VirusTotal : l’outil de vérification de malwares en ligne

analyse
malware
menace
base de données
vérification de signature

Vendredi soir, on m’a fait connaître un site Web qui permet de vérifier la présence d’un malware quelconque que ce soit dans une application, un document, un MP3, voire une URL.

La page d’accueil se présente de façon simple et claire. Une barre de recherche et quelques options. On vous propose de scanner un document, une application, une URL ou de faire une recherche dans la base de données de la communauté.

On procède à un premier test avec un document Excel simple, sans danger, en l’espèce, comme son nom l’indique, une table de jurisprudence à apprendre pour un examen.

virus_total_test_apk_scan.jpg

Le document est chargé et analysé. Il est soumis à différentes bases de données d’éditeurs d’anti-virus, d’anti-malwares, pour le moment 42. La recherche se base également sur les votes des internautes. En bas de la page d’analyse, on peut également trouver des informations complémentaires. En l’espèce, on retrouve le type de document, la date de création et de dernière modification, l’auteur, s’il y a des hyperliens dans la feuille de calcul, si une protection a été ajoutée ainsi que l’application avec laquelle a été généré le document. Quand on sait que certains malwares sont insérés dans des fichiers PDF, cela peut être utile.

virus_total_analyse_exceljpg.jpg

Mais cet utilitaire ne se contente pas d’analyser les feuilles de calcul et autres documents de bureautique, il peut également être très utile pour analyser les applications pour smartphones, notamment les applications Android.

Lors de la Nuit du Hack, certains d’entre vous m’avez demandé comment vérifier a priori les applications. Vous pouvez le faire avec cet utilitaire et voyons comment il se comporte.

J’ai choisi une application simple et qui aurait normalement dû être sans danger, à savoir Skyrocket Live Wallpaper. Cette application est présentée comme un fond d’écran animé de smartphone avec des fusées. On télécharge l’application sans l’exécuter. On la charge dans l’utilitaire et là, surprise !

virus_total_trojan_spotted.jpg

On constate que 10 éditeurs de sécurité ont flaggué l’application comme étant dangereuse. En consultant les informations complémentaires, on obtient la liste des permissions d’accès de l’application. Ce fond d’écran demande à avoir accès à Internet, au réseau du système ainsi qu’au système d’alerte. Curieux pour une application qui n’est là que pour la décoration.

virus_total_trojan_spotted_2.jpg

L'application n'a pas encore reçu de votes de la part des nternautes, chose à laquelle il est possible de remédier en cliquant sur le petit démon. 

virus_total_vote_malicious.jpg

L’utilitaire permet également de faire ressortir les données ExiF des photos, ce qui peut être pratique lorsque l’on ne peut pas installer les modules de Firefox.

virus_total_photo_exif.jpg

Il permet également de vérifier les URL. Dans l’exemple ci-dessous, un bot sur Twitter m’a tweeté un lien pour acheter des followers. Le lien n’est pas répertorié comme étant malveillant au sens de la sécurité informatique mais le système de vote fait que l’on peut tout à fait faire flagguer ce lien comme l’étant, ce qui peut être pratique lorsqu’il s’agit d’arnaques ou de pratiques commerciales peu recommandables.

virus_total_test_url.jpg

Enfin, il est également possible de procéder à une recherche de terme afin de savoir quels sont les retours des internautes sur certaines applications.

virus_total_scan_term.jpg

Pour résumer, un utilitaire en ligne très pratique, simple à utiliser, à intégrer dans les favoris de navigateurs, que vous trouverez ici.

[EDIT DU 09/09/2013] Ainsi que le signale Sebdraven dans les commentaires, VirusTotal est plus un outil de soumission de documents qu'autre chose et il existe également une API qui permet de soumettre directement les fichiers sans avoir à passer par le site. Enfin, la taille maximum de fichiers pour les soumissions est passée à 64MB.

Commentaires

Bon article :p

Tris decouvre le web :p
/me runs

En meme temps, c'est pas comme si VirusTotal était connu depuis des lustres pour être la référence en la matière... ^^

C'est marrant comme les gens qui ne font pas grand-chose pour aider les néophytes aiment s'auto-congratuler de leurs connaissances :)

C'est agacant :s

It's agacing!

Et voici un cousin de VirusTotal : OPSWAT MetaScan.

Cousin mais pas jumeau :) Merci de l'avoir signalé.

Virustotal est plus qu'un site de soumissions de documents. Cette société met en relation les éditeurs d'Antivirus qui ne se parle pas et propose une plateforme d'echange des samples qui sont collectés pour aller plus vite dans la fourniture d'une signature sur un malware qui n'est pas encore détecté.
Il y a aussi une API pour soumettre automatiquement un fichier sans avoir à passer par le site.

Je ne savais pas que VirusTotal était en relation directe avec les éditeurs d'antivirus :) Je ne connaissais pas l'API. Je vais faire les corrections qui s'imposent :)

Ajouter un commentaire