Jump to content

Turbine o seu Perfil

Confira a atualização e participe do clube!
Clique e saiba mais

Junte-se ao Clube de Membros VIP

Tenha destaque e diversos benefícios!
Confira Aqui

Acesse nosso Discord

Conheça nossos canais interativos
Confira Aqui
Notícia
  • Adquira já o seu VIP!
Sign in to follow this  
ORION'

Virustotal - Como fazer e analisar um SCAN

Recommended Posts

TUTORIAL: VIRUSTOTAL

8Ansh94.png

Sejam bem-vindos

 


Com a perca de alguns tópicos do fórum, alguns tutoriais (como o da utilização do VIRUSTOTAL) caíram.

 


Como considero algo muito importante para navegar pelo fórum com segurança pelo fórum

(LEMBRE-SE: Pela regra, TODO tópico contém algum download, seja .rar .exe .dll ou qualquer tipo de extensão, deve conter seu respectivo scan. No caso do .rar conter um .exe compactado, este é quem deverá ser alvo de scan).


8Ansh94.png
1 – Conhecendo o site

 


ÁREA DE UPLOAD / Página Principal

Screenshot-3.png


Bom, esta é nossa página “estreante”, é nela que, após um pequeno LOADING, nos encontramos em nosso primeiro contato com o site.

 


Separei alguns lugares úteis de se conhecer dentro dessa página

 


1 – Choose File: Ao clicar neste botão uma janela se abrirá, para que assim, você possa selecionar um arquivo para ser scaneado.


8Ansh94.png

2 – File / URL / Search:

Arquivo, é esse que utilizamos para fazer o scan em nossos arquivos, esteja atento para estar com esta secção selecionada.


URL, está opção “scaneia” uma URL, caso detecte algo malicioso, demonstra.


Search, te permite pesquisar por hash, ip e afins. Não vou entrar muito no mérito neste momento/tópico. Nos prenderemos mais a análise de um scan disponivel

8Ansh94.png

Métodos utilizados para analisar um Scan

Muitas vezes pode ser difícil discernir quais detecções apresentadas no scan são genéricas (detecções falsa/positivas, que muitas vezes são para o funcionamento do próprio arquivo, pelo qual não tem nenhum malefício), e quais são prejudiciais; então, estaremos mostrando alguns pontos para serem notados no momento de se analisar um scan. Lembrando que, a maior parte disso talvez muitos já sabem, porém, o intuito é justamente juntar o máximo de informações sobre o assunto, para tal analisar com as melhores ’técnicas’ possíveis.

 


1 – Verificando a coerência do scan com o arquivo:

De começo, podemos verificar as informações do arquivo e comparar com o scan apresentado.

Passo 1: Verificando tamanho e tipo de arquivo (usarei de exemplo o trainer de Fortnite da Ártemis);

1.png

8Ansh94.png
Verifique o tamanho EXATO do arquivo:

2.png

8Ansh94.png
Supondo que algum membro de má intenção criou/editou algum arquivo qualquer para postar no fórum (não precisa ser necessariamente envolvendo cheating), e conseguiu modificar internamente o arquivo para adicionar algo prejudicial; para ter certeza que isso ocorreu, olhe o tamanho do arquivo original que o mesmo possivelmente manipulou, e veja se há coerência com o arquivo editado. Se não há, pode ter certeza que é algo viral.

 


Verifique o tipo do arquivo:

3.png


8Ansh94.png
Algumas vezes uma falha ao esconder informações do programa maléfico, e ocorre de ficar exposto no “tipo de arquivo” como:

- “Java aplication”

- “microsoft aplication”

Dentre outros. Com isso (dependendo um pouco do caso), pode ter certeza de que há algo de errado.

 


2 - Verificando as informações do arquivo com as informações apresentadas no scan (Vamos utilizar o exemplo de uma irregularidade ocorrida recentemente http://www.webcheats.com.br/threads/perfect-your-destiny-oficial-05-12-as-19-30h.2557880/page-4?

 


Principais informações apresentadas no scan FALSO:

4.png
5.png


8Ansh94.png

6.png


8Ansh94.png

7.png

 

 

Principais informações apresentadas no scan VERDADEIRO:

1.png

8Ansh94.png

2.png


8Ansh94.png

3.png


8Ansh94.png

4.png

8Ansh94.png

5.png

8Ansh94.png

6.png


8Ansh94.png


Com isso, podemos ver que não há nenhuma coerência com o arquivo original, sendo assim, scan falso; conteúdo viral (nesse caso em específico, é bem óbvio, pelo fato de que o detect falso é 3/70, e o original é de 50/67). A observação das informações citadas acimas só é usada em casos em que o nível de detect é o mesmo.

 


3 – Discernindo quais detecções são genéricas, e quais são realmente virais:

Muitas vezes olhando o scan, não conseguimos imediatamente saber se são detecções genéricas ou virais, então vamos olhar alguns exemplos dos dois tipos de detecs. As detecções que serão apresentadas, são as que geralmente são detectadas, sendo viral ou genérica.


8Ansh94.png

Exemplos de detecções Genéricas (de até 10/15 detecções):

Algumas delas, são bem fáceis de saber que são genéricas, porque se apresentam assim. Como por exemplo

 

1.png


8Ansh94.png

2.png


8Ansh94.png

3.png


8Ansh94.png

4.png

- “win32.risk.Generik.swus”;

- “a variant of Generik”, etc.


Outras palavras que se assemelham facilmente:

- Gen

- Gen.

- Generic

- Gerik

- malicious confidence; há na maioria dos programas limpos

- Heuristic; há na maioria dos programas limpos

(Há tantas, mas algumas principais são essas).

 


*Casos especiais (exemplo com programa de cheating):

8Ansh94.png

Algumas vezes, as detecções podem ser BEM altas, ficando aparente para você que é VIRAL, mas calma... Muitas vezes, isso é devido ao uso de programas que protegem (obsfucadores/confusers) o código fonte.

 


(vamos usar um exemplo de caso na área do C.A http://www.webcheats.com.br/threads/imp%C3%A9rio-cheats-free.2557524/?

 

1.png


8Ansh94.png

2.png

 

8Ansh94.png

3.png


8Ansh94.png

Utilizando os exemplos das detecções genéricas citadas acimas, há o também citado uso de obfuscador/confuser, que é também facilmente identificado no scan como “NoobyProtect”. Nisso, já há como saber que foi usado algo para a proteção.

 


Outros componentes genéricos contidos para o funcionamento/requisito do tal cheat:

- Packed-LF!26D22B12432C

-  ILCrypt

- HW32.Packed

- Win32:Evo-gen

- W32/Injector.FKM!tr


8Ansh94.png

Isso são detecções ‘normais’, que geralmente são encontradas em programas de cheat (ou algo que se assemelha com o exemplo).


8Ansh94.png

OBS: Caso o programa não passou por tal processo, e passou do limite permitido de detecções (20% da detecção máxima), já é considerado irregular, como é citado nas regras.

 

 

 

Exemplo de detecções VIRAIS (de 10 á 50+ detecções):

8Ansh94.png


(Vamos usar de exemplo de uma irregularidade na área do Fortnite http://www.webcheats.com.br/threads/gerador-de-v-bucks.2557311/?


8Ansh94.png

1.png

8Ansh94.png

2.png


8Ansh94.png

3.png


8Ansh94.png

4.png


8Ansh94.png

5.png


Nesse caso, a maioria das detecções percebe-se que, não é algo normal, vemos ali até mesmo um Key Logger. Sendo assim, você poderá ter certeza que é algo viral.


8Ansh94.png

Outros componentes que são virais:


- Backdoor

- Password-stealer

- Adware.agent

- KeyLogger

- Backdoor.NJRAT.vc

 

Visto isso no scan, pode ter quase certeza.... É VIRAL.

8Ansh94.png


Observação bem importante: No caso de cheats & utilitários, tenha em mente que: Nunca, nenhum programa executável ou .dll será 100% limpa no scan. Sempre deve apresentar algumas poucas detecções genéricas. Supomos um loader que guarda a dll do cheat que será injetado, se no scan der 0/70 de detect, ou o scan é falso, ou o vírus foi camuflado a partir de uma técnica de engenharia. Caso haja uma situação
assim, faça o scan do arquivo apresentado em tal.

8Ansh94.png


#FIKADICA

Quando você é registrado no site, têm acesso a algumas abas que demonstram os comportamentos do arquivo...outros arquivos criados, comunicações com servidores e afins.
Isso ajuda, e muito, na hora de analisar alguns aspectos.

 

 


Créditos:

ORION – introdução, correções e formatação

Ártemis-chan – Dicas de analise, exemplos, prints

 

 

 

 

 

  • Like 3
  • Haha 1
  • Sad 1

legendary_fim4.png


rádio fm 

Membro - [E]stagiário - Designer - Mod. Global - Coordenador - Co-administrador

o6L4gAm.gif

Em meio ao caos, surgirá á luz,  um sorriso.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×
×
  • Create New...