RAPPEL :
VirusTotal est un service gratuit qui permet d’analyse un fichier (dans la limite hors compte Premium, de 650 mo) ou URL à plusieurs moteurs d’antivirus.
Il offre aussi d’autres fonctions.
La page principale permet d’accéder aux divers fonctions du service, ainsi vous pouvez :
- Analyser un fichier sur plusieurs antivirus (onglet fichier)
- Analyser une URL avec plusieurs antivirus (onglet URL)
- Recherche un fichier ou une URL, domaine dans une base de données (onglet recherche)
Sur le site on a
VirusTotal : scanner/analyser un fichier avec plusieurs antivirus
https://www.malekal.com/virustotal-anal ... antivirus/
VirusTotal : scanner les processus avec plusieurs antivirus
https://www.malekal.com/virustotal-scan ... antivirus/
VirusTotal : Comment visualiser le comportement et activité d’un malware
https://www.malekal.com/virustotal-comp ... e-malware/
en précisant bien dans l'un des articles que
"Les Limites de VirusTotal
C'est pour cela qu'un malware non détecté par Virustotal, par l'antivirus Y, (il y en a 70 à ce jour) le sera si l'antivirus Y est installé sur votre PCL’analyse des fichiers est statique.
C’est à dire que les antivirus ne procèdent qu’à un scan de la structure du fichier et à aucun moment n’exécute ce dernier.
De ce fait, les analyses comportementales ne sont pas utilisées.
Il arrive aussi que les bases de virustotal soient plus à jour que celles détenues sur votre PC (Sur un temps relatif), et là, si l'analyse comportementale et autres sont faillibles, intervient le facteur T (temps) entre 2 mises à jour (dont l'actualisation varie de 30 minutes à .. Plusieurs heures)
Explications à viewtopic.php?p=541514#p541514
Explication en allant au plus simple (C'est réducteur et schématisé donc partiellement faux mais c'est pour l'exemple) : Les signatures des logiciels malveillants sont fréquemment mises à jour par VirusTotal au fur et à mesure qu'elles sont distribuées par les sociétés antivirus
L éditeur d'antivirus met à jour la base à 15h pour Virustotal, mais votre PC est programmé pour recevoir celle_ci à...15h30, AU MIEUX (sauf urgence)
Vous soumettez votre échantillon à 15H15
Il y aura donc une différence dans le résultat, si l'analyse comportementale et autres modules de votre antivirus n'ont rien vu
Il y a d'autres pistes, mais je ne vais pas rentrer en détails sur le fonctionnement de VirusTotal où les créateurs de virus testent leurs "bébés" et où les éditeurs d'antivirus se fournissent.
Plus globalement, on va dire qu' il y a une collaboration entre l'industrie, les chercheurs et les utilisateurs (de toutes sortes)
sans compter que
VirusTotal et les faux positifs
https://www.malekal.com/virustotal-faux-positifs/
C'est pour cela que VIrusTotal a une valeur... indicative
Le site VirusTotal connait bien Malekal depuis au moins 2012 au point que :
https://blog.virustotal.com/2012/11/vir ... lekal.html
Petite nouveauté dans le fonctionnement
En fait on a vu apparaître la fonction au mois de mars 2023, qui consiste à une analyse d'une URL et/ou une IP pour l'utilisateur
Derrière il y a la fois une fonction d'analyse en temps réel pour les adresses IP potentiellement malveillantes qui est fournie pas les éditeurs d'antivirus, mais pas que...
Source : https://support.virustotal.com/hc/en-u ... w-it-worksComme pour les fichiers, les URL peuvent être soumises via plusieurs moyens différents, notamment la page Web VirusTotal, les extensions de navigateur et l'API.
Lors de la soumission d'un fichier ou d'une URL, les résultats de base sont partagés avec le demandeur, ainsi qu'entre les partenaires examinateurs, qui utilisent les résultats pour améliorer leurs propres systèmes. En conséquence, en soumettant des fichiers, des URL, des domaines, etc. à VirusTotal, vous contribuez à élever le niveau de sécurité informatique mondial.
QUI EST DERRIERE ?
Eux : https://www.criminalip.io/
Criminal IP ,fonctionne comme un moteur de recherche CTI basé sur OSINT.
Criminal IP est un un moteur de recherche Cyber Threat Intelligence (CTI) développé par AI SPERA, qui a donc intégré ses analyses d'adresse IP et d'URL dans VirusTotal.Alimenté par l'IA, il se spécialise dans l'agrégation efficace des données critiques sur les menaces, en se concentrant sur la collecte automatique des dernières informations sur les menaces liées aux adresses IP et aux adresses de domaine.
La fonction d'analyse d'URL, nouvellement intégrée, extrait un large éventail de données, notamment les journaux réseau, les adresses IP associées, les liens malveillants et les vulnérabilités des sites Web.Dans VirusTotal, les utilisateurs peuvent analyser une adresse IP, un domaine ou une URL suspecte, et chaque moteur antivirus contributeur signale son propre résultat comme propre, malveillant ou phishing en fonction de l'algorithme du fournisseur.
En plus de ce résultat complet de malveillance, pour ceux qui recherchent plus d’informations sur chaque composant et les faux positifs, les utilisateurs peuvent visiter Criminal IP.
Les utilisateurs de Criminal IP Domain Search ont accès à des informations précieuses, telles que les détails de l'utilisation de la technologie, les enregistrements d'abus et les vulnérabilités CVE cartographiées, le tout présenté de manière pratique sur une seule page.
Le site : (où il y a du gratuit et du payant)
https://www.criminalip.io/pricing