Just nu i M3-nätverket
Gå till innehåll

Hur bör man tolka virus total?


.M
 Share

Rekommendera Poster

Postad (redigerade)

Hittar en "fan-made patch" till ett spel, skickar länken till Virus Total för säkerhetsskull. Rapporten säger 3/64 rapporterar någon slags skadlig programvara. Hur bedömer jag om det är false positives eller om det faktiskt finns skadlig programvara?

 

Att 61 antivirus säger att filen är ok bör ju tyda på att den är ok?

Redigerad av .M
Länk till kommentar
Dela på andra webbplatser

  • .M changed the title to Hur bör man tolka virus total?

Inte lätt men om du klistrar in länken till resultatet kan jag titta.

 

Fullt så enkelt att avgöra är det inte för det kan ju vara så att det är en alldeles ny skadlig fil och då är det ju normalt att det bara är ett eller några få antivirusprogram som reagerar innan de andra har upptäckt filen och uppdaterat sina definitioner.

Länk till kommentar
Dela på andra webbplatser

Finns det en rapport som beskriver vilka virus som hittats? 
Det kan ju vara länkar utan https, cookies eller annat mindre anmärkningsvärt.

Men det räcker ju med att ett av de hittade är så aggresivt att det ställer till det rejält som t ex ransomware eller likn.

Länk till kommentar
Dela på andra webbplatser

Kör en ny scan så ser du att virusen varierar. En dynamisk sida som försöker lura antivirusprogrammen kanske?

Länk till kommentar
Dela på andra webbplatser

22 minuter sedan, skrev .M:

Vassego VirusTotal

Enligt Details-fliken så har filen funnits åtminstone sen 2013 och också laddats upp åtminstone även 2017 så då borde fler antivirusprogram reagera om den verkligen vore skadlig. De som reagerar är ovanliga (okända) antivirusprogram.

 

På Relations-fliken kan man se vilka filer som ingår i Zip-filen och först kommer 7z.exe, dvs programmet 7-zip som är ett mycket välkänt och betrott program men ändå så är det fyra program som reagerar på den och då bland annat Zillya med Adware.LoadMoney.Win32.68335 vilket ju är felaktigt.

 

Jag bedömer det som att det är liten risk att det är en skadlig fil som du har men garantera något går ju inte att göra.

  • Gilla 1
Länk till kommentar
Dela på andra webbplatser

31 minuter sedan, skrev polken:

Kör en ny scan så ser du att virusen varierar. En dynamisk sida som försöker lura antivirusprogrammen kanske?

Har du kanske missuppfattat vad Virustotal är för något?

Det är en webbplats där man kan ladda upp en fil för att få den analyserad av väldigt många antivirusprogram.

https://support.virustotal.com/hc/en-us/categories/360000160117-About-us

Länk till kommentar
Dela på andra webbplatser

Postad (redigerade)
1 timme sedan, skrev Cecilia:

Har du kanske missuppfattat vad Virustotal är för något?

Det är en webbplats där man kan ladda upp en fil för att få den analyserad av väldigt många antivirusprogram.

https://support.virustotal.com/hc/en-us/categories/360000160117-About-us

TS uppladdade fil går att analysera på nytt flera gånger via länken. Den ger olika resultat varje gång. Så en viss dynamik finns det. Den stödjer dessutom möjligheten att analysera en länk men det kanske du inte förstått ?

Redigerad av polken
Länk till kommentar
Dela på andra webbplatser

11 timmar sedan, skrev polken:

Kör en ny scan så ser du att virusen varierar. En dynamisk sida som försöker lura antivirusprogrammen kanske?

Fast det finns nog bättre mål än dom som är intresserade av att spela 30 år gamla DOS-spel.

 

11 timmar sedan, skrev Cecilia:

På Relations-fliken kan man se vilka filer som ingår i Zip-filen och först kommer 7z.exe, dvs programmet 7-zip som är ett mycket välkänt och betrott program

Fast vem som helst kan ju skapa en exe-fil med det namnet. Fast paketering av patch verkar ju lite amatörmässigt gjord, varför har han zippat en zip-fil och lagt med 7-zip, när han antagligen hade sparat bytes på att inte zippa vissa filer och struntat i 7-zip.

 

Kanske blir projekt av att förbättra installation :D 

  • Gilla 1
Länk till kommentar
Dela på andra webbplatser

12 timmar sedan, skrev Cecilia:

7-zip som är ett mycket välkänt och betrott program

Naivt att tro kända program inte kan vara smittade. Det är nog det vanligaste sättet att sprida virus. Hört talas om PirateBay?

Länk till kommentar
Dela på andra webbplatser

2 timmar sedan, skrev .M:

Fast vem som helst kan ju skapa en exe-fil med det namnet.

På Relations-fliken kan man klicka på checksumman efter SHA-256 och komma till analysen av just den filen och då se copyright-information, filversion etc. Visst går det att förfalska men det verkar väldigt mycket jobb för att vinna väldigt lite.

  • Gilla 1
Länk till kommentar
Dela på andra webbplatser

 Share

×
×
  • Skapa nytt...