feigned

VirusTotal : analyser un fichier en ligne (virus, malware)

Le Crabe

Les virus et les malwares peuvent se cacher n’importe où, même dans les fichiers et les programmes qui paraissent sûrs et sans risques.

En effet – comme nous l’avons vu dans le dossier « Comment protéger son PC contre les virus et les malwares ? »  – des installeurs de logiciels pourtant réputés peuvent être infectés par des virus, de même que des pièces jointes d’e-mails pourtant anodins.

Vous avez un doute sur un fichier ou un programme ? Vous suspectez qu’il soit infecté par un virus ou un malware ? Vous souhaitez analyser un fichier ou un programme suspect auprès de plusieurs moteurs antivirus différents pour être sûr et certain qu’il n’est pas malveillant ?

Dans ce tutoriel, nous allons voir comment analyser un fichier en ligne à la recherche de potentiels virus/malwares grâce à VirusTotal.

VirusTotal : qu’est-ce que c’est ?

VirusTotal est un service en ligne gratuit développé par une équipe d’ingénieurs indépendante qui permet d’analyser des fichiers auprès de plusieurs moteurs antivirus.

Site web de VirusTotal

Bon nombre de personnes et d’entreprises contribuent à VirusTotal en fournissant des outils permettant de détecter des menaces dans les fichiers soumis par les utilisateurs.

Quelques-uns des antivirus inclus dans VirusTotal :

  • Avast Software (Avast, Avast Mobile Security)
  • Avira (AntiVir)
  • BitDefender GmbH (BitDefender)
  • Eset Software (ESET NOD32)
  • F-Secure (F-Secure)
  • Kaspersky Lab (Kaspersky)
  • Malwarebytes Corporation (Malwarebytes Anti-malware)
  • Microsoft (Malware Protection)
  • Symantec Corporation (Symantec, Symantec Mobile Insight)
  • […]

Des moteurs d’analyse de sites web, des jeux de données (datasets), des outils d’analyse comportementale et des produits bac à sable (sandboxes) sont également de la partie dans VirusTotal.

Pour voir la liste de tous les contributeurs à VirusTotal, consultez cette page : https://support.virustotal.com/hc/en-us/articles/115002146809-Contributors

VirusTotal est l’outil de sécurité idéal pour savoir si un fichier est malveillant ou non et s’il est infecté ou non par un virus !

Analyser un fichier en ligne (virus) avec VirusTotal

Pour illustrer ce tutoriel, nous allons nous servir de l’installeur de Greenshot, un logiciel de capture d’écran sur Windows. Celui-ci se présente sous la forme d’un fichier .exe.

Vous pouvez analyser un fichier en ligne avec VirusTotal de deux façons différentes :

  • via le site web de VirusTotal
  • via l’application VirusTotal Uploader (Windows, macOS et Linux). Glissez-déposez le fichier suspect directement dans l’application VirusTotal Uploader pour l’analyser !

via le site web de VirusTotal

Pour analyser un fichier en ligne (virus) via le site web VirusTotal, procédez comme suit :

  1. Localisez le fichier que vous souhaitez analyser avec VirusTotal.
  2. Rendez-vous sur le site web de VirusTotal.
  3. Cliquez sur le bouton Choose file et sélectionnez le fichier suspect à analyser à la recherche de potentiels virus/malwares.
  4. Vous pouvez également entrer directement l’URL du fichier à analyser si celui-ci est stocké sur un serveur distant.
  5. Si le fichier a déjà été analysé auparavant (il y a de fortes chances que ce soit le cas), les résultats de l’analyse précédente s’affiche immédiatement :
  6. Si besoin, vous pouvez relancer une analyse du fichier en cliquant sur l’icône réanalyser le fichier.
  7. Patientez pendant l’analyse antivirus du fichier ou du programme suspect.
  8. Une fois l’analyse terminée, passez à la lecture des résultats de l’analyse de VirusTotal.

via Windows

VirusTotal Uploader est une application qui permet de tester des fichiers et des programmes suspects avec VirusTotal directement depuis Windows.

Un simple glisser-déposer suffit pour tester n’importe quel fichier avec VirusTotal !


Pour analyser un fichier en ligne (virus) via VirusTotal Uploader, procédez comme suit :

  1. Créez un compte (gratuit) sur VirusTotal : https://www.virustotal.com/gui/join-us
  2. Validez votre inscription en cliquant sur le lien dans l’e-mail d’activation que vous avez reçu.
  3. Connectez-vous à votre compte VirusTotal : https://www.virustotal.com/gui/sign-in
  4. Cliquez sur votre photo de profil en haut à droite et sélectionnez API key.
  5. Copiez votre clé API.
  6. Téléchargez VirusTotal Uploader puis installez-le.
    Sur Windows 10, si vous avez le message « Windows a protégé votre ordinateur », cliquez sur Informations complémentaires > Exécuter quand même.
  7. Une fois l’installation terminée, VirusTotal Uploader se lance.
  8. Cliquez sur More pour accéder aux paramètres et collez votre clé API.
    Profitez-en pour mettre le logiciel en français puis cliquez sur Sauvegarder.
  9. Glissez-déposez le ficher à analyser dans la fenêtre de VirusTotal Uploader.
  10. Les empreintes (MD5, SHA1, SHA256) du fichier s’affichent. Cliquez sur le bouton Mettre en ligne pour envoyer le fichier vers les serveurs de VirusTotal.
  11. Le fichier est analysé par tous les moteurs antivirus de VirusTotal à la recherche de virus et de malwares.
  12. Une fois l’analyse terminée, passez à la lecture des résultats de l’analyse de VirusTotal.

Lire les résultats de l’analyse de VirusTotal

Une fois votre fichier analysé, vous obtenez un résumé de l’analyse :

  1. Le nombre de partenaires VirusTotal qui considèrent ce fichier comme dangereux (ici, 20) sur le nombre total de partenaires qui ont examiné le fichier (ici, 59)

  2. La réputation du fichier, déterminée par la communauté VirusTotal. Les utilisateurs peuvent évaluer les fichiers soumis à VirusTotal, ces utilisateurs ayant également une réputation, le score de la communauté est le résultat des votes sur le fichier pondéré par la réputation des utilisateurs qui ont émis ces votes

    > Score rouge : fichier potentiellement dangereux (virus, malware)
    > Score vert : fichier considéré comme inoffensif

  3. Le nombre de partenaires VirusTotal considérant ce fichier comme dangereux (ici, 20)
  4. L’empreinte SHA-256 du fichier analysé
  5. Le nom de fichier tel qu’il était lors la dernière soumission
  6. Les tags attribués au fichier
  7. La date et l’heure (UTC) de l’examen
  8. Le type de fichier
  9. Réanalyser le fichier

Un rapport détaillé est également présent plus bas :

  • Detection : la liste des partenaires chargés de l’analyse du fichier ainsi que leurs conclusions.  Voici les résultats possibles :
    • Undetected (Non détecté) : le moteur antivirus ne détecte pas le fichier comme malveillant
    • Suspicious (Suspect) : le moteur antivirus détecte le fichier comme suspect/dangereux
    • Unable to process file type (Impossible de traiter le type de fichier) : le moteur antivirus ne comprend pas le type de fichier soumis. Le fichier n’a pas été analysé
    • Timeout (Expiré) : le moteur antivirus a atteint la limite d’exécution définie par VirusTotal pour le traitement du fichier. Le fichier n’a pas été analysé
  • Details : affiche des informations détaillées sur le fichier analysé (taille, empreintes, dates de première soumission et de dernière soumission, les différents noms du fichier…)
  • Relations : affiche les relations du fichier (URL à partir desquelles le fichier a été téléchargé, si le fichier a été vu dans d’autres fichiers…)
  • Behavior : les fichiers soumis à VirusTotal sont exécutés automatiquement dans un environnement sécurisé (sandbox). Les actions effectuées par le fichier sont enregistrées ici afin d’avoir un aperçu du comportement du fichier
  • Content : aperçu du contenu du fichier en fonction du type de fichier (pdf, docx, etc.) (fonctionnalité disponible uniquement pour les clients Entreprise)
  • Submissions : liste détaillée des soumissions du fichier avec des informations telles que les pays d’origine et les dates (fonction disponible uniquement pour les clients Entreprise)
  • Community : les commentaires des membres de la communauté VirusTotal
  • Liste des analyses avec l’évolution des détections et la possibilité de cliquer sur Analyses précédentes (fonction disponible uniquement pour les clients Entreprise)
  • Pour copier les détections sous forme de texte brut dans le presse-papiers (fonction disponible uniquement pour les clients Entreprise)

Conclusion

VirusTotal est l’outil idéal pour savoir si un fichier ou une URL est malveillant ou non.

Grâce à son processus de test efficace qui teste un fichier dans un environnement isolé et sécurisé (sandbox) auprès de plusieurs moteurs antivirus, vous pouvez être quasiment sûr des résultats donnés par VirusTotal même si cela ne vous empêche pas d’être vigileant.

Grâce son nombre impressionant de partenaires sécurité qui lui fournissent moteurs antivirus et sandboxes, la détection de virus et de malwares est vraiment très efficace.

Prenez le temps d’analyser un fichier, un programme ou une URL suspect avec VirusTotal : cela ne prend que quelques secondes et cela peut vous sauver la vie !

Liens utiles

128 utilisateurs actifs
Chargement en cours