Uma verificação de vírus e malware on-line e gratuita tornou-se um aliado para a proteção e identificação de novas ameaças emergentes, uma vez que toda a comunidade pode contribuir com feedback (positivo ou negativo) e classificações sobre o tipo de ameaça (ratings).
O modo operandis deste tipo verificação de vírus difere do programa tradicional de verificação de vírus instalado no seu computador, porque todo o trabalho é feito sobre um serviço na Cloud.
Este tipo de serviços são todos um pouco diferentes. Algums permitem o carregamento de um ficheiro para verificação e validação, outros apenas verificam hiperligações potencialmente maliciosas, e outros até possuem plugins para os navegadores de Internet.
As soluções de antivírus (AV) online são excelentes opções para verificações se a instalação de um programa do tipo standlone não for uma opção por algum motivo. No entanto, eles devem ser usados frequentemente como uma camada extra de proteção, pois são serviços totalmente gratuitos, atualizados e oferecem feedback da comunidade sobre novas ameaças — uma caraterística importante relativamente ao número de ameaças cada vez mais sofisticadas.
VirusTotal
MetaDefender Cloud
O MetaDefender Cloud (anteriormente chamado de Metascan Online) é um website que permite que ficheiros de até 140 MB sejam enviados e verificados em mais de 30 mecanismos antivírus diferentes ao mesmo tempo, incluindo aqueles usados por fornecedores conhecidos como Microsoft, Kaspersky, McAfee e AVG.
Além de enviar um ficheiro para o MetaDefender Cloud, ele também pode verificar endereços IP, hash keys e URLs.
Os resultados são realmente fáceis de entender; uma marca de seleção verde e brilhante é colocada ao lado de cada mecanismo antivírus que identifica um ficheiro como seguro e uma marca vermelha com o nome do vírus, caso seja considerado malicioso.
Há também uma extensão do Chrome pronta a ser instalada para verificar downloads.
Visitar o MetaDefender Cloud: https://metadefender.opswat.com
Avira
O antivírus on-line da Avira usa o mesmo mecanismo antivírus que o popular programa Avira AntiVirus para verificar ficheiros e URLs enviados por meio de um formulário on-line.
O formulário solicita detalhes de contacto do utilizador para que o URL dos resultados possa ser enviado via e-mail. Um máximo de cinco ficheiros de tamanho até 50 MB cada pode ser carregado.
Visite o Avira: https://analysis.avira.com/en/submit
Jotti’s Malware Scan
Mais de 20 mecanismos antivírus são usados para verificar até cinco ficheiros de uma só vez (com um limite de 100 MB para cada um).
A data e o status de detecção de verificação de cada mecanismo antivírus são mostrados numa lista de fácil leitura para que se percebam de forma clara quais deles classificaram, ou não, o ficheiro como perigoso.
O Jotti.org também inclui uma funcionalidade de pesquisa baseada em hash, caso não seja desejado efetuar o carregamento do ficheiro malicioso. Isso só funcionará seo ficheiro malicioso tiver sido verificado pelo Jotti.org em uma data anterior.
Visite o Jotti’s Malware Scan: https://virusscan.jotti.org
FortiGuard Online Virus Scanner
O FortiGuard Online Virus Scanner é também um sistema rápido para verificação de ficheiros potencialmente maliciosos.
Enviar ficheiros via e-mail
Em vez de um addon no navegador de Internet ou um formulário, podem ser usados os endereços de e-mail listados abaixo para submeter ficheiros suspeitos a verificações deste tipo de AV baseados na Cloud. Os resultados de uma verificação de vírus são enviados por e-mail para o remetente.
Os ficheiros enviados para o VirusTotal podem ter até 32 MB. Digite “SCAN” no subject do e-mail para obter uma resposta automática em formato de texto simples ou “SCAN + XML” para o formato XML.
Pode enviar e-mails suspeitos para o MetaDefender Cloud e obter uma resposta ASAP na sua caixa de e-mail.
Digite “Sample submitted for analysis” como assunto do email. Deve proteger os ficheiros compactados (.ZIP ou .RAR) e escrever a palavra-passe no corpo do e-mail. Os ficheiros serão analisados por uma pessoa real que enviará os resultados o mais breve possível.
Devo submeter um ficheiro malicioso, ou não? A informação embebida num malware especialmente criado.
Mas devemos, por exemplo, “pegar num PE FIle potencialmente malicioso, e submete-lo a uma análise e verificação desta natureza“?
A minha resposta é um nim, pois caso um malware tenha infetado a sua máquina, ele pode ter recolhido informações pessoais — informações sobre a sua infraestrutura (caso tenha sido identificado dentro de uma infraestrutura corporativa) e depois da análise, o relatório é disponibilizado publicamente; qualquer pessoa poderá aceder aos IOCs e encontrar informação privada, como p.ex., palavras-passes. endereços de IP, endereços de e-mails, etc.
Se desejar efetuar um varrimento online de um malware ou ficheiro, pode simplesmente efetuar o seguinte processo como primeira medida:
- Obtenha o md5sum do ficheiro em primeiro lugar. Num sistema operativo Linux pode ser feito através do seguinte comando:
$> md5sum botnet1.png 0ae07b81429c419c76fb3b87ba9a835e botnet1.png
- Em seguida, deverar colocar a hash MD5 gerada num dos AVs de Cloud apresentados anteriormente, p.ex., o VirusTotal (uma vez que suporta este tipo de pesquisas baseados em hash).
Seja prudente, pois o uso desadequado poderá expor demasiada informação sobre si, ou sobre a infraestrutura. Se não ficou totalmente convencido, pense num tipo de malware especialmente criado para atacar a infraestrutura da sua organização.
Ele possui hardcoded alguns endereços de IPs internos da sua infraestrutura, os nomes de alguns portais, e alguns e-mails corporativos de forma a tentar autenticar-se em serviços internos — imagine que foi desenvolvido por alguém com conhecimento sobre o ecossistema da organização.
Uma vez que estas informações estão embebidas no malware, ao analisá-lo publicamente neste tipo de serviços, os endereços de IPs, os e-mails, e toda a informação estará disponível para a comunidade.
Se suspeitar que o ficheiro que pretende analisar poderá comprometer a sua privacidade ou a da organização, talvez seja uma melhor ideia efetuar este processo de dissecação de forma off-line, p.ex., através de um processo de reverse engineering e malware analysis utilizando, para esse fim, ferramentas para o devido propósito num ambiente totalmente controlado.
Powered by RISEMA
Este artigo é patrocinado pela RISEMA, uma empresa da área da informática fundada em 1992 e com soluções para micro, pequenas e médias empresas.