VirusTotal od kuchni

7 maja, 2013

Niedawno zapytano mnie, dlaczego do testów nie używamy bardzo popularnego serwisu Virus Total co pozwoliłby nam na upewnienie się czy dany plik zawiera w sobie wirusa lub też nie. Właśnie w tym artykule chciałbym wytłumaczyć dlaczego najpopularniejszy tego typu serwis nie może być używany do wyznaczania skuteczności programów (pomijam sprawę, że materiał badawczy mamy sprawdzony od naszego partnera malware.pl). Drugim pytaniem, które dręczy mojego kolegę jest: dlaczego tak popularny program jak McAfee nie miał w swojej bazie najnowszych sygnatur wirusów a VirusTotal je posiadał?

Zacznijmy może od … końca

Odpowiadając na pytanie dlaczego dany antywirus w Virus Total wykrywa wirusa a jego odpowiednik „rzeczywisty”, zainstalowany na dysku użytkownika w domowym systemie już nie?

Odpowiedź wydawać by się mogła jest trudna. Jednak w rzeczywistości tak nie jest. Wersje oprogramowania w Virus Total…wersje to złe słowo 😉 Rozwiązania antywirusowe – nie są dokładnie takie same jak ich rzeczywiste odpowiedniki dostępne publicznie. Bardzo często producenci przygotowują specjalne silniki tylko dla potrzeb Virus Total. Metodyka działania tych programów w tym analiza heurystyczna (lokalna i ta w chmurze) są inaczej „ustawione”. Producenci również załączają do takich silników pliki beta, co w końcowym efekcie składa się na inne „zachowanie” antywirusa niż jego pełnoprawne odpowiedniki.

A co w przypadku kiedy jesteśmy autorami oprogramowania i zauważyliśmy, że Virus Total wykrywa w nim wirusa?

Jak pisze sam Virus Total, nie ponoszą oni odpowiedzialności za fałszywe alarmy generowane przez programy i w takim przypadku jakiekolwiek roszczenia z tego powodu powinniśmy składać do producentów antywirusowych.

Więc skoro jesteśmy bogatsi o te informacje to kolejna kontrowersja, która również niektórym zmywa sen z powiek (no może trochę przesadziłem ;). Dlaczego czasami wersja oprogramowania w VT jest inna niż najnowsza wersja jego komercyjnego odpowiednika?

Po raz kolejny o dostarczonej wersji dla Virus Total decyduje nie kto inny jak sam producent oprogramowania, więc może się różnić niż jego najnowszy, przeznaczony do sprzedaży produkt.

Dlaczego niektóre silniki mają stare bazy sygnatur? Dlaczego VT ich nie zaktualizuje?

Sprawa trochę bardziej złożona. Nie znam dokładnych szczegółów technicznych VT (bo i po co mieliby się tym chwalić), ale z tego co sami podają ich infrastruktura wykonuje zapytania z interwałem 15 minutowym sprawdzając czy jest coś nowego do pobrania. Dlatego też czasami może się zdarzyć, że wersje sygnatur nie są najnowsze. A druga sprawa jest ta o jakiej pisałem wcześniej. Producenci sami decydują co dostarczają dla VT w ramach ich współpracy.

I chyba najciekawsze pytanie, a przynajmniej najczęściej zadawane. Dlaczego wyniki skanowania nie są traktowane jako statystyki porównawcze programów antywirusowych?

Serwis VT nie powstał jako narzędzie do przeprowadzania porównawczych analiz antywirusowych. Jest to tylko pomoc w sprawdzaniu podejrzanego pliku / linku. VT współpracuje z laboratoriami antywirusowymi przekazując im złośliwe oprogramowanie. Także jeśli ktoś sądzi, że VT powinien służyć do testów czy to amatorskich czy profesjonalnych bardzo się myli, ponieważ:

1. Silniki zastosowane przez VT są silnikami konsolowymi, działają z linii poleceń, więc w zależności od produktu nie będą się one zachowywać tak samo jak ich pełnoprawne odpowiedniki.
2. Analiza zachowawcza czy heurystyczna może być bardziej agresywnie ustawiona.
3. Niektóre techniki wykrywania wirusów mogą być parametryzowane zgodnie z założeniami dostawcy silników antywirusowych i różnić się od „rozwiązań” domowych.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]