Author

Topic: [Guia]Como usar Virustotal para detectar virus, troyanos, gusanos y otro malware (Read 185 times)

hero member
Activity: 1232
Merit: 669
...
Eso si, si es un ataque 0 day.. no vamos a estar protegidos ya que los antivirus no tendran esas firmas en su base de datos.

Justo esto andaba pensando, que virus total es un excelente servicio para verificar tanto archivos así como sitios. Pero es totalmente inútil ante un 0 day, pero realmente no hay nada que pueda contra uno de esos, ni el antivirus mas sofisticado.

Es importante entender que los hackers cada vez son mas sofisticados, y los troyanos .exe son juguetes de niños a comparación de los nuevos ataques. Hace unos meses vi como generaba un troyano dentro de un Macros de excel, lo que me dejo en cuatro fue ver como el antivirus ni siquiera lo detectó.

Así que si dudamos de un archivo o sitio, ésta es una muy buena herramienta para verificar. Sin embargo si algo nos parece sospechoso lo mejor es alejarnos envés de empezar a rascar en busca de virus.

Lo ideal es tratar de tener instancias separadas para poder correr archivos.. puede ser un sandbox para casi todo lo que vamos a utilizar de internet y para nuestros datos criticos, basicamente tratarlos como si fueran una cartera fria, lo menos conectado a internet posible.

Obivamente en este tiempo pueden parecer medidas exageradas, pero con el pasar de los años se volvera + estricto, como lo es hoy llevar el tapaboca y tener medidas de higiene extrema debido al covid'19
legendary
Activity: 2310
Merit: 4085
Farewell o_e_l_e_o
I am sorry because I don't know Spanish so I will use English here.  Smiley

I am thankful to OP (Csmiami) for the translastion. I am not sure what's wrong with it but after my last bump, the original thread was moved to Off-topic. Anyway, it does not a matter for me. I just regret that it will be more easily to be forgotten in Off-topic board.

According to OP's request, by the way, if any of you in Spanish local board feel my threads are helpful, you are free to translate them into Spanish. Do it with good quality and let me know about your translations via PMs.

There is link to list of my threads: https://bitcointalk.org/gettopics.php?user=1292764

Please remember to leave link(s) to original threads to avoid any plagiarism accusations.

Stay safe, all !
legendary
Activity: 3346
Merit: 3125
...
Eso si, si es un ataque 0 day.. no vamos a estar protegidos ya que los antivirus no tendran esas firmas en su base de datos.

Justo esto andaba pensando, que virus total es un excelente servicio para verificar tanto archivos así como sitios. Pero es totalmente inútil ante un 0 day, pero realmente no hay nada que pueda contra uno de esos, ni el antivirus mas sofisticado.

Es importante entender que los hackers cada vez son mas sofisticados, y los troyanos .exe son juguetes de niños a comparación de los nuevos ataques. Hace unos meses vi como generaba un troyano dentro de un Macros de excel, lo que me dejo en cuatro fue ver como el antivirus ni siquiera lo detectó.

Así que si dudamos de un archivo o sitio, ésta es una muy buena herramienta para verificar. Sin embargo si algo nos parece sospechoso lo mejor es alejarnos envés de empezar a rascar en busca de virus.
hero member
Activity: 1232
Merit: 669
--

Se me habia escurrido tu comentario; pero si, efectivamente esta web no analiza los archivos de una página.

Dicho de otro modo, a la hora de escanear un enlace, la web escanea literalmente el enlace; no descarga los archivos que pueda albergar de manera interna y los analiza conjuntamente.
Es por esto que en los pasos recomendados a seguir; primero se recomienda escanear la página de descarga; y luego, el archivo descargado

Quote
1) Comprobar URLs.
Si los resultados del análisis del enlace son buenos, diciendo que no hay amenazas, deberías continuar al segundo paso.

2) Comprobar los archivos despues de un análisis de enlace positivo (sin amenazas).

De todos modos no quita que el primer vector de ataque sea el enlace en si, lo ideal es no ejecutar nada si no se ha utilizado antes un AV o virus total.

Eso si, si es un ataque 0 day.. no vamos a estar protegidos ya que los antivirus no tendran esas firmas en su base de datos.

copper member
Activity: 1652
Merit: 1325
I'm sometimes known as "miniadmin"
--

Se me habia escurrido tu comentario; pero si, efectivamente esta web no analiza los archivos de una página.

Dicho de otro modo, a la hora de escanear un enlace, la web escanea literalmente el enlace; no descarga los archivos que pueda albergar de manera interna y los analiza conjuntamente.
Es por esto que en los pasos recomendados a seguir; primero se recomienda escanear la página de descarga; y luego, el archivo descargado

Quote
1) Comprobar URLs.
Si los resultados del análisis del enlace son buenos, diciendo que no hay amenazas, deberías continuar al segundo paso.

2) Comprobar los archivos despues de un análisis de enlace positivo (sin amenazas).
legendary
Activity: 2338
Merit: 10802
There are lies, damned lies and statistics. MTwain
En el OP se hace bien en recalcar algo que para muchos dan por asentado erróneamente: Si la URL escaneada indica que está libre de virus, no quiere decir que lo estén todos los archivos descargables desde la misma. Cada archivo a descargar se ha de verificar individualmente, previa descarga personal del archivo (luego se debería verificar antes de proceder a ejecutar su contenido).
copper member
Activity: 1652
Merit: 1325
I'm sometimes known as "miniadmin"
Me he encontrado este hilo en Beginners and Help (nuestro primeros pasos) gracias a un bump, y me ha parecido lo suficientemente interesante como para traducirlo para todos; ya que sus aplicaciones abarcan también el mundo de fuera de todo lo crypto.



GUIA PARA UTILIZAR VIRUSTOTAL.COM PARA ASEGURAR TUS ACTIVOS DIGITALES DE MANERA GRATUITA


Advertencias:
-Ten en cuenta que este servicio online es gratuito, y por lo tanto solo debería usarse como sustituto de un antivirus profesional u otros tipos de software de protección en caso de no tener los recursos suficientes como para poder permitírselo.
-Es conveniente invertir en un antivirus u otro sistema de protección de internet en los dispositivos que se posea.
-Es una buena inversión para tus activos digitales.
-No habría ningún problema en el caso de querer traducir esta guía a otro idioma (secciones locales). Me gusta compartir conocimientos, sobre todo si proceden de una contribución mía. Eso si, asegurate de que la traducción tenga una calidad más que aceptable, sin basuras de traducción automática.
-La mejor manera de protegerse en internet es desarrollar hábitos seguros y "saludables" (nota del traductor, tener sentido común); ya que los programas antivirus o similares solo nos protegen de las amenazas conocidas. Mencionado por @Pmalek aquí:


Unfortunately Virustotal can only help you with already known threats and viruses by comparing the code to known threats. If you are unlucky and download a file that contains a fresh code with a virus then Virustotal will not be able to help you since it is the first time they see the code. The results can come back as clean while in fact you get infected and if you do a 2nd scan in a few days you see that some antivirus engines are already registering the file as a threat.



Por desgracia, Virustotal funciona comparando el código de amenazas ya conocidas, por lo que solo nos protege de amenazas y viruses ya conocidos. Si tenemos la mala suerte de descargar un enlace que contiene un virus con un código muy nuevo, Virustotal no podrá ayudarnos; ya que será la primera vez que ve ese código. Puede darnos un resultado de "libre de amenazas", que nuestro dispositivo se infecte, y al realizar un segundo escaneo a los días de un resultado "positivo", al haberse incluido el archivo en algúna base de datos de amenazas conocidas.

Sugerencia de bob123's (click en el quote para ver el post completo):
Using AV's (whether paid ones on your computer, or online services like virustotal) does only protect you against 1) known and very wide-spread malware and 2) malware created by script-kiddies or any other non-commercial cyber criminals.


Utilizar Antivirus (de pago o gratuitos) solo nos protege frente a las siguientes amenazas: 1) amenazas conocidas y muy expandidas 2)malware creado por gente que no tiene mucha idea de programar y demás cybercriminales que no tienen un objetivo comercial


Traducciones:


Objetivos:

(1) Utilizar la plataforma online para detectar virus, troyanos, gusanos y malware antes de descargar e instalar cosas de fuentes desconocidas;
(2) Proteger tu ordenador y demás posesiones, incluidas las digitales, de manera gratuita.



Antecedentes
Virustotal.com es un servicio online gratuito que lleva años en funcionamiento.
La plataforma fue creada a finales de 2011, y puedes visitar su blog para más información.
Años despues de sus inicios, virustotal.com es utilizada por muchos usuarios, en parte por ser un servicio gratuito y por su capacidad de detectar posibles amenazas.
Es una buena herramienta para los crypto-entusiastas que trabajan online y tienen que estar descargando e instalando nuevos monederos (wallets) para los proyectos nuevos.
Recuerda que siempre tienes que revisar la seguridad y posibles amenazas de cualquier fuente desconocida antes de hacer nada (descargar, instalar, etc.)


Pasos a seguir para usar virustotal.com

(1) Accede al sitio
Puedes acceder a la web en: https://www.virustotal.com/en/

(2)Buscar posibles amenazas
Hay dos estrategias que puedes utilizar a la hora de buscar amenazas.
Como se puede apreciar en la captura adjunta, puedes analizar tanto un archivo o un URL.
Vamos a utilizar el monedero de GINcoin y su enlace como ejemplo práctico.

2.1. Comprobar enlaces
Lo primero de todo es asegurarse de que hemos seleccionado la pestaña de enlaces o URLs antes de proceder.
Lo segundo será copiar y pegar en enlace que queremos analizar en la barra de búsqueda, como se ve en la imagen de debajo:
Por último, pincha el botón de "escanear" y espera los resultados.
Resultados:
El ratio de detección es de 0/69.
No se ha encontrado ninguna amenaza, por lo que en enlace es seguro.

2.2. Comprobar archivos
Tras descargar el monedero de GINcoin desde la página oficial de GINcoin (la fuente oficial del proyecto), y antes de instalar el monedero, vamos a analizarlo con virustotal.com
Para empezar, seleccionamos la pestaña de archivo (file) antes de proceder.
Después, pinchando el botón de "seleccionar" (choose), añadimos el enlace al directorios donde tenemos el archivo que queremos analizar (si lo hemos descargado, lo normal es que esté en descargas). Tenemos un máximo de 120MB para el archivo que deseemos analizar.
Para finalizar, pinchamos el botón de escanear y esperamos los resultados.
Durante el proceso de analisis verás la siguiente pantalla
Resultados:
Cuando el proceso de escaneo termina, verás los resultados como en la imágen de debajo:
Para el monedero de GINcoin, el ratio de detección es de 0/69, lo que significa que no supone una amenaza (como hemos dicho más arriba; no es una amenaza conocida), y por ellos, es "seguro" instalarlo en nuestro dispositivo

Ambos análisis muestran que el monedero de GINcoin es seguro de instalar en Windows.


Es preferible que se realicen ambas comprobaciones (enlace+archivo):
1) Comprobar URLs.
Si los resultados del análisis del enlace son buenos, diciendo que no hay amenazas, deberías continuar al segundo paso.
Si los resultados del análisis del enlace muestran alguna amenaza, deberías parar de inmediato. No hay ninguna razón para seguir al segundo paso o descargar/instalar nada procedente de estos enlaces.
2) Comprobar los archivos despues de un análisis de enlace positivo (sin amenazas).

Esta claro que se puede ignorar el primer paso completamente y pasar al segundo. Todo depende de cada persona y lo precavido que se quiera ser, pero yo personalmente prefiero hacer ambos en orden.

3) Es conveniente crear una cuenta para poder acceder a más funcionalidades (de manera gratuita).

4) También puedes descargar archivos desde GitHub (publicados por cuentas recién creadas o de poca antigüedad), y escanear los archivos antes de utilizarlos/instalarlos (si son seguros). Recuerda que tienes que tener cuidado con los proyectos recién creados, y publicaciones de Github de cuentas "jovenes" (si no tienes pruebas de proyectos anteriores).
Además, hay pasos para comprobar la fiabilidad de una cuenta de Github (antigüedad, actividad, reputación en el pasado) antes de descargar nada de su Github.
https://bitcointalksearch.org/topic/m.50883346


Existen otras páginas similares a esta:

I found some pages similar to this one :


He encontrado otras páginas parecidas a esta:



Referencias
Para más detalles, guias y discusiones, mira estos enlaces (en ingles)
(1) documentación de Virustotal.com
(2) Comunidad de Virustotal.com
(3) Solo porque esté en Github no tiene por qué ser seguro
Jump to: