Программа, которая казалась законной, может представлять угрозу, даже если она выглядит безопасной. Например, если кто-то отправляет вам программу по электронной почте, которая отображает симпатичную или забавную анимацию при запуске, возможно, что программа уже делает что-то плохое для вашего компьютера в фоновом режиме, такое как кража ваших паролей / файлов, установка кейлоггера, активация ваша веб-камера и т. д. без вашего ведома. Это стало возможным благодаря простой привязке вредоносной программы к фоновому запуску с другой легитимной программой, работающей на переднем плане. Хотя антивирусное программное обеспечение и онлайновые многоядерные AV-сканеры отлично справляются с обнаружением связанных вредоносных программ, всегда существует время, когда они полностью не обнаруживаются при их новом шифровании.
Так как же узнать, действительно ли файл безопасен или нет? Анализ вредоносного ПО и того, что оно делает, требует больших знаний в области компьютеров и использования передовых инструментов. Проще всего проанализировать поведение файла, загрузив его в бесплатные онлайн-сервисы песочницы для автоматического анализа и просмотра подробного и в то же время простого для понимания отчета. Вот список онлайн анализаторов файлов, которые можно использовать бесплатно.
1. ThreatExpert
ThreatExpert – это бесплатный онлайновый автоматический анализатор файлов, который запускает файл, отправленный вами в их виртуальную систему. Каждое действие из программы затем записывается и генерируется в простой для понимания отчет. Страница отчета ThreatExpert содержит такую информацию, как изменения памяти и реестра, попытки установить удаленные подключения, снимки экрана, обнаружение нескольких антивирусных ядер со сводными данными, показывающими уровень серьезности файла.
Чтобы отправить файл, вы можете либо зарегистрировать бесплатную учетную запись, чтобы в любое время получить доступ к своим отчетам, либо ввести свой адрес электронной почты, чтобы получить отчет в формате MHTML и прямую ссылку на онлайн-отчет. Существует ограничение размера файла 5 МБ, и анализ может занять до 10 минут. У них также есть автономный настольный инструмент для отправки файлов без открытия веб-браузера.
Посетите ThreatExpert
2. Malwr
Malwr использует разработанную ими систему анализа вредоносных программ с открытым исходным кодом Cuckoo Sandbox. Помимо анализа EXE-файлов, Malwr также поддерживает форматы PDF, PHP, PERL и DLL. После того, как анализ файла будет завершен, укажите адрес электронной почты для отправки формы и отправьте прямую ссылку для просмотра отчета.
Чтобы отправить файл в Malware, просмотрите файл, при желании введите свой адрес электронной почты, чтобы получать уведомление, или подождите, пока отчет не появится на главной домашней странице, заполните CAPTCHA и нажмите кнопку «Анализ». Отчет будет содержать сведения о файлах, ошибки анализа, снимки экрана, анализ поведения / сети / статический анализ и удаленные файлы.
Посетите Malwr
3. IObit Cloud
IObit Cloud – очень простая система анализа угроз, использующая эвристический метод для автоматического определения того, является ли загруженный файл угрозой. В отчете будет только указано, является ли загруженный файл угрозой или безопасным, без предоставления каких-либо технических подробностей о том, что файл делает при запуске. Несколько раз нам приходилось перезагружать, потому что шаг загрузки файла 2 зависал на 99%.
Никакой дополнительной информации или шага для отправки файла на анализ не требуется. Просто нажмите кнопку «Обзор файла», выберите файл, который вы хотите загрузить, и подождите 5 шагов.
Посетите IObit Cloud
4. ViCheck
ViCheck – это еще одна онлайн-песочница, которая принимает любые типы файлов, если она может быть запущена в операционной системе Windows. Помимо анализа поведения файла, ViCheck также проверяет наличие встроенных исполняемых файлов в документах, шелл-код и обычные эксплойты. Преимущество, найденное в ViCheck, заключается в множественных способах отправки файлов, включая веб, электронную почту и удаленную загрузку файлов. Веб-отправка позволяет вам выбрать до 5 файлов, но с общим объемом 10 МБ для всех файлов вместе.
Страница отчета ViCheck показывает информацию о файле, обнаруженных объектах, проверке шеллкода / эксплойта и, наконец, результаты песочницы. Перемещаемые файлы, созданные элементы реестра и мьютекс, исходящие соединения и загрузка файлов – вот некоторые сведения в отчете «песочницы». ViCheck больше подходит для опытных пользователей.
Посетить ViCheck
5. CWSandbox
MWanalysis использует CWSandbox от Sunbelt Software, которая теперь полностью приобретена GFI с технологией, переименованной в GFI Sandbox. Хотя официальная веб-страница CWSandbox была перенаправлена в GFI, вы все равно можете найти ее на этом немецком университетском сервере. Помимо использования CWSandbox, MWanalysis также добавил результаты сканирования VirusTotal на страницу отчета. Отчет CWSandbox содержит сводную информацию о сканировании, изменениях в файлах и реестре, сетевой активности и технических деталях. Примите к сведению область выделения анализа из Сканирования, чтобы просмотреть
CWSandbox поддерживает как электронную почту, так и веб-отправку. Веб-отправка имеет ограничение размера файла 16 МБ и принимает ZIP-файл с максимум 50 файлами в архиве. Для получения уведомления об анализе требуется электронное письмо.
Посетите MWanalysis
6. Анализ вредоносных программ Comodo Instant
Comodo Instant Malware Analysis – один из самых простых в использовании и понятный сервис онлайн-песочницы. Форма отправки не требует адреса электронной почты или решения кода CAPTCHA. Просто просмотрите файл, который вы хотите проанализировать в песочнице Comodo, поставьте галочку, чтобы согласиться с их условиями, и нажмите кнопку Загрузить файл. Затем файл будет проанализирован в режиме реального времени, и страница отчета будет постоянно обновляться до тех пор, пока анализ не будет завершен.
Вы должны обратить особое внимание на те, которые окрашены в красный цвет, потому что это обычные действия вредоносных программ. Если вы прокрутите вправо до конца отчета, вы увидите вердикт по автоанализу с обнаруженными подозрительными действиями.
Посетите Comodo Мгновенный анализ вредоносных программ
7. Анубис
Anubis – еще один популярный онлайн-сервис для анализа неизвестных исполняемых файлов Windows. Четыре формата отчета (HTML, XML, PDF и текст) доступны для загрузки после завершения анализа. Одна вещь, которая нам действительно понравилась в отчете Anubis, – это сводка в верхней части страницы, которая интерпретирует результаты, сообщая вам, что делают файлы, а не просто показывает техническую информацию о действиях с файлами.
Anubis принимает максимальный размер файла 8 МБ, и вы можете напрямую отправить файл из формы веб-сайта. Код капчи является необязательным для обеспечения повышения приоритета в очереди анализа.
Посетите Анубис
8. GFI ThreatTrack
GFI SandBox предназначен для OEM или облачных провайдеров, и, к счастью, они создали веб-страницу, которая предлагает бесплатный анализ ThreatTrack, использующий их технологию песочницы. ThreatTrack поддерживает анализ любых исполняемых файлов Windows, офисных документов, файлов PDF и даже флэш-объявлений, которые в основном не принимаются другими онлайн-песочницами.
Отчеты в формате PDF и XML отправляются только на электронную почту, указанную при отправке, и недоступны в Интернете. Поэтому убедитесь, что вы используете правильный адрес электронной почты, к которому у вас есть доступ.
Посетите GFI ThreatTrack
9. Joe Sandbox Web
Joe Sandbox, ранее известный как JoeBox и используемый бесплатно для публичного использования без каких-либо ограничений, превратился в более мощную автоматизированную систему анализа вредоносных программ. Отчеты, сгенерированные Джо Сэндбокс, очень полны и подробны.
Joe Sandbox больше не открыт для публичного использования, но любой желающий может запросить «простую» учетную запись, которая бесплатна по электронной почте sales@joesecurity.org. Обратите внимание, что простая веб-учетная запись Joe Sandbox имеет некоторые ограничения, такие как анализ может выполняться только в Windows XP с 100 отправками в месяц.
Посетите веб-сайт Joe Sandbox
Финальные заметкиК сожалению, получение чистого отчета из онлайн-песочниц не означает, что они также абсолютно безопасны, потому что некоторые вредоносные программы могут самоуничтожиться при запуске на виртуальных машинах (anti-sandbox / anti-vm), чтобы предотвратить их анализ. , Однако вы все равно можете загрузить подозрительный файл во все онлайн-анализаторы песочницы, упомянутые выше, чтобы повысить вероятность того, что вредоносное ПО пропустит обход.