Saltar al contenido

¿Cómo comprueban los escáneres antivirus en VirusTotal si un archivo es malicioso o no y qué tan confiable es su informe?

Intenta comprender el código bien previamente a adaptarlo a tu trabajo y si tquieres aportar algo puedes comentarlo.

Solución:

anuncio 1: Eso lo hace cargue su archivo, pero solo si no se conoce el hash. Como primera cosa, una parte de Javascript calculará un hash criptográfico (SHA-256 si no recuerdo mal, pero podría estar equivocado) y lo envía. Entonces, el motor, en lugar de escanear, busca el hash en una base de datos ya hecha. Solo si no está presente, o si insiste, cargará el archivo real.
¿Qué tan seguro es esto? Casi al 100%, o lo más cerca que puedas. Las probabilidades de que su archivo tenga el mismo hash que un archivo ya escaneado, pero no es el mismo archivo son diminutos. No del todo cero, es cierto, pero tan bueno como.

anuncio 2: No hace mucho de una declaración en absoluto por sí mismo, aparte de “no se encontraron problemas” si hubiera cero hits reportados. Lo que hace es ejecutar entre 60 y 70 escáneres diferentes, algunos de los cuales son bien conocidos y otros de los que nunca he oído hablar, y muestra su salida. Que, a veces, contiene false positivos, y que muy bien pueden contener false negativos. Se está cuestionando la utilidad real de los escáneres de virus, pero lamentablemente es lo mejor que puede obtener. Al menos, los escáneres de virus detectan bien conocido amenazas relativamente bien.
Además, está la cosa de la comunidad donde los usuarios pueden dar calificaciones, pero todo se reduce a confiar en un tipo desconocido en Internet, así que … bleh.

anuncio 3: Difícilmente. La mejor alternativa es nunca ejecutar programas de origen desconocido o incluso dudoso. Cualquier otra cosa es leer hojas de té. Claro, algunos leen las hojas de té mejor que otros, pero todavía solo están leyendo las hojas de té. El análisis dinámico existe, prácticamente todos los software AV de escritorio lo tienen hoy en día (ejecutando la mayoría de las llamadas del sistema a través de una biblioteca proxy), pero es cuestionable si realmente hace algo útil además de quemar CPU masiva. Virus Total quizás algo mejor en la medida en que ejecuta una gran cantidad de escáneres. No se sabe si eso realmente aumenta la seguridad. Si lo piensa: suponiendo que los escáneres que se ejecutan son Realmente valga la pena, entonces uno solo de ellos debería ser suficiente. Por otro lado, si no valen la pena, ¿qué valor se agrega al ejecutar más de ellos? Citando una vieja sabiduría: si no agrega nada a nada, la suma sigue siendo bastante pequeña. O, como se indica en Fidelio: “Nada, si a nada le añades aire”.

Si tiene un archivo de un presumiblemente sitio confiable, y tú tienes cero golpea VT, entonces probablemente, por lo general, es bastante seguro. Si conserva el archivo durante dos semanas y vuelve a escanearlo dos semanas después, mejor aún (suponiendo que, mientras tanto, se conozca una nueva amenaza). Eso es lo que estoy haciendo, y lo he hecho años antes de que existiera VirusTotal; hasta ahora funciona muy bien (o, parece ser funciona, es posible que tenga malware que no conozco). Al final tu Nunca estar seguro.

Acerca del análisis dinámico

Eso no está sucediendo. Puede deducir qué tipo de análisis está haciendo VirusTotal a partir de su pantalla. Es casi seguro que no es solo un reenvío de hashes a algún otro servicio (como se sugiere en un comentario) debido al tiempo que lleva escanear y porque los archivos de definición no siempre están sincronizados (de hecho, la mayoría de las veces no lo están) con las herramientas de los fabricantes. También puede descomprimir y volver a empaquetar un archivo ZIP (lo que casi con certeza da como resultado un archivo no idéntico), y se escaneará sin problemas. ¿Cómo funcionaría eso si solo se entregan hashes? No lo haría … pero lo hace. Eso, y el hecho de que a veces uno u otro escáner no puede abrir un archivo, indica que real el escaneo ocurre.
Puedes deducir que lo hacen static coincidencia de firmas y escaneo heurístico porque la coincidencia de firmas es lo que cada AV lo hace y lo ha estado haciendo durante más de 30 años de forma predeterminada, y el análisis heurístico es lo que la mayoría (si no todos) los escáneres hacen de forma predeterminada durante al menos 20 años también.

Por otro lado, puede estar bastante seguro de que no se realiza ningún análisis dinámico porque eso prohíbe y poco práctico para un servicio web. Para realizar un análisis dinámico, debe ejecutar el binario en un entorno seguro (emulador, máquina virtual o similar) que proporcione un sistema operativo completo para que se ejecute el binario, y que pueda adaptarse a los requisitos de memoria y CPU de un dispositivo aleatorio. cantidad de programas desconocidos a priori. Eso es poco realista. Además, existe un riesgo muy importante al ejecutar software desconocido que podría funcionar básicamente todo incluida la ejecución de servicios de malware dentro de la VMo saliendo de la máquina virtual. Ya sabe, por ejemplo, un navegador web o un cliente de correo necesita acceso a Internet para funcionar correctamente. ¿Cómo se proporciona eso sin además otorgando acceso a Internet a cualquier malware que ejecute? A Google (el propietario de VirusTotal) ciertamente no le gustaría ser acusado de ejecutar servicios de malware.
Por último, debe tener una cobertura del 100% para estar seguro (de lo contrario, el análisis es bastante inútil, el malware no necesariamente hace su trabajo al iniciar el programa), por lo que necesita un humano o el robot de fuzzing más avanzado del mundo para proporcionar entrada al programa para que tome todas las rutas posibles. Haga eso para un servicio web que tal vez diez millones de personas usan todos los días, y a nadie le gusta esperar más de un minuto o dos por los resultados, buena suerte.

Recuerda que tienes la capacidad de decir si te fue útil.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)



Utiliza Nuestro Buscador

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *