2009-11-28:

VirusTotal Uploader 2.0

virustotal:project
VirusTotal Uploader 2.0Przedwczoraj na sieć trafił mój najnowszy twór - VirusTotal Uploader w wersji 2.0. Jest to w zasadzie zupełnie inne narzędzie niż te do których Was przyzwyczaiłem, tj. ma okienko (nie jest konsolowe), jest przetestowane i skierowane dla szerszego odbiorcy - a to głownie za sprawą tego iż tworzyłem je w ramach Hispasec.

VirusTotal Uploader 2.0 jest (podobnie jak pierwotna wersja tego programu) drobną Windowsową aplikacją (wiszącą domyślnie w menu kontekstowym 'Wyślij do') która wrzuca podany plik na VirusTotal - serwis który skanuje wrzucony plik ponad 41 antywirusami, i pokazuje wyniki skanowania oraz ze dwie garści metadanych. Jak można się domyślić, takie '41 skanów' przydaje się przy ściąganiu/otrzymywaniu plików z nie-do-końca zaufanych źródeł.

Jeżeli chodzi o zmiany, to z najważniejszy:
- można wrzucać na raz kilka plików (5 max), o wielkości max 20mb per plik (było 10mb)
- program zyskał dodatkowe okno (gdy odpali się go bez parametrów), które umożliwia m.in. upload exeka wg procesu czy sprawdzenie pliku z podanego URL'a - w tym wypadku plik jest ściągany przez aplikację (tylko do pamięci, nic nie jest zapisywane na dysk, chyba że user tak sobie wybierze w opcjach) i wrzucany na VT

Więcej o zmianach/aplikacji można poczytać na blogu VT w tym poście.

Na koniec dodam że aplikacja jest freeware (dokładna licencja oczywiście dostępna jest przy instalacji).

http://www.virustotal.com/vtsetup.exe - download (150KB)

No i na koniec jeszcze jeden screen.

VirusTotal Uploader 2.0

Comments:

2009-11-28 20:19:34 = Radom
{
Świtna opcja wysyłania execa z listy procesów. Niezaawansowany user nie będzie musiał szukac po sieci czy dany proces jest virusem tylko od razu z palca wyśle.

Pozdrawiam
}
2009-11-29 09:23:57 = Jurgi Filodendryta
{
Świetne! Mała rzecz, a cieszy. Wart szerszego upowszechnienia. Chętnie skorzystam, jako że na co dzień nie używam żadnego a-v.
}
2009-11-29 12:41:31 = Jurgi Filodendryta
{
Potestowałem. Co najmniej równie świetna rzecz, jak wysyłanie execa z listy procesów, używanie hashy. Jak program był już sprawdzany przez VirusTotal, to nie jest wysyłany po raz kolejny, oszczędza czas (szczególnie jak się ma wolne łącze) i transfer.
Minus: niektórych z listy procesów nie da się sprawdzić, bo "nie udało się znaleźć ścieżki/nazwy do pliku". Ale być może jest to nie do ominięcia…?
}
2009-11-29 13:09:43 = Jurgi Filodendryta
{
Tak to jest, jak się człowiek nie wstrzyma z komentowaniem.
• Program instaluje się tylko dla aktualnego użytkownika, dla następnych trzeba go jeszcze raz zainstalować.
• Ma (u mnie?) kłopoty z użyciem "wyślij do" z konta bez uprawnień administratora — nie może się połączyć (ale po ręcznym wysłaniu pliku jest ok). Być może jest to związane z tym, że używam konta limitowanego przez SuDown, niektóre programy odpalone bez SuDo nie są przy próbie łączenia widziane przez mój firewall (Look'n'Stop), więc nie mogę przejść. Ale czemu przy ręcznym wysyłaniu działa? Trudno powiedzieć, gdzie leży wina, skoro problem jest na styku trzech programów: SuDown, Firewalla i łączącego się.
}
2009-12-02 16:22:42 = Max
{
wszystko fajnie, uzywam tego bardzo czesto tylko jedna rzecz mnie wkurza ze po wyslaniu pliku okienko sie samo nie zamyka tak jak to bylo w pierwszych wersjach
}
2009-12-02 20:17:28 = Gynvael Coldwind
{
@Radom
Cieszę się że się podoba :)

@Jurgi
Odnośnie procesów których nie da się wysłać - tak wiem, są problemy żeby pobrać ścieżkę do exeka procesu do którego normalnie nie mamy pełnego dostępu, oraz bodajże procesów 64-bitowych. Spróbuje coś z tym zrobić w przyszłej wersji :)
Odnośnie instalowania się wszystkim userom - yep, wiem, jest na liście ToDo :)
Co do SuDown i SuDo i Look'n'Stop, to nie mam zielonego pojęcia, nigdy tego nie używałem. Testowałem soft na Vista i Windows 7 z UAC na różnych kontach, i działało. Natomiast wrzucę sobie to na listę ToDo, może to coś trywialnego ;>
Dzięki za poświecenie czasu na przetestowanie aplikacji i komentarz :)

@Max
Dzięki za komentarz :)
Okienko się zamyka jeżeli wszystkie wysyłane pliki zostały faktycznie wysłane, tj. w bazie VT nie było hasha danego pliku. Jeżeli natomiast są pokazywane wyniki na podstawie hasha (tj. wysłanego wcześniej pliku), to okienko się nie zamyka, ponieważ user może zechcieć mimo wszystko wymusić ponowny skan (przycisk Reupload).
Domyślam się, że w sporej części przypadków wcale nie chcemy wymuszać wysyłania tego pliku, ale uh, szczerze to podczas projektowania tego nie wpadłem na lepszy pomysł.
Hmm, jak sądzisz? Może dodać w opcjach 'zawsze zamykaj okno stanu wysyłania'? Przy czym jeżeli będzie się chciało zrobić reupload, to będzie trzeba tą opcje wyłączyć, wrzucić plik jeszcze raz, etc.
Hmm, ewentualnie do menu kontekstowego dodam opcje 'Wyślij na VT (wymuś wysłanie/nie sprawdzaj hasha)' - dzięki czemu dla zastosowań z menu kontekstowego, przycisk reupload stanie się zbędny.
Natomiast pozostaje problem co zrobić z tym fantem jeżeli nie będzie to obsługa z menu kontekstowego.
Opcja 1. zostawić jak jest (ew ta opcja o której wspomniałem).
Opcja 2. wrzucić w główne okno jakieś info że można plik reuploadnąć, i w zasadzie przenieść przycisk tam.
Jak sądzisz Max? Czy któraś z tych opcji by Cię zadowoliła? Ewentualnie jak ty byś to widział?
}
2009-12-02 21:49:12 = Max
{
ja robie upload nawet jak plik jest w bazie, bo czasami np. w poniedzialek exek jest wykrywany przez 4 antywirusy a juz w srode przez 30, wole przeskanowac z najnowszymi bazami.

a nie szlo by dodac do ustawien zeby uzytkownik mogl wybrac czy podczas uploadu przez menu kontekstowe chce sprawdzac hash w bazie hash albo upload bez sprawdzanie hasha? dwie opcje w menu kontekstowym nie bardzo by mi sie podobaly i tak mam juz to menu niezle 'rozdmuchane', innego upload jak z menu nie uzywam.


}
2009-12-04 10:38:03 = D3LLF
{
Świetne narzędzie.
O ile jest to możliwe, to przydałoby się poprawienie wyszukiwania niektórych procesów systemowych, które są załadowane do pamięci (coś o czym pisał Jurgi).

Z silnikiem Virus Total spotkałem się (niestety) dość niedawno, a jest to bardzo przydatne narzędzie. Tak naprawdę myślę, że chmurzasty AV Pandy polega właśnie na czymś w rodzaju VT, tyle, że VT sprawdza próbki większością silników, co pozwala, przy odpowiednio wysokim wyniku na VT uniknąć false-positives, jak i upewnić się, że w pliku jednak "coś jest nie tak".

W sumie myślę, że następnym etapem rozwoju VT Uploader może być tak naprawdę "skaner" antywirusowy, który co określony interwał czasowy, sprawdzałby w chmurze sygnatury uruchomionych procesów, razem z cache'owaniem na dysku sprawdzonych już sygnatur. Moim zdaniem rozsądne byłoby ograniczenie się do wszelkiego rodzaju plików binarnych (biblioteki, pliki wykonywalne), ponieważ narzut sprawdzania w sieci wszystkich plików byłby zbyt duży.
}
2009-12-10 18:25:01 = Majki
{
Ciekawy pomysł. Szkoda, że nie spotkałem się z podobnym rozwiązaniem wcześniej. W erze ściągania seriali i różnego rodzaju warezów przydałby się dużo bardziej niż teraz, kiedy prowadząc firmę opieram się tylko na legalnych (w wiekszosci darmowych) rozwiązaniach.
}
2010-02-09 18:55:05 = Radom
{
zauważyłem problem z otwieraniem przeglądarki jeżeli hash zostanie znaleziony w bazie. U mnie okno wisi na opening browser...
Domyślana przeglądarka Opera. Praca na uprawnieniach Admina

Pozdrawiam
Radom
}
2010-02-09 23:53:16 = Gynvael Coldwind
{
@Majki
:)

@Radom
Thx, rzucę okiem ;> Jeśli to coś w VTU, to postaram się w 2.1 poprawić;>
}
2010-02-09 23:56:19 = Gynvael Coldwind
{
@Max
Pomyślę jeszcze nad tym, może coś rozsądnego uda się wymyślić ;>

@D3LLF
Obawiam się że narzut na servery mógłby być niesamowity. Zresztą, od tego są rezydentne AVki, i z tego co mi wiadomo, VT nie aspiruje do miana antywirusa rezydentnego, więc i VTU raczej się nim nie stanie...

}

Add a comment:

Nick:
URL (optional):
Math captcha: 4 ∗ 7 + 3 =