Hoe een uitkomst van 'VirusTotal' te interpreteren?

Status
Niet open voor verdere reacties.

JanMarie

Gebruiker
Lid geworden
17 jan 2004
Berichten
167
Hallo, regelmatig laat ik virustotal wat controleren en komt er een resultaat van 1 tot 2 à 3 van de 80 positieve=bedreigende bevindingen uit. Hoe moet daarmee omgegaan worden? Wat is veilig? Wat is de ratio?
 

Bijlagen

  • Virustotal voorbeeld.PNG
    Virustotal voorbeeld.PNG
    92,8 KB · Weergaven: 71
Laatst bewerkt:
Waarschijnlijk toch dit probleem.
Het lijkt me een bepaald niet bekende scanner... en alle andere scanners keuren het goed.
Ik houd het op de 1e regel als oorzaak van die melding: vals positief.
 
Ik zou toch op onderzoek gaan en downloaden vanaf de site van de makers. Bij Virus Total wordt de datum en tijd van de laatst gedane scan rechts boven vermeldt. Als dat een punt in het verleden is dan komt het scanresultaat uit het cache. Het kan zo zijn dat je het scanresultaat van een ander krijgt en dan kan je beter her-scannen.
 
Zie post 3. Normaal moet jouw eigen securityprogramma de downloads scannen, en veilig, onveilig weergeven of blokkeren. Ik zet downloads meestal op het bureaublad en scan ze ook nog even voor de zekerheid. Dat zit onder het rechtermuisknopmenu.
Als ik ook nog eens alles met VirusTotal moet gaan controleren dan heb ik daar wel een dagtaak aan.;)
 
Laatst bewerkt:
Ik zou toch op onderzoek gaan en downloaden vanaf de site van de makers.
Het is altijd beter om van de originele site de software te downloaden. Maar ook dan is het nog steeds OK om de software zo'n scan te laten ondergaan.
Als de website vervolgens een duidelijke, directe link naar de download geeft, kun je deze URL ook gebruiken om de software te laten onderzoeken: https://www.virustotal.com/gui/home/url
Dus... dan hoef je niet eerst het bestand te downloaden en dan pas te laten scannen.... Dat scheelt ook weer iet in een risico.
Wat een gedoe.... hmmmm.. een besmette PC lijkt me voor veel mensen veel meer gedoe.

Virus Total wordt de datum en tijd van de laatst gedane scan rechts boven vermeldt. Als dat een punt in het verleden is dan komt het scanresultaat uit het cache. Het kan zo zijn dat je het scanresultaat van een ander krijgt en dan kan je beter her-scannen.
Van een bestand wordt eerst de Sha256 berekend en is die al een keer vastgesteld, dus bekend en ook op virussen gescand, dan kan meteen de uitslag weer gegeven worden.
Van bestanden waarvan Sha256/hash nog niet in de database zit, wordt ook voor de upload remote de Sha256/hash bepaald en pas nadat je toestemming gegeven hebt wordt het bestand geupload en dan pas op virussen etc gescand.

Bij een scan resultaat "van een ander" met exact dezelfde Sha256/hash moet het om hetzelfde bestand gaan, anders zou een Sha256/hash zinloos zSha256/hash zijn.
Wrs staat deze scansite een herhaling v/d upload niet eens toe? Immers als de hashes gelijk zijn... is dat immers totaal niet nodig.

Bij alle Linux distributies woorden zover ik bijna altijd zie, Sha256/hash gepubliceerd samen met de downloadlink, zodat je na de download zelf dit ook kunt checken en dat je het juist bestand gedownload hebt.

https://nl.phhsnews.com/what-are-md5-sha-1-and-sha-256-hashes-and-how-do-i-check-them3662
 

Bijlagen

  • afbeelding_2021-08-10_002355.png
    afbeelding_2021-08-10_002355.png
    410,3 KB · Weergaven: 39
Laatst bewerkt:
Goede uitleg van route99.:thumb:

Kijk, setup-files van programma's worden altijd door mijn programma automatisch gescand, maar ik doe toch altijd even voor de zekerheid ook op het bureaublad een scan. Ik scan ook altijd even de bestanden van fora e.a. die ik download.
 
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan Onderaan