

5. 扩展visited-color-picker可以从以下网址下载

https://github.com/william-billaud/visited-color-picker

要下载的文件是

https://github.com/william-billaud/visited-color-picker/archive/refs/heads/master.zip

6. 因此我使用了 VirusTotal 的“扫描 URL”功能,并将上述 zip 文件的 URL 地址粘贴到框中。

结果显示“0/88:没有安全供应商将此 URL 标记为恶意”。

7. 但我决定检查一下www.virustotal.com确实可以检测恶意软件。因此,我找到了一个我认为包含恶意软件的 zip 文件,位于

https://github.com/ActorExpose/source-code-apk-malware

其余内容在开头的“摘要”中解释。

答案1

由于病毒检测软件远的完美吗?如果你仔细想想,找出一个程序是否有任何特殊的(恶意的或非恶意的)影响本质上就是停机问题,它可以不是解决。病毒检测软件使用(非常复杂的)模式匹配技术来查看是否存在一些已知的(非常大的集合)表明恶意软件的模式(如用于感染其他文件的典型代码)。如果没有看到特定的恶意代码片段,则不太可能通过这种方式检测到它。一些工具会检查执行的指令序列的一部分以检测异常行为并标记出来。然而,这要昂贵得多。

相关内容