Reading Time: 5 minutes

Cinco soluções de Antivírus baseadas na Cloud. Devo submeter um ficheiro malicioso sem pensar em potenciais consequências e riscos?

Uma verificação de vírus e malware on-line e gratuita tornou-se um aliado para a proteção e identificação de novas ameaças emergentes, uma vez que toda a comunidade pode contribuir com feedback (positivo ou negativo) e classificações sobre o tipo de ameaça (ratings).

O modo operandis deste tipo verificação de vírus difere do programa tradicional de verificação de vírus instalado no seu computador, porque todo o trabalho é feito sobre um serviço na Cloud.

Este tipo de serviços são todos um pouco diferentes. Algums permitem o carregamento de um ficheiro para verificação e validação, outros apenas verificam hiperligações potencialmente maliciosas, e outros até possuem plugins para os navegadores de Internet.

As soluções de antivírus (AV) online são excelentes opções para verificações se a instalação de um programa do tipo standlone não for uma opção por algum motivo. No entanto, eles devem ser usados frequentemente como uma camada extra de proteção, pois são serviços totalmente gratuitos, atualizados e oferecem  feedback da comunidade sobre novas ameaças — uma caraterística importante relativamente ao número de ameaças cada vez mais sofisticadas.

 

VirusTotal

No vírus total é possível efetuar o carregamento de um ficheiro específico para que ele seja verificado por vários mecanismos de AV. É também possível inserir uma URL para que o AV rastreie uma página inteira na tentativa de identificar código potencialmente malicioso.
Ficheiros ZIP e RAR também podem ser carregados, mas o tamanho máximo aceitável para qualquer tipo de ficheiro (seja ele .ZIP, .EXE, etc.) é de 256 MB.
Está também disponível uma extensão para o navegador de Internet para utilizadores do Google Chrome, Firefox e Internet Explorer que permite que os URLs sejam verificados a partir do menu do botão direito — isto é uma valiosa feature uma vez que um URL pode ser verificado antes de ser descarregado ou visitado.
Visitar o VirusTotal: https://www.virustotal.com

 

 

MetaDefender Cloud

 

O MetaDefender Cloud (anteriormente chamado de Metascan Online) é um website que permite que ficheiros de até 140 MB sejam enviados e verificados em mais de 30 mecanismos antivírus diferentes ao mesmo tempo, incluindo aqueles usados por fornecedores conhecidos como Microsoft, Kaspersky, McAfee e AVG.

Além de enviar um ficheiro para o MetaDefender Cloud, ele também pode verificar endereços IP,  hash  keys e URLs.

Os resultados são realmente fáceis de entender; uma marca de seleção verde e brilhante é colocada ao lado de cada mecanismo antivírus que identifica um ficheiro como seguro e uma marca vermelha com o nome do vírus, caso seja considerado malicioso.

Há também uma extensão do Chrome pronta a ser instalada para verificar downloads.

Visitar o MetaDefender Cloud: https://metadefender.opswat.com

 

Avira

 

O antivírus on-line da Avira usa o mesmo mecanismo antivírus que o popular programa Avira AntiVirus para verificar ficheiros e URLs enviados por meio de um formulário on-line.

O formulário solicita detalhes de contacto do utilizador para que o URL dos resultados possa ser enviado via e-mail. Um máximo de cinco ficheiros de tamanho até 50 MB cada pode ser carregado.

Visite o Avira: https://analysis.avira.com/en/submit

 

Jotti’s Malware Scan

Mais de 20 mecanismos antivírus são usados ​​para verificar até cinco ficheiros de uma só vez (com um limite de 100 MB para cada um).

A data e o status de detecção de verificação de cada mecanismo antivírus são mostrados numa lista de fácil leitura para que se percebam de forma clara quais deles classificaram, ou não, o ficheiro como perigoso.

O Jotti.org também inclui uma funcionalidade de pesquisa baseada em hash, caso não seja desejado efetuar o carregamento do ficheiro malicioso. Isso só funcionará seo ficheiro malicioso tiver sido verificado pelo Jotti.org em uma data anterior.

Visite o Jotti’s Malware Scan: https://virusscan.jotti.org

 

FortiGuard Online Virus Scanner

O FortiGuard Online Virus Scanner é também um sistema rápido para verificação de ficheiros potencialmente maliciosos.

Depois de fazer o carregamento do ficheiro, deve ser insirido o nome e endereço de e-mail do utilizador, caso a FortiGuard precisem enviar uma mensagem sobre o ficheiro. Depois de enviar o ficheiro para revisão, os resultados aparecerão na página.
Os ficheiros carregados estão limitados a 1 MB.
Visite o FortiGuard Online Virus Scanner: https://www.fortiguard.com/faq/onlinescanner

Enviar ficheiros via e-mail

Em vez de um addon no navegador de Internet ou um formulário, podem ser usados os endereços de e-mail listados abaixo para submeter ficheiros suspeitos a verificações deste tipo de AV baseados na Cloud. Os resultados de uma verificação de vírus são enviados por e-mail para o remetente.

Em baixo, segue uma listagem ordenada pela rapidez de análise do serviço:
VirusTotal: [email protected]
Os ficheiros enviados para o VirusTotal podem ter até 32 MB. Digite “SCAN” no subject  do e-mail para obter uma resposta automática em formato de texto simples ou “SCAN + XML” para o formato XML.
MetaDefender Cloud: [email protected]
Pode enviar e-mails suspeitos para o MetaDefender Cloud e obter uma resposta ASAP na sua caixa de e-mail.
Sophos: [email protected]
Digite “Sample submitted for analysis” como assunto do email. Deve proteger os ficheiros compactados (.ZIP ou .RAR) e escrever a palavra-passe no corpo do e-mail. Os ficheiros serão analisados por uma pessoa real que enviará os resultados o mais breve possível.
Para enviar ficheiros para a Avira, compacte-os e especifique a palavra-passe no email. Irá receber uma resposta automática com os resultados, além de um URL que armazena todas as verificações que eles já reportaram para o seu endereço de e-mail.
Empacote os ficheiros num ficheiro ZIP ou RAR protegido por palavra-passe e inclua a palavra-passe no email. Irá receber uma resposta simples que diz se os ficheiros estão limpos ou não.
Empacote os ficheiros em formato .ZIP e adicione uma palavra-passe (“infected”, como palavra-passe) .
Norman Safeground: [email protected]
Empacote os ficheiros em formato .ZIP e adicione uma palavra-passe (“infected”, como palavra-passe) .

Devo submeter um ficheiro malicioso, ou não? A  informação embebida num malware especialmente criado.

Mas devemos, por exemplo, “pegar num PE FIle potencialmente malicioso, e submete-lo a uma análise e verificação desta natureza“?

A minha resposta é um nim, pois caso um malware tenha infetado a sua máquina, ele pode ter recolhido informações pessoais — informações sobre a sua infraestrutura (caso tenha sido identificado dentro de uma infraestrutura corporativa) e depois da análise, o relatório é disponibilizado publicamente; qualquer pessoa poderá aceder aos IOCs e encontrar informação privada, como p.ex., palavras-passes. endereços de IP, endereços de e-mails, etc.

Se desejar efetuar um varrimento online de um malware ou ficheiro, pode simplesmente efetuar o seguinte processo como primeira medida:

  1. Obtenha o md5sum do ficheiro em primeiro lugar. Num sistema operativo Linux pode ser feito através do seguinte comando:

    $> md5sum botnet1.png 
    0ae07b81429c419c76fb3b87ba9a835e  botnet1.png

     

  2. Em seguida, deverar colocar a hash MD5 gerada num dos AVs de Cloud apresentados anteriormente, p.ex., o VirusTotal (uma vez que suporta este tipo de pesquisas baseados em hash).

 

Seja prudente, pois o uso desadequado poderá expor demasiada informação sobre si, ou sobre a infraestrutura. Se não ficou totalmente convencido, pense num tipo de malware especialmente criado para atacar a infraestrutura da sua organização.

Ele possui hardcoded alguns endereços de IPs internos da sua infraestrutura, os nomes de alguns portais, e alguns e-mails corporativos de forma a tentar autenticar-se em serviços internos — imagine que foi desenvolvido por alguém com conhecimento sobre o ecossistema da organização.

Uma vez que estas informações estão embebidas no malware, ao analisá-lo publicamente neste tipo de serviços, os endereços de IPs, os e-mails, e toda a informação estará disponível para a comunidade.

Se suspeitar que o ficheiro que pretende analisar poderá comprometer a sua privacidade ou a da organização, talvez seja uma melhor ideia efetuar este processo de dissecação de forma off-line, p.ex., através de um processo de reverse engineering e malware analysis utilizando, para esse fim, ferramentas para o devido propósito num ambiente totalmente controlado.

 

 

Powered by RISEMA


risema

Este artigo é patrocinado pela RISEMA, uma empresa da área da informática fundada em 1992 e com soluções para micro, pequenas e médias empresas.

 

Pedro Tavares is a professional in the field of information security, working as an Ethical Hacker, Malware Analyst, Cybersecurity Analyst and also a Security Evangelist. He is also a founding member and Pentester at CSIRT.UBI and founder of the security computer blog seguranca-informatica.pt.

In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, hacking, cybersecurity, IoT and security in computer networks.  He is also Freelance Writer.

Read more here.