VirusTotal : lecture avancée d'un scan

Tutoriel / Guide d'aide sur l'utilisation des antivirus

Modérateur : Mods Windows

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85876
Inscription : 10 sept. 2005 13:57
Contact :

VirusTotal : lecture avancée d'un scan

Message par Malekal_morte » 11 mai 2014 14:04

Voici une page qui explique comment lire un scan VirusTotal.
VirusTotal est un service qui permet de scanner un fichier sous plusieurs moteurs antivirus.
Pour rappel, vous avez cette page qui explique comment soumettre un fichier : VirusTotal : Comment scanner un fichier
Au fil des années, VirusTotal incorpore de plus en plus d'utilitaires externes qui peuvent aider aussi à évaluer le fichier soumis.
Cette page vous donne quelques clefs à vérifier lors d'un scan.

J'ai soumis quelques fichiers dont voici les liens : En ce qui concerne les détections antivirus, je ne peux que vous renvoyer vers l'index des menaces et programmes malveillants

File Detail et Additional informations/Informations complémentaires

L'onglet File Détail et Informations complémentaires donnent des informations supplémentaires sur le fichier.
Sa structure, metadata, PE heders, les hashs, etc.

Sur le setup de fiddler2, on constate déjà que le fichier est signé avec les informations de signatures.
La délivrance d'une signature numérique fonctionne à peu près de la même manière que celles des certificats HTTPs (voir : comprendre-https-quoi-sert-https-t47754.html ).

La signature est réservée à des entreprises, les malwares (trojans etc) ne peuvent être signés numériquement.
Vous devez donc vous méfier des fichiers non signés.
Attention, les PUPs, Adwares autres viennent d'entreprises et peuvent donc être signés.

Image

taskhost.exe n'est pas signé :

Image

Le setup.exe PUP/Adwares est signé, notez qu'une recherche sur OUTBROWSE montre que c'est bien un PUP.
D'ailleurs, il peut souvent arriver que le nom du PUP/Adware soit celui utilisé dans la sinagure numérique qui est souvent celui de l'organisation/entreprise.

Image


Autre élément sympa, ce sont les évaluations Zemana (un anti-keylogger).
Par exemple pour notre Zbot et taskhost.exe : https://www.virustotal.com/fr/file/b7b8 ... 399758850/
On voit :
Zemana
dll-injection
Cela signifie que le dropper est capable d'injecter des DLLs, ce qui est en général un comportement de malwares.

Relationship

Cette option est particulièrement interressante - il permet via une sandbox de donner les éventuelles fichiers créés, lus, écrits sur le disque, etc par celui soumis.
Un lien est donné à chaque fois qui donne l'évalution du fichier en question.

Par exemple pour le fichier Taskhost : https://www.virustotal.com/fr/file/e634 ... /analysis/
Ce dernier lance un Trojan/Bladabindi : https://www.virustotal.com/fr/file/9e3b ... /analysis/

On voit aussi tous les fichiers créés et lus par le setup de Fiddler2 : https://www.virustotal.com/fr/file/257f ... /analysis/

Image


Informations comportementales / Behavioural information

Le Behaviourals informations est une sandbox (malwr.com) qui va exécuter le fichier et fournir un rapport des opérations effectuées dans le systèmes (création de fichier, processus, modifications de clefs dans le registre etc).
Attention, notez que vous ne pouvez jamais être certains que l'information comportementales donnent toutes les éléments qui ont été effectuées par un malware car il existe pas mal de techniques pour bypasser ceci (antivm, mettre des timers pour que les opérations se fassent après X temps, soit un possible timeout de la sandbox etc).
Néanmoins, on peux avoir déjà une bonne idée ce qui se passe.

Par exemple pour notre PUP/Adwares, on voit les serveurs WEB contactés, avec l'adresse, on devine que c'est un installeur.
Une recherche sur les URLs (ou une soumission sur VirusTotal) montrent que ce sont des URLs pourries :
- https://www.virustotal.com/fr/url/7f4fc ... 399809232/
- https://www.virustotal.com/fr/url/268f7 ... 399809217/

Image

Par exemple pour le zbot, les parties intéressantes sont :
Created processes
svchost.exe (successful)

Created mutexes
2GVWNQJz1 (successful)
Déjà le dropper créé un processus svchost.exe (qui va certainement servir à établir des connexions pour bypasser les firewalls) mais aussi un mutex pour laisser une trace dans le système, les mutex avec des noms aléatoires sont souvent synonymes de malwares.

Image

Exemple avec un autre malware : https://www.virustotal.com/fr/file/e5fb ... /analysis/


Conclusion

Comme vous pouvez le constater, VirusTotal inclut maintenant pas mal d'utilitaires qui peuvent aider à déterminer si le fichier en question est malicieux ou non.
Bien sûr, on ne sera jamais sûr à 100%, mais cela peux déjà aider pour se faire une idée.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Verrouillé

Revenir vers « Tutoriel Antivirus »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité