موقع Virustotal مملوك لشركة Google هدفه هو المساعدة في تحليل الملفات وعناوين URL والمجالات وعناوين IP المشبوهة. يتم ذلك عن طريق مسح الملفات المقدمة باستخدام محرّك فحص فيروسات شامل مصمم لاستخدام مجموعة كبيرة ومتنوعة من برامج فحص برامج الأمان من الموردين المختلفين. من المهم أن ندرك أنه في حالة عدم استخدام نتائج الفحص لتحديد الإصابة الفعلية. ومع ذلك، تعتبر النتائج مؤشرًا جيدًا، حيث أن عددًا كبيرًا من الاكتشافات من الموردين قد يكشف عن الإصابة، في حين يشير العدد المنخفض إلى نتيجة إيجابيّة كاذبة (false positive). مما يعني انه ليس بالدرورة أن يكون مصاب إذا فقط بعض من الموردين غير المعروفين “اكتشفوا إنه مصاب”. مثال فحص موقع جوجل VirusTotal.
لا تشارك أي ملفات حساسة.
تتم مشاركة الملفات مع 70 موردًا للخدمات الأمنية فحسب، بل يمكن أيضًا الوصول إليها لجميع الشركات الأخرى التي تستخدم الخدمات المتميزة (premium) التي تقدمها VirusTotal. لا توجد قيود على موقع الشركات المشاركة، لذلك ليس هناك سبب لافتراض أنه من الآمن رفع المستندات السرية.
والأهم من ذلك أن ندرك أن VirusTotal لم يتم تصميمه للتحقق مما إذا كان المرفق ضارًا. وقد يتعرف على المرفقات الضارة، خاصة تلك المستخدمة في حملات البريد الإلكتروني الجماعية، حيث قد يُرفع هذه العينات في كثير من الأحيان. ولكن في حالة وقوع هجوم مستهدف، فإن الحصول على موافقة كاملة من VirusTotal لا يعني أن المرفق آمن للفتح أو التحرير.
النتائج المخزنة مؤقتًا
أظن أن عددًا كبيرًا من مؤلفي البرامج الضارة يستخدمون VirusTotal لفحص برامجهم الخاصة. يعد هذا أمرًا محفوفًا بالمخاطر بالنسبة لمنشئ البرامج الضارة، لأن VirusTotal يشير إلى أنه إذا قام محرّك واحد فقط لمكافحة الفيروسات بتعريف البرنامج على أنه برنامج ضار، فسيتم إرسال عينة من البرنامج إلى موردي محرّكات مكافحة الفيروسات الآخرين الذين لم يتعرفوا عليه كبرنامج ضار.
ومع ذلك، إذا لم يتعرف أي من محرّكات مكافحة الفيروسات على البرنامج باعتباره برنامجًا ضارًا، فإن المؤلف لا يعلم فقط أن لديه مهلة 0 يوم للإصدار، بل يعلم أيضًا أنه قام للتو بتخزين النتائج المخزنة مؤقتًا على VirusTotal مما يشير إلى أن الملف نظيف. سيقود الآن العديد من مستخدمي VirusTotal إلى الاعتقاد بأن البرنامج نظيف، لأنه سيتم تقديم نتائج مخزنة مؤقتًا للمستخدمين عندما يقومون بفحص الملف بأنفسهم باستخدام VirusTotal.
طريقة التحقق مما إذا كان الملف ضارًا هي فقط التحقق من تجزئته (hash) في ملف VirusTotal. إذا ظهر البرنامج ضار - فلدينا إجابتنا. بالنسبة إلى البرامج الضارة المشهورين والمستخدمين العاديين، سيكون الأمر جيدًا. بالطبع يمكن أن يكون هذا ملفًا جديدًا، لم يُرفعه إلى قاعدة بيانات VirusTotal بعد، لكن تغير بسيط في ملف سوف يغير التجزئة. ولهذا السبب فإن التحقق من التجزئة فقط ليس فكرة جيدة.
و منذ فترة ليس ببعيدة، أحد موظفي Virustotal سرب معلومات أكثر من 5600 عميل بعد أن رفع عن طريق الخطأ ملف CSV يحتوي على معلومات مشتركي خدمتهم premium 
.
إذا كنت تشك في أي ملف، لا تفتحة إلا في آلة افتراضية (Virtual machine) و فعّل VPN على نظامك الأساسي و تأكد ان IP الآلة افتراضية يستخدم VPN. و إذا كان الموقع مشبوهة، استخدم متصفح تور في آلة افتراضية.
إذا كان متصفح تور أو الVPN محجوبين، تجد هنا كيفية تخطي الحجب كيفية تخطي حجب VPN و كيفية تخطي حجب تور (Tor) في الدول العربية.
المصادر:
https://yewtu.be/watch?v=4Eu8wrEejUI
إذا لديك أي سؤال أو استفسار.
إنضم إلى مجموعة أسس لأمن المعلومات والخصوصية الرقمية على: