Menu Fermer

VirusTotal : Comment visualiser le comportement et activité d’un malware

Une nouvelle fonctionnalité sur le site de VirusTotal qui mérite un billet : Behavioural information ou informations comportementales de malware.

Cette fonction est une sandbox (ou bac à sable) qui exécute le malware et donne les informations sur les modifications effectuées sur le système.
Cela permet donc de savoir les modifications et comportement d’un exécutable de manière sécurisé.
Le système VirusTotal utilisé est Cuckoo qui fonctionne sur VirtualBox, cela signifie bien que tous les droppers qui ont des anti-VM ne pourront être analysés.

Des systèmes de sandbox identiques existent déjà comme ThreatExpert, Hybrid Malwares Analysis, Malwr.com

VirusTotal : Comment visualiser le comportement et activité d'un malware
VirusTotal : Comment visualiser le comportement et activité d’un malware

VirusTotal : visualiser le comportement des malwares

Lorsque vous avez un doute sur un fichier, vous pouvez utiliser l’analyse multiples antivirus de VirusTotal.
Celle-ci permet d’analyser un fichier sur plus de soixante dix antivirus.
Ainsi on peut dégager un statut du fichier : sain ou malveillant.

Je rappelle qu’il existe un tutoriel VirusTotal sur le site : Tutoriel VirusTotal : scanner un fichier avec plusieurs antivirus.

Mais VirusTotal ne s’arrête pas là puisqu’il propose aussi une analyse comportementale.
Cette analyse plus poussée donne les informations sur les opérations effectuées sur le système d’exploitation par l’exécutable.

Par contre, cela ne permet pas d’être certains à 100% de ce que fait le fichier.
Notamment certains malwares ont des fonctions anti-vm qui peuvent empêcher l’exécution et donc l’analyse automatique.
Enfin on peut aussi imaginer d’autres feintes pour empêcher l’analyse : popups d’attente ou actions notamment pour les faux cracks/keygens.

L’analyse Comportementale est disponible depuis l’onglet Behaviour.

Le comportement d'un fichier sur VirusTotal
Le comportement d'un fichier sur VirusTotal

Ainsi cette analyse comportementale peut donner beaucoup d’indications comme :

  • Les accès aux fichiers ; les fichiers lus, écrits.
  • Les activités autour du registre Windows.
  • Les connexions réseaux et notamment les accès aux URLs, les résolutions DNS et connexions TCP.

C’est donc une fonctionnalité reste intéressante pour obtenir des informations sur l’activité d’un exécutable.

Par exemple ci-dessous un faux positif VirusTotal sur un setup Avast!.
On voit bien les connexions HTTP vers les URLs Avast!.

Ci-dessous le même dropper – le ransomware “Activite illicite demelee :

Les fichiers ouverts et créés par le malware lors de l’exécution :

Les fichiers créés par un malware

L’activité des processus effectuée par le cheval de troie :
On constate que ce dernier lance Internet Explorer (iexplore.exe)

L'activité des processus, les injections dans VirusTotal

Les fichiers lus par le malware :

Les fichiers ouverts, écrits et copiés par un malware dans VirusTotal

Les fichier supprimés et l’activité au niveau du registre Windows :

Les fichier supprimés et l'activité du registre Windows sur VirusTotal

Les accès aux Runtime :

L’activité réseau avec les connexions réseau établies – ici le site qui est contacté avec le POST et les GETs pour récupérer la page du ransomware :

Quelques exemples de comportements de malwares

Voici quelques analyses comportementales de VirusTotal sur des fichiers malveillants.

Trojan.Dorifel

Autre exemple avec un bot lamda (Trojan.Dorifel) qui créé un fichier %TEMP%/svchosts.exe :

L'analyse comportementale d'un Trojan dans VirusTotal

Trojan.Medfos

Un autre Trojan – Trojan.Medfos :

L'analyse comportementale d'un Trojan dans VirusTotal
L'analyse comportementale d'un Trojan dans VirusTotal
L'analyse comportementale d'un Trojan dans VirusTotal

Une fois ci-dessous une clef Run upobt qui pointe vers une dll upobt.dll dans %APPDATA%

L'analyse comportementale d'un Trojan dans VirusTotal

ZAccess / Sirefef

MaxPlus / ZAccess / Sirefefhttps://www.virustotal.com/file/7922e1eeeba7d75bd1c4d1e46c7dcd43f5e1b060efe1f038550ce73b45121527/analysis/

Dans le cas de Sirefef / Zaccess, c’est surtout l’activité du dropper qui est donnée.
On ne voit pas les fichiers créé au final (le fameux fichier n).
Pour les habitués, c’est assez caractéristique. Après bien entendu, toutes ces connexions peuvent rester suspicieuse.

L'analyse comportementale d'un Trojan dans VirusTotal
L'analyse comportementale d'un Trojan dans VirusTotal
L'analyse comportementale d'un Trojan dans VirusTotal
L'analyse comportementale d'un Trojan dans VirusTotal

Un scareware Rogue

Le scareware Live Security Platinum :

L'analyse comportementale d'un Trojan dans VirusTotal

et la connexion réseau pour les affiliations :

L'analyse comportementale d'un Trojan dans VirusTotal

Liens

Quelques liens du site autour de VirusTotal :

L’analyse de fichier ou d’adresse internet :

Enfin ces deux liens peuvent vous aider à sécuriser votre PC contre les virus et sites dangereux.