Algunos usuarios de
VirusTotal, de forma sistemática, comprimen los archivos antes de enviarlos. Los motores antivirus analizan las muestras tal y como se envían, VT no pre-procesa ni descomprime los archivos. Ésto en principio no debería afectar en nada a los resultados ya que se suelen utilizar ZIP y RAR, formatos tan comunes que deberían ser reconocidos por todos los motores antivirus.
O al menos eso creía, acabo de probar con un eicar en ZIP y RAR: AhnLab-V3 no lo reconoce en ZIP ni RAR, eTrust-Vet no reconoce RAR, FileAdvisor ni ZIP ni RAR y Norman falla con RAR.
Además de esas excepciones que son un motivo más, lo que quería comentar es que vamos a ir suministrando información adicional de los ejecutables que se envíen en "bruto", sin comprimir adicionalmente. Por ejemplo, desde hace algo más de una semana hay un campo nuevo denominado "PEiD" que muestra información sobre packers y compiladores de los archivos Portable Executable (PE). Y éste es sólo el principio, en breve se irán añadiendo nuevos campos con información más técnica sobre los ejecutables.
Por otra parte quería aprovechar para agradecer al equipo de PEiD y a "BobSoft" por su colaboración en el suministro de nuevas firmas de packers, así como a Ero Carrera por sus aportaciones y la utilidad pefile. Gracias!
