Virustotal - реальные угрозы и ложные срабатывания.

[Sapfira]

Может, тут кто-то уже задавал подобные вопросы, но поиском, ничего не нашлось. Тема касается Андройд-вирусов.

Чтобы не скачать с Гугл Плэй какую-нибудь программу с вирусом, поступаю следующим образом: не качаю программы напрямую с Гугл Плэй, а нахожу APK файл нужной программы на сайте 4PDA, если там нет, ищу в яндексе. Перед тем, как скачать APK файл, проверяю его на "Virustotal" и если показывает, что файл чистый, качаю, в случае нахождения множественных угроз, приходится отказываться от загрузки подобной программы.

Но бывает, что большинство антивирусов говорят, что файл чистый, а какие-то 1-3 антивируса указывают на угрозы. Как можно в таком случае определить, является срабатывание ложным или действительно, пара антивирусов видят то, что не видят другие?

Вот, например, последняя проверка, 3 из 58 антивирусов обнаруживают угрозы:

Поиск по названиям ничего не даёт. Безопасно будет скачивать такой файл или нет?

[regist]

@Sapfira, если по простому, то можно просто запомнить имена "аутсайдеров" и просто не обращать на них внимание. В данном примере с вероятностью 90% это ложное срабатывание и на эти антивирусы не надо не обращать внимание (аналогично если они будут ругаться и на другие файлы).

Если по сложному, то есть эмуляторы андроида, либо можно расковырять этот .apk и самостоятельно его анализировать, но как понимаю это не для вас.

[Sandynist]

Всегда остаётся вариант самостоятельно разослать скачанный и подозрительный для вас файл в антивирусные лаборатории ведущих производителей защитного ПО. Ну и естественно дождаться ответа на ваш запрос.

[regist]

 

 

Ну и естественно дождаться ответа на ваш запрос.

ну или так и не дождаться ничего кроме вариаций ожидайте он пока в обработке.

На примере выше я бы наоборот рассылал в те компание, которые его детектят с пометкой ложное срабатывание.

Но и тут есть свои минусы, к примеру в Тренд Микро так просто не имея лицензии на их продукт не послать.

[Sapfira]

есть эмуляторы андроида, либо можно расковырять этот .apk и самостоятельно его анализировать

Там же, на Вирустотале, можно посмотреть детальные сведения о файле. Хоть толком ничего и не понятно, но вроде, ничего подозрительного нет, кроме одного момента:

Думаю, что скорее всего, действительно ложное срабатывание, так как у разработчика этого приложения хорошая репутация на 4PDA и жалоб на вирусы в комментариях нет.

 

А рассылать файл в антивирусные лаборатории не вариант, так как многие из них иностранные, чтобы написать, нужно знать английский.

[regist]

А рассылать файл в антивирусные лаборатории не вариант, так как многие из них иностранные, чтобы написать, нужно знать английский.

Практически у всех вендоров англ. достачно знать на уровне, чтобы написать (скопировать) фразу False positive либо False positive submission.

Изменено 17 июня, 2017 пользователем regist