image

VirusTotal Scanner nu ook voor de desktop

donderdag 18 oktober 2012, 13:53 door Redactie, 10 reacties

VirusTotal.com is een handige website voor het scannen van verdachte bestanden door ongeveer 40 verschillende virusscanners, maar voor wie sneller antwoord wil of een bestand verdacht is, is er ook een desktop-versie. Normaliter moeten gebruikers van de dienst eerst een bestand uploaden, wat vervolgens wordt gecontroleerd. Dat kan de nodige tijd in beslag nemen, zeker als het aantal gelijktijdige gebruikers groot is.

SecurityExploded ontwikkelde een 'offline' versie, die een hash van het verdachte bestand maakt en dit naar VirusTotal stuurt. Hierdoor kan de website veel sneller bepalen of een bestand verdacht is of niet. De Virustotal Scanner tool is ook in het contextmenu van Windows te verwerken, zodat bestanden met een rechtermuisklik te controleren zijn.

Controle
VirusTotal biedt een API aan waarmee ontwikkelaars de dienst ook in andere software kunnen integreren. Nergens op de officiële website wordt SecurityExploded echter genoemd. Security.nl liet de Virustotal Scanner door de VirusTotal website controleren. Alleen ESET slaat alarm en stelt dat het om 'Win32/SecurityXploded.A' gaat. Een verdere classificering van wat voor soort dreiging is wordt echter niet gegeven.

Onlangs werd VirusTotal nog door Google overgenomen.

Reacties (10)
18-10-2012, 14:04 door Anoniem
Eens maar het nadeel van Virustotal is dat als een bestand veilig wordt verklaard omdat er niks ontdekt wordt tot het moment dat er wel iets ontdekt wordt.

Iedereen een vals gevoel van veiligheid kan krijgen.

Er kan de grootste rotzooi inzitten zonder dat virustotal alarm geeft...

En intussen is de volgende versie vh bestand al weer gedownload...
18-10-2012, 14:19 door Anoniem
Virustotal heeft zelf ook al zo een tool. Deze kan exact het zelfde:
https://www.virustotal.com/documentation/desktop-applications/
18-10-2012, 14:21 door 0101
Handig, alleen vraag ik me wel af wat 'ie doet als het bestand niet recent gescand is op VT. Uploadt 'ie dan het hele bestand?

Overigens is het met nieuwe webtechnologieën al mogelijk om de hash van bestanden te berekenen zonder ze te uploaden (https://md5file.com/calculator).
18-10-2012, 15:23 door Spiff has left the building
Door Redactie:
voor wie sneller antwoord wil of een bestand verdacht is, is er ook een desktop-versie. Normaliter moeten gebruikers van de dienst eerst een bestand uploaden, wat vervolgens wordt gecontroleerd. Dat kan de nodige tijd in beslag nemen, zeker als het aantal gelijktijdige gebruikers groot is.
SecurityExploded ontwikkelde een 'offline' versie, die een hash van het verdachte bestand maakt en dit naar VirusTotal stuurt. Hierdoor kan de website veel sneller bepalen of een bestand verdacht is of niet.

Voor de duidelijkheid, VirusTotal biedt al een desktop applicatie, VirusTotal Uploader:
https://www.virustotal.com/documentation/desktop-applications/
De naam zegt het al, die upload de te scannen bestanden naar VirusTotal.

De 'SecurityXploded VirusTotalScanner doet het anders, door een hash van het verdachte bestand naar VirusTotal te sturen, maar het is dus niet zo dat er nog geen desktop applicatie bestond.
18-10-2012, 15:30 door Anoniem
"De 'SecurityXploded VirusTotalScanner doet het anders, door een hash van het verdachte bestand naar VirusTotal te sturen, maar het is dus niet zo dat er nog geen desktop applicatie bestond."

Er is wel een wereld van verschil, want wil je het hele document delen met tientallen partijen ? Wat dat betreft lijkt deze tool vele malen beter dan het origineel voor wat betreft confidentiality.
18-10-2012, 15:57 door Anoniem
Een VT tool die niets upload behalve de hash bestond ook al langer:
http://www.boredomsoft.org/vt-hash-check.bs
18-10-2012, 16:10 door Anoniem
De site die de tool host ziet er in mijn ogen dodgy uit. Prominent zie je de download voor de site's toolbar in plaats van die van de betreffende file. Verder staat er nergens vermeld welke file je download. Dat laatste zal veroorzaakt worden door de deep link naar de download pagina, maar toch...
19-10-2012, 00:13 door Anoniem
Door Anoniem: Eens maar het nadeel van Virustotal is dat als een bestand veilig wordt verklaard omdat er niks ontdekt wordt tot het moment dat er wel iets ontdekt wordt.

Iedereen een vals gevoel van veiligheid kan krijgen.

Er kan de grootste rotzooi inzitten zonder dat virustotal alarm geeft...

En intussen is de volgende versie vh bestand al weer gedownload...



Dat is met alles zo, dus ook jouw eigen virusscanner als je die hebt draaien.
Het eeuwige kat en muis spel zullen we maar zeggen.
Stel ik ben een malware schrijver, en AV-vendor X heeft gelijk een signature klaar
dat zou betekenen dat niemand ooit meer besmet zou kunnen raken toch.

Fabrikant X maakt een nieuwe auto, en na een half jaar komen de "bugs" tevoorschijn.

Alles wat eigelijk op de markt komt, (en niet goed genoeg is getest) is een soort van Alpha versie, en dan nog
zit er altijd een risco aan.

Ooit is het wiel opgevonden, en daarna komen de aanpassingen en verbeteringen en dat geld gewoon voor alles.


Dat weten we allemaal wel, dus waarom hier een post aan besteden?
19-10-2012, 00:43 door Anoniem
Door Anoniem: Eens maar het nadeel van Virustotal is dat als een bestand veilig wordt verklaard omdat er niks ontdekt wordt tot het moment dat er wel iets ontdekt wordt.

Iedereen een vals gevoel van veiligheid kan krijgen.

Er kan de grootste rotzooi inzitten zonder dat virustotal alarm geeft...

En intussen is de volgende versie vh bestand al weer gedownload...



Dat is met alles zo, dus ook jouw eigen virusscanner als je die hebt draaien.
Het eeuwige kat en muis spel zullen we maar zeggen.
Stel ik ben een malware schrijver, en AV-vendor X heeft gelijk een signature klaar
dat zou betekenen dat niemand ooit meer besmet zou kunnen raken toch.

Fabrikant X maakt een nieuwe auto, en na een half jaar komen de "bugs" tevoorschijn.

Alles wat eigelijk op de markt komt, (en niet goed genoeg is getest) is een soort van Alpha versie, en dan nog
zit er altijd een risco aan.

Ooit is het wiel opgevonden, en daarna komen de aanpassingen en verbeteringen en dat geld gewoon voor alles.


Dat weten we allemaal wel, dus waarom hier een post aan besteden?
19-10-2012, 08:20 door Righard J. Zwienenberg
Door Anoniem: De site die de tool host ziet er in mijn ogen dodgy uit. Prominent zie je de download voor de site's toolbar in plaats van die van de betreffende file. Verder staat er nergens vermeld welke file je download. Dat laatste zal veroorzaakt worden door de deep link naar de download pagina, maar toch...

De detectie Win32/SecurityXploded.A is een generieke detectie voor verschillende producten van SecurityXploded.
Meerdere van deze them (passwords viewers/decryptors) worden gebruikt door malware die we daarom detecteteren.

De detctie is aangepast (per volgende update) om de VirusTotalScanner niet te detecteren,
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.