02
septiembre
2009

VirusTotal Uploader 2 ¿beta?

[VirusTotal] 
Adelantamos por aquí, en el blog, una nueva versión de VirusTotal Uploader, la pequeña utilidad que permitía enviar archivos a VirusTotal con el botón derecho del ratón, a través del menú contextual de Windows.


Respecto a la primera versión hay varias novedades:






  • Antes de enviar un archivo se calcula el hash y se consulta a VirusTotal por si ya existe un análisis anterior de ese mismo archivo, permitiendo tener un informe inmediato y ahorrar tiempo en la subida.

  • Permite listar los procesos en memoria, seleccionar cualquiera y enviar su ejecutable asociado a VirusTotal.

  • Soporte de URLs. Indicas una URL que apunte a un fichero, realiza la descarga, y se analiza con VirusTotal.

Esta última da respuesta una demanda popular masiva. Continuamente, y casi desde que VirusTotal salió a la luz, se nos pide la posibilidad de soportar URLs para analizar ficheros hospedados en la web. La verdad es que no tiene mucha ciencia, pero siempre hemos tenido reticencias (aka paranoias de quién escribe) por lo fácil que resulta dar gato por liebre en este tipo de servicios. Me explico: un web malicioso podría dar un fichero distinto en función de la IP que lo visita (u otro dato característico), así para una misma URL podría dar un fichero limpio en caso de detectar que es VirusTotal quién lo pide, y un fichero infectado cuando lo haga el usuario. Por supuesto para eso están los hashes que incluimos en los informes de VirusTotal, para que el usuario compruebe que lo que se ha analizado en nuestro servicio es exactamente lo que el usuario tendría en su ordenador. ¿Pero cuantos usuarios harían esa comprobación? Nuestras previsiones son pesimistas.


Hemos barajado rotar con diferentes proxys, utilizar redes de anonimato, etc. para tener una identidad pseudoaleatoria a la hora de descargar los archivos, pero ninguna opción nos satisface por una u otra causa. Si tienes alguna idea estrambótica o simplemente genial, dispara, somos todo oidos :)


En VirusTotal Uploader 2 se incluye la opción de analizar URLs evitando ese escenario que nos preocupaba. Lo que hacemos es utilizar la herramienta como una especie de proxy asíncrono, que descarga y sube el archivo, así que para la hipotética web maliciosa quién está descargando el fichero es un usuario final. Esta es la razón por la que podéis encontrar el botón Options para escoger la posibilidad de utilizar esta herramienta como una especie de gestor de descargas seguro, indicando un directorio donde podrías encontrar a posteriori el archivo analizado. Por defecto, como podéis ver en ese apartado, la descarga y subida se haría sin escribir el fichero en disco, para los más paranoicos o para evitar "interferencias" con el AV residente que tengan instalado.


Lo de "¿beta?" es porque realmente lo es, acaba de salir el ejecutable del horno y estamos probando en busca de fallos, pero podría ser la definitiva de aquí a unos días si no encontramos nada raro. Por ello la publicamos aquí primero en el blog, para los que queráis echarle un ojo testándola y avisarnos de los bugs. Cualquier feedback es bienvenido, gracias!


Decarga de VirusTotal Uploader 2: VTUploader2.0Setup.exe (129 KB)


pd: para aquellos que sientan la irrefrenable tentación de enviar el .exe a VirusTotal, se pueden encontrar con un falso positivo de McAfee que suponemos corregirán de inmediato.

Enviado por bquintero a las 16:30 | Enlace permanente | Comentarios (11) | Trackbacks (0)
Comentarios
Re: VirusTotal Uploader 2 ¿beta?

Compatible con Windows 7?
Lo he instalado (he ignorado el falso positivo de McAffe) selecciono un archivo mediante el Menu contextual de Windows,pero éste no aparece por ningún lado.

Posted by: Molkio at septiembre 02,2009 18:05
Re: VirusTotal Uploader 2 ¿beta?

Molkio: en el menú contextual del archivo, en la opción "Enviar a", mira a ver si te aparece "VirusTotal".

Posted by: bquintero at septiembre 02,2009 19:49
Re: VirusTotal Uploader 2 ¿beta?

Ups!Es verdad.Ahora lo veo.
Gracias por la aclaración!

Posted by: Molkio at septiembre 02,2009 23:01
Re: VirusTotal Uploader 2 ¿beta?

Primeramente felicitaros por el trabajo, me resulta muy util tanto el servicio como el Uploader.

En esta beta, ¿se puede utilizar ya, via proxy? En entornos corporativos es muy comun navegar via proxy, y es por esta razon por la que no puedo usar el uploader mas que en casa.

He estado viendo la configuracion pero echo en falta las casiillas de IP, Port, User y Name. Ya que de usar la configuracion de IE, en mi caso no esta el user y name, ya que se autentifica por dominio.

Saludos.

Posted by: Boken at septiembre 03,2009 10:41
Re: VirusTotal Uploader 2 ¿beta?

Quizas no tan economicamente viable, pero , que tal contactar con proveedores de distintas nacionalidades para que os den ip's dinamicas que podais cambiar con velocidad y aleatoriedad a vuestro gusto.

Posted by: Tassadar at septiembre 04,2009 02:53
Re: VirusTotal Uploader 2 ¿beta?

Después de enviar/subir con éxito un archivo,el programa acaba en un error.Te dejo unas capturas del fallo:

http://i30.tinypic.com/2m2e7fc.jpg

http://i32.tinypic.com/2ymb02w.jpg

Posted by: Molkio at septiembre 04,2009 10:57
Re: VirusTotal Uploader 2 ¿beta?

# Molkio: gracias por las capturas, al parecer es un bug con Vista 64bit, le echamos un ojo. A lo que preguntabas de compatibilidad con Windows 7, parece que sí, que funciona.

# Tassadar: si, ponernos a contratar IPs por ahí se nos puede salir del presupuesto... mientras más aletoriedad busquemos más nos va a costar (para un "malicioso" es muy fácil ponerse a probar las IPs del servicio para hacerse la blacklist.. a las muy malas se pone a bloquear rangos de ISP si ve algún patrón al utilizar IPs dinámicas). Supongo que tenemos que asumir que no existe solución perfecta para el caso de que tengamos que hacer nosotros la descarga y buscar algo intermedio, de hecho servicios similares no se preocupan (puedes identificar a las arañas del safebrowsing de google, el siteadvisor, etc)

# Boken: VTuploader coge la configuración del proxy del sistema, la que esté configurada en Panel de Control -> Opciones de Internet. Queríamos que fuera transparente la configuración, evitar poner muchas opciones, pero si es cierto que dependiendo del escenario se puede echar en falta.

Posted by: bquintero at septiembre 04,2009 14:01
Re: VirusTotal Uploader 2 ¿beta?

Me parece que este no es el lugar para escribirlo, pero... dónde quedó Esmeralda? :'(

Posted by: Anonimo at septiembre 06,2009 04:23
Re: VirusTotal Uploader 2 ¿beta?

Una opción podría ser falsear el user-agent...
Es por una buena causa :-)

GET http://blog.hispasec.com/laboratorio/images/noticias/VTUploader2.0Setup.exe HTTP/1.1

User-Agent: Opera/9.20 (Windows NT 6.0; U; en)

Host: blog.hispasec.com

Posted by: cyberdie at septiembre 07,2009 18:27
Re: VirusTotal Uploader 2 ¿beta?

Antes que nada felicitar al equipo de hispasec por la aplicación, se ve util y parece que la versión Beta no está nada mal =)!
Respecto a las ideas que plantean a la hora de la descarga de ficheros (Crear redes anonimas etc...) se me ocurrió que quizá se podría hacer mediante el usuario, me explico si esta opción estará disponible solo en la aplicación sería posible que se descargase en el equipo del usuario (Siendo el quien lo estuviese descargando y no sería detectado)
y se subiese para analizar posteriormente, una vez finalizado se auto eliminara...

No sé es por aportar una idea =l

Saludos!!

Posted by: BorjaPc at septiembre 19,2009 10:20
Re: VirusTotal Uploader 2 ¿beta?

@Anonimo
Hi darling!:*
I have been on vacations;).You know ,entire day sunbathing ,etc.Now I'm ready for your orders:*.

Posted by: Esmeralda at septiembre 24,2009 20:47
Trackbacks
Por favor envía los trackbacks a: http://blog.hispasec.nospam/laboratorio/355/tbZ3ping
Reemplazando "nospam" por "com"
No hay trackbacks.
Enviar un comentario