Як перевірити на віруси?

[Captain]

Як правильно перевірити підозрілий файл гарантовано не нашкодивши комп'ютеру та ОС?
Повадились мерзотники на e-mail надсилати листи приблизно такі: "ось ваше замовлення, відкрийте архів. Пароль такий-то." Звісно замовлень не робив. Це вже не перший такий лист, попередні були схожого змісту.
Архів розміром десь 12 кБ у вигляді приблизно "назва.rar" з різними назвами, окрім нього ще може бути додаткове вкладення 0 кБ з розширенням .bin
Стрьомно мені експериментувати на Вінді, загрузився з Live диска Linux. Але в Лінуксі не можу відкрити цей архів .rar, видає помилки. Встановив в Live режимі додаткові бібліотеки для rar, а потім ще архіватор Ark - не допомогло, або відкриває і не бачить що всередині (начебто пусто). На virustotal.com не бачить вірусів бо архів запаролений. Як грамотно розкрити архів щоб впевнитись у вірусах? У розмірі 12 кБ явно щось повинно бути.

 

[DmitryV]

Это вирус 100% отсылается с рашиских доменов. не рискуй. удаляй Запароленые архивы вроде антивирь не может проверьть

 

[broken]

Captain, для этого можно использовать песочницу Sandboxie. Например, запустить в Sandboxie WinRar, а из него разархивировать архив. Файлы из архива распакуются в песочницу и оттуда их можно забросить на virustotal для проверки.

Як правильно перевірити підозрілий файл гарантовано не нашкодивши комп'ютеру та ОС?

Главное помнить, что вирус сработает, только если его запустить. Например, в старых версиях Windows просмотр папки с вирусом с помощью Windows Explorer ("Проводник") мог запустить вирус, если запуск прописан в скрытом файле desktop.ini. Но в Windows 10 "Защитник Windows" заблокирует запуск и файл с вирусом будет удалён.

 

[Alex]

https://www.virustotal.com/gui/home/upload

 

[Кочевник]

Сам "архів" точно архів? Він має відповідну сигнатуру .rar?

Добавлено через 25 минут
Captain, можеш мені на мило скинути?

 

[EricX]

Сам "архів" точно архів? Він має відповідну сигнатуру .rar?

Добавлено через 25 минут
Captain, можеш мені на мило скинути?

Мені також+ пароль на архів

 

[Maxxx]

Нахіба воно вам треба?? Там вірус/троян, вже багато випадків, коли планктон розпаковував і ловив. Може, ще нігерійському принцу переведіть грошенят, щоб упевнитись, що не отримаєте спадок 10 лямів?

 

[Кочевник]

Нахіба воно вам треба??

Для аналізу. Підтримати навички на певному рівні.

 

[Maxxx]

Кочевник, а тобі жодного разу не приходило такє? Мені декілька листів вже, як буде ще, або десь побачу, зкину в ПП.

 

[Кочевник]

Maxxx, жодного разу. А HexViewer - мій улюблений інструмент.

 

[Captain]

Хто тут сильно хотів файли перевірити. Архів вірусня.zip з паролем: redforum Всередині архіва зміст листа: 2 файли один з яких .rar розміром 12 кБ і ще один без розширення розміром 0 кБ що були у вкладенні до листа і текст листа у текстовому документі (там пароль до архіву .rar).

 

[Кочевник]

Сігнатура Rar, навіть заголовок співпадає із заголовком запороленого архіву. А ось закінчення файлу не схоже на архів. Скорше за все цей сам архів є вірусом, чекають коли тількі відкриють його клавішою Enter. Щоби визначити більше, треба довго колупатися.

 

[Maxxx]

Кочевник, там звичайний rar архів, пароль 23, після розпаковки з‘являється файл:

Информация о заказе.2019-08.28.docx.js

На яваскрипті, "замасковано" під вордівський файл, якщо комусь цікаво - викладу повний текст коду, ось скріншот почтаку:



UPD: закинув цю гидоту на вірустотал, ось результати: