Hoy en día en la internet una persona se puede encontrar con gran variedad de software, no obstante en este mundo digital existen personas con malas intenciones que crean software infectados con malware, lo que nos puede generar serios problemas en el equipo/dispositivos que fue instalada dicha aplicación, y comprometer nuestros datos y nuestra privacidad.
Teniendo estos riegos latentes es importante ser cuidadoso sobre las aplicaciones/software que dispongamos a instalar, es por ello que hoy te presento a VirusTotal una herramienta que te puede ser de mucha ayuda para analizar archivos y otros elementos.
¿Qué es VirusTotal?
Lo primero que hay que tener en cuenta es que VirusTotal no es un antivirus, sino una herramienta online de detención de malware.
VirusTotal es una herramienta(Plataforma) online muy fácil de usar y totalmente gratuita (Aunque cuenta con una herramienta empresarial «VirusTotal Enterprise» que brinda servicios premium), creada en España, que nos permite analizar archivos sospechosos haciendo uso de una gran variedad de antivirus, y nos ayuda a conocer al detalle para cuales de eso antivirus, ese archivo en cuestión a sido considerado como una amenaza y cuales los creen inofensivo. Cabe destacar que esta herramienta fue adquirida por Google Inc. en septiembre de 2012 y en Enero del 2018 se une a Chronicle.
¿Cómo Funciona VirusTotal?
VirusTotal cuenta con tres escáneres principales que nos permiten analizar archivos sospechosos, URLs, dominios entre otros.
- Escáner por Archivo: Por este medio se puede subir desde el ordenador/dispositivo el archivo en cuestión para ser analizado. Cabe destacar que aunque esta herramientas se usa más que todo para analizar software con extensiones tipo .exe, .apk… también se puede usar para analizar gran variedad de otros archivos como .rar, .zip, .docx, .pdf, .xlsx, por citar algunos.
- Escáner por URL: Por medio de esta opción se puede escanear un archivo que se encuentre alojado en la internet. Supongamos que tienes el enlace de un archivo que quieres descargar, pero estas inseguro de descargarlo, puedes usar esta opción y copiar en enlace del archivo y darle al icono de buscar.
- Escáner por Dominio/Dirección IP/Hash (Búsqueda): Esto es útil para escanear un sitio web en concreto sabiendo el dominio del mismo. También se puede escanear una ip sospechosa. Y por otro lado si cuentas con el hash obtenido bien sea de una análisis anterior(Virustotal recuerda los resultados del análisis de todos los archivos comprobados) o que te hayan facilitado el hash, para comprobar el archivo por su hash único, también puedes usar en esta opción.
Algunos Aspectos de VirusTotal a Tener en Cuenta
Para realizar las inspecciones VirusTotal cuenta con más de 70 escáneres antivirus y servicios de listas negras de URL / dominios, además de una variedad de herramientas para extraer señales del contenido estudiado.
A parte de ello VirusTotal ofrece varios métodos para realizar los análisis, como lo es la interfaz web pública principal, las aplicaciones de escritorio, las aplicaciones móviles, las extensiones del navegador y una API programática. Pero es importante saber que la mayor prioridad de escaneo entre los métodos de envió públicos, la tiene la interfaz web. Es importante acotar que la herramienta solo permite subir para el análisis archivos de máximo 650MB.
Algo muy interesante es que al enviar un archivo o URL, los resultados básicos se comparten con el remitente y también entre los socios examinadores, quienes utilizan los resultados para mejorar sus propios sistemas. Como resultado, al escanear un archivos, URL, dominios, etc. a VirusTotal, está contribuyendo a elevar el nivel de seguridad de TI global.
Y es que los datos agregados de VirusTotal son el resultado de muchos motores antivirus diferentes, escáneres de sitios web, herramientas de análisis de archivos y URL, y contribuciones de los usuarios. Las herramientas de caracterización de archivos y URL con que cuenta la herramienta cubren una amplia gama de propósitos: motores heurísticos, firmas defectuosas conocidas, extracción de metadatos, identificación de señales maliciosas, etc..
La comunidad de VirusTotal, es el medio mediante la cual los usuarios pueden contribuir comentando archivos y URL, y compartiendo notas entre ellos, esta información puede ser útil para saber más acerca del archivo/URL en cuestión. Ayuda a detectar contenido malicioso y también nos ayuda a identificar falsos positivos (elementos normales e inofensivos detectados como maliciosos por uno o más escáneres).
Otra cosa a tener en cuanta es que VirusTotal actualiza con frecuencia las firmas de malware, lo que garantiza que el servicio utilice los conjuntos de firmas más recientes. El escaneo de sitios web se realiza en algunos casos consultando las bases de datos de proveedores que se han compartido con VirusTotal y almacenadas en sus instalaciones, y en otros casos mediante consultas de API a la solución de una empresa de antivirus. Por ello, tan pronto como un colaborador determinado incluye una URL en la lista negra, se refleja inmediatamente en los veredictos de cara al usuario.
¿Cómo Evaluar los Resultados de VirusTotal?
VirusTotal no solo le dice si una determinada solución antivirus detectó un archivo enviado como malicioso, sino que también muestra la etiqueta de detección de cada motor (por ejemplo, HackTool:Win32/KMSAuto.5b84851e). Lo mismo ocurre con los escáneres de URL, la mayoría de los cuales discriminarán entre sitios de malware, sitios de phishing, sitios sospechosos, etc.. Algunos motores proporcionarán información adicional, indicando explícitamente si una URL determinada pertenece a una botnet en particular, cuya marca está dirigida por un lado el sitio de phishing, y así sucesivamente.
Por otro lado algunos de los escáneres son muy sensibles, y pueden reporta un archivo como sospecho aún siendo este inofensivo, y esto es debido a que la mayormente la heurística incorporada de un escáner de virus puede clasificar incluso los componentes de código más pequeños como una amenaza o también aplicaciones muy contaminados con elementos publicitarios.
Ahora bien, una manera práctica de evaluar estos resultados puede ser la siguiente, si, por ejemplo uno o unos pocos(3-5) escáneres informan de la sospecha de un virus, esto podría ser un falso positivo. Más sin embargo, debes tener cuidado de no utilizar el archivo al principio y luego ejecutar el análisis nuevamente al día siguiente. Esto porque tal vez sea un virus nuevo y aún las mayorías de los fabricantes de antivirus no conocen de este nuevo malware. Así que hay que dar algo de tiempo a los fabricantes para que investiguen más de cerca esta sospecha de malware en cuestión.
Por otro lado si más escáneres empiezan a arrojar resultado de malware para el archivo/url durante la verificación al día siguiente, lo más seguro es que se trate de un virus. Si el número permanece igual, probablemente sea solo un falso positivo.
Herramientas Disponibles de VirusTotal
Con el tiempo VirusTotal a creado varias herramientas para diferentes plataformas y actualmente se encuentra disponible para dispositivos móviles, ordenadores y también existen extensiones de navegadores. Se debe recordar que este servicio funciona aquí como una segunda opinión. No puede reemplazar una aplicación antivirus permanente. Para esto, sin embargo, Virustotal Mobile verifica todas las aplicaciones instaladas. Alrededor de 50 escáneres están disponibles en Virustotal para este propósito.
- Aplicaciones de escritorio: https://support.virustotal.com/hc/en-us/articles/115002179065-Desktop-Apps
- Aplicaciones móviles: https://support.virustotal.com/hc/en-us/articles/115002146549-Mobile-Apps
- Extensiones de navegador: https://support.virustotal.com/hc/en-us/articles/115002700745-Browser-Extensions
Las páginas se encuentran en inglés, pero solo basta con usar el traductor del navegador y listo.
Conclusión
Como usuario de la herramienta puedo decir que VirusTotal es un herramientas muy útil a la hora de analizar archivos sospechosos o URL de la cuál tengamos sospechas. La he implementado con aplicaciones .apk que he descargado de forma externa para corroborar que no estén infectadas, los mismo aplica para software de obtengo a través de internet.
En lo personal me parece una herramienta muy fácil y práctica de usar, que cuenta para el análisis con los motores de grandes marcas reconocidas de fabricación de antivirus a nivel mundial.
Es un software libre para los usuarios finales que aunque trabaja con motores que pertenecen a muchas organizaciones diferentes, VirusTotal no distribuye ni promociona ninguno de esos motores de terceros. Esto hace que que la herramienta ofrezca un servicio objetivo e imparcial.
Nos permite analizar archivos descargados de diferentes extensiones, incluso si contamos con el enlace de descarga del archivo nos permite analizarlo antes de descárgalo.
El análisis de los archivos es realmente rápido, aunque aquí influye el tamaño del archivo, pero en general suele ser muy rápido.
Debido a que Virustotal recuerda los resultados del análisis de todos los archivos comprobados a través de un Hash único, podemos guardar este hash para realizar posteriores análisis de un mismo archivo sin necesidad de volverlo a cargar.
En definitiva es una herramienta que si bien no reemplaza a un antivirus porque VirusTotal no es un antivirus, nos sirve como complemento del antivirus que tengamos instalado. Debido a que puede ser que nuestro antivirus aún no haya detectado un nuevo malware pero que otros sí, y esto nos ayudaría a prevenir una infección.