Door W. Spu:
Ik ben bekend met de tools voor VirusTotal en ken ook de mogelijkheden van Process Explorer om een hash van een process te controleren op VirusTotal maar dan moet de malware al op een systeem staan. Ook is de behavioural information van VirusTotal vrij beperkt t.o.v. bijvoorbeeld die van Malwr.com. Als de malware bijvoorbeeld malicious code in het msiexec.exe proces injecteerd om daarmee het systeem verder te besmetten zie je dit niet op VirusTotal.com.
OK. Het leek mij dat wanneer een bestand bekende malicious code bevat, in welke vorm dan ook, dat zoiets in de meeste gevallen wel uit de bus zal komen door de url van het downloadable bestand bijv. via een VT-tool naar VirusTotal te zenden. Virustotal onderzoekt dan of de inhoud van het bestand achter de url aanslaat op hun selectie van virusscanners.
Het bewuste bestand hoeft in dit geval dus niet op je eigen systeem te staan.
Overigens wat sommigen (velen?) niet kennen, is dat Virustotal best nog wel veel info geeft, maar een beetje verstopt.
Als namelijk de opgegeven URL specifiek naar een downloadable bestand op een website wijst,
dan kun je met één muisklik ook de virusscanner-analyse van dat bestand opvragen.
De nieuwe window waarin deze informatie wordt weergegeven bestaat vervolgens weer uit meerdere tabs, te weten:
Analyse (Analysis) (deze is geselecteerd), Bestandsgegevens(Item-detail), Aanvullende informatie(Additional info),
Reacties(Comments), Stemmen (Votes) en Gedragsinformatie (behavioural-info).
Kwestie van de juiste tab aanklikken om deze info tevoorschijn te toveren. (lukt alleen als javascript aan staat)
(Dit beantwoordt waarschijnlijk ook de vraag van Erik van Straten over de laatste url in de post van 20-12-2014, 00:11 door Erik van Straten?)
Voor wie meer willen: Lenny Zeltser geeft op deze website een startpunt inclusief lijstje met M.A.S.:
http://zeltser.com/reverse-malware/automated-malware-analysis.htmlDoe er je voordeel mee.
Mvg, cluc-cluc