Καθημερινά κυκλοφορούν εκατοντάδες νέοι ιοί και άλλα malware, και ακόμα και το πιο ενημερωμένο antivirus είναι πιθανό να αφήσει κάτι να περάσει. Με το δωρεάν VirusTotal, ο έλεγχος αρχείων για ιούς γίνεται από περισσότερα από 50 διαφορετικά antivirus, ώστε να είμαστε όσο γίνεται πιο σίγουροι πως ένα αρχείο είναι ασφαλές.
Προτάσεις συνεργασίας
Τα νέα άρθρα του PCsteps
Γίνε VIP μέλος στο PCSteps
Τι είναι το VirusTotal και πώς ξεκίνησε
Το VirusTotal δημιουργήθηκε τον Ιούνιο του 2004 από την Ισπανική εταιρεία ασφαλείας Hispasec. Το Σεπτέμβριο του 2012 η Google αγόρασε το VirusTotal, έναντι χρηματικού ποσού το οποίο δεν ανακοινώθηκε.
Στόχος της σελίδας είναι ο έλεγχος αρχείων με πολλαπλά antivirus και μηχανές ελέγχου για ιούς, κάτι που εκ των πραγμάτων δεν είναι πρακτικά εφικτό σε έναν οικιακό υπολογιστή.
Τη στιγμή που γράφονται αυτές οι γραμμές, το VirusTotal χρησιμοποιεί 53 antivirus και malware scanners, 61 μηχανές για έλεγχο malware σε ιστοσελίδες, και 17 εργαλεία για το χαρακτηρισμό αρχείων.
Ανάμεσα στα antivirus που χρησιμοποιούνται θα βρούμε πολύ γνωστά ονόματα, όπως τα Avast, AVG, Avira, Bitdefender, Kaspersky, Malwarebytes, McAffee, και Symantec (Norton). Θα βρούμε όμως και αρκετές σχετικά άγνωστες στο ευρύ κοινό υπηρεσίες, όπως οι AegisLab, AhnLab-V3, Bkav, Ikarus, και K7GW, για να αναφέρουμε μερικές.
Αυτός ο έλεγχος αρχείων από πολλαπλά προγράμματα μπορεί να μας βοηθήσει και στο να εντοπίσουμε μολύνσεις που μπορεί να ξέφυγαν από το δικό μας antivirus.
Λειτουργεί όμως και αντιστρόφως: μπορούμε να ελέγξουμε αν κάποια μόλυνση που εντόπισε το antivirus σε ένα αρχείο στον υπολογιστή μας πρόκειται για λάθος (false positive) και στην πραγματικότητα το αρχείο είναι ασφαλές.
Ο έλεγχος αρχείων με το VirusTotal
Ο σχεδιασμός του VirusTotal είναι χαρακτηριστικά απλός. Αρκεί να επισκεφθούμε την ιστοσελίδα από οποιοδήποτε λειτουργικό σύστημα και σύγχρονο browser. To VirusTotal.com είναι διαθέσιμο σε 28 γλώσσες, που όμως μέχρι στιγμής δεν περιλαμβάνουν τα Ελληνικά.
Ο έλεγχος αρχείων για ιούς είναι επίσης ιδιαίτερα απλός. Αρκεί να κάνουμε κλικ στο “Choose file” και να επιλέξουμε από το δίσκο το αρχείο που θέλουμε να ελέγξουμε.
Το όριο του μεγέθους για τα αρχεία που μπορούμε να ανεβάσουμε είναι 128MB, που είναι παραπάνω από αρκετό για εκτελέσιμα αρχεία.
Μάλιστα, αν ένα αρχείο έχει ανέβει ξανά στο VirusTotal, η υπηρεσία θα το ξέρει από το SHA-256 checksum του, και δεν χρειάζεται να το ξανακάνουμε upload.
Στην προκειμένη περίπτωση επιλέξαμε ένα αρχείο Javascript από το σύστημα το οποίο γνωρίζουμε πως είναι ασφαλές.
Όπως έχουμε αναφέρει στον οδηγό για τις επεκτάσεις αρχείων, τα αρχεία Javascript με κατάληξη .js ανήκουν στις κατηγορίες υψηλού κινδύνου. Μάλιστα, ένας αρκετά διαδεδομένος ιός στο Facebook το 2014 είχε τη μορφή αρχείου Javascript.
Εφόσον επιλέξαμε το αρχείο από το δίσκο, κάνουμε κλικ στο “Scan it!”. Στην προκειμένη περίπτωση, έτυχε το συγκεκριμένο αρχείο να έχει ελεγχθεί στο παρελθόν, πρώτη φορά στις 14 Σεπτεμβρίου 2014 και την πιο πρόσφατη φορά στις 2 Σεπτεμβρίου 2015.
Η ιστοσελίδα μας δίνει την επιλογή είτε να δούμε την τελευταία ανάλυση από το “View last analysis”, ή να κάνουμε ένα νέο έλεγχο από το Reanalyse.
Καθώς η τελευταία ανάλυση ήταν αρκετά παλιά, αξίζει να κάνουμε μια νέα ανάλυση, έτσι κι αλλιώς δεν παίρνει πάνω από μισό λεπτό.
Στο τέλος της ανάλυσης επιβεβαιώνουμε πως το αρχείο είναι ασφαλές, καθώς κανένας από τους ελέγχους δεν εντόπισε οτιδήποτε ύποπτο.
Ας δοκιμάσουμε τώρα ένα αρχείο που γνωρίζουμε 100% πως είναι μολυσμένο.
Κάποια στιγμή, λάβαμε από το πουθενά ένα email από κάποιον δήθεν Loyd Paul ο οποίος μας έστειλε ένα δήθεν βιογραφικό για μια ανύπαρκτη θέση εργασίας σε συμπιεσμένο αρχείο .zip, και από ένα περίεργο email στην Ινδία.
Κατεβάσαμε λοιπόν το .zip, και χωρίς καν να το ανοίξουμε, το ανεβάσαμε όπως ήταν στο VirusTotal. Όπως ήταν αναμενόμενο, η σελίδα άναψε σαν Χριστουγεννιάτικο δέντρο.
Αυτό όμως που είναι εντυπωσιακό, και που δείχνει την πραγματική αξία που έχει ο έλεγχος αρχείων με το VirusTotal, είναι πως τουλάχιστον δύο πολύ γνωστά Antivirus, το Avira και το Comodo, δεν έδειξαν απολύτως τίποτα ύποπτο για το συγκεκριμένο αρχείο, ενώ το ίδιο συνέβη και με τον γνωστό malware scanner Malwarebytes.
Αυτό σημαίνει πως ένας υπολογιστής με ένα από τα δύο antivirus ή το δημοφιλές malware scanner θα μπορούσε ρεαλιστικά να μολυνθεί από τον ιό στο εσωτερικό του αρχείου, και ο χρήστης του υπολογιστή να μην ενημερωθεί με κανένα τρόπο, μέχρι να είναι αργά.
Αυτό προφανώς δεν είναι απόδειξη για την ανεπάρκεια των συγκεκριμένων προγραμμάτων που δεν εντόπισαν την απειλή. Όπως αναφέραμε και στην εισαγωγή, σε ένα τόσο περίπλοκο οικοσύστημα όπως ο χώρος των Malware, ακόμα και το καλύτερο antivirus θα έχει τουλάχιστον μερικές απειλές που δεν θα πιάσει.
Έλεγχος ιστοσελίδων με το VirusTotal
Ο έλεγχος αρχείων μπορεί να είναι το βασικό κομμάτι του VirusTotal, όμως μπορούμε να ελέγξουμε και συγκεκριμένες ιστοσελίδες για malware.
Για παράδειγμα, το Macrocreator.com, η επίσημη ιστοσελίδα για το Pulover's Macro Creator, εδώ και μερικούς μήνες βγάζει ένα μήνυμα για malware.
Αρκεί στο VirusTotal να κάνουμε κλικ στην καρτέλα URL και να κάνουμε αντιγραφή-επικόλληση τη διεύθυνση της σελίδας.
Από τους 66 scanners της ιστοσελίδας, ένας και μοναδικός αναφέρει πως το site είναι μολυσμένο. Το πιθανότερο λοιπόν είναι πως πρόκειται για false positive, και η σελίδα είναι στην πραγματικότητα ασφαλής.
Είναι δυνατός ο έλεγχος αρχείων στο δίσκο?
Ο έλεγχος αρχείων στο δίσκο δεν είναι δυνατός τουλάχιστον μέχρι στιγμής με το VirusTotal, και το πιθανότερο είναι πως δεν θα αλλάξει αυτό στο μέλλον.
Δεν πρόκειται για μια ιστοσελίδα που μπορεί να αντικαταστήσει το antivirus στον υπολογιστή μας. Χρησιμεύει μόνο σαν ένας επιπλέον έλεγχος αρχείων για μεμονωμένα αρχεία που μας φαίνονται ύποπτα, τα οποία θα πρέπει να ανεβάσουμε χειροκίνητα.
Θεωρητικά θα μπορούσε κάποιος να ανεβάσει ένα-ένα τα αρχεία του, ή και μαζικά σε .zip των 128MB, αυτό όμως θα ήταν ένα τρομερό χάσιμο χρόνου, και δεν αποκλείεται μετά από μερικούς ελέγχους το VirusTotal να τον μπλόκαρε για κατάχρηση της υπηρεσίας.
Σε κάθε περίπτωση, λοιπόν, ένα καλό antivirus είναι ζωτικής σημασίας να είναι εγκατεστημένο στα Windows και ενημερωμένο.
Ποιος είναι ο βασικός περιορισμός του VirusTotal
Ενώ ο έλεγχος αρχείων και ιστοσελίδων θα αποκαλύψει κακόβουλο κώδικα, αυτό που δεν μπορεί να αποκαλύψει το VirusTotal είναι κενά ασφαλείας στον κώδικα συγκεκριμένων εφαρμογών.
Για παράδειγμα, ένας αναγνώστης στην ενότητα ερωτήσεις έχει πάθος με τα gadgets (μικροεφαρμογές) της Microsoft, ένα χαρακτηριστικό το οποίο η εταιρεία κατήργησε γιατί εισήγαγε σοβαρές ευπάθειες στα Windows.
Ο έλεγχος των gadgets με το VirusTotal είναι άχρηστος και άνευ ουσίας σε αυτή την περίπτωση, καθώς το πρόβλημα είναι στην ίδια την πλατφόρμα.
Ομοίως το VirusTotal δεν μπορεί να εντοπίσει κενά ασφαλείας σε κάποια έκδοση του Flash ή της Java.
Εσάς σας έχει βοηθήσει ο έλεγχος αρχείων με το VirusTotal?
Αν έχετε χρησιμοποιήσει το VirusTotal στο παρελθόν, ή αν ο πρώτος σας έλεγχος αρχείων ήταν με αφορμή αυτή τη δημοσίευση, γράψτε μας στα σχόλια.
