Известно, что virustotal, вероятно, в целях экономии своих ресурсов в случае, когда подобный образец уже проходил на нем проверку, предлагает не выполнять проверку вновь, а посмотреть прошлые результаты. Действительно, зачем ждать пока образец будет находиться в очереди, затем проверяться, когда можно сразу посмотреть отчет. К тому же, следует верить в криптографию, и MD5 , SHA1 и SHA256 подтвердят вам, что предлагаемый архивный отчет является результатом проверки именно вашего образца.
Но не стоит забывать, что с момента создания архивного отчета до настоящего времени с высокой вероятностью представленные антивирусы выпустили обновления для своих сигнатурных баз, возможно, содержащие сигнатуры и для вашего образца. А это уже совсем не означает, что образец действительно "чист" при условии чистого отчета!
Представим ситуацию, что злоумышленник написал новый вирус. Для укрепления своих убеждений в новизне плода своего творчества, он предпринял попытку протестировать его на virustotal. Наш вирусописатель оказался мастером своего дела, и никакие эвристические методы представленных антивирусных движков не заподозрили неладное - отчет чист. Вместе с убеждением себя в уникальности своего детища виросописатель сделал доступным архивную копию своего отчета. В результате еще долгое время пользователи virustotal будут верить отчету нашего вирусописателя, несмотря не то что по факту загружаемый ими образец - вредоносное ПО, уже определяемое антивирусными движками.
В подтверждение выдвинутой здесь гипотезы приведу два отчета с virustotal относящиеся к одному и тому же файлу. Файл был отловлен в сети системами обнаружения вторжения как содержащий эксплоит ( PDF_JavaScript_Exploit ) для ридера Adobe Acrobat.
"Счет" на первом отчете - 22.23%, на втором - 37.84%.
Разница между отчетами - приблизительно 20 дней.
Приношу извинения за качество картинок (я не планировал писать этот пост когда их делал)
Первый отчет:
Второй отчет:
