Hỏi/ Thắc mắc Cách đọc thông tin khi quét file trên VirusTotal

[vinhtruyen92]

Hi mọi người.
Mình test quét thử 1 file trên Virus Total thì thấy tổng kết lại là xanh, phát hiện 0 vấn đề. Nhưng nếu click vào mục Relations, thì thấy nhiều cái rất lạ. Trong đó có những đuôi .virus như ảnh.
Vậy thì tóm lại thì như file này thì đánh giá như thế nào? Thanks.

 

[mrJaden]

vụ này mình cũng chưa để ý, hóng cao nhân!
Có vẻ là lịch sử file mà ng dùng uploaded lên, có thể cùng file đó hoặc khác nhưng trùng tên hoặc version khác (mã hash và ngày up)

 

[Hamano Kaito]

vụ này mình cũng chưa để ý, hóng cao nhân!
Có vẻ là lịch sử file mà ng dùng uploaded lên, có thể cùng file đó hoặc khác nhưng trùng tên hoặc version khác (mã hash và ngày up)

Đúng như bạn đoán. Nó chính là như vậy vì khi dịch cái chữ đó ra là nó ghi là "mối liên hệ"
Tức là có liên quan thôi. Mà file setup nén (tức là file cài) khó mà phân biệt được lắm
Phải trích xuất ra file thực thi mới rõ được. Đôi khi quét file cài đặt sạch nhưng khi cài vào thì ý ẹ

 

[tamthangia]

chung hash thì nó sẽ lấy luôn lược sử quét của ng upload trước , nếu mã hash mới thì n sẽ quét lại . phần bạn hỏi có lẽ là các file có định dạng tên trùng hoặc gần trùng với tên bạn quét

 

[mrJaden]

Đúng như bạn đoán. Nó chính là như vậy vì khi dịch cái chữ đó ra là nó ghi là "mối liên hệ"
Tức là có liên quan thôi. Mà file setup nén (tức là file cài) khó mà phân biệt được lắm
Phải trích xuất ra file thực thi mới rõ được. Đôi khi quét file cài đặt sạch nhưng khi cài vào thì ý ẹ

câu cuối nói như bạn thì quét file là vô ích ư

 

[malemkhoang]

Mọi người lưu ý tệp "win32.exe" kìa. Nó có thể là bất cứ thứ gì người ta muốn: trojan, keylogger...​

Tôi tìm thấy có một review như vậy.

Win32.exe là gì?

nex-software.com - nex software Resources and Information.

nex-software.com is your first and best source for all of the information you’re looking for. From general topics to more of what you would expect to find here, nex-software.com has it all. We hope you find what you are searching for!

vi.nex-software.com

Mức độ nguy hiểm từ >40% đến <90%.

 

[shivalkyra]

quét này cũng tương đối, nên cài thêm phần mềm diệt virus lỡ dính con đổi đuôi file là toang

 

[Hamano Kaito]

câu cuối nói như bạn thì quét file là vô ích ư

Quét file cài đặt thực sự là vô nghĩa bạn ơi. Chỉ có quét file thực thi nó mới chính xác
Như mình nói bên trên đấy. Họ có thể dùng 1 trình nén cài đặt và giả danh chữ ký
Bạn quét mãi chả thấy gì nhưng khi cài vào là dính chưởng

 

[vinhtruyen92]

chung hash thì nó sẽ lấy luôn lược sử quét của ng upload trước , nếu mã hash mới thì n sẽ quét lại . phần bạn hỏi có lẽ là các file có định dạng tên trùng hoặc gần trùng với tên bạn quét

em tưởng mã hash thì là duy nhất thôi chứ?
nếu sửa thì thành ra mã hash khác rồi. bác chỉ giúp em phát.

 

[tamthangia]

em tưởng mã hash thì là duy nhất thôi chứ?
nếu sửa thì thành ra mã hash khác rồi. bác chỉ giúp em phát.

Uh , ko sửa thì hash giữ nguyên . sửa thì thành hash khác , n sẽ quét lại . đổi tên file ko ảnh hưởng

 

[dammage]

Hi mọi người.
Mình test quét thử 1 file trên Virus Total thì thấy tổng kết lại là xanh, phát hiện 0 vấn đề. Nhưng nếu click vào mục Relations, thì thấy nhiều cái rất lạ. Trong đó có những đuôi .virus như ảnh.
Vậy thì tóm lại thì như file này thì đánh giá như thế nào? Thanks.

bạn bấm vô cái chữ i kế bên execution parents nó có giải thích, đó là danh sách các file cha đã tạo ra file của bạn (thường là các file cài đặt hoặc bung nén) được ghi nhận từ những lần quét trước đó, còn cái đuôi virus thì có khi người ta đặt để đánh dấu đừng click lộn thôi

Mọi người lưu ý tệp "win32.exe" kìa. Nó có thể là bất cứ thứ gì người ta muốn: trojan, keylogger...​

Tôi tìm thấy có một review như vậy.



Mức độ nguy hiểm từ >40% đến <90%.

win32 exe là file type, đâu phải file name đâu bạn

 

[malemkhoang]

bạn bấm vô cái chữ i kế bên execution parents nó có giải thích, đó là danh sách các file cha đã tạo ra file của bạn (thường là các file cài đặt hoặc bung nén) được ghi nhận từ những lần quét trước đó, còn cái đuôi virus thì có khi người ta đặt để đánh dấu đừng click lộn thôi


win32 exe là file type, đâu phải file name đâu bạn

Không sao. Cũng giúp tôi biết thêm điều cần thiết.

 

[vinhtruyen92]

bạn bấm vô cái chữ i kế bên execution parents nó có giải thích, đó là danh sách các file cha đã tạo ra file của bạn (thường là các file cài đặt hoặc bung nén) được ghi nhận từ những lần quét trước đó, còn cái đuôi virus thì có khi người ta đặt để đánh dấu đừng click lộn thôi


win32 exe là file type, đâu phải file name đâu bạn

em đọc thì cũng hiểu 50% điều bác nói thôi file cha với con chưa hiểu lắm.
Nhưng nếu quét 1 file như vậy, nhìn có những dấu hiệu lạ như mấy chỗ em khoanh đỏ, thì xác suất file đó "không an toàn" có cao không bác?

 

[mrJaden]

Quét file cài đặt thực sự là vô nghĩa bạn ơi. Chỉ có quét file thực thi nó mới chính xác
Như mình nói bên trên đấy. Họ có thể dùng 1 trình nén cài đặt và giả danh chữ ký
Bạn quét mãi chả thấy gì nhưng khi cài vào là dính chưởng

chưa hiểu lắm bác ơi, nó đều là exe mà?

 

[dammage]

em đọc thì cũng hiểu 50% điều bác nói thôi file cha với con chưa hiểu lắm.
Nhưng nếu quét 1 file như vậy, nhìn có những dấu hiệu lạ như mấy chỗ em khoanh đỏ, thì xác suất file đó "không an toàn" có cao không bác?

giả sử có người nào đó quét thử 1 file tên là CallMeYourLove.setup-x64.1.0.1.exe, hệ thống phân tích thấy rằng file này khi chạy sẽ tạo ra 5 file như dưới đây

CallMeYourLove.setup-x64.1.0.1.exe
      |
      |_____ CallMeYourLove.x64.exe
      |_____ Assets.ass
      |_____ utils.exe
      |_____ soundlib.dll
      |_____ EULA.txt

giờ bạn quét 1 file tên abc.exe, hệ thống kiểm tra phát hiện trùng với file utils.exe sinh ra từ CallMeYourLove.setup-x64 ở trên, nên CallMeYourLove.setup-x64.exe được gọi là file cha vậy thôi

cái file cha này là virustotal nó ghi nhận từ những lần quét trước đó, giờ nó thấy trùng thì show ra cho bạn tham khảo vậy thôi, chứ file của bạn có khi down từ 1 nguồn nào đó hổng liên quan gì tới cái callme.setup hết, cái bạn khoanh tròn cũng chỉ là kết quả quét của file cha không liên quan tới file con

 

[dammage]

chưa hiểu lắm bác ơi, nó đều là exe mà?

file cài đặt về cơ bản thật ra cũng là file nén tự bung (self extraction viết tắt là sfx), bạn quét thì chỉ quét "cái vỏ" chứ dữ liệu bên trong nó được mã hóa rồi, phải đợi tới khi giải ra mới biết