2009-05-21

究竟該不該用VirusTotal?



相信很多人一定都用過VirusTotal這個線上掃瞄工具
如果沒用過,也或多或少會在分享論壇看到有人引用VT的掃瞄結果
今天我們要來討論一下VT這種線上掃瞄服務究竟如何幫助使用者分辨病毒



當我們丟一個檔案到VT上後,會經過40家公司的引擎掃瞄
然後陸陸續續丟出掃瞄後的結果,然後VT會再丟個偵測率結果出來



大部分人很少會去質疑VT的結果,並認為如果被報的數量相當可觀
大概十之八九絕對不會是什麼好東西!

但是大部分人從來沒有想過以下問題,如果40家引擎都沒有報
難道就代表樣本百分之百絕對不會對系統造成傷害嗎?
反之,如果很多家公司的引擎報,就代表一定存在威脅?
有用過防毒軟體的人或多或少應該知道,防毒軟體有細部的選項作為設定
問題是大部分人均不知道也沒有想過VT上的引擎究竟是如何設定!

針對這些問題,可以分好幾個部分討論
首先VT上的引擎均來自各家不同的公司
這些公司的技術程度均不同,緝毒引擎有好有壞
每家公司對威脅的策略也都不盡相同

基本上各個引擎之間量級已經明顯不一樣了
放在一起掃瞄然後作偵測率百分比
已經很明顯存在一個誤導的空間在!


再來引擎的設定問題,VT上的引擎通常都與我們使用的版本會不太一樣
例如Kaspersky直接開啟偵測no-virus等的風險軟體
而Panda直接開啟最高啟發,最高啟發在個人版是不啟用的
時間久了,有人就開始以為Kaspersky跟Panda都有很高的誤報

由於每家公司對威脅的策略都不同,像有些引擎是直接見殼就報
有些則表現比較成重穩定,例如AntiVir、Avast、BitDefender、CAT-QuickHeal、F-Prot
這些都是比較喜歡報殼的AV,而像Kaspersky、McAfee、NOD32、Panda、Symantec
相形之下這些都是比較保守的AV,它們不會無故報殼,品質與技術上均具有一定的實力!


今天收到朋友的求救,說他好像中毒
隨既傳來了一個樣本,希望我幫他分析一下
這個樣本看名稱應該是一個"續號產生器"
執行後確實是一個"續號產生器",接下來我就開始分析了他的行為
不分析還好,一分析怪我就開始疑惑了..
因為這樣本並沒有危險行為,或者其它特殊行為會觸發HIPS
我根據這樣本破解的對象,上網找了這個軟體測試
用它產生的續號也確實能夠使用!



所以我直接排除了樣本是病毒的可能
我把這個結果告訴我朋友後,他仍然堅持這樣本事病毒
沒多久後他就傳了VT的掃瞄結果給我



我告訴他,VT的結果不能盡信,並把箇中原由告訴了他
他才曉得他長時間依賴的VT原來是這麼一回事!
我自己平常不用VT,我也建議沒能力自己分析樣本的網友
對於可疑的樣本應該交由專門的公司分析,而不是一股腦的全都往VT上丟

8 則留言:

  1. 你能確定樣本沒有問題了?
    假如用個sleep5分鐘,那麼你短短兩三分鐘檢驗當然是檢查不出所以然來了
    報殼的地方我也非常質疑,Kaspersky解殼的能力是算我用過所有防毒軟體裡最好的,倒是AntiVir很愛報殼,難怪查殺率居高不下...

    回覆刪除
  2. SLEEP的問題我也考慮過了,我不是第一天分析樣本

    但我確實測不到三分就收工了
    我之所以肯定它不是處於SLEEP的狀態是因為它沒有任何副進程,也不會釋放TEMP
    關閉之後它就從任務管理器終結束了
    這種情況下你說它有可能會WAKE UP嗎?

    報殼的部分你說的與我我寫並沒有任何衝突
    可以詳細說明是哪裡有問題嗎?

    回覆刪除
  3. 眼睛……


    但是就像沒有防毒能完全防禦也不代表不用裝防毒,VT用來參考還是很有價值。特別是它的速度快,有些東西沒耐性等ThreatExpert丟結果,用VT先測一次能得到不少資訊(找病毒名稱、是病毒的可能性、病毒種類、樣本新舊)。

    特別是很多人根本連VT是啥都不知道,也不會用。在瞭解VT內各軟體特性的情況下,其實還是很有用的。

    只是要知道行為檢驗結果跟特徵掃描結果誰比較優先就是了。

    回覆刪除
  4. VT是否能保證該檔案一定有問題或一定沒問題是個"問號"!!

    但有點比較能肯定的是,送上去的檔案同時會傳給40家廠商,若該檔案"有問題"的話...多數在一定時間內就會更新該廠商的病毒碼資料庫!

    這點是在大陸的一些黑色網站看到的...而實際上也稍微測試過..是有這種情形發生..因為SAMPLE並未外流...只有送到VT做測試...XD

    回覆刪除
  5. 話說keygen常常被報那名字,
    所以那結果,不意外 (茶)

    回覆刪除
  6. 麻煩檔案放到免空上,我協助回報廠商解除誤報...

    回覆刪除
  7. 小弟逛讀此地蠻久了,很喜歡你寫的文章,第一次想留下意見
    比起很多線上掃毒卻沒能看到進步,
    VirusTotal 對我而言很喜歡,常用,也期待他更專業
    雖然我不知道背後有無商業支持,是否中立?

    VirusTotal 的確有你說的疑問存在
    但是,使用者要知道,這是拿來參考的!

    假如對方傳東西給我,對方的防毒軟體說沒毒,但我的防毒軟體說有
    礙於每個人或多或少都有支持/不喜歡的防毒軟體(不論是否為專業人士或一般使用者)
    也不能一口咬定誰對誰錯
    對某個檔案有疑問時,就丟上去分析
    相信多些參考會比較好判斷,有無誤判也能略知一二
    提醒自己,也提醒對方

    最後,依我的看法回標題:
    該用,且讓越多人知道越好,目的是讓大家知道反病毒的重要性
    並不只是局限於自己常用的軟體,多看看其他家所分析的結果

    至少網站裡寫得很中肯 Warning:
    Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware. You may become a victim of misleading advertising, if you buy such a product under those premises.

    抑或 Lawliet 有無其他值得推薦且中肯的方案,謝謝

    回覆刪除
  8. @kamancy

    您好,很高興有人喜歡我的文章


    首先VT它只能當作參考,但是參考的成份及依據非常薄弱
    如果全部引擎皆沒有報,不代表可以排除它不是一個病毒
    反之,有報也不能一口咬定絕對不是誤報

    正確的方法應該是將樣本發送給至少三家廠商
    請這些廠商對樣本進行分析
    因為什麼樣本都丟VT並不能釐清問題
    有的廠商甚至還是看人家報什麼自己就報什麼
    根本完全不分析的!

    回覆刪除