DrWeb и Jiangmin в VirusTotal: ложные срабатывания или угрозы?

Детекты VirusTotal DrWeb Trojan.Dridex.1519 и Jiangmin Win32/Packed.f часто представляют собой ложные срабатывания антивирусов, особенно при установке легальных программ. VirusTotal просто агрегирует результаты разных антивирусных движков, и некоторые из них, включая DrWeb и Jiangmin, склонны к ложным позитивам для легитимных файлов, особенно упакованных программ.

---

Содержание

• Что такое VirusTotal и как он работает
• Trojan.Dridex: реальная угроза или ложное срабатывание?
• Jiangmin Win32/Packed.f: особенности детекций
• Как отличить ложное срабатывание от реальной угрозы
• Что делать при обнаружении подозрений в VirusTotal
• Рекомендации по безопасному использованию программ

---

Что такое VirusTotal и как он работает

VirusTotal представляет собой веб-сервис, который анализирует файлы и URL-адреса с помощью множества антивирусных движков. Важно понимать, что VirusTotal не производит собственных вердиктов о безопасности - он просто агрегирует результаты от различных антивирусных компаний. Когда вы загружаете файл в VirusTotal, он проверяется десятками антивирусных систем, и каждый из них может independently определить файл как опасный.

Сервис предоставляет удобный способ получить “второе мнение” о файле, особенно когда один антивирус определяет угрозу, а остальные - нет. Однако интерпретация результатов требует внимательного подхода. Некоторые антивирусные движки известны повышенной чувствительностью, что приводит к ложным срабатываниям антивируса.

---

Trojan.Dridex: реальная угроза или ложное срабатывание?

Trojan.Dridex - это детекция от DrWeb, которая относится к банковским троянам и шпионскому ПО, нацеленному на системы Windows. Этот троян способен краже конкретной информации, обычно он целится на список установленных приложений и версию операционной системы зараженной машины.

Ключевые характеристики Trojan.Dridex:

• Основная цель - кража банковских учетных данных
• Может собирать информацию об установленных приложениях
• Обычно распространяется через вложения в электронных письмах
• Некоторые варианты arrive как загрузки эксплойтов

Однако важно отметить, что детекция DrWeb Trojan.Dridex.1519 в VirusTotal не всегда означает реальную угрозу. Если только один или два антивируса из пятидесяти определяют файл как троян, особенно если это старый файл с многолетней историей загрузок, скорее всего это ложное срабатывание антивируса.

---

Jiangmin Win32/Packed.f: особенности детекций

Jiangmin Win32/Packed.f представляет собой гораздо более спорную детекцию. Из анализа форумов и обсуждений становится ясно, что антивирусный движок Jiangmin особенно склонен к ложным позитивам.

Почему Jiangmin часто дает ложные срабатывания:

• Сложность распаковки файлов, упакованных с помощью инструментов вроде VMProtect
• Чрезмерная чувствительность к исполняемым файлам с упаковкой
• Проблемы с корректным анализом легитимных программ

Как показывают примеры из обсуждений, Jiangmin помечает как опасные даже такие проверенные программы, как VLC Media Player и другие распространенные приложения. Когда Jiangmin единственный антивирус из пятидесяти, который определяет файл как угрозу, особенно если файл имеет давнюю историю загрузок и проверен многими пользователями, почти наверняка это ложное срабатывание антивируса.

---

Как отличить ложное срабатывание от реальной угрозы

При анализе результатов VirusTotal важно использовать системный подход для определения реальных угроз от ложных срабатываний антивируса:

Критерии ложного срабатывания:

• Только 1-2 антивируса из 50+ определяют файл как угрозу
• Файл существует давно (месяцы или годы) с множеством загрузок
• Источник файла надежный (официальный сайт разработчика)
• Множество пользователей подтверждают безопасность файла

Признаки реальной угрозы:

• Множество антивирусов одновременно определяют файл как опасный
• Файл недавно создан и имеет мало загрузок
• Источник файла неизвестен или сомнительный
• Файл имеет необычное поведение (например, пытается подключиться к подозрительным адресам)

В случае с DrWeb Trojan.Dridex.1519 и Jiangmin Win32/Packed.f, если эти детекции единственные среди множества “чистых” результатов, и файл является известной программой из официального источника, скорее всего это ложное срабатывание антивируса.

---

Что делать при обнаружении подозрений в VirusTotal

Когда VirusTotal показывает детекты, особенно от DrWeb или Jiangmin, важно действовать методично:

Шаг 1: Оцените контекст

• Сколько антивирусов из общего числа определяют файл как угрозу?
• Какова история файла (дата первого анализа)?
• Какой источник файла и его репутация?

Шаг 2: Дополнительная проверка

• Скачайте файл с официального сайта разработчика
• Проверьте его снова в VirusTotal
• Поищите обсуждения на форумах, посвященных безопасности

Шаг 3: Принятие решения

• Если ложное срабатывание антивируса подтверждено - установите программу
• Если есть сомнения - обратитесь к сообществу или экспертам
• В случае реальной угрозы - немедленно удалите файл

Шаг 4: Защита от ложных срабатываний

• Настройте исключения в антивирусе для доверенных источников
• Используйте антивирусы с улучшенными технологией распаковки
• Регулярно обновляйте антивирусные базы

---

Рекомендации по безопасному использованию программ

Для минимизации рисков ложных срабатываний антивируса и обеспечения безопасности:

При установке программ:

• Всегда скачивайте ПО только с официальных сайтов разработчиков
• Проверяйте файлы через VirusTotal перед установкой
• Обращайте внимание на репутацию разработчика и отзывы пользователей
• Используйте последние версии программ с исправленными уязвимостями

Настройка антивируса:

• Создайте исключения для доверанных каталогов с программами
• Настройте антивирус на использование облачных технологий анализа
• Регулярно обновляйте антивирусные базы
• Рассмотрите использование нескольких антивирусов для проверки

Общие принципы безопасности:

• Всегда устанавливайте программы от имени администратора только при необходимости
• Используйте стандартные учетные записи для повседневной работы
• Регулярно обновляйте операционную систему и драйверы
• Используйте надежные пароли и двухфакторную аутентификацию

Следуя этим рекомендациям, вы сможете безопасно использовать программы, минимизируя риски как реальных угроз, так и ложных срабатываний антивируса.

---

Источники

1. Malwarebytes Blog — Описание Trojan.Dridex как банковского трояна и шпионского ПО: https://www.malwarebytes.com/blog/detections/trojan-dridex
2. VirusTotal Documentation — Официальная информация о ложных срабатываниях и агрегации результатов антивирусов: https://docs.virustotal.com/docs/false-positive
3. Reddit r/antivirus Discussion — Анализ ложных срабатываний Jiangmin при проверке VLC Media Player: https://www.reddit.com/r/antivirus/comments/gp7v18/virus_total_virus_in_vlc_jiangmin_antivirus_engine/
4. Reddit r/DarkAndDarker Discussion — Информация о специфике детекций Jiangmin: https://www.reddit.com/r/DarkAndDarker/comments/15locy1/false_positive_virustotal_jiangmin/
5. Tom’s Hardware Forum — Технический анализ проблемы с Jiangmin: https://forums.tomshardware.com/threads/virus-total-virus-in-vlc-jiangmin-antivirus-engine.3609833/
6. Google Groups Discussion — Описание распространенных ложных срабатываний Jiangmin: https://groups.google.com/g/virustotal/c/iRq5Ojn4W8k
7. GitHub Issue — Пример ложного срабатывания Jiangmin при проверке легитимных библиотек: https://github.com/Imagick/imagick/issues/663
8. VideoLAN Forums — Опыт пользователей с ложными срабатываниями Jiangmin: https://forum.videolan.org/viewtopic.php?f=14&t=153652
9. Microsoft Q&A — Рекомендации по определению и обработке ложных срабатываний антивируса: https://learn.microsoft.com/en-us/answers/questions/4037444/virus-total-related
10. MajorGeeks Guide — Практическое руководство по различию между вирусами и ложными срабатываниями антивируса: https://www.majorgeeks.com/content/page/how_to_tell_the_difference_between_a_virus_and_a_false_positive.html

---

Заключение

Детекты DrWeb Trojan.Dridex.1519 и Jiangmin Win32/Packed.f в VirusTotal чаще всего являются ложными срабатываниями антивируса, особенно при установке легальных программ. Jiangmin особенно известен своей склонностью к ложным позитивам, в то время как DrWeb может детектировать реальные угрозы, но его детекции также требуют независимой проверки.

Ключ к правильной интерпретации результатов VirusTotal - понимание того, что сервис просто объединяет мнения разных антивирусных движков. Когда только один или два антивируса из пятидесяти определяют файл как угрозу, особенно если это известная программа с долгой историей, скорее всего это ложное срабатывание антивируса.

Для безопасного использования программ рекомендуется всегда проверять файлы через VirusTotal, но не слепо доверять отдельным детектам. При сомнениях ищите дополнительные источники информации, обсуждения в сообществах и консультируйтесь с экспертами по безопасности.