Virustotal - Como fazer e analisar um SCAN

[ORION' 721]

TUTORIAL: VIRUSTOTAL

Sejam bem-vindos

 

Com a perca de alguns tópicos do fórum, alguns tutoriais (como o da utilização do VIRUSTOTAL) caíram.

 

Como considero algo muito importante para navegar pelo fórum com segurança pelo fórum

(LEMBRE-SE: Pela regra, TODO tópico contém algum download, seja .rar .exe .dll ou qualquer tipo de extensão, deve conter seu respectivo scan. No caso do .rar conter um .exe compactado, este é quem deverá ser alvo de scan).

1 – Conhecendo o site

 

ÁREA DE UPLOAD / Página Principal

Bom, esta é nossa página “estreante”, é nela que, após um pequeno LOADING, nos encontramos em nosso primeiro contato com o site.

 

Separei alguns lugares úteis de se conhecer dentro dessa página

 

1 – Choose File: Ao clicar neste botão uma janela se abrirá, para que assim, você possa selecionar um arquivo para ser scaneado.

2 – File / URL / Search:

Arquivo, é esse que utilizamos para fazer o scan em nossos arquivos, esteja atento para estar com esta secção selecionada.

URL, está opção “scaneia” uma URL, caso detecte algo malicioso, demonstra.

Search, te permite pesquisar por hash, ip e afins. Não vou entrar muito no mérito neste momento/tópico. Nos prenderemos mais a análise de um scan disponivel

Métodos utilizados para analisar um Scan

Muitas vezes pode ser difícil discernir quais detecções apresentadas no scan são genéricas (detecções falsa/positivas, que muitas vezes são para o funcionamento do próprio arquivo, pelo qual não tem nenhum malefício), e quais são prejudiciais; então, estaremos mostrando alguns pontos para serem notados no momento de se analisar um scan. Lembrando que, a maior parte disso talvez muitos já sabem, porém, o intuito é justamente juntar o máximo de informações sobre o assunto, para tal analisar com as melhores ’técnicas’ possíveis.

 

1 – Verificando a coerência do scan com o arquivo:

De começo, podemos verificar as informações do arquivo e comparar com o scan apresentado.

Passo 1: Verificando tamanho e tipo de arquivo (usarei de exemplo o trainer de Fortnite da Ártemis);

Verifique o tamanho EXATO do arquivo:

Supondo que algum membro de má intenção criou/editou algum arquivo qualquer para postar no fórum (não precisa ser necessariamente envolvendo cheating), e conseguiu modificar internamente o arquivo para adicionar algo prejudicial; para ter certeza que isso ocorreu, olhe o tamanho do arquivo original que o mesmo possivelmente manipulou, e veja se há coerência com o arquivo editado. Se não há, pode ter certeza que é algo viral.

 

Verifique o tipo do arquivo:

Algumas vezes uma falha ao esconder informações do programa maléfico, e ocorre de ficar exposto no “tipo de arquivo” como:

- “Java aplication”

- “microsoft aplication”

Dentre outros. Com isso (dependendo um pouco do caso), pode ter certeza de que há algo de errado.

 

2 - Verificando as informações do arquivo com as informações apresentadas no scan (Vamos utilizar o exemplo de uma irregularidade ocorrida recentemente http://www.webcheats.com.br/threads/perfect-your-destiny-oficial-05-12-as-19-30h.2557880/page-4?

 

Principais informações apresentadas no scan FALSO:

 

 

Principais informações apresentadas no scan VERDADEIRO:

Com isso, podemos ver que não há nenhuma coerência com o arquivo original, sendo assim, scan falso; conteúdo viral (nesse caso em específico, é bem óbvio, pelo fato de que o detect falso é 3/70, e o original é de 50/67). A observação das informações citadas acimas só é usada em casos em que o nível de detect é o mesmo.

 

3 – Discernindo quais detecções são genéricas, e quais são realmente virais:

Muitas vezes olhando o scan, não conseguimos imediatamente saber se são detecções genéricas ou virais, então vamos olhar alguns exemplos dos dois tipos de detecs. As detecções que serão apresentadas, são as que geralmente são detectadas, sendo viral ou genérica.

Exemplos de detecções Genéricas (de até 10/15 detecções):

Algumas delas, são bem fáceis de saber que são genéricas, porque se apresentam assim. Como por exemplo

 

- “win32.risk.Generik.swus”;

- “a variant of Generik”, etc.

Outras palavras que se assemelham facilmente:

- Gen

- Gen.

- Generic

- Gerik

- malicious confidence; há na maioria dos programas limpos

- Heuristic; há na maioria dos programas limpos

(Há tantas, mas algumas principais são essas).

 

*Casos especiais (exemplo com programa de cheating):

Algumas vezes, as detecções podem ser BEM altas, ficando aparente para você que é VIRAL, mas calma... Muitas vezes, isso é devido ao uso de programas que protegem (obsfucadores/confusers) o código fonte.

 

(vamos usar um exemplo de caso na área do C.A http://www.webcheats.com.br/threads/imp%C3%A9rio-cheats-free.2557524/?

 

 

Utilizando os exemplos das detecções genéricas citadas acimas, há o também citado uso de obfuscador/confuser, que é também facilmente identificado no scan como “NoobyProtect”. Nisso, já há como saber que foi usado algo para a proteção.

 

Outros componentes genéricos contidos para o funcionamento/requisito do tal cheat:

- Packed-LF!26D22B12432C

-  ILCrypt

- HW32.Packed

- Win32:Evo-gen

- W32/Injector.FKM!tr

Isso são detecções ‘normais’, que geralmente são encontradas em programas de cheat (ou algo que se assemelha com o exemplo).

OBS: Caso o programa não passou por tal processo, e passou do limite permitido de detecções (20% da detecção máxima), já é considerado irregular, como é citado nas regras.

 

 

 

Exemplo de detecções VIRAIS (de 10 á 50+ detecções):

(Vamos usar de exemplo de uma irregularidade na área do Fortnite http://www.webcheats.com.br/threads/gerador-de-v-bucks.2557311/?

Nesse caso, a maioria das detecções percebe-se que, não é algo normal, vemos ali até mesmo um Key Logger. Sendo assim, você poderá ter certeza que é algo viral.

Outros componentes que são virais:

- Backdoor

- Password-stealer

- Adware.agent

- KeyLogger

- Backdoor.NJRAT.vc

 

Visto isso no scan, pode ter quase certeza.... É VIRAL.

Observação bem importante: No caso de cheats & utilitários, tenha em mente que: Nunca, nenhum programa executável ou .dll será 100% limpa no scan. Sempre deve apresentar algumas poucas detecções genéricas. Supomos um loader que guarda a dll do cheat que será injetado, se no scan der 0/70 de detect, ou o scan é falso, ou o vírus foi camuflado a partir de uma técnica de engenharia. Caso haja uma situação
assim, faça o scan do arquivo apresentado em tal.

#FIKADICA

Quando você é registrado no site, têm acesso a algumas abas que demonstram os comportamentos do arquivo...outros arquivos criados, comunicações com servidores e afins.
Isso ajuda, e muito, na hora de analisar alguns aspectos.

 

 

Créditos:

ORION – introdução, correções e formatação

Ártemis-chan – Dicas de analise, exemplos, prints