VirusTotal

VirusTotal est un service d’analyse gratuite multi-antivirus disponible en langue française.
VirusTotal vous permet de soumettre un fichier ou une URL et d’obtenir une analyse de plusieurs antivirus afin de savoir si ces derniers sont malicieux ou non.
VirusTotal gère plusieurs format de fichiers PE (exécutable Windows), APK, PDF, SWF etc.

Enfin VirusTotal donne diverses informations sur la structure du fichier.

L’adresse VirusTotal : https://virustotal.com/

VirusTotal

Principe

Le service utilise plusieurs moteurs antivirus, comme tous antivirus, les définitions virales sont constamment mis à jour.
Lorsque vous envoyez un fichier, ce dernier est soumis à tous les antivirus et le statut apparaît lors du scan VirusTotal.
Par exemple ci-dessous, pour chaque antivirus, vous pouvez lire la date de définition virales.
Si la date est trop ancienne, cela peut jouer sur le statut de l’analyses VirusTotal.

VirusTotal_definition_virales

Ci-dessous un fichier malicieux détecté :

VirusTotal_fichier_malicieux

Enfin, la communauté VirusTotal peut voter sur un fichier afin de donner un statut final qui se trouve en haut à droite de la fiche du fichier.
L’icone diablotin rouge indique que le fichier est malicieux et l’ange vert que le fichier est sain.
Ci-dessous, un poids de 474 votes contre 265 fichiers indique que ce dernier est sain.
De plus, aucune détection antivirus et VirusTotal indique « Trusted source ».


VirusTotal_vote_communautaire

En cliquant sur Commentaires, il est possible de lire les commentaires déposés par des utilisateurs.
Votes permet de lire les votes.

VirusTotal_vote_communautaire_2

Toutes les analyses et autres sont stockés, ce qui permet au service VirusTotal d’offrir des statistiques ou d’interroger automatiquement cette base par des applications tiers.
Cette base de données est d’ailleurs disponible depuis l’onglet Rechercher, il est possible de retrouver des détections par des adresses WEB (URL), IP, hashs de fichiers ou nom de malwares.

VirusTotal_recherche_fichiers

Les détections du Trojan JavaScript Nemucod dans les commentaires :

VirusTotal_recherche_nemucod

Comment effectuer une analyse

Pour savoir comment analyser un fichier sur VirusTotal, lire le tutoriel : Virus : Analyser son Windows
Le principe est relativement simple, puisqu’il suffit d’envoyer un fichier à partir du bouton Parcourir, puis l’analyse VirusTotal se lance automatiquement.

VirusTotal utilisation Avancée

Se reporter à la page : VirusTotal : lecture avancée d’un scan

La partie « Behavioural information » est un bac à sables (sandbox) qui génère un rapport des actions effectués par le fichier (création de processus, fichiers, requêtes internet etc).
Notez qu’un malware avec des fonctionnalités Anti-sandbox doit pouvoir outrepasser cette sandbox.

VirusTotal_behaviroual_information

VirusTotal et intégration à des logiciels

Des logiciels d’analyses antivirus peuvent interroger la base VirusTotal afin de transmettre le statut du fichier, ainsi les utilitaires Process Explorer ou Autoruns peuvent donner le scan des processus en cours d’exécution sur l’ordinateur.

Process Explorer et scan VirusTotal
Process Explorer et scan VirusTotal

Les Limites de VirusTotal

L’analyse des fichiers est statique, c’est à dire que les antivirus ne procèdent qu’à un scan de la structure du fichier et à aucun moment n’exécute ce dernier.
De ce fait, les analyses comportementales ne sont pas utilisées.
Plus d’informations, sur le fonctionnement de ces analyses, rendez-vous sur la page : les antivirus
D’autre parts, certains moteurs n’utilisent pas les systèmes Cloud Antivirus.

C’est assez flagrant sur cette vidéo où sur l’analyse VirusTotal, Avast! ne détecte pas le fichier alors qu’en réalité, le fichier est bien bloqué par l’antivirus et la partie Cloud.

La partie Sandbox n’est pas non plus présente sur VirusTotal.
En d’autre terme, VirusTotal n’utilise pas l’intégralité des modules de détection d’un antivirus mais seulement les  détections de signatures de fichiers ou détections génériques de fichiers.

Les tutoriels se basant sur VirusTotal ne sont donc pas du tout parlant, si un antivirus ne détecte pas un malware sur VirusTotal, vous n’êtes pas du tout certains qu’en réalité, l’antivirus en question ne vous en protège pas.

Conclusion

VirusTotal est un outil tout à fait pratique pour avoir une idée générale d’un fichier.
Si de multiples antivirus détectent un fichier comme malicieux, il y a de grandes chances que ce dernier soit réellement malicieux (à quelques exceptions près).
En cas de doute, n’hésitez pas à poser la question sur le forum du site, si vous avez besoin d’une contre analyse.

Vous pouvez lire en parallèle page Malwr et Cuckoo : bac à sables (sandbox) qui permet aussi d’aider à déterminer si un fichier est potentiellement malicieux.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 344 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *