Menu Fermer

VirusTotal : scanner/analyser un fichier avec plusieurs antivirus

VirusTotal est un service gratuit qui permet d’analyse un fichier ou URL à plusieurs moteurs d’antivirus.
Il offre aussi d’autres fonctions.

La page principale permet d’accéder aux divers fonctions du service, ainsi vous pouvez :

Ainsi VirusTotal aide à déterminer si un fichier ou un site est malveillant ou sain.
Il vous aide à déterminer le statut de ce dernier.

Voici un tutoriel qui vous donne les grandes lignes pour utiliser VirusTotal.

VirusTotal : scanner un fichier avec plusieurs antivirus

VirusTotal : Analyser un fichier avec plusieurs antivirus

Temps nécessaire : 5 minutes

Comment analyser un fichier avec plusieurs antivirus sur VirusTotal

  1. Ouvrir le site VirusTotal

    Voici le lien pour l’ouvrir : se connecter à VirusTotal

  2. Analyser un fichier

    Pour l’utiliser, rendez-vous sur la page principale.
    L’onglet :
    Files (fichier) pour soumettre un fichier à l’analyse
    URL pour vérifier l’adresse d’un site WEB.
    Search (Rechercher) pour trouver un fichier par son hash, un domaine ou URL.

    Cliquez sur Choose File.
    VirusTotal : Analyser un fichier avec plusieurs antivirus

  3. Sélectionner le fichier à analyser sur votre disque dur

    Ensuite naviguez dans vos disques pour sélectionner le fichier à soumettre aux antivirus.
    VirusTotal : Analyser un fichier avec plusieurs antivirus

  4. Résultat de l’analyses plusieurs antivirus de VirusTotal

    Puis cela ouvre le résultat de l’analyses.
    En haut à gauche, vous avez le pourcentage de détection.
    Lorsque le cercle est vert, le fichier est considéré comme sain et légitime.
    Puis vous avez plus bas la liste des antivirus avec les détections.
    Undetected indique aucune détection.
    Sinon le nom de la menace et du malware s’affiche en rouge.
    VirusTotal : Analyser un fichier avec plusieurs antivirus

  5. Exemple de détections de malwares sur VirusTotal

    Ci-dessous un fichier positif avec deux détections.
    En effet, deux antivirus détecte un malware Win32:Malware-gen.
    Le résultat total s’affiche en haut à gauche.
    Du coup le cercle passe en gris.
    Comment analyser un fichier avec plusieurs antivirus sur VirusTotal

Attention, certains antivirus sensibles peuvent détecter un fichier sain comme étant malveillant.
On parle alors de faux positif.
L’article suivant détaille ces cas et ce qu’il faut faire : VirusTotal et les faux positifs.

Pour aller plus loin sur l’analyse d’un fichier :

Bravo ! vous avez réussi à analyser un fichier avec plusieurs antivirus sur VirusTotal.

Lire les analyses des antivirus de VirusTotal

Quelques détails sur la page des résultats des analyses antivirus de VirusTotal :

  • 1le hash et empreinte numérique du fichier
  • En 2, diverses informations sur le fichier comme le nom, la taille, la date de la dernière analyse, le type de fichier (EXE, DLL, TXT, etc)
  • Puis en 3, le résultat de l’analyse avec le nombre de détection d’antivirus. En dessous, on trouve le score de la communauté.
  • 4 donne le résultat des analyses des antivirus. La liste des antivirus fournis par VirusTotal s’affiche avec le résultat du scan.
  • Enfin en 5, les menus pour accéder à d’autres fonctions de VirusTotal.
VirusTotal : Analyser un fichier avec plusieurs antivirus

Commentaires et communautés VirusTotal

Enfin, la communauté VirusTotal peut voter pour évaluer sur un fichier ou une URL.
Cela afin de donner un statut final qui se trouve en haut à gauche de la détection.

Enfin en cliquant sur Community, on peut lire les commentaires déposés par des utilisateurs.
Les jauges rouges et vertes indiquent si la communauté estime si le fichier est sain ou malveillant.

Commentaires et communautés VirusTotal

C’est un bon moyen d’avoir un avis en cas de faux positif ou de détection génériques retournés par l’analyse VirusTotal.

Recherche de fichier ou URL sur VirusTotal

VirusTotal stocke toutes les analyses antivirus.
Ce qui permet au service VirusTotal d’offrir des statistiques ou d’interroger automatiquement cette base par des applications tiers.
Cette base de données est d’ailleurs disponible depuis l’onglet Rechercher.
Il est possible de retrouver des détections par des adresses WEB (URL), IP, hashs de fichiers ou nom de malwares.

Recherche une URL ou adresse IP

Par exemple, il est possible sur une adresse IP, d’obtenir tous les domaines qui lui sont rattachés.
On peut aussi lister tous les fichiers qui ont pu être en lien avec ces domaines.

La liste des domaines liés à une adresse IP

VirusTotal utilisation Avancée

La partie “Behaviour (Comportement)” est un bac à sables (sandbox) qui génère un rapport des actions effectués par le fichier.
On retrouve par exemple la création de processus et de fichiers, les requêtes internet, etc.
Notez qu’un malware avec des fonctionnalités Anti-sandbox doit pouvoir outrepasser cette sandbox.
Cette partie est détaillée et expliquée sur la page : 

VirusTotal en vidéo

Cette vidéo est très complète pour comprendre comment utiliser VirusTotal et les informations fournies par ce service.

Intégration de Virustotal dans Windows pour analyser avec plusieurs antivirus

Enfin on peut installer des logiciels afin d’envoyer des fichiers automatiquement sur VirusTotal.
D’autres peuvent aussi analyser les processus et applications en cours de fonctionnement pour détecter des virus.

Ajout dans les menus contextuels

VT propose un outil afin d’ajouter un menu déroulant sur Windows, MacOS et Linux.
Cela permet d’envoyer un fichier de votre PC à vérification VT.

Ouvrez ce lien
Puis téléchargez et lancez l’installation.

Ajouter VirusTotal en menu contextuel

Enfin une fois terminé, lors d’un clic droit sur un fichier, le menu Send to VirusTotal s’affiche.
Le navigateur WEB s’ouvre sur l’analyse VT du fichier.

Ajouter VirusTotal en menu contextuel

VT4Browsers

VT4Browsers est une extension pour les navigateurs internet Chrome et Firefox afin d’envoyer et analyser automatiquement les téléchargements sur le service.
Cela peut par exemple vous protéger de téléchargement malveillante comme une pièce jointe piégée envoyée par mail.
Enfin l’extension vous permet aussi de vérifier si un lien internet est malveillant, de quoi aussi se protéger des phishing par mail ou encore vérifier tout lien avant de cliquer, y compris sur les moteurs de recherche.

Comment analyser vos téléchargements sur VirusTotal avec VT4Browsers

Winja

Winja est un outil gratuit proposé par Phrozen qui permet de scanner vos fichiers à VirusTotal.
Ce dernier analyse le fichier auprès d’une trentaine d’antivirus pour dégager le statut : sain ou logiciel malveillant.
L’outil envoie le fichier automatiquement sur VirusTotal et vous informe du statut.
Il remplace VirusTotal Uploader qui n’est malheureusement plus maintenu.

Winja : analyser automatiquement des fichiers sur Virustotal avec plusieurs antivirus

L’article suivant vous le présente.

Analyser les processus pour détecter des virus

Des logiciels peuvent interroger le service afin de transmettre le statut du fichier.
Ainsi les outils comme Process Explorer ou Autoruns intègrent les analyses VirusTotal.
Au final, on peut évaluer les processus en cours d’exécution sur l’ordinateur.

Process Explorer et scan VirusTotal
Process Explorer et scan VirusTotal

Les Limites de VirusTotal

L’analyse des fichiers est statique.
C’est à dire que les antivirus ne procèdent qu’à un scan de la structure du fichier et à aucun moment n’exécute ce dernier.
De ce fait, les analyses comportementales ne sont pas utilisées.
Plus d’informations, sur le fonctionnement de ces analyses, suivez cette page :

C’est assez flagrant sur cette vidéo où sur l’analyse VirusTotal, Avast! ne détecte pas le fichier.
Alors qu’en réalité, le fichier est bien bloqué par l’antivirus et la partie Cloud.

La partie Sandbox n’est pas non plus présente sur VirusTotal.
En d’autre terme, VirusTotal n’utilise pas l’intégralité des modules de détection d’un antivirus.
Ce service n’utilise que les détections de signatures de fichiers ou détections génériques de fichiers.

Les tutoriels se basant sur VirusTotal ne sont donc pas du tout parlant.
En effet si un antivirus ne détecte pas un malware sur VirusTotal, vous n’êtes pas du tout certains qu’en réalité, l’antivirus en question ne vous en protège pas.

Conclusion

VirusTotal est un outil tout à fait pratique pour avoir une idée générale d’un fichier.
Si de multiples antivirus détectent un fichier comme malveillant, il y a de grandes chances que ce dernier le soit.
En cas de doute, n’hésitez pas à poser la question sur le forum du site, si vous avez besoin d’une contre analyse.