VirusTotal – hvað er það?
VirusTotal er heimasíða þar sem hægt er að framkvæma athugun á skrám, vefslóðum og IP tölum gagnvart spillikóða eða óværu að kostnaðarlausu.
VirusTotal hefur yfir 70 vírusvarnarvélar sem geta greint spillikóða í þeim skrám sem er hlaðið upp til VirusTotal. Hægt er að hlaða upp hvaða týpu af skrá sem er en þó ekki stærri skrám en 650MB. Þegar skrá er hlaðið upp er hún skönnuð með öllum vélunum eftir spillikóða eða óværum og niðurstaða um mat á skránni birt.
Hluti af vélum VirusTotal geta einnig skannað hvað er á bak við lén. Vélarnar geta gefið niðurstöður um hvort heimasíðan sem er á bak við lénið tengist t.d. vefveiðum (e. phishing) eða innihaldi spillikóða.
Einnig er hægt að skanna IP tölur og þá gefur VirusTotal til kynna hvort IP talan geti tengst t.d. léni sem inniheldur spillikóða, yrkjaneti eða hefur tengingar við skrár sem innihalda spillikóða.
Hafa ber í huga að allar skrár, vefslóðir og IP tölur sem hlaðið er upp á VirusTotal verða opinberar upplýsingar. Ýtarlegar upplýsingar um skrár, lén og IP tölur sem hlaðið er upp til VirusTotal eru aðgengilegar öllum og þeir sem hafa aðgang að innri þjónustu VirusTotal, eins og vírusvarnafyrirtæki geta sótt allar þær skrár sem hlaðið hefur verið upp á VirusTotal. Því skal ekki hlaða upp skrám sem gætu innihaldið viðkvæmar persónuupplýsingar.
Hægt er að leita hvort skrá sé nú þegar til á VirusTotal og hvernig hún er metin út frá skráarnafni, SHA256, SHA1 eða MD5 summu skráarinnar.
Dæmi – skrá:
Skrá hlaðið upp á VirusTotal.
Niðurstöður birtar eftir hverri og einni vírusvarnarvél. Hér sést að 53 af 72 vírusvarnarvélum þekkja skránna og út frá niðurstöðum er hægt að meta að um sé að ræða LockBit gagnagíslatökuforrit.
Undir „Details“ er hægt að sjá frekari upplýsingar um skránna eins og hvenær hún var búin til, fyrst skönnuð, stærð hennar o.fl.
Undir „Behavior“ er svo hægt að finna ýtarlegri upplýsingar um skránna og hvernig hún hagar sér í raunumhverfi.
„Community“ inniheldur svo athugasemdir sem skráðir notendur VirusTotal geta skráð niður um skránna.
Dæmi – vefslóð:
Þegar vefslóð er hlaðið er upp á VirusTotal þarf að velja „URL“ og þá er hægt að slá inn vefslóðina sem skoða á betur.
Niðurstöður birtar eftir hverri og einni vírusvarnarvél. Hér sést að 21 af 88 vírusvarnarvélum þekkja lénið og út frá niðurstöðum er hægt að meta sem svo að um sé að ræða síðu sem inniheldur spillikóða eða vefveiðar.
Undir „Details“ er hægt að sjá frekari upplýsingar um vefslóðina eins og hvernig síðan er flokkuð af helstu vírusvarnarvélunum, hvenær slóðin var fyrst skönnuð, IP tölur tengdar slóðinni o.fl.