Site icon INFOFORMA

Comment analyser des fichiers avec VirusTotal auprès de plusieurs moteurs antivirus et site web?

VIRTUALTOTAL

 

VirusTotal est un service en ligne gratuit développé par une équipe d’ingénieurs indépendante qui permet d’analyser des fichiers auprès de plusieurs moteurs antivirus.

Des moteurs d’analyse des sites web, des jeux de données (datasets), des outils d’analyse comportementale et des produits bac à sable (sandboxes) sont également de la partie dans VirusTotal.

VirusTotal est l’outil de sécurité idéal pour savoir si un fichier est malveillant ou non et s’il est infecté ou non par un virus !

Analyser un fichier en ligne

Rendez-vous sur le site web de VirusTotal

Choisir le fichier sur son ordinateur

  • Cliquez sur le bouton Choose file et sélectionnez le fichier suspect à analyser à la recherche de potentiels virus/malwares.

  • Vous pouvez également entrer directement l’URL du fichier à analyser si celui-ci est stocké sur un serveur distant.

Résultat

Si le fichier a déjà été analysé auparavant (il y a de fortes chances que ce soit le cas), les résultats de l’analyse précédente s’affiche immédiatement :

Si besoin, vous pouvez relancer une analyse du fichier en cliquant sur l’icône :

Patientez pendant l’analyse antivirus du fichier ou du programme suspect.

 

Lire les résultats de l’analyse de VirusTotal

Une fois votre fichier analysé, vous obtenez un résumé de l’analyse :

  1. Le nombre de partenaires VirusTotal qui considèrent ce fichier comme dangereux (ici, 20) sur le nombre total de partenaires qui ont examiné le fichier (ici, 59)

  2. La réputation du fichier, déterminée par la communauté VirusTotal. Les utilisateurs peuvent évaluer les fichiers soumis à VirusTotal, ces utilisateurs ayant également une réputation, le score de la communauté est le résultat des votes sur le fichier pondéré par la réputation des utilisateurs qui ont émis ces votes

    > Score rouge : fichier potentiellement dangereux (virus, malware)
    > Score vert : fichier considéré comme inoffensif

  3. Le nombre de partenaires VirusTotal considérant ce fichier comme dangereux (ici, 20)
  4. L’empreinte SHA-256 du fichier analysé
  5. Le nom de fichier tel qu’il était lors la dernière soumission
  6. Les tags attribués au fichier
  7. La date et l’heure (UTC) de l’examen
  8. Le type de fichier
  9. Réanalyser le fichier

Un rapport détaillé est également présent plus bas :

  • Detection : la liste des partenaires chargés de l’analyse du fichier ainsi que leurs conclusions.  Voici les résultats possibles :
    • Undetected (Non détecté) : le moteur antivirus ne détecte pas le fichier comme malveillant
    • Suspicious (Suspect) : le moteur antivirus détecte le fichier comme suspect/dangereux
    • Unable to process file type (Impossible de traiter le type de fichier) : le moteur antivirus ne comprend pas le type de fichier soumis. Le fichier n’a pas été analysé
    • Timeout (Expiré) : le moteur antivirus a atteint la limite d’exécution définie par VirusTotal pour le traitement du fichier. Le fichier n’a pas été analysé
  • Details : affiche des informations détaillées sur le fichier analysé (taille, empreintes, dates de première soumission et de dernière soumission, les différents noms du fichier…)
  • Relations : affiche les relations du fichier (URL à partir desquelles le fichier a été téléchargé, si le fichier a été vu dans d’autres fichiers…)
  • Behavior : les fichiers soumis à VirusTotal sont exécutés automatiquement dans un environnement sécurisé (sandbox). Les actions effectuées par le fichier sont enregistrées ici afin d’avoir un aperçu du comportement du fichier
  • Content : aperçu du contenu du fichier en fonction du type de fichier (pdf, docx, etc.) (fonctionnalité disponible uniquement pour les clients Entreprise)
  • Submissions : liste détaillée des soumissions du fichier avec des informations telles que les pays d’origine et les dates (fonction disponible uniquement pour les clients Entreprise)
  • Community : les commentaires des membres de la communauté VirusTotal
  • Liste des analyses avec l’évolution des détections et la possibilité de cliquer sur Analyses précédentes (fonction disponible uniquement pour les clients Entreprise)
  • Pour copier les détections sous forme de texte brut dans le presse-papiers (fonction disponible uniquement pour les clients Entreprise)
merci à :

lecrabeinfo.net

Quitter la version mobile