ANTICHAT — форум по информационной безопасности, OSINT и технологиям

20 декабря 2007 | 15:46 MSK

Уже несколько лет существуют популярные онлайновые антивирусные сервисы, такие как VirusTotal или VirusScan. Они позволяют любому пользователю проверить подозрительный файл на наличие вредоносного кода прямо в онлайн-режиме. Основным отличием подобных сервисов от онлайн-проверок на сайтах антивирусных вендоров является то, что файл исследуется не одним антивирусом, а сразу несколькими. Так, VirusTotal в настоящее время осуществляется проверку при помощи 32-х (!!!) антивирусов.

К сожалению, как это часто бывает, полезный и необходимый функционал оказывается полезным и необходимым не только честным пользователям, но и вирусописателям. Последние быстро оценили выгоду от возможности моментального тестирования своих творений: если новый троянец или червь обнаруживается популярными антивирусами, автор имеет возможность целенаправленно дорабатывать его — до тех пор, пока детектирование не будет «сбито».

В результате этого эвристические методы, применяемые практически во всех современных антивирусах, зачастую оказываются беспомощными против таких, тщательно подготовленных, вредоносных программ.

И VirusTotal, и VirusScan, и другие аналогичные сервисы по умолчанию отправляют все подозрительные файлы в антивирусные компании. Если файл детектируется, к примеру, 10-ю антивирусами, а другие 22 его не детектируют, он будет отправлен в эти 22 антивирусные лаборатории для анализа и добавления в антивирусные базы. Это значительно ускоряет время реакции антивирусных продуктов в случае новых эпидемий и увеличивает общий процент детектирования. Если же пользователь не хочет, чтобы исследуемый файл попал в антивирусную компанию, он должен отключить данную опцию при проверке.

Однако в среде вирусописателей существует миф о том, что независимо от настроек проверки все файлы все равно попадают в антивирусные лаборатории. Для одержимых паранойей киберпреступное сообщество предложило решение — создать собственный, аналогичный легальным, сервис — специально для «своих»! Но сделать его платным — как гарантию того, что ни один файл в антивирусные компании не попадет.

Реализацию этой идеи мы можем наблюдать на примере ресурса AvCheck.ru. Его создатели предлагают проверку при помощи 15 антивирусных программ, «гарантию приватности вас и ваших файлов». Все это удовольствие, разумеется, в обмен на деньги! Например, один доллар за один проверенный файл.

Остается только поаплодировать предприимчивости создателей. Успехов в работе не пожелаем, поскольку сайт может прекратить свое существование в любой момент, а авторам может быть предъявлен иск любой из антивирусных компаний, чьи продукты используются подобным образом — в нарушение всяких лицензий.