谷歌自帶軟件VirusTotal可在沙箱內(nèi)部分析Mac惡意軟件

VirusTotal是互聯(lián)網(wǎng)上使用最廣泛的在線文件掃描服務(wù)，目前正在沙箱內(nèi)部執(zhí)行可疑的Mac應(yīng)用程序，這些程序都是由用戶提交的。此舉的目的是獲取信息，用來分析和檢測Mac惡意軟件。

 

與此同時(shí)，根據(jù)安全供應(yīng)商的數(shù)據(jù)顯示，可能有害于Mac OS X系統(tǒng)的軟件數(shù)量，尤其是廣告軟件，比任何時(shí)候都要高。
 

谷歌自帶的服務(wù)VirusTotal，允許使用者升級可疑文件，并且可以用54種不同的殺毒軟件對其進(jìn)行掃描。然而，掃描的結(jié)果并不盡如人意，而且也不應(yīng)該把掃描結(jié)果作為文件安全的保證。
 

多年來，該服務(wù)只能對用戶提交文件進(jìn)行靜態(tài)掃描，不能執(zhí)行文件，忽視了現(xiàn)代惡意軟件檢測的一個(gè)重要部分——行為檢測。
 

如果只是把文件簡單的存放在硬盤中，尤其當(dāng)該文件具有很強(qiáng)迷惑性或者是一種新威脅時(shí)，許多殺毒軟件無法檢測這個(gè)文件是否是惡意軟件。但是，如果這些文件有任何可疑行動(dòng)時(shí)，殺毒軟件可以檢測出，并且隔離它們。
 

因?yàn)閂irusTotal只用于靜態(tài)檢測，很多人解釋道，它從未能正確反映出殺毒產(chǎn)品檢測到惡意軟件的成功率。
 

真實(shí)情況中，如果VirusTotal的掃描報(bào)告中，沒有檢測到一個(gè)文件，并不意味著它是安全的，也不能無所顧忌的執(zhí)行它。然而，如果VirusTotal掃描返回一個(gè)或多個(gè)積極的結(jié)果，尤其是那些來自于知名殺毒軟件的，那么那些觸發(fā)它們的文件將不會(huì)被執(zhí)行。所以，該系統(tǒng)仍然有其價(jià)值。
 

為了給他們的靜態(tài)分析報(bào)告補(bǔ)充更多的信息以幫助用戶，安全團(tuán)隊(duì)和研究人員做出了更好的決策用來應(yīng)對可疑文件。VirusTotal在2012年為Windows執(zhí)行文件增加了行為信息。
 

這類信息可以在以下方式中被提取，通過在一個(gè)控制環(huán)境中——沙盒，運(yùn)行文件，或者檢測它執(zhí)行什么行動(dòng)，比如它創(chuàng)建什么文件，讀取什么文件，移動(dòng)什么文件，或者在什么情況下它會(huì)大量滋生。
 

2013年，安卓軟件擁有了同樣的功能，在周二時(shí)，Mach-O執(zhí)行文件，DMG文件，包含Mac應(yīng)用的ZIP文件都擁有了此功能。
 

VirusTotal成員Karl Hiramoto在其博客文章中說道，“用戶可以直接在www.virustotal.com網(wǎng)站上掃描這些文件類型，也可以通過我們的OS X Uploader程序，或者可以通過API進(jìn)行掃描”。
 

ESET殺毒軟件供應(yīng)商的一位高級研究員，David Harley直言不諱的批評道，使用VirusTotal掃描是在對殺毒產(chǎn)品的表現(xiàn)做要求，沙盒從測試過渡到服務(wù)階段才是一種提高。
 

他在博客中說，“這可能會(huì)略微模糊VirtusTotal與其他安全服務(wù)的區(qū)別，并且在某種程度上，可能會(huì)在虛假測試人員中造成更多誤解，但這并不是VirusTotal的錯(cuò)誤，我認(rèn)為增加服務(wù)的價(jià)值會(huì)超過補(bǔ)償?shù)膬r(jià)值。”