VirusTotal, análisis del servicio. A fondo

VirusTotal, análisis del servicio. A fondo
4 comentarios Facebook Twitter Flipboard E-mail

La semana pasada saltaba la noticia, la varita mágica de Google tocaba en la puerta de la empresa malagueña VirusTotal, que ofrece un servicio gratuito de escáner de virus, malware y URLs online. VirusTotal lleva tiempo en el mercado y ha merecido reconocimiento internacional, cosechando varios premios.

Un vistazo a…
'Sgroogled.com': cuando MICROSOFT lanzaba anuncios ANTI-GOOGLE

Así funciona VirusTotal

De VirusTotal hemos hablado hace tiempo en Genbeta, así como de las extensiones para Firefox y Chrome. En este artículo analizamos el servicio en la misma línea que lo hicimos con otros productos similares: una prueba funcional con virus.

VirusTotal, resultados

Envío de archivos sospechosos

El procedimiento de envío de archivos es muy simple. Como podéis apreciar en la imagen que encabeza el artículo, en la página home del portal disponemos de una caja y un botón para seleccionar el archivo sospechoso en nuestro equipo.

Al pulsar sobre cualquiera de los dos elementos se dispara el administrador de archivos. No se puede escribir directamente en la caja, que sólo sirve para mostrar el nombre del archivo seleccionado sin su ruta en el árbol de directorios. El tamaño máximo del archivo es de 32 MB.

Una vez seleccionado, pulsamos sobre el botón azul “Analizar”. Al realizar la acción aparece una ventana modal que, en el caso de enviar un archivo ya analizado por VirusTotal, nos informará de la circunstancia, ofreciendo datos sobre el día y hora del análisis y número de detecciones. En esta ventana podemos elegir entre ver el último análisis disponible o realizar uno nuevo.

VirusTotal, carga de archivos

Si el archivo sospechoso es nuevo, se inicia el proceso de carga. La ventana modal nos alerta para que no la cerremos hasta que no se complete el proceso, cuya duración depende del tamaño del archivo, velocidad de la conexión y tráfico de la red, que podemos seguir mediante una barra de progreso.

Resultados del análisis

Una vez que ha concluido la carga del archivo, la aplicación muestra la pantalla de resultados, que van apareciendo a medida que los motores de análisis finalizan el examen. Los datos que ofrece son los siguientes:

  • Hash SHA256 del archivo.

  • Nombre del archivo.

  • Detecciones positivas sobre el total de motores de análisis (normalmente 42).

  • Fecha y hora del análisis.

  • En el lado derecho de la pantalla, en la parte superior, una representación gráfica con indicación numérica de los motores que detectan positivo y los que identifican el archivo libre de malware.

VirusTotal, resultados ampliados

Esta información puede ampliarse mediante el control “Más detalles” que aparece bajo este bloque de datos. En este caso, además de todo lo anterior tendremos también el hash SHA1 y el MD5 del fichero, así como su tamaño y tipo.

Tras la cabecera de identificación del archivo y resumen de resultados, aparece la información de cada motor de análisis ordenada en tres columnas: nombre del antivirus, identificación de la amenaza y fecha de actualización.

VirusTotal, valores añadidos

Comunidad

Aquel usuario que lo desee, puede participar en la lucha contra el malware uniéndose a la comunidad de usuarios de VirusTotal. Para ello deberá cumplimentar un sencillo formulario que aparece también en una ventana modal, que requiere los siguientes datos: nombre y apellidos (opcional), nombre de usuario, correo electrónico, contraseña y su confirmación, siendo estos últimos obligatorios.

VirusTotal, comunidad de usuarios

Dentro de la pestaña “Comunidad” hay tres apartados: “usuarios más reputados”, “usuarios nuevos” y “comentarios recientes”.

Estadísticas

VirusTotal brinda la posibilidad de consultar de forma gráfica distintos tipos de estadísticas relacionadas con el uso delo servicio en los últimos siete días, tales como distribución geográfica, envíos y tipos de archivos.

VirusTotal, estadística de distribución geográfica

Documentación y FAQ

Dentro del apartado “Documentación” encontraremos información en inglés sobre el servicio: cómo realizar las búsquedas, envío de archivos, API pública, extensiones para distintos navegadores, aplicaciones de escritorio, aplicaciones para dispositivos móviles, e información de la comunidad de usuarios.

En la pestaña situada a la derecha de “Documentación”, están las respuestas a las preguntas más comunes (Frequently Asked Questions), también en inglés. Hay un pequeño menú que las agrupa por si queremos ir rápidamente a una cuestión concreta.

En el apartado “Acerca de…” tenemos, de nuevo en inglés, información general sobre la aplicación y diversos aspectos del servicio.

Respecto de las extensiones para navegadores, dentro del epígrafe “Documentación”, están disponibles los siguientes: VTzilla (Mozilla Firefox), VTchromizer (Google Chrome) y VTexplorer (Microsoft Internet Explorer), que pueden ser instalados directamente desde el portal.

VirusTotal, extensiones

Valoración del servicio web de VirusTotal

VirusTotal funciona muy bien. Al margen de los tiempos de carga, que depende de factores externos, el servicio es muy rápido una vez que se ha subido el archivo, y la información suficientemente completa para cualquier usuario.

Frente a los servicios similares que analizamos en la comparativa ya mencionada, VirusTotal permite ficheros de hasta 32 MB (VirScan: 20 MB, Metascan: 40 MB (antiguo Filterbit) y Jotti: 25 MB), el segundo en tamaño de esta lista.

Respecto de motores de análisis, VirusTotal ha empleado en las pruebas realizadas hasta 42 motores de búsqueda (VirScan: 37, Metascan: 33 y Jotti: 20). En este aspecto es el más completo.

Para la prueba he utilizado el falso virus Test EICAR y un troyano bastante simple, camuflado por triple compresión (7z > ZIP > 7z), que ha detectado a la perfección, por lo que es evidente que la analiza bien ficheros comprimidos.

El único punto oscuro, a mi entender, es la ausencia de texto en español de los puntos ya reseñados, además de la Política de Privacidad y los Términos del Servicio (ToS). Siendo como es una iniciativa española, aunque haya sido adquirida por Google, nuestro idioma tiene un peso en la web que merece ser tenido en cuenta.

Enlace | VirusTotal

Comentarios cerrados
Inicio