VirusTotal : Behavioural information

Une nouvelle fonctionnalité sur le site de VirusTotal qui mérite un billet : Behavioural information

Cette fonction est une sandbox qui execute le malware et donne les informations sur les modifications effectuées sur le système.
Des systèmes identiques existe déjà comme ThreatExpert ou Anubis Sandbox.
J’en parlais sur le billet suivant : https://www.malekal.com/2011/11/27/evaluer-une-urlfichiers-malicieux-ou-non-malicieux/

Cela peux être interressant, en plus des détections antivirus, si vous avez un doute sur un fichier.
Par contre, cela ne permet pas d’être certains à 100% de ce que fait le fichier, notamment certains dropper ont des fonctions anti-vm qui peuvent empécher l’execution et donc l’analyse automatique.
On peux aussi imaginer d’autres feintes pour empécher l’analyse : popups d’attente ou actions notamment pour les faux cracks/keygens.

Néanmoins la fonctionnalité reste interressante, quelques exemples :

Ci-dessous le même dropper – le ransomware “Activite illicite demelee” : https://www.malekal.com/2012/01/10/virus-gendarmerie-activite-illicite-demelee/

Les fichiers ouverts et créés :

L’activité des processus :
On constate que ce dernier lance Internet Explorer (iexplore.exe)

Les fichiers lus :

Les fichier supprimés et l’activité au niveau du registre Windows :

Les Runtime lues :

Les connexions réseau établies – ici le site qui est contacté avec le POST et les GETs pour récupérer la page du ransomware :

Autre exempel avec un bot lamda (Trojan.Dorifel) qui créé un fichier %TEMP%/svchosts.exe : https://www.virustotal.com/file/034a5475fce370205aee404215cdc9986d96efb2ec370f637a5abd82e88ee483/analysis/

Un autre Trojan – Trojan.Medfoshttps://www.virustotal.com/file/809eeb0e1f6c1604fd20e30acbf69b556b3802d7c5b194bdcd7f4bf5c0c9e04f/analysis/

Une fois ci-dessous une clef Run upobt qui pointe vers une dll upobt.dll dans %APPDATA%

MaxPlus / ZAccess / Sirefefhttps://www.virustotal.com/file/7922e1eeeba7d75bd1c4d1e46c7dcd43f5e1b060efe1f038550ce73b45121527/analysis/

Dans le cas de Sirefef / Zaccess, c’est surtout l’activité du dropper qui est donné, on ne voit pas les fichiers créé au final (le fameux fichier n).
Pour les habitués, c’est assez caractéristique. Après bien entendu, toutes ces connexions peuvent rester suspicieuse.

Le scareware Live Security Platinum :

et la connexion pour les affiliations :

Une belle évolution très utile en tout cas !

EDIT –

VirusTotal a bloggué à propos de l’évolution : http://t.co/Aa1GQl0M
Le programme utilisé est Cuckoo qui fonctionne sur VirtualBox, cela signifie bien que tous les droppers qui ont des anti-VM ne pourront être analysés.

(Visité 156 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Vous pouvez lire les articles et tutoriels suivants en rapport avec cette page :
Tutoriel Malwarebytes Anti-MalwareTutoriel AdwCleaner

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com