VirusTotal est un service qui permet de scanner un fichier sous plusieurs moteurs antivirus.
Pour rappel, vous avez cette page qui explique comment soumettre un fichier : VirusTotal : Comment scanner un fichier
Au fil des années, VirusTotal incorpore de plus en plus d'utilitaires externes qui peuvent aider aussi à évaluer le fichier soumis.
Cette page vous donne quelques clefs à vérifier lors d'un scan.
J'ai soumis quelques fichiers dont voici les liens :
- setup.exe - PUP/Adwares (faux Java): https://www.virustotal.com/en/file/9354 ... 399756456/
- Taskhost.exe - un Trojan.Clicker : https://www.virustotal.com/en/file/e634 ... 399756916/
- Un Exe cracké : https://www.virustotal.com/en/file/feab ... 399757085/
- Fiddler2setup.exe - le setup de Fiddler2 : https://www.virustotal.com/en/file/257f ... /analysis/
- Un dropper Zbot : https://www.virustotal.com/en/file/b7b8 ... 399758850/
File Detail et Additional informations/Informations complémentaires
L'onglet File Détail et Informations complémentaires donnent des informations supplémentaires sur le fichier.
Sa structure, metadata, PE heders, les hashs, etc.
Sur le setup de fiddler2, on constate déjà que le fichier est signé avec les informations de signatures.
La délivrance d'une signature numérique fonctionne à peu près de la même manière que celles des certificats HTTPs (voir : http://forum.malekal.com/comprendre-htt ... 47754.html ).
La signature est réservée à des entreprises, les malwares (trojans etc) ne peuvent être signés numériquement.
Vous devez donc vous méfier des fichiers non signés.
Attention, les PUPs, Adwares autres viennent d'entreprises et peuvent donc être signés.
taskhost.exe n'est pas signé :
Le setup.exe PUP/Adwares est signé, notez qu'une recherche sur OUTBROWSE montre que c'est bien un PUP.
D'ailleurs, il peut souvent arriver que le nom du PUP/Adware soit celui utilisé dans la sinagure numérique qui est souvent celui de l'organisation/entreprise.
Autre élément sympa, ce sont les évaluations Zemana (un anti-keylogger).
Par exemple pour notre Zbot et taskhost.exe : https://www.virustotal.com/fr/file/b7b8 ... 399758850/
On voit :
Cela signifie que le dropper est capable d'injecter des DLLs, ce qui est en général un comportement de malwares.Zemana
dll-injection
Relationship
Cette option est particulièrement interressante - il permet via une sandbox de donner les éventuelles fichiers créés, lus, écrits sur le disque, etc par celui soumis.
Un lien est donné à chaque fois qui donne l'évalution du fichier en question.
Par exemple pour le fichier Taskhost : https://www.virustotal.com/fr/file/e634 ... /analysis/
Ce dernier lance un Trojan/Bladabindi : https://www.virustotal.com/fr/file/9e3b ... /analysis/
On voit aussi tous les fichiers créés et lus par le setup de Fiddler2 : https://www.virustotal.com/fr/file/257f ... /analysis/
Informations comportementales / Behavioural information
Le Behaviourals informations est une sandbox (malwr.com) qui va exécuter le fichier et fournir un rapport des opérations effectuées dans le systèmes (création de fichier, processus, modifications de clefs dans le registre etc).
Attention, notez que vous ne pouvez jamais être certains que l'information comportementales donnent toutes les éléments qui ont été effectuées par un malware car il existe pas mal de techniques pour bypasser ceci (antivm, mettre des timers pour que les opérations se fassent après X temps, soit un possible timeout de la sandbox etc).
Néanmoins, on peux avoir déjà une bonne idée ce qui se passe.
Par exemple pour notre PUP/Adwares, on voit les serveurs WEB contactés, avec l'adresse, on devine que c'est un installeur.
Une recherche sur les URLs (ou une soumission sur VirusTotal) montrent que ce sont des URLs pourries :
- https://www.virustotal.com/fr/url/7f4fc ... 399809232/
- https://www.virustotal.com/fr/url/268f7 ... 399809217/
Par exemple pour le zbot, les parties intéressantes sont :
Déjà le dropper créé un processus svchost.exe (qui va certainement servir à établir des connexions pour bypasser les firewalls) mais aussi un mutex pour laisser une trace dans le système, les mutex avec des noms aléatoires sont souvent synonymes de malwares.Created processes
svchost.exe (successful)
Created mutexes
2GVWNQJz1 (successful)
Exemple avec un autre malware : https://www.virustotal.com/fr/file/e5fb ... /analysis/
Conclusion
Comme vous pouvez le constater, VirusTotal inclut maintenant pas mal d'utilitaires qui peuvent aider à déterminer si le fichier en question est malicieux ou non.
Bien sûr, on ne sera jamais sûr à 100%, mais cela peux déjà aider pour se faire une idée.