VirusTotal — как проверить файл и URL

Коротко: VirusTotal помогает быстро проверить файл, ссылку или SHA-256 по множеству антивирусных движков и репутационных источников. Но это не волшебная кнопка “безопасно”: результат нужно читать вместе с источником файла, цифровой подписью, хешем и здравым смыслом.

Что такое VirusTotal

VirusTotal — это онлайн-сервис для проверки файлов, ссылок, доменов, IP-адресов и хешей.

С его помощью можно проверить:

• установщик программы;
• архив;
• ссылку на скачивание;
• подозрительный сайт;
• SHA-256 файла;
• домен или IP-адрес;
• результат, который уже проверяли другие пользователи.

Сервис не заменяет антивирус на компьютере, но хорошо помогает быстро оценить риск.

Что важно понимать заранее

VirusTotal показывает мнения разных антивирусных движков и репутационных систем. Эти мнения могут ошибаться.

Возможны две ситуации:

• файл вредный, но часть движков его ещё не видит;
• файл нормальный, но 1–2 движка дают ложное срабатывание.

Поэтому нельзя смотреть только на число вроде 0/70 или 3/70. Нужно смотреть детали.

Что можно проверять

Файл

Можно загрузить EXE, MSI, ZIP, RAR, DLL, PDF и другие файлы. Но не загружайте приватные документы и внутренние рабочие файлы.

URL

Можно проверить ссылку на сайт или страницу скачивания. Это полезно, если вы сомневаетесь, официальный ли источник.

SHA-256, MD5 или SHA-1

Можно вставить хеш файла. Если файл уже есть в базе VirusTotal, сервис покажет готовый отчёт без повторной загрузки файла.

Как проверить файл

1. Откройте VirusTotal.
2. Выберите вкладку File.
3. Загрузите файл.
4. Дождитесь проверки.
5. Откройте вкладки Detection, Details, Relations и Community.
6. Оцените не только число детектов, но и источник файла, подпись, хеш и поведение.

Если файл большой или приватный, лучше сначала проверить SHA-256.

Как проверить ссылку

1. Откройте вкладку URL.
2. Вставьте ссылку на сайт или загрузку.
3. Запустите проверку.
4. Посмотрите, кто ругается и на что именно.
5. Проверьте домен: похож ли он на официальный сайт разработчика.

Проверка URL полезна против фальшивых кнопок Download, рекламных загрузчиков и поддельных сайтов.

Как проверить SHA-256

Сначала получите SHA-256 файла в Windows.

PowerShell:

Get-FileHash "C:\Users\User\Downloads\setup.exe" -Algorithm SHA256

certutil:

certutil -hashfile "C:\Users\User\Downloads\setup.exe" SHA256

Потом вставьте хеш в поиск VirusTotal.

Подробно: Проверка хеша файла SHA-256 в Windows.

Как читать результат Detection

Вкладка Detection показывает, какие движки считают файл или URL подозрительным.

Примерно:

• 0/70 — никто не ругается;
• 1/70 или 2/70 — возможно ложное срабатывание, но надо смотреть детали;
• 10/70 и выше — высокий риск;
• массовые срабатывания известных движков — файл лучше не запускать.

Но число само по себе не даёт полного ответа. Смотрите, какие именно движки сработали и какие названия угроз показаны.

Что такое ложное срабатывание

Ложное срабатывание — когда нормальный файл ошибочно определяется как подозрительный.

Такое бывает у:

• новых программ;
• редких утилит;
• админских инструментов;
• упаковщиков EXE;
• программ удалённого доступа;
• твикеров Windows;
• утилит, которые меняют системные настройки.

Но фраза “это ложное срабатывание” не должна быть оправданием для любого мусора. Если файл просит отключить антивирус, идёт с активатором или скачан с непонятного сайта — не надо его запускать.

Какие названия детектов настораживают

Особенно осторожно относитесь к названиям, где встречается:

• Trojan;
• Backdoor;
• Stealer;
• Spyware;
• Keylogger;
• Ransom;
• CoinMiner;
• Downloader;
• Dropper;
• PasswordStealer.

А вот Generic, Heur, RiskTool, PUA/PUP могут быть как реальной проблемой, так и спорным/ложным срабатыванием. Тут надо смотреть контекст.

Вкладка Details

Details помогает понять, что это за файл.

Смотрите:

• SHA-256;
• размер файла;
• тип файла;
• дату первой проверки;
• имена файла, под которыми его загружали;
• цифровую подпись;
• издателя;
• PE-информацию для EXE/DLL.

Если установщик популярной программы не имеет подписи или подписан странным издателем — это повод остановиться.

Вкладка Relations

Relations показывает связи файла:

• какие файлы похожи или связаны;
• какие домены или IP встречаются;
• какие архивы содержали этот файл;
• какие URL связаны с объектом.

Это полезно, если файл сам по себе выглядит чистым, но связан с подозрительными доменами или другими вредными объектами.

Вкладка Community

Community — комментарии пользователей и исследователей.

Там можно найти:

• предупреждения о вредоносном файле;
• объяснение ложного срабатывания;
• ссылки на анализ;
• замечания о поддельном установщике;
• информацию о легитимной утилите.

Но комментарии тоже не абсолютная истина. Смотрите на репутацию автора и аргументы.

Что делать при 0/70

Если VirusTotal показывает 0/70, это хороший признак, но не гарантия.

Дополнительно проверьте:

• официальный ли источник;
• совпадает ли SHA-256, если разработчик его публикует;
• есть ли цифровая подпись;
• нормальное ли имя файла;
• не просит ли сайт отключить защиту;
• не скачан ли файл с рекламного зеркала.

Что делать при 1–2 срабатываниях

Не паникуйте, но и не игнорируйте.

Проверьте:

1. какие именно движки сработали;
2. как называется угроза;
3. есть ли цифровая подпись;
4. официальный ли источник;
5. что пишут во вкладке Community;
6. есть ли такой же файл на сайте разработчика;
7. совпадает ли SHA-256 с официальным.

Если это официальный файл известной программы и сработал один малоизвестный движок с Generic/Heur — возможно, это false positive.

Что делать при большом числе срабатываний

Если ругается много движков, особенно известные антивирусы, файл лучше удалить.

Не стоит:

• запускать “просто посмотреть”;
• добавлять файл в исключения;
• отключать SmartScreen;
• отключать антивирус;
• запускать от имени администратора;
• верить инструкции “антивирус ругается, потому что программа взломана”.

Это как раз типичный сценарий заражения.

Чего нельзя загружать на VirusTotal

Не отправляйте:

• приватные документы;
• базы клиентов;
• пароли и ключи;
• закрытые рабочие архивы;
• файлы с персональными данными;
• внутренние корпоративные установщики;
• исходники приватных проектов.

Файлы, отправленные в VirusTotal, могут быть доступны для анализа партнёрам сервиса и исследователям безопасности. Для приватных данных это плохая идея.

VirusTotal и репаки

Репаки, кряки и активаторы часто показывают срабатывания не просто так.

Если видите:

• “активатор”;
• “keygen”;
• “crack”;
• “patcher”;
• инструкцию отключить антивирус;
• пароль на архив “чтобы антивирус не ругался”;

лучше не запускать. Даже если часть пользователей пишет, что “у меня всё нормально”.

Как использовать VirusTotal вместе с другими проверками

Нормальный порядок такой:

1. Найти официальный источник.
2. Скачать файл.
3. Проверить цифровую подпись.
4. Сверить SHA-256, если он опубликован.
5. Проверить SHA-256 или файл через VirusTotal.
6. Оценить результаты Detection, Details, Relations и Community.
7. Только после этого запускать установщик.

Подробнее: Как безопасно скачивать программы.

FAQ

VirusTotal заменяет антивирус?

Нет. Это сервис проверки и анализа, а не постоянная защита компьютера.

Если файл чистый на VirusTotal, можно запускать?

Только если источник нормальный, файл ожидаемый, подпись адекватная и нет других красных флагов.

Один антивирус ругается. Это вирус?

Не обязательно. Но надо смотреть название угрозы, источник файла, подпись и комментарии.

Можно ли проверять ссылку вместо файла?

Можно, но это разные проверки. URL может быть чистым, а файл на нём подозрительным, и наоборот.

Почему VirusTotal показывает старый результат?

Файл или URL могли проверять раньше. Можно запустить повторный анализ, если сервис предлагает такую кнопку.

См. также

• Как безопасно скачивать программы
• Проверка хеша файла SHA-256
• Как установить программы на Windows
• FAQ по сайту
• Запросить программу или сообщить об ошибке

---

Вывод: VirusTotal полезен, когда вы смотрите не только на число детектов, а на весь контекст: источник файла, SHA-256, подпись, вкладки Details/Relations/Community и поведение установщика.