Total viruskontroll En ny genial hjemmeside lar over 50 antivirusprogrammer sjekke om filene dine er virusinfisert samtidig! Journalist Steffen Slumstrup Nielsen Hva gjør du når antivirusprogrammet påstår at filene dine er infisert av virus? Stoler du blindt på at det stemmer og lar programmet slette eller blokkere filen? Det gjør de fleste. Hva gjør når du mottar en mistenkelig fil med epost uten at antivirusprogrammet reagerer? Går du ut fra at alt er i orden? Begge deler er naturlige reaksjoner, men antivirusprogrammer tar til tider feil: På samme måte som at man med biologiske virus og and re sykdommer ikke kan stole blindt på legens diagnose, kan du heller ikke stole på at antivirusprogrammet har rett når det vurderer en mulig infeksjon. Ofte er det en god idé å få en second opinion, altså en vurdering fra en tredjepart, men det er ikke en løsning å ha flere antivirusprogrammer på maskinen samtidig det kan nemlig få maskinen til å gå fullstendig i vranglås og skaper flere problemer enn det løser. Det er her nettsiden VirusTotal kommer inn i bildet: Her kan du sende en suspekt fil til sjekk og finne ut om antivirusprogrammets vurdering var riktig. Hos VirusTotal får du for øvrig ikke bare én ekstra vurdering, men femti. Tjenesten benytter virusdatabaser fra flere enn 50 ledende antivirusselskaper. Når filen lastes opp til siden, sammenlignes den med innholdet på alle databasene. Dermed får du straks en advarsel hvis det er fare på ferde. Databasene oppdateres med 5 minutters intervaller, så alle data om risikable filer er fullstendig oppdatert. Det er den absolutt beste metoden for å undersøke en fil som virker mistenkelig. Behold antivirusprogrammet! Det er viktig å være klar over at Virus-Total på ingen måte erstatter et vanlig antivirusprogram tjenesten er bare ment som et sterkt supplement. Antivirusprogrammet på maskinen din gir fortløpende beskyttelse mot samtlige filer den mottar, og du får normalt også andre viktige sikkerhetsfunksjoner. Hjemmesiden kan bare sjekke én fil om gangen men altså særdeles grundig. 28
En suspekt fil fra pc-en sendes til hjemmesiden Virus- Total. Der sammenlignes den med data fra over 50 forskjellige antivirusfirmaer. På den måten får du en god indikasjon på om filen inneholder virus eller ikke. 29
VirusTotal Last opp en fi l til siden, og få den sjekket av over 50 antivirusprogrammer. SPRÅK Norsk Hjemmesiden fi nnes på www.virustotal.com Sjekk en fil for virus Her viser vi hvordan du laster opp en fil til VirusTotal og får en vurdering av om den inneholder virus eller ikke. Vi forestiller oss at du har mottatt en epostmelding med en vedlagt fil fra en ukjent avsender. Det er viktig at du ikke forsøker å åpne filen. I stedet velger du å laste den ned. 3 4 3 Velg filen i Utforsker 3, klikk på Åpne. 4 Klikk på Scan! 4 på hjemmesiden. 5 Nå sendes filen til sjekk hos Virus- 5 Total. Det kan ta noen minutter avhengig av filstørrelsen og hastigheten på nettet, så vær litt tålmodig. Deretter skannes filen 5. Det kan også ta et par minutter. 30
Nå ligger filen på harddisken, som regel i mappen Nedlastinger. Det er viktig at du ikke åpner 2 filen. Besøk hjemmesiden til VirusTotal via koblingen nedenfor, og klikk på Velg Fil 2. www.virustotal.com 2 Her er VirusTotals underleverandører I skrivende stund vurderes de filene du laster opp på VirusTotal.com, av i alt 52 antivirusdatabaser. Blant leverandørene finner du de største antivirusfirmaene på markedet, men også en rekke selskaper som er ukjente på våre breddegrader. Det kan godt tenkes at du vil oppleve at ett eller to av de ukjente selskapene vurderer en fil som virusinfisert selv om det ikke er tilfellet. Våre råd er derfor å legge spesielt stor vekt på vurderingene fra disse ti underleverandørene: Avast! AVG Avira F-Secure Kaspersky Malwarebytes Microsoft Essentials Panda Symantec Trend Micro Øvrige selskaper som leverer informasjon til VirusTotal: Til slutt ser du VirusTotals vurdering av filen. I dette 7 konkrete tilfellet vurderer samtlige databaser at filen er ufarlig. Det betyr at du trygt kan åpne den uten å risikere virus hvis derimot flere av programmene melder at filen er infisert, bør du fjerne den fra maskinen. Ad-aware AegiLab Agnitum AhnLAb-V3 Alibaba ALYac Antiy-AVL Arcabit AVware Baidu-international BitDefender Bkav ByteHero CAT-QuickHeal ClamAV CMC Comodo Cyren DrWeb Emsisoft ESET-NOD32 F-Prot Fortinel GData Ikarus Jiangmin K7Antivirus K7GW McAfee Microworld-eScan NANO Security nprotect Rising Antivirus Sophos SUPERAntiSpyware Tencent TheHacker VBA32 VIPRE ViRobot Zillya Zoner 3
Dobbeltsjekk virusprogrammet Du kan også benytte VirusTotal hvis antivirus programmet advarer mot en fil. Her ser du om andre antivirusprogrammer deler bekymringen og det er slett ikke sikkert. Virusprogrammet vårt klager over filen winboard.exe, som vi nettopp har lastet ned fra nettet og pakket ut av en ZIP-fil. Filen er slettet, men var den i det hele tatt noen trussel? 5 Filen lastes opp. Hvis du får denne meldingen, velger du bare Se siste analyse 5 det betyr nemlig at VirusTotal har sjekket den samme filen ganske nylig. 4 5 Skanningen starter. Det kan hende at det tar litt tid hvis det er mye trafikk på nettsiden. Virusprogrammer kan ta feil Vi i Komputer for alle får vi ofte henvendelser fra lesere hvis antivirusprogrammer har advart mot for eksempel et program fra Fordelssonen. Antivirus programmer reagerer gjerne på såkalte generiske egenskaper ved filene, altså at det er noe ved oppbyggingen av filen som minner om et virus. Hvis det skjer, vil antivirusprogrammet blokkere filen, selv om den ikke finnes i virusdatabasen. Hvis antivirusprogrammet advarer om generisk virus, vil normalt ordet generic eller bare gen bli vist i advarselen. Fenomenet kalles en falsk positiv altså en ganske ufarlig fil som antivirusprogrammet likevel stempler som farlig. Det er stor forskjell på hvordan antivirusprogrammene oppfører seg i slike tilfeller, og derfor kan de antivirusprogrammene vi bruker til å teste Fordelssonen, komme til en annen konklusjon enn antivirusprogrammet du bruker. Du kan likevel stole på at programmene i Fordelssonen er fri for virus. En advarsel om et generisk virus er ofte falsk alarm. Sjekk hos VirusTotal om også andre programmer advarer mot filen. 32
4 2 3 For å få tilgang til filen må vi først deaktivere antivirusprogrammet midlertidig. Her bruker vi Panda, og da skjer det ved å høyreklikke på ikonet, 2 og velge Stopp antivirus 3. 2 3 Nå pakker vi ut filen av ZIP-filen igjen, og går til VirusTotal via koblingen nedenfor. Klikk på Velg fil, og velg filen i Utforsker 4. Klikk på Åpne. www.virustotal.com 7 Nå ser du resultatet. Det er bare antivirusprodusenten ByteHero 7 som advarer mot filen. I dette tilfellet kan du altså trygt gå ut fra at filen er uskadelig og velge å bruke den på pc-en. OBS! Legg merke til at Panda Antivirus advarte mot filen på pc-en, men godkjente den hos VirusTotal. Inkonsekvens kan altså forekomme. Hovedpoenget er at et godkjentstempel på hjemmesiden veier tyngre enn vurderingen til antivirusprogrammet på din egen pc. 33