Virustotal : scanner un fichier/site avec plusieurs antivirus

Virustotal permet de scanner un fichier sur l'ordinateur ou bien de scanner une adresse internet avec une cinquantaine d'antivirus

1 - Aller sur la page https://www.virustotal.com/fr/
Vous pouvez changer la langue en cliquant sur le drapeau dans la barre du haut.

2 - Cliquer sur Choisir un fichier pour analyser le fichier voulu
Sélectionner le fichier à analyser


3 - Cliquer sur Analyser !

Patienter le temps du chargement

4 - Généralement le fichier a déjà été analysé, si oui, cliquer sur Réanalyser

Attendre que le fichier soit scanné.

On peut voir ensuite le résultat du scan et savoir combien d'antivirus ont détecté le fichier comme infecté (Ratio de détection)


On peut de plus scanner une adresse internet en copiant l'adresse à scanner et en la collant ici:
https://www.virustotal.com/fr/#url

Note: L'adresse peut très bien être un lien de téléchargement, qui permettra de scanner a la fois l'adresse, c'est à dire la page de téléchargement , et le fichier.

Si vous avez tendance à télécharger un peu n'importe comment (site au hasard, crack/keygen...), Virustotal pourrait bien devenir votre meilleur ami.

En effet, en plus de vous permettre l'analyse en ligne par plus de 50 antivirus différents depuis le site www.virustotal.com , virustotal vous offre également la possibilité d'envoyer vos fichier pour les analyser, d'un simple clic droit grâce au programme Virustotal Uploader. Un descriptif de ce dernier et le téléchargement sont disponibles (en anglais) à l'adresse suivante : https://www.virustotal.com/fr/documentation/desktop-applications/windows-uploader

Pour faire simple, l'installation de virustotal uploader va :
- créer une option dans le menu contextuel de windows pour vous permettre d'envoyer un fichier rapidement pour l'analyser,
- permettre l'envoi de fichiers/processus via l'interface du programme
- permettre également de scanner un téléchargement. Il suffit d'indiquer le lien du fichier à analyser et cliquer sur Get an upload.

/!\ Attention, l'analyse avec la fonction "Get an upload" ne fonctionne pas avec tous les liens de téléchargement. Petit exemple :
ftp://zebulon.fr/ZHPDiag2.exe <--- ne fonctionnera pas (liens ftp et non http)
http://downloads.malwarebytes.org/file/mbam <--- fonctionnera sans soucis
http://www.malwarebytes.org/mwb-download/ <--- ne fonctionnera pas, virustotal analysera l'image du bouton de téléchargement au lieu du fichier
Pour savoir si c'est le bon fichier qui a été analysé, vous pouvez vérifier le nom ainsi que le poids (file size) dans les infos supplémentaires de la page d'analyse.

Les options vous offrent le choix de sauvegarder le fichier téléchargé ou non (il vaut mieux ne pas les enregistrer et les télécharger après analyse si ils sont sains).

Mais ce n'est pas tout, virustotal existe aussi pour les navigateurs. Cela permettra d'analyser les liens ou des fichiers avant de télécharger. Les fichiers seront envoyés sur les serveurs de virustotal et soumis à une analyse. Le programme, disponible pour Chrome, Firefox ou Internet explorer est disponible ici : https://www.virustotal.com/fr/documentation/browser-extensions/

Bien que la page d'explication ne soit pas encore traduite en français, le module reste simple d'utilisation. Pour scanner un lien, faites un clic droit dessus et sélectionnez "Scan avec virustotal". Pour les téléchargement, une ligne sera ajoutée sur la fenêtre d'enregistrement du fichier. Vous aurez donc l'option "Scan avec Virustotal" sur la fenêtre proposant "ouvrir avec..." et "enregistrer sous". Pour scanner uniquement un lien ou le site sur lequel vous vous trouvez, vous pouvez utiliser la barre d'outils que virustotal vous installera.

Lors de l'analyse d'un téléchargement, pensez à vérifier l'entête de la page. Celle-ci indique le type d'analyse (fichier ou url). Si Virustotal a analysé le lien et le fichier, il ouvrira d'abord la page d'analyse de l'url (pour savoir si vous risquez une infection en cliquant) et vous proposera une option "Aller à l'analyse du fichier téléchargé" pour voir si le fichier est infectieux.

Concernant les crack/keygens, je me suis amusé il y a quelques temps à en télécharger et à les faire analyser sur virustotal. Pour ceux qui pensent toujours que les crack c'est génial, regardez bien :

Analyse n°1 : faux fichier/infection winlock (faux codec pour un site de streaming, qui est en fait un fichier nommé movie1080p.mkv.exe, et qui est donc un exécutable piégé et non une vidéo ni le codec prévu au départ) C'est une variante du "virus Gendarmerie" qui bloque Windows en demandant de payer une amende. Avec cette version aucune rançon demandée mais une page blanche à la place du bureau, et le mode sans échec provoque un redémarrage systématiquement.

Analyse n°2 : faux installateur de Flash player qui installe ZeroAccess (infection qui je vous le rappelle à de multiples fonctions dont le vol de mots de passe)

Analyse n°3 : crack pour windows (remove WGA/desactive la fonction de validation)

Analyse n°4 : crack pour office 2013

Analyse n°5 : fichier système Services.exe infecté par Zeroaccess suite à l’exécution d'un keygen (il passe quasiment inaperçu aux yeux des antivirus, mais Avast le signale régulièrement malgré que sur virustotal il le laisse passer)

Analyse n°6 : Services.exe infecté par une autre version de ZeroAccess

Et pour ceux qui se diraient "je suis sur que services.exe est toujours détecté comme un virus" :
Analyse n°7 : fichier système Services.exe sain

Vous pouvez voir d'ailleurs que sur ce dernier lien, le fichier a été classé malveillant par plus de 24 votes. Cela prouve bien qu'il ne faut pas se fier à l'avis de la communauté de façon systématique puisque dans ce cas précis, ces personnes ont tort. Il s'agit du fichier services.exe officiel de Windows 7.