Как выяснить, является ли файл вредоносным
Автор: Chiron
Дата последнего обновления: 12 сентября 2013
Оригинал статьи
Перевод: Александр Рябов
В наши дни интернет наводнен вредоносными программами. Вы никогда не можете быть уверены, что загруженный вами файл не окажется каким-нибудь вредоносным, притворяющимся безвредным. Фактически многие из вредоносных файлов разработаны, чтобы делать именно это. Эта статья объяснит, как отличить опасный файл от безопасного.
Несмотря на то, что это может показаться грандиозной задачей, я обещаю, что это будет не так уж трудно. Сегодня есть много как очень сложных, так и простых онлайновых служб, которые позволяют проверить файл на безопасность. Если вы полагаете, что файл, вероятно, безопасен, то убедитесь, что вы прочли раздел 1, прежде чем продолжать. Это может сэкономить вам много времени.
Содержание
1. Проверьте, не находится ли файл в белом списке Comodo
Если вы уже считаете, что рассматриваемый файл, вероятнее всего, безопасен, то следование дальнейшим шагам, описанным в этой статье, может не понадобиться. Сначала закачайте файл на Comodo Valkyrie. Это бесплатная услуга, предоставляемая компанией Comodo, которая позволяет пользователям загружать файлы, объемом до 20 МБ, которые будут проанализированы почти сразу же. После закачки файла посмотрите в левый верхний угол. Там есть надпись «SHA1». Скопируйте всю строку букв и чисел, которая следует за ней. Теперь перейдите на страницу Comodo File Intelligence.
Мы воспользуемся этой службой, чтобы выяснить, не был ли файл уже проверен ранее на безопасность и не находится ли он в огромном списке безопасных файлов Комодо. На этом сайте переключите поисковую панель с режима «Search by Filename» на «Search by SHA1». После этого вставьте из буфера обмена SHA1 и нажмите «Search Now». Посмотрите информацию, которая появилась. Если ответ был «The file is safe» («Файл надёжен»), то сразу смотрите результаты Comodo Valkyrie. Если окончательный результат (Final Result) от Comodo Valkyrie сообщает, что файл безопасен или неизвестен, тогда вы можете доверять этому файлу. Вам не нужно переходить к остальной части шагов. Однако, если Comodo Valkyrie сообщает, что файл вредоносный, тогда вы, возможно, захотите перейти ко второму разделу, чтобы убедиться, что файл действительно безопасен. Он почти наверняка безвреден, но проверка с помощью еще нескольких методов не займет много времени.
2. Проверьте файл с помощью Comodo Valkyrie
Используя эти проверки, служба может дать прогноз относительно того, является файл нормальным (“Normal”), неизвестным (“Unknown”) или вредоносным (“Malicious”). Оценка “Normal” означает, что файл безопасен. “Malicious” означает, что он опасен. Если служба посчитала, что файл неизвестен (“Unknown”), это значит, что «она не уверена».
2.1 Используйте Валькирию, чтобы узнать наверняка, безопасен ли файл
Кроме того, некоторые файлы, возможно, уже были вручную проанализированы сотрудниками Comodo. Если они были проанализированы сотрудниками, то у них будет статус нормальных, неизвестных или вредоносных. Если там дали оценку «Unknown» или «Malicious», то я советовал бы избавиться от этого файла. Я не стал бы ему доверять.
После передачи файла сотруднику там вручную проанализируют его и дадут вам результат. Возможные варианты оценок уже объяснены выше. Этот анализ обычно занимает меньше 24 часов. Если вы решили получить результаты «анализа вручную», то вы не должны волноваться ни о каких других методах, обсуждавшихся еще в этой статье. Просто отправьте файл и ожидайте результатов. Однако, если вы хотите узнать больше о файле и не хотите ждать результатов ручной работы, то остальная часть этой статьи должна быть очень полезной для вас.
2.2 Интерпретируйте результаты автоматического анализа самостоятельно
Если вы решили не ждать анализа, тогда вы можете также использовать эту службу, чтобы сразу же получить больше информации о файле. После того, как файл проанализирован, наиболее важным моментом, заслуживающим вашего внимания, будут пункты «Auto Result» («Автоматический результат») и «Final Result» («Окончательный результат»). Оба результата даны вверху страницы. «Auto Result» даст вам полный итог статического сканирования. «Final Result» комбинирует результаты всех типов сканирования, предоставляя общий прогноз по поводу безопасности файла. Веб-службы более подробно рассмотрены ниже. Если обе из них дают оценку «нормально», тогда файл, вероятнее всего, безопасен. Однако, перед тем, как посмотреть общие результаты, проверьте вкладки «Dynamic Detection» и «Advanced Heuristics», чтобы убедиться, что они закончили анализировать. Это займет больше времени, чем статический метод обнаружения. Однако, чтобы получить еще большее понимание, действительно ли безвреден файл, вам также захочется более тщательно рассмотреть результаты для каждой вкладки.
Обратите внимание, что для некоторых файлов вместо результата будет выведено «No PE File». Это означает, что файл не содержит достаточной информации для Valkyrie, чтобы его можно было запустить. Более подробную информацию можно найти на этой странице. Таким образом, если вы получаете этот результат, я рекомендую вам перейти к следующему разделу и продолжить анализировать файл, используя альтернативные методы, обсуждаемые в этой статье.
После того, как файл проанализирован, вам будут показаны три информационные вкладки. Первая называется “Static Detection” (Статический метод обнаружения). Вкладка показывает оценку 17-ти различных детекторов AI, которые проверяли файл. Отдельные оценки этих детекторов не важны. Comodo использует очень сложный алгоритм, чтобы вынести итоговую оценку на основе работы каждого из этих детекторов. То, что важно, это общий результат, показанный внизу экрана. Будет показана автоматическая оценка под надписью “Static Verdict Combination” (“Суммарная оценка статического сканирования”). Также под надписью “Probability of Static Verdict” (“Вероятность статической оценки”) будет показана степень вероятности.
Еще одна вкладка, которую мы рассмотрим, называется “Advanced Heuristics” (“Продвинутая эвристика”). Здесь при исследовании файла используются более чувствительные алгоритмы. Здесь больше вероятности, что они поймают вредоносное ПО, но также здесь более вероятна неправильная идентификация файла в качестве «Неизвестного» (“Unknown”) или «Вредоносного» (“Malicious”). Пожалуйста, имейте это в виду, когда интерпретируете эти результаты.
3. Проверьте файл с помощью VirusTotal
Таким образом, если только некоторые антивирусы определяют угрозу с помощью эвристики, а другие не определяют, то это может быть ложным срабатыванием. Однако, это не гарантирует, что так и есть. Именно поэтому вы должны всегда проверять файл, используя все три метода, рассмотренные в этой статье. Ниже приведены результаты в качестве примера полноценных файлов, которые VirusTotal неверно идентифицирует как опасные.
Я хочу внести ясность, что, даже если только один антивирус определил файл как вредоносный, или даже ни один из них не определил, то файл все же может быть опасным. VirusTotal нельзя использовать с тем, чтобы гарантировать, что файл безопасен. Однако, если очень большое количество антивирусов определяют, что файл вредоносный, то вероятно так и есть. В этом и есть истинная сила VirusTotal.
4. Проверьте файл на вредоносное поведение
В дополнение к вышеупомянутым методам вы можете также пожелать проверить файл на вредоносное поведение. Есть много замечательных веб-служб, которые помогут сделать это, но я выбрал две из них, которые я особенно рекомендую. Помните, что хорошие файлы в них могут быть отмечены как подозрительные и что вредоносное ПО также может оказаться нераспознанным. Фактически, некоторые вредоносные программы даже могут заявить, что они запущены в виртуальной среде, и, таким образом, откажутся работать. По этой причине, опять же, для проверки файла лучше всего использовать все три метода, рассмотренные в этой статье.
4.1 Используйте Comodo Instant Malware Analysis
Веб-служба Comodo Instant Malware Analysis (CIMA) (Быстрая проверка на вредоносность от Comodo) может быть найдена на этой странице. Думаю, отчет проверки этой службы будет понятен всем пользователям. Вы можете загружать туда файлы любого размера, и, после того, как загрузка будет завершена, сразу начнется проверка файла. Продолжительность в основном зависит от размера файла и сложности его поведения, однако в большинстве случаев это довольно быстро. Я настоятельно рекомендую использовать эту службу, поскольку она очень эффективна при распознавании подозрительного поведения. Как только анализ завершен, результаты будут даны в конце отчета.
Оценкой может быть “Suspicious” («Подозрительный»), “Suspicious+” или “Suspicious++”. Если выдана любая из них, это означает, что возможно вредоносное поведение было обнаружено. Также непосредственно под оценкой будут указаны причины, по которым файл был помечен как таковой. Оценка “Suspicious++” означает наиболее подозрительное поведение.
Если вместо этого в результатах автоматического анализа (“Auto Analysis Verdict”) вы получаете оценку “Undetected” (Не обнаружено), значит подозрительных действий замечено не было. Это не гарантирует, что нет опасности, но говорит о большей вероятности этого. Таким образом, если на вышеупомянутых шагах не было обнаружено вредоносного поведения, и того же ни разу не сделал CIMA, то вы можете быть относительно уверены, что файл безопасен.
4.2 Используйте Anubis
Наиболее опытные пользователи могут также пожелать использовать Anubis. Эту веб-службу можно найти вот на этой странице. Это еще одна очень эффективная служба проверки на поведенческом уровне. Однако, загрузка файлов иногда занимает очень много времени, а результаты труднее интерпретировать. Тем не менее эта служба предоставляет много информации о поведении файла и послужит прекрасным вторым голосом в добавление к CIMA. Если вы продвинутый пользователь, я вам очень рекомендую проверять поведение файлов еще и в Anubis.
5. Сообщайте об опасных файлах куда следует
Comodo Valkyrie
Version 1.42
English
Introduction to Comodo Valkyrie
Valkyrie is a online file verdict system that tests unknown files with a range of static and behavioral checks in order to identify those that are malicious. Because Valkyrie analyzes the entire run-time behavior of a file, it is more effective at detecting zero-day threats missed by the signature-based detection systems of classic antivirus products.
The Valkyrie console allows users to upload new files for analysis and to view scan results in a range of dashboards and reports. Users can also forward files to Comodo Labs for in-depth, human expert checks. The Comodo Unknown File Hunter tool allows users to locally scan entire networks for unknown files then upload them to Valkyrie for analysis.
Overview of the Technologies
This technique involves extraction and analysis of various binary features and static behavioral inferences of an executable such as API headers, referred DLLs, PE sections and more such resources. Any deviation from the expected results are listed in the static analysis results and the verdict given accordingly.
The dynamic analysis technique include studying the run time behavior of a file to identify malware patterns that cannot be be identified through static analysis.
Valkyrie Plugins and Embedded Detectors
Valkyrie plugins utilizes the different malware analysis techniques developed by various communities and educational institutions and deployed by them on their systems as RESTful Web Services. Valkyrie includes these results also to compute a final overall verdict.
Embedded detectors in Valkyrie uses new methods of malware detection developed by Comodo AV laboratory to compute an overall final verdict of a file.
Signature Based Detection
Valkyrie uses different signature based detection sources in order to detect a given sample in the first place. Signature based detection simply checks SHA1 hash of files from signature sources to determine if there is any match in database.
Trusted Vendor and Certificate Validation
Valkyrie checks vendor details of a file with Trusted Vendor database that are continuously updated. If the vendor is whitelisted, then certificate validation is done to ensure that certificate chain is valid and not revoked or expired.
Reputation data of files that are collected from millions of endpoints through Comodo network and products are evaluated on a big data platform and converted to intelligence form to be used by Valkyrie.
Big Data VirusScope Analysis System
VirusScope, a part of Comodo Security products, is a dynamic application analyzer system that detects malicious behavior of a file, blocks and reverses those actions when necessary. The detected malware are reported to Comodo servers and this data is also used by Valkyrie.
Human Expert Analysis
Valkyrie system includes submission of files by users for manual analysis. Comodo expert analysis, which consists of the most sophisticated analysis of a file and provides the ultimate verdict of the file.
This guide is intended to take you through the use of Comodo Valkyrie and is broken down into the following main sections.
Valkyrie
Comodo employs a wide variety of techniques to detect and identify unknown files, ranging from a simple signature based system to emulators and unpackers. This holistic approach provides both detection and protection from malware.
Comodo Valkyrie is a cloud based verdict driven platform that provides static, dynamic and as needed, expert human analysis for submitted files of unknown and zero day files. The Valkyrie verdict system analyzes over 200 million file queries per day and more than 300 million unknown files each year through tightly integrated Comodo solutions and our active global community of threat researchers.
Different from traditional signature based malware detection techniques Valkyrie conducts several analysis using run-time behavior and hundreds of features from a file and based on analysis results can warn users against malwares undetected by classic Anti-Virus products.
Valkyrie platform provides detector API for users to design and implement their own detection methods in the form of a Valkyrie detector. Users then can deploy their detectors on Valkyrie Platform for testing. In this way, they can also compare the results of their detection methods with each other and Valkyrie detection methods
Static Analysis
Automatic static analysis allows detection of malicious files that might not be recognized by legacy techniques such as antivirus engines and blacklists. For example, malware writers frequently ‘pack’ or compress their malware to obfuscate it and escape analysis. Valkyrie static analysis supports over 450 unpackers ensuring these evasive tactics fail.
Comodo Valkyrie extracts and analyzes static detector data on submitted PE files and determines a verdict. Static analysis detectors include: binary level analysis, included libraries, system calls embedded in the code, extractable links, unpackers, string analysis and many more detectors that determine a trust verdict.
Automatic static analysis is done by using only binary features of the file such as format of the file, format anomalies, and sections in the file, contents of sections, location of sections and section anomalies. Static analysis can be applied to any type of file, such as 32/64 bit executable Windows files, pdf files, Office documents, html files, and stand-alone script files, e.g. bat, py, js.
Static analysis is a fast method and able to process large numbers of files in a shorter time than the behavioral approach of dynamic analysis, but dynamic analysis plays a critical role in catching what static analysis misses.
Dynamic Analysis:
Behavioral Monitoring
Dynamic analysis detects malicious files that might be unrecognized by legacy techniques. Dynamic analysis runs and monitors the behaviors of a file to catch malicious files that cannot be detected by static analysis methods. Dynamic analysis takes longer than static analysis but it is a critical part of detection.
Automatic dynamic an analysis is done by inspecting the run-time behavior of a file such as if it is attempting to create, delete or modify files, registry values, processes, memory locations or other specific operating system entities and network connections. Dynamic analysis can be applied to different file types such 32/64 bit executable Windows files, pdf files, Office documents and html files that include executable scripts and stand-alone script files, e.g. bat, py, js.
Comodo Valkyrie sandbox based dynamic analysis is performed on the submitted PE file. Automatic dynamic analysis includes both behavioral and environmental analysis of unknown files exhibiting any of the following: ‘anti-VM’ evasion, VM escape attempts, sleep commands intended to wait out analysis, system modifications to the registry, file system pollution, system API calls and returns, and many more techniques that contribute to determine a trust verdict (good or bad).
Dynamic Machine Learning:
AI Engineered Detection
Machine learning training techniques combine algorithms and hundreds of static features extracted from files. Huge sets of malicious and clean files are used in machine learning models and refreshed with new files regularly. Machine learning based models, ensure a high degree of accuracy and reduce the management overhead typically associated with exploit validation and response.
Static machine learning models know what a clean file should look like. They can detect potential new malware for analysis such as zero-day malicious files that have features that are not explicitly known and are not likely to be detected by legacy methods. In addition, machine learning models trained on specific malware types help improve the accuracy of automatic techniques.
Broader machine learning models—as practiced by Comodo—focus on statistical correlations and trends to identify exploit campaigns and more. Comodo’s dynamic machine learning technique uses hundreds of features extracted from the run-time behavior of a file with the combination of algorithms yielding the best results.
Comodo Valkyrie integrates machine learning throughout its automated verdict system. Research and analysis drives the development of ‘big data’ algorithms and methodologies that increase verdict coverage and accuracy. Hundreds of thousands of malicious and clean files are used in training dynamic machine learning models and they are improved with new files regularly. Like the static machine learning technique, the advantage of dynamic machine learning comes from its high probability to spot zero-day malicious files.
Comodo focuses on machine learning based models designed to accurately identify the rise and fall of exploit campaigns. We also study trending analyses of exploit submissions by Comodo’s global installed base and community of independent researchers. This helps us identify campaign attack surface, breadth, geography, industry and other useful metadata to profile and respond to advanced threats.
How we detect at the endpoint
Comodo takes a holistic approach to endpoint security that spans simple signature-based detection of known malware to application whitelisting to advanced detection and response tools at the local level and in the cloud. Comodo’s endpoint security continuum also includes application and network access controls, a host intrusion prevention firewall (HIPS) and patent-pending Secure Auto Containment™ for usability while preventing infection from unknown malware.
For more information please visit project’s website from here The manuals and sample sets are at the Here is What You Get section.
Embedded Detectors for Analysis
Detectors are a standard function of Valkyrie analysis methods and require no configuration or effort by customers. Comodo’s embedded detectors are custom script-based detection methods that may be uploaded to Valkyrie to be used and included in a final verdicts.
Precise Detectors
Precise detectors target specific malware features with high rates of precision to help detect malicious files and minimize false positives. Precise detectors apply heuristic methods to check data patterns in a file. These might include specific opcode sequences, unexpected opcode existences and frequencies, unexpected sections, section contents, imported resources and packing methods etc.
Static Detectors
Comodo uses static analysis detectors include: binary level analysis, included libraries, system calls embedded in the code, extractable links, unpackers, string analysis and many more detectors that determine a trust verdict.
Behavioral Analysis/Inspection
Behavioral analysis is used for intrusion detection—concentrating on detecting the characteristics of malware during execution. Behavioral analysis is limited to detection only when the file is performing malware actions.
Data Mining
Data mining is one of the latest techniques to detect malware. Data mining looks for a prescribed set of program features to determine if the program is malicious or not.
Emulation:
Emulation offers a solution to the codependency of the hardware and software on a given machine. Should the hardware fail, all is not lost, emulation offers continued access to the digital objects that were on the host. Emulation imitates a certain computer platform or program on another platform or program. In this manner, it is possible to view documents or run programs on a computer not designed to do so.
VALKYRIE
THREAT ANALYSIS ENGINES
File Lookup Service (FLS)
Machine Learning (Ai)
Static Analysis Detectors
Expert Human Analysis
No Installation Required
Forensic Threat Audits
Email Disaster Recovery
Stolen Credential Monitoring
10 Day Historical Analysis
Targeted Malware Monitoring
Turnback the Clock Remediation
Email Credential Monitoring
Real-time Malware Analysis
Real-time Phising Analysis
Real-time Blacklist Safety Sync
Viewable Flagged Websites
VALKYRIE HOUR ZERO
Competition cannot keep up to our verdict speeds.
Others leave a window of time your data is exposed to cybercrime attacks.
An extensive platform of cyber threat intelligence, generated by millions of data points by Comodo.
Based On Your Subscription
We are always open to PROTECTING CUSTOMERS FROM THE DARK WEB.
Press Releases from Comodo Threat Intelligence Labs
