В Process Explorer 16.0 добавили поддержку VirusTotal

Последняя версия Process Explorer, одного из самых популярных инструментов пакета утилит Sysinternals Suite, теперь имеет поддержку не менее популярного сервиса для анализа подозрительных файлов от Google – VirusTotal.

Утилиты Sysinternals были разработаны Марком Руссиновичем и Брайсом Когсвеллом за долго до того, как их компания была приобретена Microsoft. Руссинович продолжает разрабатывать утилиты и по сей день, параллельно работая над платформой облачных сервисов Windows Azure от Microsoft.

Цитата из раздела "Что нового" на сайте Microsoft:

Благодаря сотрудничеству с командой VirusTotal, Process Explorer теперь полностью поддерживает этот бесплатный сервис антивирусного анализа. При включении данной функции, Process Eхplorer отправляет хеш-коды изображений, библиотек DLL и файлов, задействованных в процессах напрямую в VirusTotal. В случае, если файл уже был просканирован сервисом, VirusTotal выводит отчет о количестве движков, которые признали его потенциально вредоносным. Ссылки в отчете перенаправляют пользователя на соответствующие страницы портала VirusTotal. Доступно также добавление файлов вручную для проведения анализа.

VirusTotal был создан испанской компанией Hispasec Sistemas, занимающейся консалтингом в сфере компьютерной безопасности. За годы своей работы сервис стал очень популярным и потребовал серьезной облачной инфраструктуры для своего развития, которую мог предоставить Google. Компания из силиконовой долины приобрела VirusTotal в 2007 году.

Как показано на изображении, когда пользователь вызывает контекстное меню отдельного процесса, в списке появилась новая опция  «Проверить на VirusTotal» (Check VirusTotal). При первом вызове данной функции нужно будет принять пользовательское соглашение для использования сервиса. При выборе проверки для процесса верхнего уровня, анализу на VirusTotal будут подлежать все программные файлы, связанные с процессом. Также опционально пользователь может выбирать отдельные библиотеки DLL и другие файлы.

Для просмотра результатов пользователь должен повторно выбрать запись в списке процессов, щелкнуть правой кнопкой мыши и выбрать опцию «Свойства» (Properties). Вы можете посмотреть выводимую информацию на изображении.

VirusTotal показывает два значения, на скриншоте это 1/50. Это означает, что один из 50 антивирусных движков, а именно Anity-AVL обнаружил в анализируемом файле вредоносную активность -  Trojan/Win32.Agent2.

Как можно видеть на данном примере, представленный образец это не что иное, как  SkyDrive.exe, исполняемый файл облачного сервиса для хранения данных от Microsoft, и на самом деле это не вредоносная программа. При нажатии на числе «1/50» откроется страница портала Virustotal.com с подробной информации о сканировании. Ниже представлен скриншот этой страницы.

Ложное срабатывание в данном конкретном примере не относится к VirusTotal, а к движку Anity-AVL. Пользователь может сообщить об ошибочном срабатывании сервису.

Эти сканирования отражают актуальную на момент проверки информацию. При обновлении движков или сигнатурных баз результаты могут поменяться. Вы можете повторно проверить файл и заметить изменения. На самом деле, VirusTotal является одним из любимых сервисов разработчиков ПО, которые проверяют, будут ли антивирусные движки блокировать их творение.

Как VirusTotal, так и инструменты из пакета Sysinternals Suite является примером очень качественных бесплатных инструментов для IT-инженеров и разработчиков. Особенно приятно видеть, что Google и Microsoft объединяют усилия для совершенствования продуктов.

Скачать Process Explorer можно на нашем сайте в разедел Настройка и оптимизация.

По материалам портала ZDNet