Jump to content
News Ticker
  • Bem vindos a Web Cheats
  • News ticker sample

    tutorial Virustotal - Como fazer e analisar um SCAN


    Recommended Posts

    TUTORIAL: VIRUSTOTAL

    8Ansh94.png

    Sejam bem-vindos

     


    Com a perca de alguns tópicos do fórum, alguns tutoriais (como o da utilização do VIRUSTOTAL) caíram.

     


    Como considero algo muito importante para navegar pelo fórum com segurança pelo fórum

    (LEMBRE-SE: Pela regra, TODO tópico contém algum download, seja .rar .exe .dll ou qualquer tipo de extensão, deve conter seu respectivo scan. No caso do .rar conter um .exe compactado, este é quem deverá ser alvo de scan).


    8Ansh94.png
    1 – Conhecendo o site

     


    ÁREA DE UPLOAD / Página Principal

    Screenshot-3.png


    Bom, esta é nossa página “estreante”, é nela que, após um pequeno LOADING, nos encontramos em nosso primeiro contato com o site.

     


    Separei alguns lugares úteis de se conhecer dentro dessa página

     


    1 – Choose File: Ao clicar neste botão uma janela se abrirá, para que assim, você possa selecionar um arquivo para ser scaneado.


    8Ansh94.png

    2 – File / URL / Search:

    Arquivo, é esse que utilizamos para fazer o scan em nossos arquivos, esteja atento para estar com esta secção selecionada.


    URL, está opção “scaneia” uma URL, caso detecte algo malicioso, demonstra.


    Search, te permite pesquisar por hash, ip e afins. Não vou entrar muito no mérito neste momento/tópico. Nos prenderemos mais a análise de um scan disponivel

    8Ansh94.png

    Métodos utilizados para analisar um Scan

    Muitas vezes pode ser difícil discernir quais detecções apresentadas no scan são genéricas (detecções falsa/positivas, que muitas vezes são para o funcionamento do próprio arquivo, pelo qual não tem nenhum malefício), e quais são prejudiciais; então, estaremos mostrando alguns pontos para serem notados no momento de se analisar um scan. Lembrando que, a maior parte disso talvez muitos já sabem, porém, o intuito é justamente juntar o máximo de informações sobre o assunto, para tal analisar com as melhores ’técnicas’ possíveis.

     


    1 – Verificando a coerência do scan com o arquivo:

    De começo, podemos verificar as informações do arquivo e comparar com o scan apresentado.

    Passo 1: Verificando tamanho e tipo de arquivo (usarei de exemplo o trainer de Fortnite da Ártemis);

    1.png

    8Ansh94.png
    Verifique o tamanho EXATO do arquivo:

    2.png

    8Ansh94.png
    Supondo que algum membro de má intenção criou/editou algum arquivo qualquer para postar no fórum (não precisa ser necessariamente envolvendo cheating), e conseguiu modificar internamente o arquivo para adicionar algo prejudicial; para ter certeza que isso ocorreu, olhe o tamanho do arquivo original que o mesmo possivelmente manipulou, e veja se há coerência com o arquivo editado. Se não há, pode ter certeza que é algo viral.

     


    Verifique o tipo do arquivo:

    3.png


    8Ansh94.png
    Algumas vezes uma falha ao esconder informações do programa maléfico, e ocorre de ficar exposto no “tipo de arquivo” como:

    - “Java aplication”

    - “microsoft aplication”

    Dentre outros. Com isso (dependendo um pouco do caso), pode ter certeza de que há algo de errado.

     


    2 - Verificando as informações do arquivo com as informações apresentadas no scan (Vamos utilizar o exemplo de uma irregularidade ocorrida recentemente http://www.webcheats.com.br/threads/perfect-your-destiny-oficial-05-12-as-19-30h.2557880/page-4?

     


    Principais informações apresentadas no scan FALSO:

    4.png
    5.png


    8Ansh94.png

    6.png


    8Ansh94.png

    7.png

     

     

    Principais informações apresentadas no scan VERDADEIRO:

    1.png

    8Ansh94.png

    2.png


    8Ansh94.png

    3.png


    8Ansh94.png

    4.png

    8Ansh94.png

    5.png

    8Ansh94.png

    6.png


    8Ansh94.png


    Com isso, podemos ver que não há nenhuma coerência com o arquivo original, sendo assim, scan falso; conteúdo viral (nesse caso em específico, é bem óbvio, pelo fato de que o detect falso é 3/70, e o original é de 50/67). A observação das informações citadas acimas só é usada em casos em que o nível de detect é o mesmo.

     


    3 – Discernindo quais detecções são genéricas, e quais são realmente virais:

    Muitas vezes olhando o scan, não conseguimos imediatamente saber se são detecções genéricas ou virais, então vamos olhar alguns exemplos dos dois tipos de detecs. As detecções que serão apresentadas, são as que geralmente são detectadas, sendo viral ou genérica.


    8Ansh94.png

    Exemplos de detecções Genéricas (de até 10/15 detecções):

    Algumas delas, são bem fáceis de saber que são genéricas, porque se apresentam assim. Como por exemplo

     

    1.png


    8Ansh94.png

    2.png


    8Ansh94.png

    3.png


    8Ansh94.png

    4.png

    - “win32.risk.Generik.swus”;

    - “a variant of Generik”, etc.


    Outras palavras que se assemelham facilmente:

    - Gen

    - Gen.

    - Generic

    - Gerik

    - malicious confidence; há na maioria dos programas limpos

    - Heuristic; há na maioria dos programas limpos

    (Há tantas, mas algumas principais são essas).

     


    *Casos especiais (exemplo com programa de cheating):

    8Ansh94.png

    Algumas vezes, as detecções podem ser BEM altas, ficando aparente para você que é VIRAL, mas calma... Muitas vezes, isso é devido ao uso de programas que protegem (obsfucadores/confusers) o código fonte.

     


    (vamos usar um exemplo de caso na área do C.A http://www.webcheats.com.br/threads/imp%C3%A9rio-cheats-free.2557524/?

     

    1.png


    8Ansh94.png

    2.png

     

    8Ansh94.png

    3.png


    8Ansh94.png

    Utilizando os exemplos das detecções genéricas citadas acimas, há o também citado uso de obfuscador/confuser, que é também facilmente identificado no scan como “NoobyProtect”. Nisso, já há como saber que foi usado algo para a proteção.

     


    Outros componentes genéricos contidos para o funcionamento/requisito do tal cheat:

    - Packed-LF!26D22B12432C

    -  ILCrypt

    - HW32.Packed

    - Win32:Evo-gen

    - W32/Injector.FKM!tr


    8Ansh94.png

    Isso são detecções ‘normais’, que geralmente são encontradas em programas de cheat (ou algo que se assemelha com o exemplo).


    8Ansh94.png

    OBS: Caso o programa não passou por tal processo, e passou do limite permitido de detecções (20% da detecção máxima), já é considerado irregular, como é citado nas regras.

     

     

     

    Exemplo de detecções VIRAIS (de 10 á 50+ detecções):

    8Ansh94.png


    (Vamos usar de exemplo de uma irregularidade na área do Fortnite http://www.webcheats.com.br/threads/gerador-de-v-bucks.2557311/?


    8Ansh94.png

    1.png

    8Ansh94.png

    2.png


    8Ansh94.png

    3.png


    8Ansh94.png

    4.png


    8Ansh94.png

    5.png


    Nesse caso, a maioria das detecções percebe-se que, não é algo normal, vemos ali até mesmo um Key Logger. Sendo assim, você poderá ter certeza que é algo viral.


    8Ansh94.png

    Outros componentes que são virais:


    - Backdoor

    - Password-stealer

    - Adware.agent

    - KeyLogger

    - Backdoor.NJRAT.vc

     

    Visto isso no scan, pode ter quase certeza.... É VIRAL.

    8Ansh94.png


    Observação bem importante: No caso de cheats & utilitários, tenha em mente que: Nunca, nenhum programa executável ou .dll será 100% limpa no scan. Sempre deve apresentar algumas poucas detecções genéricas. Supomos um loader que guarda a dll do cheat que será injetado, se no scan der 0/70 de detect, ou o scan é falso, ou o vírus foi camuflado a partir de uma técnica de engenharia. Caso haja uma situação
    assim, faça o scan do arquivo apresentado em tal.

    8Ansh94.png


    #FIKADICA

    Quando você é registrado no site, têm acesso a algumas abas que demonstram os comportamentos do arquivo...outros arquivos criados, comunicações com servidores e afins.
    Isso ajuda, e muito, na hora de analisar alguns aspectos.

     

     


    Créditos:

    ORION – introdução, correções e formatação

    Ártemis-chan – Dicas de analise, exemplos, prints

     

     

     

     

     

    • Like 4
    • Haha 1
    • Sad 1

    legendary_fim4.png


    rádio fm 

    Membro - [E]stagiário - Designer - Mod. Global - Coordenador - Co-administrador

    o6L4gAm.gif

    Em meio ao caos, surgirá á luz,  um sorriso.

    Link to post
    Share on other sites

    Create an account or sign in to comment

    You need to be a member in order to leave a comment

    Create an account

    Sign up for a new account in our community. It's easy!

    Register a new account

    Sign in

    Already have an account? Sign in here.

    Sign In Now
    ×
    ×
    • Create New...