Egészen divatosak lettek a többféle antivírus motort használó online szolgáltatásosok – például a VirusTotal. Ugyanakkor a legtöbb felhasználó nincs tisztában ezek képességeivel és korlátaival.
Az ilyen publikus szolgáltatások hasznosak lehetnek, a vizsgálati eredményekből azonban nem vonhatunk le határozott következtetéseket.
Egyáltalán nem meglepő, hogy egyes kártevőminták órákig vagy napokig felderítetlenek maradnak. A G Data a felhőt is kihasználó technológiájának hála gyors és megbízható találati aránnyal rendelkezik, de ennek ellenére előfordulhat, hogy egyes felhasználók szeretnének többet tudni egy bizonyos gyanús fájlról, vagy éppen szeretnék ők maguk elvégezni annak vizsgálatát.
Az egyik legegyszerűbb módszer a kívánt alapinformációk összegyűjtésére, ha a többféle antivírus motort használó online multi-AV szolgáltatásokat vesszük igénybe. Az ötlet érdekes: ha gyanúsnak találunk egy fájlt, akkor csak fel kell töltenünk az interneten keresztül, az eredmény többféle friss víruskereső motorral való vizsgálat után azonnal rendelkezésre áll. Az ilyen megoldások egyébként már évek óta léteznek, és egész jó ellenőrzési lehetőséget kínálnak egy adott állományhoz. Ráadásul több ilyen multi-AV oldal is rendelkezésünkre áll – a legnépszerűbb a VirusTotal, de használhatjuk a Jottit, a NoVirusThankset, a Metascant vagy a Virscant is, hogy csak párat említsünk.
Miként működik?
Vessünk akkor most egy pillantást az egyik legnépszerűbb ilyen oldalra, a VirusTotalra. A vizsgálni kívánt mintát közvetlenül a weboldalon keresztül is feltölthetjük, de lehetőségünk van beküldeni e-mailben is – amelyik kényelmesebb. Az online esetben még sha1, sha256 vagy md5 tördelőalgoritmusokkal előállított hash értékek szerint is kereshetünk az oldal adatbázisában, ami akkor hasznos, ha a kérdéses fájl nem, csak a hash értéke áll rendelkezésre.
Egy normál feltöltés után a fájlt átvizsgáltatják a különféle motorokkal, az eredményt pedig mindenki számára láthatóvá teszik, további eszközökre és külső weboldalakra mutató linkekkel együtt. Egy nagyon érdekes szolgáltatás a ThreatExpert homokozóban végzett vizsgálatra mutató link (amennyiben van ilyen vizsgálati eredmény), ami megmutatja, hogy futtatás közben mit is csinál az adott állomány.
Egy másik hasznos funkció: a feltöltött fájlt a rendszer az ellenőrzés és vizsgálat után továbbítja valamennyi biztonsági szoftverekkel foglalkozó cégnek. Ez persze eltart egy darabig, és nem jelenti azt, hogy mi már direktben nem küldhetünk így fájlokat az általunk használt vírusirtó gyártójának. Sőt, valójában érdemes ezt megtennünk, hiszen ez gyorsítja a későbbi detektálást! Az ingyenes online keresőszolgáltatások használata azonban segíthet némi előzetes információt szerezni.
Mit jelentenek a vizsgálati eredmények?
Az egyik lehetséges eredmény, hogy a beküldött mintát valamennyi motor gyanúsnak találja. Ez a legjobb!
Ha egyes keresők vagy termékek nem találják azt gyanúsnak, akkor a fájl az adott motorhoz tartozó lenyomatok alapján nem volt veszélyesnek nyilvánítva. Ez azonban nem azt jelenti, hogy a kártevőt az adott kereső ne találná meg!
A modern víruskeresőkben nemcsak egy egyszerű, lenyomatokon alapuló rendszer, hanem többféle algoritmus dolgozik azon, hogy egy adott állományról eldöntsék, veszélyes-e, vagy nem. Természetesen a viselkedéselemzés, a heurisztikus módszerek, a behatolás elleni védelem, homokozó, felhőalapú szolgáltatások és más technológiák, mint például a G Data BankGuard, nem állnak rendelkezésre az online eredményekhez.
Összefoglalásként: ha egy rosszindulatú fájlt az online multi-AV oldalon nem találnak gyanúsnak, akkor ebből az eredményből még nem következik egyértelműen, hogy az új kártevőt nem detektálná vagy állítaná meg saját vírusellenes termékünk. A multi-AV rendszerek egyszerűen nem használják ki a többi védelmi technológiát!
A jó: egyesek nem értik a rendszert
Furcsa, de igaz, hogy egyes gyengébb képességű hackerek vagy vírusírással próbálkozó amatőrök még mindig a népszerű publikus netes keresőszolgáltatásokat használják az általuk készített új kártevők vizsgálatára, hogy kiderítsék, a víruskeresők detektálják-e azokat. Tavaly egy népszerű európai hacker konferencián még egy, az Egyesült Királyságból érkezett professzor is azt állította, hogy ez egy érdekes eljárás az új vírusok létrehozásakor.
Ám mivel az ilyen tesztekre beérkező fájlokat automatikusan továbbítják valamennyi biztonsági cégnek, ráadásul a valódi számítógépes védelmi rendszerek nem csak a lenyomatokra támaszkodnak, teljesen hihetetlen számunkra, hogy ilyen még előfordulhat.
A rossz: földalatti oldalak és offline megoldások
A számítógépes alvilág is rájött azonban, hogy az általuk írt kártevők feltöltése a publikus keresőkre nem a legjobb megoldás, így létrehozták saját multi-AV megoldásaikat. Ezek természetesen már nem továbbítják az állományokat a biztonsági szoftverek gyártóinak.
A probléma: ha egy átlagos felhasználó kerül egy ilyen földalatti szkenneroldalra, akkor nem bízhat az eredményben, hiszen a weboldalt és az azon keresztül elérhető szolgáltatásokat a rossz fiúk irányítják. Általában nehéz megkülönböztetni a publikus, biztonságos oldalakat az alvilág által használtaktól – ezért jobb, ha maradunk a fentebb említetteknél.
Néha a kártevők készítői különféle offline multiszkennereket használnak, mint például a „Kim Multiszkenner” vagy az „antivirusmulti”, hogy teszteljék legújabb szerzeményeiket. A „Kim Multiscanner” például 2006-os első megjelenése óta folyamatosan fejlődik. Az alkalmazás középpontjában több, illegálisan beszerzett vírusellenes termék áll, használata közben pedig a felhasználó azt is kiválaszthatja, hogy szeretné-e bekapcsolni a lenyomat alapú keresés mellett a heurisztikus eljárásokat is. Ezzel a módszerrel a tesztelő ellenőrizheti, hogy a kártevő átjut-e a különféle vizsgálati módszereken.
Összefoglalás
A viselkedéselemzés, a heurisztikus módszerek, a behatolásvédelem, a homokozó, a felhőalapú megoldások és más technológiák, mint például a G Data BankGuard, egy sor új kártevőt képes proaktívan vagy a netes megjelenésük után azonnal megállítani. Az átfogó vírusellenes eszközök nem csak a víruslenyomatokon alapulnak, az online multi-AV megoldások azonban igen. Ez komoly különbséget jelent, amivel nem árt tisztában lenni ezen megoldások használatakor. Az online keresőktől származó eredmény adhat egy előzetes jelentést az ellenőrzött fájlról, de semmi többet. Azt is tudnunk kell, hogy hogyan értelmezzük ezt a jelentést megfelelően.
A cikk eredetileg a G Data angol nyelvű blogjában jelent meg.
blog.gdatasoftware.com/blog/article/the-good-and-the-bad-about-av-multi-scanner-services.html