Вячеслав Медведев, ведущий аналитик отдела развития компании «Доктор Веб»

Онлайн-аптечка Dr.Web vxCube
Проанализировать за 60 секунд

Что такое Dr.Web vxCube? vxCube – сервис, предназначенный для анализа файлов. Выпуск информации о сервисе Dr.Web vxCube вызвал массу комментариев на сайте «Доктора Веба». На ряд вопросов мы ответили сразу, но будет полезно собрать их в одной статье

Dr.Web vxCube как аптечка, которая всегда под рукой.
Чихнул, достал таблетку и – вперед дальше по дороге.

Благодарный пользователь

Вы отправляете файл (исполняемый файл, офисный документ) на анализ. Данный файл автоматически (без участия аналитиков компании) запускается в изолированном окружении, в итоговом отчете пользователю сервиса предоставляется:

• Запись процесса запуска исследуемой программы. Как можно использовать данную информацию? Запустив видео, вы можете узнать, как выглядит процесс заражения, сравнить описание данного события от пользователя с реальной ситуацией.
  Сразу скажем, что наличие в записи признаков работы вредоносной программы зависит от типа самой вредоносной программы. Если вы запустили какой-то шпион, то внешних эффектов такая программа, естественно, не дает.
• Оценка вредоносности. Ориентируясь на имеющиеся критерии, сервис оценивает, является ли исследуемая программа вредоносной или нет, а также насколько она может быть опасной. Если сервис признал исследуемый файл вредоносным, то автоматически создается утилита Dr.Web CureIt!, в базе которой содержится информация для лечения вашей вредоносной программы.
  Важно! Создание специальной версии Dr.Web CureIt! не означает, что также мгновенно автоматически информация о новой угрозе попадет в основные сборки утилиты. Дело в том, что пользователям сервиса важна срочность, поэтому созданная утилита не проходит положенной процедуры, которую проходят основные продукты компании, в частности процедуры тестирования на совместимость со сторонним программным обеспечением.
• Архив с результатами анализа. В том числе архив содержит части анализируемого файла.
• Связи анализируемого файла. К каким файлам были обращения, в какие ветви реестра осуществлялась запись, какие ресурсы сети Интернет были использованы и т.д.
• Контрольные суммы исследуемого файла.

Как файл анализируется?

Для каждого полученного файла запускается специальная виртуальная машина, в этой виртуальной машине установлены типичные приложения, которые обычно атакуются злоумышленниками.

• Исполняемые файлы семейства операционных систем Microsoft Windows.
• Документы Microsoft Office.
• Файлы Adobe Acrobat Reader.
• Исполняемые файлы JAVA.
• Скрипт-файлы.

Полученный от пользователя файл автоматически запускается или открывается, если это документ (напоминаем, что все это происходит автоматически, без участия аналитиков компании). В результате работы сервиса формируется отчет.

Давайте взглянем на пример такого анализа.

Выбираем файл (см. рис. 1). Есть список типов файлов, которые могут анализироваться сервисом. В дальнейшем список планируется расширить.

Рисунок 1. Выбор файла для анализа

Для каждого загруженного файла можно указать тестовую среду – так, для исполнимых файлов это операционная система (см. рис. 2).

Рисунок 2. Выбор типа операционной системы для анализа исполняемого файла

После этого для анализа запускается виртуальная машина (см. рис. 3).

Рисунок 3. Запуск виртуальной машины

Анализ завершен, теперь мы увидим отчет (см. рис. 4). Сверху слева – оценка вредоносности и информация об исследуемом файле, справа – запись работы вредоносной программы.

Рисунок 4. Отчет после анализа файла

Прокрутим отчет:

• Связи программы. Сразу видно, к каким файлам она обращалась, если файлы вам известны, стоит задуматься, откуда они у вас в системе (см. рис. 5).

  

  Рисунок 5. Связи программы после анализа

• Техническая информация. Сразу видно, что вам нужно удалить из системы, на защиту каких ее частей следует обратить внимание (см. рис. 6).

  

  Рисунок 6. Техническая информация после анализа

• Созданные файлы. Поскольку имена создаваемых файлов могут отличаться, приводятся их контрольные суммы (см. рис. 7).

  

  Рисунок 7. Созданные файлы после анализа

• Журнал API. Информация для продвинутых пользователей. Она может пригодиться, например, для выяснения того, как вредоносная программа прячется в системе (см. рис. 8).

  

  Рисунок 8. Журнал API после анализа

• Карта сетевой активности. Показывает куда обращалась данная вредоносная программа. В нашем с вами примере карта как бы говорит о том, что это шалят американские и немного британские хакеры. Но на самом деле анализируемый троянец был создан российско-украинской группировкой (см. рис. 9).

  

  Рисунок 9. Карта сетевой активности после анализа

Персональные и конфиденциальные данные

Сервис полностью автоматический, никто за вашими файлами/документами в компании не подглядывает. В итоговой сборке утилиты Dr.Web CureIt! (в сигнатуре угрозы) какие-либо персональные или конфиденциальные данные не включаются.

Файлы, поступившие на анализ, отделяются от файлов, поступивших иными путями. Естественно, принимаются все необходимые меры для защиты доступа к данным.

Интересно, что в ходе работы над сервисом была создана специальная виртуальная машина. Это, кстати, достаточно важный момент.

Дело в том, что вредоносные программы хотят определять попытки запуска их аналитиками – в частности, запуск в специальных тестовых окружениях.

Если вы запустите сервис несколько раз, то заметите, что экранные заставки на записи запуска программы постоянно меняются и не содержат никакого логотипа или рекламы сервиса.

Именно по этому признаку вредоносные программы могли бы определять попытки запуска тестовых окружений в сервисе.

Известные текущие ограничения

Сервис изначально предназначался для анализа неизвестных текущему антивирусу вредоносных программ. Поэтому на данный момент файл передается в открытом виде.

Планируется, что в следующей версии будет использоваться передача в виде запароленного архива или ссылки.

Также не запаролен и архив с результатами анализа, в связи с чем на его содержимое может начать ругаться система защиты.

Зачем нужен сервис Dr.Web vxCube?

Вы, вполне возможно, считаете себя здоровым, но это далеко не факт. Поэтому запас средств защиты от основных болезней типа простуды в доме всегда есть (или должен быть), так как если прихватит, то иногда до аптеки нет возможности дойти, а скорая может приехать очень не скоро.

Антивирусная компания может уже выпустить средство лечения, но оно может не дойти еще (не быть скачанным).

Пользователь может отключить антивирус, и вам срочно нужно вычистить последствия его действий.

Вариантов много. Dr.Web vxCube помогает СРОЧНО оценить вредоносность файла (вы перебираете файлы в системе и ищете тот, который все заразил), вычистить последствия его работы.

Кстати, Dr.Web vxCube полезен, даже если анализируемый файл не вредоносный. Сервис может использоваться для чистки от различных «левых» утилит.

Dr.Web рекомендует

Если система еще не заражена и время терпит, то вы можете отправить файл на анализ в техническую поддержк [1]. Срок анализа будет больше, но и точность выше.

Если же заражение идет по сети и нужно срочно все лечить, то вам нужен данный сервис. Скорость работы максимально высока – порядка минуты.

Испытать возможности сервиса Dr.Web vxCube вы можете, запросив демо-ключ [2].

1. https://vms.drweb.ru/scan_file/
2. https://download.drweb.ru/vxcube/

Комментарии могут оставлять только зарегистрированные пользователи