VirusTotal : Behavioural information

Une nouvelle fonctionnalité sur le site de VirusTotal qui mérite un billet : Behavioural information

Cette fonction est une sandbox qui execute le malware et donne les informations sur les modifications effectuées sur le système.
Des systèmes identiques existe déjà comme ThreatExpert ou Anubis Sandbox.
J’en parlais sur le billet suivant : http://www.malekal.com/2011/11/27/evaluer-une-urlfichiers-malicieux-ou-non-malicieux/

Cela peux être interressant, en plus des détections antivirus, si vous avez un doute sur un fichier.
Par contre, cela ne permet pas d’être certains à 100% de ce que fait le fichier, notamment certains dropper ont des fonctions anti-vm qui peuvent empécher l’execution et donc l’analyse automatique.
On peux aussi imaginer d’autres feintes pour empécher l’analyse : popups d’attente ou actions notamment pour les faux cracks/keygens.

Néanmoins la fonctionnalité reste interressante, quelques exemples :

Ci-dessous le même dropper – le ransomware « Activite illicite demelee » : http://www.malekal.com/2012/01/10/virus-gendarmerie-activite-illicite-demelee/

Les fichiers ouverts et créés :

L’activité des processus :
On constate que ce dernier lance Internet Explorer (iexplore.exe)

Les fichiers lus :

Les fichier supprimés et l’activité au niveau du registre Windows :

Les Runtime lues :

Les connexions réseau établies – ici le site qui est contacté avec le POST et les GETs pour récupérer la page du ransomware :

Autre exempel avec un bot lamda (Trojan.Dorifel) qui créé un fichier %TEMP%/svchosts.exe : https://www.virustotal.com/file/034a5475fce370205aee404215cdc9986d96efb2ec370f637a5abd82e88ee483/analysis/

Un autre Trojan – Trojan.Medfoshttps://www.virustotal.com/file/809eeb0e1f6c1604fd20e30acbf69b556b3802d7c5b194bdcd7f4bf5c0c9e04f/analysis/

Une fois ci-dessous une clef Run upobt qui pointe vers une dll upobt.dll dans %APPDATA%

MaxPlus / ZAccess / Sirefefhttps://www.virustotal.com/file/7922e1eeeba7d75bd1c4d1e46c7dcd43f5e1b060efe1f038550ce73b45121527/analysis/

Dans le cas de Sirefef / Zaccess, c’est surtout l’activité du dropper qui est donné, on ne voit pas les fichiers créé au final (le fameux fichier n).
Pour les habitués, c’est assez caractéristique. Après bien entendu, toutes ces connexions peuvent rester suspicieuse.

Le scareware Live Security Platinum :

et la connexion pour les affiliations :

Une belle évolution très utile en tout cas !

EDIT –

VirusTotal a bloggué à propos de l’évolution : http://t.co/Aa1GQl0M
Le programme utilisé est Cuckoo qui fonctionne sur VirtualBox, cela signifie bien que tous les droppers qui ont des anti-VM ne pourront être analysés.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 50 times, 1 visits today)

2 thoughts on “VirusTotal : Behavioural information

  1. Bel outil

    Qui hélas sera vite bypassé..
    Il suffit qu’un auteur de malware envoie volontairement un stealer pour récupérer des infos a des fins de blacklist…

    Il existe des « Anti Anubis » et autres..

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *