Une nouvelle fonctionnalité sur le site de VirusTotal qui mérite un billet : Behavioural information ou informations comportementales de malware.
Cette fonction est une sandbox (ou bac à sable) qui exécute le malware et donne les informations sur les modifications effectuées sur le système.
Cela permet donc de savoir les modifications et comportement d’un exécutable de manière sécurisé.
Le système VirusTotal utilisé est Cuckoo qui fonctionne sur VirtualBox, cela signifie bien que tous les droppers qui ont des anti-VM ne pourront être analysés.
Des systèmes de sandbox identiques existent déjà comme ThreatExpert, Hybrid Malwares Analysis, Malwr.com
Table des matières
VirusTotal : visualiser le comportement des malwares
Lorsque vous avez un doute sur un fichier, vous pouvez utiliser l’analyse multiples antivirus de VirusTotal.
Celle-ci permet d’analyser un fichier sur plus de soixante dix antivirus.
Ainsi on peut dégager un statut du fichier : sain ou malveillant.
Mais VirusTotal ne s’arrête pas là puisqu’il propose aussi une analyse comportementale.
Cette analyse plus poussée donne les informations sur les opérations effectuées sur le système d’exploitation par l’exécutable.
Par contre, cela ne permet pas d’être certains à 100% de ce que fait le fichier.
Notamment certains malwares ont des fonctions anti-vm qui peuvent empêcher l’exécution et donc l’analyse automatique.
Enfin on peut aussi imaginer d’autres feintes pour empêcher l’analyse : popups d’attente ou actions notamment pour les faux cracks/keygens.
L’analyse Comportementale est disponible depuis l’onglet Behaviour.
Ainsi cette analyse comportementale peut donner beaucoup d’indications comme :
- Les accès aux fichiers ; les fichiers lus, écrits.
- Les activités autour du registre Windows.
- Les connexions réseaux et notamment les accès aux URLs, les résolutions DNS et connexions TCP.
C’est donc une fonctionnalité reste intéressante pour obtenir des informations sur l’activité d’un exécutable.
Par exemple ci-dessous un faux positif VirusTotal sur un setup Avast!.
On voit bien les connexions HTTP vers les URLs Avast!.
Ci-dessous le même dropper – le ransomware “Activite illicite demelee“ :
- https://www.virustotal.com/file/5924874e7aa947a9165955796714e0026548a649a9690bb636a004d22ec365f2/analysis
- https://www.virustotal.com/file/b85ea8fb96d376862472d19aa77d95681d503c4c3f0de90f9ce13a7092f961b8/analysis/
Les fichiers ouverts et créés par le malware lors de l’exécution :
L’activité des processus effectuée par le cheval de troie :
On constate que ce dernier lance Internet Explorer (iexplore.exe)
Les fichiers lus par le malware :
Les fichier supprimés et l’activité au niveau du registre Windows :
Les accès aux Runtime :
L’activité réseau avec les connexions réseau établies – ici le site qui est contacté avec le POST et les GETs pour récupérer la page du ransomware :
Quelques exemples de comportements de malwares
Voici quelques analyses comportementales de VirusTotal sur des fichiers malveillants.
Trojan.Dorifel
Autre exemple avec un bot lamda (Trojan.Dorifel) qui créé un fichier %TEMP%/svchosts.exe :
Trojan.Medfos
Un autre Trojan – Trojan.Medfos :
Une fois ci-dessous une clef Run upobt qui pointe vers une dll upobt.dll dans %APPDATA%
ZAccess / Sirefef
MaxPlus / ZAccess / Sirefef : https://www.virustotal.com/file/7922e1eeeba7d75bd1c4d1e46c7dcd43f5e1b060efe1f038550ce73b45121527/analysis/
Dans le cas de Sirefef / Zaccess, c’est surtout l’activité du dropper qui est donnée.
On ne voit pas les fichiers créé au final (le fameux fichier n).
Pour les habitués, c’est assez caractéristique. Après bien entendu, toutes ces connexions peuvent rester suspicieuse.
Un scareware Rogue
Le scareware Live Security Platinum :
et la connexion réseau pour les affiliations :
Liens
Quelques liens du site autour de VirusTotal :
- VirusTotal : scanner un fichier avec plusieurs antivirus
- VirusTotal : Comment visualiser le comportement et activité d’un malware
L’analyse de fichier ou d’adresse internet :
- Comment analyser un fichier téléchargé : virus ou sain ?
- Comment vérifier un lien internet : malveillant ou sain ?
Enfin ces deux liens peuvent vous aider à sécuriser votre PC contre les virus et sites dangereux.