VirusTotal: как читать результаты
Коротко
- Быстро проверяете файл, ссылку или хеш (MD5/SHA‑1/SHA‑256) на десятках движков.
- Показываю, как читать результаты без паники и распознать ложные срабатывания.
- Важные правила приватности: когда не стоит загружать файл и что делать, если уже загрузили.
Актуально: 03 октября 2025 • Проверено на: Windows 11/10
VirusTotal — онлайн‑сервис от Google Threat Intelligence для проверки файлов, ссылок и индикаторов (хешей, доменов, IP). Ниже — понятная инструкция, как проверить объект, как интерпретировать результат и какие есть ограничения.
Как проверить файл на VirusTotal (пошагово)
Подготовка: если вы не хотите загружать файл, вычислите его хеш и ищите по нему. Самый надёжный — SHA‑256. Как быстро получить хеш в Windows — в нашем гайде: проверить SHA‑256.
- Откройте virustotal.com и авторизуйтесь (по желанию).
- Выберите способ проверки:
- Файл — вкладка File → «Choose file» → загрузите объект.
- По хешу (без загрузки) — вставьте MD5/SHA‑1/SHA‑256 в строку поиска и нажмите Enter.
- URL/домен/IP — вкладка URL → вставьте ссылку или индикатор.
- Дождитесь анализа. Сервис покажет итог в формате
X / Y(сколько движков сочли объект вредоносным). - Нажмите «Details», «Relations» и «Community» — там видно подпись файла (цифровая подпись), поведение, репутацию и обсуждение.
- Если отчёт старый, нажмите «Reanalyse»/«Rescan» — вы получите свежий результат.
Место для медиа: вставьте 2–3 скриншота: загрузка файла, поиск по SHA‑256, карточка результата.
Проверка по хешу (быстрее и безопаснее)
Если файл уже когда‑то проверяли, достаточно вставить его хеш (поддерживаются MD5, SHA‑1 и SHA‑256) — отчёт откроется без повторной загрузки.
Как читать результаты: «0/70», эвристики и ложные срабатывания
- 0/70 → обычно «чисто». Проверьте ещё цифровую подпись файла и источник загрузки.
- 1–2 срабатывания → часто FP (ложноположительные). Нажмите «Reanalyse», сравните метки (часто «Heur», «Generic»), проверьте хеш на репутацию.
- Много срабатываний у признанных вендоров → повод не запускать. Удалите файл, проверьте ПК антивирусом.
- Подозрения остались? Свяжитесь с вендором, который дал детект (у VT есть список контактов для FP), приложите ссылку на отчёт.
Совет: VT агрегирует результаты вендоров и сам вердикты не выставляет. Исправить ложный детект может только производитель движка. Для начала попробуйте «Rescan».
Приватность: когда нельзя загружать файл
Загруженные объекты (и метаданные) могут становиться доступными партнёрам и исследователям. Не отправляйте конфиденциальные документы (базы клиентов, ключи, приватные архивы).
Если по ошибке загрузили приватный файл — подайте запрос на удаление через раздел справки VirusTotal «Accidental upload». Ссылка ниже.
Удобные инструменты: расширение и CLI
VT4Browsers (Chrome/Firefox/Edge)
Официальное расширение позволяет отправлять скачанные файлы и ссылки на проверку прямо из браузера и подсвечивает IoC на страницах.
VirusTotal CLI (vt)
Удобно для продвинутых пользователей и админов. Скачайте бинарь для Windows со страницы релизов и выполните базовую настройку:
winget install VirusTotal.vt-cli vt init # введите API‑ключ vt file <SHA256> # получить сводку по файлу vt url https://example.com # проверить URL vt scan file C:\path\to\file # отправить файл на анализ
VirusTotal CLI — Releases (GitHub)
Лимиты и ограничения
- Размер файла: при загрузке через API действует предел до ~650 МБ. Для объектов >200 МБ VT рекомендует отправлять внутренние файлы (например, распаковать ISO/архив) — так движки реже «падают» по тайм‑ауту.
- Публичный API: 4 запроса в минуту и 500 в день; не для коммерческих продуктов и рабочих процессов.
- Сброс квот: лимиты API обнуляются ежедневно в 00:00 UTC (подробности на странице API‑ключа).
Где это указано: см. официальную документацию VT — «Public vs Premium API», «Consumption quotas», «Files > upload‑url» (ссылки ниже).
Мини‑FAQ
0/70 — значит точно безопасно?
Не всегда. Смотрите на цифровую подпись, источник загрузки и поведение. При сомнениях — не запускайте файл и проверьте его хеш повторно.
Почему названия угроз разные?
Каждый движок использует свою нотацию (Heur/Generic/PUA и пр.). VT лишь агрегирует результаты в одном отчёте.
Можно удалить случайно загруженный файл из VT?
Да, отправьте запрос на удаление через раздел поддержки VirusTotal (см. ссылку на «Accidental upload» ниже).
Что делать при 1–2 срабатываниях?
Сначала «Rescan». Если детекты сохраняются — обратитесь к вендору из отчёта (на странице VT есть список контактов для FP).
Полезные ссылки (официальная документация)
- Поиск по хешу (MD5/SHA‑1/SHA‑256): gtidocs.virustotal.com/docs/check-vt
- Ложные срабатывания и контакты вендоров: docs.virustotal.com/docs/false-positive-contacts
- Публичный vs Премиум API, ограничения: docs.virustotal.com/reference/public-vs-premium-api
- Квоты и когда они обнуляются: docs.virustotal.com/docs/consumption-quotas-handled
- Загрузка крупных файлов (до ~650 МБ) и рекомендация для >200 МБ: docs.virustotal.com/reference/files-upload-url
- Ошибка загрузки конфиденциальных данных (удаление): docs.virustotal.com/docs/accidental-upload
- Расширение VT4Browsers: docs.virustotal.com/docs/vt4browsers
- VirusTotal CLI (Windows бинарь — Releases): github.com/VirusTotal/vt-cli/releases
См. также
Итог
VirusTotal удобен для быстрой проверки файлов и ссылок, но не подменяет здравый смысл: загружайте только неконфиденциальные объекты, читайте детали отчёта и не делайте выводов по одному «красному» детекту. Совет простой: попробуйте сервис на 1–2 ваших реальных задачах — с файлом и с URL — и закрепите навыки.
Профиль Автора
