Как обнаружить полиморфный вирус в недавно скачанном .exe

Вы скачали программу, запускать её страшно, а антивирус молчит. Знакомая ситуация? Проблема в том, что полиморфные вирусы специально созданы для того, чтобы их не находили обычными базами сигнатур. Они меняют свой код при каждом заражении, поэтому у каждого экземпляра — «лицо» другое. Но полностью невидимыми они не бывают. Есть методы, которые позволяют выявить такой файл ещё до запуска. Разберём их по порядку — от быстрых и простых до продвинутых.

Почему обычный антивирус может не увидеть угрозу

Классический антивирус работает по сигнатурам — он сравнивает фрагменты файла с базой известных вредоносных паттернов. Полиморфный вирус при каждом копировании перешифрует или перекомпилирует своё тело, сохраняя только логику работы. Фактически, каждый заражённый файл уникален на уровне байтов.

Это не значит, что защиты нет. Современные антивирусы используют эвристику, поведенческий анализ и машинное обучение. Но если вирус свежий или редкий, он может проскользнуть. Поэтому полезно уметь проверить файл самостоятельно, не полагаясь только на один сканер.

Шаг 1. Проверка через несколько антивирусов одновременно

Самый быстрый способ — прогнать файл через десятки движков сразу, не устанавливая каждый антивирус отдельно. Для этого существуют онлайн-сканеры:

• VirusTotal — загружаете файл, и его проверяют 70+ антивирусов разных компаний. Бесплатный, не требует установки.
• VirSCAN — похожий сервис с несколько набором движков.
• Hybrid Analysis — помимо сигнатур использует песочницу и поведенческий анализ.

Как действовать: откройте VirusTotal, перетащите скачанный .exe, подождите результаты. Если из 70 сканеров сработало хотя бы 3–5 — это подозрительно. Если 20+ — скорее всего, файл вредоносный.

Важный нюанс: загружая файл на VirusTotal, вы делитесь им с сервисом и его партнёрами. Если это конфиденциальный файл (например, внутренний инструмент компании), используйте локальные методы проверки, описанные ниже.

Шаг 2. Анализ хеш-суммы и поиск по базам

У каждого файла есть хеш — уникальная строка, которая меняется при малейшем изменении содержимого. Для полиморфного вируса хеш будет разным у каждого экземпляра, но иногда в базах уже есть один из вариантов.

1. Откройте командную строку (Windows: cmd, введите certutil -hashfile путь_к_файлу SHA256).
2. Скопируйте полученный хеш.
3. Вставьте его в поисковик или проверьте на VirusTotal поиском.

Если хеш находится в базах — вы сразу получите вердикт. Если нет — это не гарантия безопасности, но как минимум вы исключаете известные варианты.

Шаг 3. Проверка цифровой подписи

Легитимные программы обычно имеют цифровую подпись от разработчика. Полиморфные вирусы почти никогда её не имеют — подписать каждый новый вариант технически сложно и бессмысленно для злоумышленника.

Как проверить:

1. Кликните правой кнопкой по файлу → «Свойства» → вкладка «Цифровые подписи».
2. Если вкладки нет — файл не подписан. Это красный флаг для программ, которые должны быть подписаны (драйверы, установщики известного ПО).
3. Если подпись есть — проверьте, кому она выдана и действительна ли. Нажмите «Подробно» → «Просмотр сертификата».

Отсутствие подписи не делает файл автоматически вирусом — многие инди-разработчики не подписывают свои программы. Но в сочетании с другими признаками это повод для беспокойства.

Шаг 4. Статический анализ — что внутри файла

Не запуская файл, можно заглянуть внутрь его структуры. Полиморфные вирусы часто оставляют характерные следы.

На что смотреть

• Упаковщик (packer). Используйте инструмент Detect It Easy (DIE) или PEiD. Если файл упакован нестандартным или полиморфным упаковщиком (например, кастомный UPX) — это подозрительно. Легитимный софт обычно либо не упакован, либо использует известные упаковщики.
• Секции PE-файла. Откройте файл в CFF Explorer или PEview. Обратите внимание на секции с необычными именами, аномально большой размер секции кода при малом видимом содержимом, секции с правами Read/Write/Execute одновременно.
• Импортируемые функции. Если программа импортирует функции из kernel32.dll, ntdll.dll, связанные с внедрением кода (WriteProcessMemory, CreateRemoteThread, VirtualAllocEx) — это признак потенциально опасного поведения.
• Зашифрованные или случайные данные. Если значительная часть файла выглядит как случайный набор байтов (проверить можно через визуализацию энтропии в DIE или binwalk), код может быть зашифрован — типичный приём полиморфных вирусов.

Инструменты для статического анализа

Шаг 5. Поведенческий анализ в песочнице

Если статический анализ не дал однозначного ответа, файл можно запустить в изолированной среде и посмотреть, что он делает. Полиморфный вирус может маскировать свой код, но его поведение — файловые операции, сетевые подключения, попытки внедриться в другие процессы — выдаст его.

Варианты песочниц

• Any.Run — интерактивная онлайн-песочница. Бесплатная версия позволяет запустить файл и наблюдать за его действиями: какие процессы создаёт, какие файлы пишет, куда подключается по сети.
• — похожий сервис с детальными отчётами.
• — открытая песочница, которую можно развернуть локально на виртуальной машине.
• Windows Sandbox — встроенная песочница Windows Pro/Enterprise. Быстрый способ запустить файл в изоляции без настройки виртуальных машин.

На что обращать внимание в отчёте песочницы

• Попытки подключения к подозрительным IP-адресам или доменам.
• Изменение системных файлов или реестра (особенно ключи автозапуска).
• Внедрение кода в другие процессы (process hollowing, DLL injection).
• Шифрование файлов на диске (признак шифровальщика).
• Создание файлов с двойными расширениями (например, .pdf.exe).

Шаг 6. Проверка сетевой активности

Многие полиморфные вирусы после запуска связываются с сервером управления (C2-сервером) для получения команд или выгрузки данных. Даже если вирус ещё не запущен, можно проверить, к каким адресам обращается программа, заглянув в её строки и импорты.

После запуска в песочнице отслеживайте сетевые соединения через:

• Wireshark — перехват всего сетевого трафика.
• TCPView (Sysinternals) — просмотр всех активных соединений в реальном времени.
• Process Monitor (Sysinternals) — мониторинг всех системных операций выбранного процесса.

Если программа пытается подключиться к IP-адресам в подозрительных диапазонах или к доменам, сгенерированным алгоритмически (DGA) — это почти наверняка вредоносное поведение.

Частые ошибки при проверке

Ошибка 1. Доверять одному антивирусу. Ни один сканер не ловит 100% угроз. Если ваш антивирус говорит «чисто», это не значит, что файл безопасен — только что ваш конкретный сканер не знает этот вариант.

Ошибка 2. Игнорировать предупреждения из-за ложных срабатываний. Да, иногда антивирусы ругаются на легитимный софт. Но если несколько сканеров одновременно подсвечивают файл — лучше перестраховаться.

Ошибка 3. Запускать подозрительный файл на основной машине «просто посмотреть, что будет». Даже если кажется, что ничего не происходит, вирус может уже работать в фоне. Используйте только песочницу или виртуальную машину.

Ошибка 4. Проверять файл на том же компьютере, где он будет запущен. Если файл заражён, при проверке вирус может активироваться. Проверяйте на другой машине или в виртуальной среде.

Ошибка 5. Считать, что файл с известного сайта гарантированно безопасен. Сайты компрометируются, а злоумышленники внедряют вредоносный код даже в официальные загрузки через supply-chain атаки.

Что делать в зависимости от вашей ситуации

Ситуация 1: файл скачан с неизвестного сайта, антивирус молчит.

→ Проверьте на VirusTotal. Если есть хотя бы несколько срабатываний — удалите файл. Если нет — проверьте цифровую подпись и запустите в песочнице (Any.Run или Windows Sandbox).

Ситуация 2: нужная программа, но антивирус ругается.

→ Проверьте, не является ли срабатывание ложным срабатыванием. Загрузите файл на VirusTotal и посмотрите детали — какие именно сканеры ругаются и на что именно. Если это известный ложительсрабатывающий детект (например, «Gen:Variant» или «Heuristic»), а остальные сканеры молчат — возможно, это безопасный файл. Для уверенности проверьте хеш на сайте разработчика.

Ситуация 3: подозрение на полиморфный вирус, нужна глубокая проверка.

→ Используйте pestudio для быстрого анализа структуры, DIE для определения упаковщика, затем запустите в песочнице с мониторингом поведения. Если нужна экспертиза уровня аналитика — загрузите в Ghidra и изучите дизассемблированный код.

Ситуация 4: файл критически важен, но вы не уверены в его безопасности.

→ Не запускайте его. Обратитесь к специалисту по кибербезопасности или используйте профессиональные песочницы с полным отчётом (Joe Sandbox, Hybrid Analysis). Если файл — рабочий инструмент, попросите разработчика предоставить хеш-сумму для верификации.

Как лучше организовать проверку в долгосрочной перспективе

Если вы регулярно скачиваете и запускаете новые программы, настройте процесс проверки один раз:

1. Создайте виртуальную машину для тестов. VirtualBox или VMware с установленной Windows — это ваша «подопытная среда». Сделайте снимок (snapshot) чистой системы — после каждого теста можно откатиться.
2. Настройте автоматическую отправку новых файлов на VirusTotal через скрипт или расширение браузера.
3. Включите защитник Windows с облачной защитой и отправкой образцов — это даёт дополнительный уровень проверки.
4. Используйте песочницу по умолчанию. Windows Pro пользователи могут настроить автоматическую песочницу для неизвестных .exe через Sandboxie или встроенную Windows Sandbox.

Итог

Полиморфный вирус — не приговор. Он прячется от сигнатурного анализа, но не может скрыть своё поведение, структуру файла и сетевую активность. Пошаговый подход — от быстрой проверки на VirusTotal до поведенческого анализа в песочнице — позволяет выявить угрозу с высокой вероятностью.

Короткий алгоритм действий:

1. Проверить хеш на VirusTotal.
2. Проверить цифровую подпись.
3. Прогнать через pestudio и DIE.
4. Запустить в песочнице, наблюдать за поведением.
5. При любых сомнениях — не запускать на основной системе.

Главное правило: если хотя бы один из этапов проверки вызвал подозрения, не игнорируйте его. Лучше потратить лишние 15 минут на анализ, чем восстанавливать систему после заражения.