Manual: Analizar Archivos / Url en VirusTotal
Actualizado: 08/10/2019
VirusTotal es un servicio que utiliza las versiones de línea de comando de varios motores antivirus, actualizados puntualmente con las firmas oficiales publicadas por sus desarrolladores.
Analiza archivos y direcciones URL que permiten la identificación de virus, gusanos, troyanos y otros tipos de contenido malicioso detectado por los motores antivirus y demás herramientas de análisis web.
Las características principales de VirusTotal son:
- Ejecuta múltiples motores antivirus.
- Actualizaciones automáticas de firmas de virus en tiempo real.
- Resultados detallados de cada motor de antivirus.
- Estadísticas globales en tiempo real.
- Automatización de análisis API.
- Comunidad de investigación de malware en línea.
Las soluciones antivirus de VirusTotal a veces no son exactamente iguales a las versiones comerciales públicas. Muy a menudo, las compañías de antivirus parametrizan sus motores específicamente para VirusTotal (heurísticas más fuertes, interacción en la nube, inclusión de firmas beta, etc.). Por lo tanto, a veces la solución antivirus en VirusTotal no se comportará exactamente igual que la versión comercial pública equivalente del producto dado.
Los diferentes motores de antivirus que participan en VirusTotal:
URL Scanner:
Aplicaciones:
a) De Escritorio: VirusTotalUploader.
Aunque a partir del año 2017, se discontinuaron las actualizaciones oficiales de VirusTotalUploader, se puede obtener un cargador de código abierto alternativo de terceros y actualizado.
Para el ejecutable alternativo presione “Release.zip” para su descarga. Descomprimirlo y dentro encontrará todos los archivos necesarios para ejecutar esta aplicación.
Ambos son:
- Una Aplicación para Windows.
- Después de instalarlo, simplemente puede hacer clic con el botón derecho en cualquier archivo de menos de 32 MB y elegir VirusTotal en el menú “Enviar a”.
- Los resultados del escaneo se mostrarán en su navegador como de costumbre.
b) Del Navegador:
1.- VTZilla:
Presione “Install VTZilla” para su descarga.
- Extensión para Mozilla Firefox.
- Simplifica el proceso de escaneo de recursos de Internet con VirusTotal.
- Le permite descargar archivos directamente con la aplicación web de VirusTotal antes de almacenarlos en su PC.
- Además, no solo analizará los archivos, sino también las URL.
- Las opciones de escaneo están integradas en el menú contextual de Firefox y en el cuadro de diálogo de descarga, lo que hace que el proceso de análisis sea tan fácil como hacer clic en un solo botón.
2.- VTchromizer:
Presione “Install VTchromizer” para su descarga.
- Extensión para Google Chrome.
- Le permite escanear enlaces (incluyendo enlaces a archivos) directamente con la aplicación web de VirusTotal.
- Escaneará las URL enviadas con las herramientas de análisis de URL y el contenido descargado del sitio escaneado con las soluciones antivirus de VirusTotal.
- Se incrusta solo en el menú contextual.
- Puede escanear cualquier archivo que desee descargar haciendo clic derecho en el enlace al archivo y seleccionando la opción Escanear con VirusTotal.
3.- vtExplorer
Se descargara el archivo vtExplorer.exe.
- Extensión para Internet Explorer.
- Tenga en cuenta que deberá instalar la extensión en cada cuenta de usuario con la que desee usar VirusTotal.
- VTexplorer agrega su propio icono a la barra superior de Internet Explorer.
- Podrá hacer clic derecho en un enlace sospechoso y seleccionar la opción Enviar URL a VirusTotal en el menú contextual.
- En una nueva ventana de Internet Explorer, le mostrará el informe de la exploración de la URL solicitada.
- Haciendo clic en el enlace Ver análisis de archivo descargado, ya que el proceso de escaneo también descargará el archivo o el sitio del enlace de destino, podrá ver el análisis del mismo.
c) App Mobile: VirusTotal Móvil
Desde su dispositivo ingrese a “Play Store” busque VirusTotal Móvil.
- Presione “Instalar”.
- VirusTotal Móvil comprueba las aplicaciones instaladas en su teléfono Android en la plataforma VirusTotal.
- Le informará acerca del malware en sus aplicaciones (virus, troyanos, gusanos) de su teléfono y le permitirá enviar aquellas aplicaciones desconocidas para VirusTotal.
- VirusTotal Móvil escaneará sus aplicaciones (App) con más de 50 antivirus, avisando de cualquier contenido no deseado.
- Esta aplicación no provee ningún tipo de protección en el dispositivo móvil,
VirusTotal no elimina el malware ni ofrece protección en tiempo real, únicamente lo detecta cuando escanea su dispositivo desde la App.
En la mayoría de casos es suficiente con desinstalar la aplicación infectada para eliminar cualquier tipo de problema que el malware esté causando. Aunque, de vez en cuando se queda en su Móvil a pesar de haber borrado la aplicación maliciosa.
En estos casos instalar un antivirus para que busque archivos corruptos y eliminarlos si es posible, en caso de que no se pueda hacer, entonces la mejor opción es restaurar el teléfono a valores de fábrica .
Trucos y Mitos sobre VirusTotal.
Tips Nº 1:
Esta herramienta es ampliamente conocida como un servicio para escanear archivos sospechosos de ser maliciosos, por el hecho de contar con una batería de soluciones de seguridad. Sin embargo, hay muchos usuarios, incluyendo algunos profesionales de TI, que no saben que VT acepta como entrada direcciones IP y nombres de dominios.
Tips Nº 2:
Si al momento de querer analizar un archivo no tienes mucha prisa, lo puedes enviar por correo electrónico a [email protected]. Este método de envío tiene una prioridad más baja de análisis, pero quizá te pueda resultar.
Mito 1: VT puede ser usado para realizar pruebas comparativas.
Es una mala idea utilizar la herramienta como un servicio para detectar si un archivo o una muestra es maliciosa. Hay que tener en cuenta que VT no fue concebido para hacer pruebas comparativas o de detección de amenazas, ya que para eso existen entidades especializadas.
Teniendo en cuenta que los servicios de los diferentes motores antivirus que corren en VT son las versiones bajo línea de comandos, no siempre tienen activas las mismas tecnologías que las soluciones que se instalan en los dispositivos de los usuarios.
Incluso en algunos casos, las heurísticas de los motores de las diferentes soluciones pueden estar modificadas y no ser iguales a la de los productos que el usuario tiene instalado. Así que si analizas un archivo malicioso y un determinado fabricante no lo detecta como tal, puede que el motivo tenga que ver con esto.
Mito 2: La detección de malware en VT significa que el producto detecta el malware.
VT muestra que un producto dice detectar una muestra, pero esto no significa que el escáner detectaría la amenaza si esta hubiera estado en el dispositivo del usuario.
Por una parte, mencionábamos el hecho de que las configuraciones de la heurística pueden ser diferentes, y además la detección también va a depender de cómo el usuario tenga configurado el producto en su propia máquina.
Mito 3: La ausencia de detección en VT significa que el archivo es seguro.
No solo importa si el archivo es detectado o no; en VT hay alguna información adicional que nos puede dar más ideas acerca del comportamiento del archivo analizado. Además, recordemos que no se puede garantizar un 100% de efectividad cuando hablamos de la detección de códigos maliciosos.
Mito 4: La ausencia de detección en VT significa que el producto no lo detecta.
En algunos casos podría ocurrir que por decisión del fabricante no se muestren algunas detecciones en VT, con el objetivo de no alertar a los creadores de malware de que la versión del producto instalada en los dispositivos de los usuarios podría detectar su amenaza.
También podría pasar que la detección de la amenaza como tal sea algo irrelevante , sencillamente porque otras tecnologías incluidas en las soluciones de seguridad prevengan la infección sin siquiera conocer la amenaza.
Mito 5: Falso positivo significa falso positivo.
Para un usuario puede ser muy costoso que su solución de seguridad detecte falsos positivos. Por esta razón, los algoritmos de detección en VT pueden ser versiones de prueba de algunas nuevas heurísticas que estén en período de análisis antes de pasar a producción.
Mito 6: Más es mejor.
El hecho de que muchos de los escáneres presentes en VT detecten una muestra como maliciosa no implica que sean muchos los usuarios protegidos. Esto se relaciona más con la participación en el mercado de cada solución de seguridad.
Además, no debemos perder de vista que en muchos casos las soluciones de seguridad completas que tienen instaladas los usuarios en sus dispositivos cuentan con tecnologías adicionales de protección, por lo cual podrían detectar la amenaza con otros componentes del producto y no solamente con el que se encuentra en VT.
Mito 7: Sitio malicioso significa sitio malicioso.
Puede ocurrir que algún sitio legítimo sea comprometido y contenga exploits, aloje páginas de phishing o almacene malware. En todos estos casos el sitio puede ser detectado como malicioso, y una vez que este sea reparado puede pasar un tiempo hasta que los diferentes escáneres remuevan la detección.
Fuente:welivesecurity by eset
Índice: