Сервіс для онлайн перевірки на віруси Hybrid Analysis не менш відомий ніж VirusTotal. Ці сервіси виглядають подібними але між ними є і суттєві відмінності. Даний сервіс, по суті, це складний метод пошуку зловредів з використанням унікальної технології гібридного аналізу та сучасних алгоритмів виявлення небезпечного коду.
Як користуватися сервісом Hybrid Analysis
При підозрі на небезпечний файл на флешці, на диску комп'ютера чи в мережі інтернет простіше всього звернутися до онлайн сервісів, наприклад, Hybrid Analysis.
Для початку потрібно:
- Перейдіть на сайт www.hybrid-analysis.com
- На активній вкладці «File/URL» виберіть чи перетягніть на вікно файл для аналізу.
- У наступному вікні достатньо відмітити галочку прийняття умов сервісу, пройти капчу та натиснути кнопку «Analyze».
- На наступному кроці «Analysis Environments» (Середовище аналізу) доступно декілька опцій на вибір ОС віртуальної машини: Windows від 7 до 11, Ubuntu, MacOS, Android або швидке сканування. Після вибору натиснути «Generate Public Report» (Створити публічний звіт).
- В результаті запиту буде створено звіт з результатами аналізу файлу.
Обробка результатів аналізу
Після завершення аналізу сервіс Hybrid Analysis видає загальний звіт по перевірці, з якого зразу зрозуміло чи становить файл загрозу чи ні. Позначка «malicious» вказує на небезпеку, а «no specific threat» - те що файл безпечний.
Далі, у розділі «CrowdStrike Falcon» та «MetaDefender», можна детальніше ознайомитися з наявними загрозами які становить небезпечний файл та результатами комплексної перевірки.
У розділі «Falcon Sandbox Reports» знаходяться результати перевірки у віртуальній машині з різними ОС. Цікаво розібрати типи загроз в детальній інформації по кожній операційній системі – індикатори червоного, жовтого та синього кольорів. Роздивитися скріншоти результатів роботи вірусу.
Розділ «Incident Response» містить оцінку ризиків які становить злоякісний файл. В детальному звіті вказані які дії виконує вірус для враження комп'ютера.
Ось, наприклад, зі скріну вище:
- Встановлює хуки/патчі для запущеного процесу.
- Породжує багато процесів.
- Запитує інформацію про відладчик ядра.
- Запитує інформацію про процес.
- Запитує конфіденційні налаштування безпеки IE.
- Запитує параметри відображення системних розширень файлів, пов'язаних із системою.
- Читає ім'я активного комп'ютера.
- Зчитує криптографічний ідентифікатор машини.
- Можливо, намагається уникнути аналізу шляхом багаторазового засинання.
- Містить прихований байтовий рядок.
- Отримує доступ до потенційно конфіденційної інформації з локальних браузерів.
- Знайдено рядок, який може бути використаний як частина методу ін'єкції.
- Перехоплює виклики API.
- Намагається викрасти конфіденційну інформацію браузера (доступ до файлів).
- Читає ключі, пов'язані зі службою терміналу (часто пов'язані з RDP).
- Звертається до 91 домену та 141 хосту.
- …
Hybrid Analysis досить потужній та безкоштовний засіб по аналізу та виявленню вірусів та небезпечних файлів. Сервіс ідеально підходить для швидкої перевірки підозрілих файлів завантажених з інтернету. Але потрібно розуміти що деякі безпечні програми чи утиліти можуть видавати хибні спрацювання в подібних сервісах, тому потрібно кожного разу аналізувати результати перевірки.