Если вы сомневаетесь безопасности скачанного с интернета файла, всегда можете открыть VirusTotal и просканировать его на предмет вредоносного кода более чем 50-ю антивирусными программами. Выданные VirusTotal результаты можно считать окончательными, если наличие зловреда в файле определили сразу несколько антивирусов, причем это должны быть хорошо зарекомендовавшие себя программы, поскольку ложный детект малоизвестными инструментами тоже не редкость. С другой стороны, расхожее мнение антивирусов может расцениваться как своего рода недостаток сервиса, способный ввести пользователя в заблуждение. VirusTotal использует сигнатуры, то есть готовые антивирусные базы, анализ производится без какой-либо эвристики. Разумеется, это не делает сервис малополезным, но было бы неплохо иметь под рукой какой-нибудь альтернативный инструмент определения угроз, использующий дополнительные механизмы анализа. Ну что же, такие инструменты есть. Одним из них является Hybrid Analysis — бесплатный сервис для проверки файлов и веб-страниц на предмет заражения вредоносным кодом.

В отличие от VirusTotal, представляющего собой «консилиум» антивирусов, Hybrid Analysis является скорее песочницей. Когда вы отправляйте на проверку в файл, сервис запускает его в изолированной среде VirtualBox или VMware, а затем смотрит, как он поведет себя в системе. На основании произведенных файлом изменений выдается заключение о его безопасности или вредоносности. 

Внешне принципом работы Hybrid Analysis похож на VirusTotal, пользователь указывает через веб-форму ссылку или файл, последний отправляется на сервер, где проводится его проверка.

Сервисом поддерживается сканирование разных исполняемых и прочих типов файлов, которые могут содержать программный код. Если файлов несколько, можно запаковать их в архив RAR или ZIP, но его размер не должен превышать 100 Мб. Для сканирования доступны также веб-ссылки, имеется возможность поиска отчетов о ранее выполненных проверках по IP, домену и контрольной сумме, поиск отчетов YARA (инструмент классификации образцов вредоносных программ).

При отправке файла на анализ пользователь может выбрать ОС, в которой он будет запущен на исполнение. Доступны Windows 7 32- и 64-бит, Linux Ubuntu и Android, для которой пока что поддерживается только статический анализ.

По завершении анализа Hybrid Analysis выдает результаты — общий отчет VirusTotal и собственно сам отчет Falcon Sandbox с прилагаемыми скриншотами запуска в виртуальной системе. Последний включает подробное описание файла, результаты гибридного и сетевого анализа.

Для наглядной оценки файла используются цветовые индикаторы. Красным цветом маркируются действия, расцененные как вредоносные, желтым — как подозрительные, зеленым — как в целом безопасные. Но последнее слово всё равно остается за пользователем. Заключение должно быть комплексным, а изучение описаний производимых файлом действий — обязательным. Например, в случае с утилитой Proxy Switcher считывание идентификатора и запуск в Windows дополнительных процессов Hybrid Analysis определяет как злонамеренное, в действительности эти действия совсем необязательно должны носить деструктивный характер.

Адрес сервиса: https://www.hybrid-analysis.com/