Memahami Laporan VirusTotal

2

Saya menguji file di VirusTotal dan 10% dari umpan balik mengatakan itu buruk. Pertanyaan saya adalah mengapa mereka tidak mengatakan itu file yang buruk? Mengapa perusahaan yang saya kenal dan percayai tidak mengatakan itu buruk? Bisakah saya mendapatkan beberapa pendapat tentang bagaimana laporan seperti di bawah ini dapat ditafsirkan? Apakah 10% salah? sebaliknya, apakah 90% salah?

https://www.virustotal.com/#/file/c6bf8ec7f158734b5201e080bebcd37bc2553cc6588dda0d6f0bc2fbda07bf08/detection

Xabache
sumber
2
Perusahaan yang berbeda menggunakan metode yang berbeda untuk memeriksa malware. Mereka semua akan menandai beberapa file bagus sebagai malware dan akan gagal menandai beberapa file buruk sebagai malware. Alasan Anda menggunakan VirusTotal adalah untuk melihat apa pendapat konsensus itu. Dalam hal ini, tampaknya ada kemungkinan 10% bahwa file tersebut buruk.
Blackwood

Jawaban:

2

Saya akan mulai dengan data dari halaman web yang dirujuk, yang saya rujuk. (Kolom-kolom itu tidak berlabel, jadi saya memasukkan artinya berdasarkan apa yang mereka maksudkan.)

Vendor AntiVirus: CAT-QuickHeal
Trojan.IGENERIC
Perangkat Lunak Anti-Virus: Cyren
W32 / GenBl.DEAF24C0! Olympus

Vendor AntiVirus: GData
Win32.Trojan.Agent.2OV2PC
Perangkat Lunak Anti-Virus: Ikarus
Trojan.Win32.Agent

Vendor AntiVirus: Meningkat
Malware. Tidak Ditentukan! 8.C (CLOUD)
Perangkat Lunak Anti-Virus: TrendMicro-HouseCall
Suspicious_GEN.F47V0716

Setelah Anda menemukan sesuatu ditandai, hal berikutnya yang perlu diperiksa adalah, "Mengapa ditandai?" Jadi, mulailah bertanya masing-masing.

Untuk CAT-QuickHeal, tampaknya softare label sebagai Trojan (kependekan dari "Trojan Horse", dinamai perangkap terkenal, dan digunakan dalam industri Keamanan Komputer untuk merujuk ke perangkat lunak yang bertindak seperti itu melakukan satu hal, tetapi memiliki tujuan yang sangat menyeramkan). Dan, keluarga Trojan Horses yang mana? Ilahi. Mungkin saya singkatan dari Internet?

W32 / GenBl.DEAF24C0! Olympus terlihat lebih spesifik, jadi saya menggunakannya sebagai string pencarian.

Situs generik lain (artinya, tidak terkait erat dengan satu vendor saja), CVEDetails, Setelah pergi Datasource Kerentanan Keamanan Ultimate CAT-QuickHeal , Saya mencari W32 / GenBl.DEAF24C0! Olympus atau variasi lainnya, tetapi tidak menemukan apa pun yang bisa dikisahkan.

"DEAF24C0" terdiri dari sepenuhnya heksadesimal. Pada awalnya, saya pikir itu mungkin semacam kata yang bermakna, tetapi setelah beberapa saat saya mulai berpikir itu hanya angka heksadesimal (yang kebetulan dimulai dengan kata bahasa Inggris "Deaf"). Saya mulai lebih percaya ketika saya melihat tab "Detail" VirusTotal memperlihatkan MD5 yang dimulai dengan deaf24c0. Jadi deaf24c0 adalah 8 "digit" pertama dari hash MD5.

Di sisi lain, a Pencarian Google untuk GenBL Olympus tampaknya menunjukkan beberapa varian, dan sepertinya tidak ada yang tahu persis apa fungsinya.

Selanjutnya, kami melihat bahwa GData menganggap ini sebagai Trojan Win32 (platform yang kompatibel dengan Microsoft Windows 32-bit) Agen (program dengan niat palsu) Agen (perangkat lunak yang berjalan di latar belakang). Itu banyak ungkapan generik yang terdengar. Yang paling spesifik, 2OV2PC, tidak menampilkan hasil pencarian apa pun.

Threat Encyclopedia TrendMicro tidak menampilkan apa pun untuk F47V0716.

Kami juga dapat memeriksa detail lainnya dari VirusTotal.

Itu Tab Perilaku dari file ini menunjukkan ia membuat beberapa file sementara, mengeksekusi kode (a.k.a., memulai program) dalam file yang memiliki nama file yang diakhiri dengan .tmp (Lihat: "Proses yang Dibuat" bagian), dan menggunakan paket innocallback.dll

innocallback.dll menyarankan saya untuk menggunakan InnoSetup, program yang membuat installer. Ini juga diperkuat dengan pergi ke Tab Detail, dari pencarian ini , dan melihat 76,6% keterlibatan "penginstal Inno Setup". Tab dDetails menunjukkan komentar "Instalasi ini dibangun dengan Inno Setup."

Jadi, berdasarkan semua hal di atas, saya mencapai kesimpulan non-final (yang sejak itu saya berubah pikiran) bahwa perangkat lunak ini sepertinya "aman", menurut standar "aman" saya. Beberapa perangkat lunak anti-virus mungkin berpikir ini seperti "Adware", tetapi saya tidak terlalu khawatir jika saya akhirnya melihat iklan. Ini bisa saja beberapa perangkat lunak yang menjadi perhatian ketika installer berjalan, karena installer cenderung melakukan hal-hal seperti meninggalkan file, dan mungkin mendaftarkan file DLL atau tindakan lain yang memerlukan hak administratif.

Namun, saya terus mencari dan kemudian memperhatikan beberapa detail yang menjelaskan mengapa saya berhenti mempercayai program ini. Semua rincian ini ditemukan di Tab Detail, dari pencarian ini . Saya akan mulai dengan hanya memberikan perincian yang menurut saya paling menarik:

  • Ukuran File 3,92 MB
  • Waktu Pembuatan 2012-10-02 05:04:04
  • First Seen In The Wild 2010-11-20 23:29:33
  • Pengepakan: F-PROT INNO, ditambahkan
  • FitGirl Hak Cipta
  • Deskripsi Pengaturan Wolfenstein II
  • Sumberdaya yang Terkandung: 9 Netral, 5 Mandarin Sederhana, 3 US Inggris

Oke, berikut adalah alasan saya melihat aspek bermasalah untuk ini.

  1. Pertama-tama, mengapa program terlihat pada 2010 tetapi melaporkan waktu pembuatan 2012?

  2. Fakta bahwa itu tampaknya memiliki beberapa komponen Cina tampaknya mencurigakan, kecuali ada penjelasan. Jika perangkat lunak ini terkait dengan semacam perdagangan internasional yang melibatkan Cina, itu mungkin masuk akal. Jika ini adalah program yang baru saja diunduh dari Internet, saya akan jauh lebih berhati-hati. Saya cukup berpikiran terbuka untuk ingin memberi orang di seluruh dunia kesempatan yang adil, dan saya pribadi lebih suka memberi bisnis Cina sehingga kami memiliki alasan kuat untuk mempertahankan hubungan persahabatan dengan mereka, dan saya tahu bahwa banyak barang yang saya gunakan diproduksi. di China. Namun terlepas dari semua itu, ketika saya melihat keterlibatan Cina di Internet, saya telah menemukan bahwa, lebih sering daripada tidak, itu terkait dengan semacam serangan cyber, penipuan, atau hal lain yang sangat tidak diinginkan.

  3. Mungkin yang paling mengutuk, itu mengidentifikasi dirinya sebagai "Pengaturan Wolfenstein II". Sekarang, kebetulan aku adalah seorang gamer di masa ketika Castle Wolfenstein dijual. Sekuel yang dirilis pada tahun 1984, Beyond Castle Wolfenstein, sepertinya dapat diunduh sekitar 52 KB-55 KB. Jika itu masalahnya, mengapa file ini mendekati 4.000 KB? Atau, mungkin ini dimaksudkan untuk Kembali ke Kastil Wolfenstein, yang sekitar 36.000 KB. Atau mungkin ini dimaksudkan untuk menjadi yang lebih baru Wolfenstein II: The New Colossus, dirilis pada tahun 2017, yang membutuhkan ruang bebas 27.000.000 KB ( NintendoLife: Wolfenstein 2 ). Dalam kasus-kasus ini, ukuran file 3.92MB tidak masuk akal, kecuali ini termasuk emulator atau pengunduh. Dalam kasus seperti itu, saya akan merasa jauh lebih nyaman hanya mengunduh file yang bermanfaat secara langsung.

Juga, mengapa installer ini didistribusikan oleh "FitGirl", alih-alih perangkat lunak MUSE, "id Software", Bethesda, atau Activision? Ini tidak terdengar seperti distributor perangkat lunak yang terlibat dalam perangkat lunak Wolfenstein asli, maupun perusahaan perangkat lunak utama saat ini yang telah terlibat dengan nama Wolfenstein.

Sepertinya, skenario kasus terbaik, Anda cenderung melihat file yang melanggar hak cipta. Terutama jika file ini ditujukan untuk penggunaan bisnis, yang secara luas dipandang sebagai tidak-tidak yang parah (bahkan mengabaikan gagasan bahwa perangkat lunak hiburan dapat dianggap tidak pantas untuk banyak bisnis). Itu skenario kasus terbaik. Jika kita tidak berurusan dengan skenario kasus terbaik, maka kita mungkin berurusan dengan seseorang yang melakukan sesuatu yang menyesatkan. Bagaimanapun, saya tidak menemukan kemungkinan bahwa ini tampaknya baik / aman / direkomendasikan.

Sekarang, untuk menjawab pertanyaan Anda tentang berbagai perangkat lunak virus yang melaporkan berbagai hal, ini hanya diketahui. Banyak hal yang dilakukan selama deteksi malware didasarkan pada masalah yang diidentifikasi sebelumnya dan diketahui, atau tebakan terbaik berdasarkan perilaku perangkat lunak.

Perangkat lunak antivirus sudah mati, kata pakar keamanan di Symantec ... "Kepala informasi di pengembang Norton mengatakan perangkat lunak pada umumnya kehilangan 55% dari serangan"

Wired.com: Mikko Hypponen (dari F-Secure): Mengapa Perusahaan Antivirus Seperti Tambang Gagal Menangkap Api dan Stuxnet tersebut

“Artinya, kita semua telah ketinggalan mendeteksi malware ini selama dua tahun, atau lebih. Itu kegagalan yang spektakuler untuk perusahaan kami, dan untuk industri antivirus secara umum. ”

“Itu juga bukan pertama kalinya ini terjadi. Stuxnet tidak terdeteksi selama lebih dari setahun setelah diluncurkan di alam bebas, dan baru ditemukan setelah perusahaan antivirus di Belarus dipanggil untuk melihat mesin di Iran ”

“Kisah ini tidak berakhir dengan Flame. Sangat mungkin ada serangan serupa lainnya yang sedang berlangsung yang belum kami deteksi. Sederhananya, serangan seperti ini bekerja. "

“Flame adalah kegagalan untuk industri antivirus. Kita seharusnya bisa melakukan yang lebih baik. Tapi kami tidak melakukannya. Kami keluar dari liga kami, dalam pertandingan kami sendiri. ”

Jadi, pahamilah bahwa sementara produk perangkat lunak ini mencoba memberikan ketenangan pikiran, kenyataannya adalah bahwa mereka tidak aman.

TOOGAM
sumber
Anda benar dalam setiap keraguan, saya dapat mengkonfirmasikan bahwa Anda ragu benar. Dan bisa dibilang show man yang bagus! Ini adalah redistribusi FitGirl dari game yang melanggar hak cipta 2017s Wolfenstein II, game 60GB, yang mana ini adalah installer. Jangan menilai saya, Anda tidak tahu alasan saya. Dan orang Cina yang saya curigai akan terkait 3Dm, cracker game Cina terkenal yang sering melanggar Denuvo, memasok FitGirl dengan RePack-nya. Dan tentu saja untuk menjawab pertanyaan saya yang sebenarnya, yang Anda lakukan. Aturan mayoritas, percayai nama merek Anda, tidak semua orang benar sepanjang waktu. Ikuti arus!
Xabache