Обманчивый Virustotal.com

Не секрет, что в настоящее время ситуация с вредоносным ПО плачевна. Ни один антивирус уже давно не гарантирует вам безопасность. Единственное, на что можно еще пробовать надеяться - множество антивирусных движков, проверяющих один и тот же "образец", как, например, virustotal.com. В данном случае, когда ни один из представленных антивирусов ничего не нашел, есть надежда, что образец действительно безвреден.

Известно, что virustotal, вероятно, в целях экономии своих ресурсов в случае, когда подобный образец уже проходил на нем проверку, предлагает не выполнять проверку вновь, а посмотреть прошлые результаты. Действительно, зачем ждать пока образец будет находиться в очереди, затем проверяться, когда можно сразу посмотреть отчет. К тому же, следует верить в криптографию, и MD5, SHA1 и SHA256 подтвердят вам, что предлагаемый архивный отчет является результатом проверки именно вашего образца.

Но не стоит забывать, что с момента создания архивного отчета до настоящего времени с высокой вероятностью представленные антивирусы выпустили обновления для своих сигнатурных баз, возможно, содержащие сигнатуры и для вашего образца. А это уже совсем не означает, что образец действительно "чист" при условии чистого отчета!

Представим ситуацию, что злоумышленник написал новый вирус. Для укрепления своих убеждений в новизне плода своего творчества, он предпринял попытку протестировать его на virustotal. Наш вирусописатель оказался мастером своего дела, и никакие эвристические методы представленных антивирусных движков не заподозрили неладное - отчет чист. Вместе с убеждением себя в уникальности своего детища виросописатель сделал доступным архивную копию своего отчета. В результате еще долгое время пользователи virustotal будут верить отчету нашего вирусописателя, несмотря не то что по факту загружаемый ими образец - вредоносное ПО, уже определяемое антивирусными движками.

В подтверждение выдвинутой здесь гипотезы приведу два отчета с virustotal относящиеся к одному и тому же файлу. Файл был отловлен в сети системами обнаружения вторжения как содержащий эксплоит (PDF_JavaScript_Exploit) для ридера Adobe Acrobat.
"Счет" на первом отчете - 22.23%, на втором - 37.84%.
Разница между отчетами - приблизительно 20 дней.
Приношу извинения за качество картинок (я не планировал писать этот пост когда их делал)
Первый отчет:


Второй отчет: