VirusTotal : Comment visualiser le comportement et activité d’un malware

Une nouvelle fonctionnalité sur le site de VirusTotal qui mérite un billet : Behavioural information ou informations comportementales de malware.

Cette fonction est une sandbox qui exécute le malware et donne les informations sur les modifications effectuées sur le système.
Cela permet donc de savoir les modifications et comportement d’un exécutable de manière sécurisé.
Le système VirusTotal utilisé est Cuckoo qui fonctionne sur VirtualBox, cela signifie bien que tous les droppers qui ont des anti-VM ne pourront être analysés.

Des systèmes de sandbox identiques existe déjà comme ThreatExpert, Hybrid Malwares Analysis, Malwr.com
J’en parlais sur le billet suivant : https://www.malekal.com/2011/11/27/evaluer-une-urlfichiers-malicieux-ou-non-malicieux

VirusTotal : visualiser le comportement des malwares

Lorsque vous avez un doute sur un fichier, vous pouvez utiliser l’analyses multiples antivirus qui en plus de fournir les détections, proposent des analyses statistiques du fichier (onglet détails).
L’onglet Comportements donne les informations sur les opérations effectuées sur le système d’exploitation par l’exécutable.
Je rappelle qu’il existe un tutoriel VirusTotal sur le site : Tutoriel VirusTotal : scanner un fichier avec plusieurs antivirus
Par contre, cela ne permet pas d’être certains à 100% de ce que fait le fichier, notamment certains dropper ont des fonctions anti-vm qui peuvent empécher l’execution et donc l’analyse automatique.
On peut aussi imaginer d’autres feintes pour empêcher l’analyse : popups d’attente ou actions notamment pour les faux cracks/keygens.

L’analyse est disponible depuis l’onglet Comportement ou Informations comportementales sur l’ancienne interface de VirusTotal.

Néanmoins la fonctionnalité reste intéressante, voici quelques exemples et explications:

Ci-dessous le même dropper – le ransomware « Activite illicite demelee » : https://www.malekal.com/2012/01/10/virus-gendarmerie-activite-illicite-demelee/

Les fichiers ouverts et créés par le malware lors de l’exécution :

L’activité des processus effectuée par le cheval de troie :
On constate que ce dernier lance Internet Explorer (iexplore.exe)

Les fichiers lus par le malware :

Les fichier supprimés et l’activité au niveau du registre Windows :

Les Runtime lues :

L’activité réseau avec les connexions réseau établies – ici le site qui est contacté avec le POST et les GETs pour récupérer la page du ransomware :

Quelques exemples de comportements de malwares

Autre exemple avec un bot lamda (Trojan.Dorifel) qui créé un fichier %TEMP%/svchosts.exe : https://www.virustotal.com/file/034a5475fce370205aee404215cdc9986d96efb2ec370f637a5abd82e88ee483/analysis/

Un autre Trojan – Trojan.Medfoshttps://www.virustotal.com/file/809eeb0e1f6c1604fd20e30acbf69b556b3802d7c5b194bdcd7f4bf5c0c9e04f/analysis/

Une fois ci-dessous une clef Run upobt qui pointe vers une dll upobt.dll dans %APPDATA%

MaxPlus / ZAccess / Sirefefhttps://www.virustotal.com/file/7922e1eeeba7d75bd1c4d1e46c7dcd43f5e1b060efe1f038550ce73b45121527/analysis/

Dans le cas de Sirefef / Zaccess, c’est surtout l’activité du dropper qui est donné, on ne voit pas les fichiers créé au final (le fameux fichier n).
Pour les habitués, c’est assez caractéristique. Après bien entendu, toutes ces connexions peuvent rester suspicieuse.

Le scareware Live Security Platinum :

et la connexion réseau pour les affiliations :

Une belle évolution très utile en tout cas !

(Visité 117 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet