VirusTotal ¿Qué es? ¿Como utilizar la herramienta?

Luis Zambrana
virus total que es ? como utilizarlo?

En este #tutorial y claro para los que se estan iniciando en el camino de la cyberseguridad o simplemente del sysadmin, les voy a contar sobre VirusTotal ¿Qué es? ¿Como utilizar la herramienta?.

¿Qué es VirusTotal?

VirusTotal es una plataforma online gratuita que permite analizar archivos, URLs, IPs y dominios para detectar si contienen malware o comportamiento sospechoso. Fue desarrollada originalmente por Hispasec y luego adquirida por Google.

Su web: https://www.virustotal.com/

Al ingresar se ve:

virustotal web herramienta cyberseguridad

Cuando subís algo a VirusTotal: Archivo / URL / IP / dominio

  1. Se analiza automáticamente
  2. Se compara contra más de 70 motores antivirus
  3. Te muestra un resultado tipo:
    • 0/70 → limpio
    • 10/70 → sospechoso
    • 50/70 → probablemente malware

¿Qué información te da Virus Total?

  • Detecciones de antivirus
  • Comportamiento del archivo
  • Conexiones de red
  • Relación con otros archivos
  • Whois / DNS (para dominios)
  • Historial de análisis

¿Esto quiere decir que le tengo que compartir todo Virus Total? ¿Información de negocios tambien si la quiero analizar?

Claramente NO!!

Algo muy bueno que tiene VirusTotal es que puedo enviar solo el hash calculado del archivo en cuestion, o sea Hashes tipo MD5, SHA1, SHA256, etc. Recordamos algo importante, a mismo archivo y mismo tipo de hash, el resultado será igual por que es Deterministico (ejemplo sha256 siempre va a generar el mismo hash para el mismo archivo este en la maquina de cualquiera). Si hay varias maquinas con antivirus que analizaron esto previamente y enviaron su hash, cuando yo suba el archivo no solo lo va a analizar sino tambien va a comparar con denuncias de la comunidad y de la api de pago.

VirusTotal no “compara archivos directamente”, hace esto:

  1. Vos subís un archivo o un hash
  2. VirusTotal busca ese hash en su base de datos
  3. Si ya existe: te muestra el análisis previo (sin reanalizar)
  4. Si no existe: analiza el archivo y guarda ese hash

Cualqueira que cambie o modifique un minimo byte en el archivo el resultado del hash será distinto, entonces siempre esta bueno tener cuidado y ver bien que queremos analizar y para que, ya que como les dije no es solo ARCHIVOS hay url e ips publicas que tambien son importantes para el manejo de la cyberseguridad.

ZetaVirusTotalGUI V1

ZetaVirusTotalGUI V1

Les presento este pequeño software creado con python, el cual cree para que puedan utilizar la api de VirusTotal desde un soft en el escritorio. Con algo de IA y buena voluntad se puede hacer de todo asi que tome los endpoint más populares de VirusTotal y los transforme en esta GUI que acaban de ver.

Claramente necesitan tener Python y Pip para poder utilizarala. El enlace se los dejo acá: https://github.com/LuisAZambrana/zetaVirusTotalGui/

Paso 1:

git clone https://github.com/LuisAZambrana/zetaVirusTotalGui.git
cd zetaVirusTotalGui

Paso 2:

pip install -r requirements.txt

Paso 3: En la web de virus total tenes que registrarte para obtener tu API:

Se ve así:

Como pueden apreciar tienen referencias de la api, y como utilizar desde distintos medios. Claramente estoy usando la version gratuita que tiene una cuota diaria de utilización, pero para algun servicio que quieras montar, o si sos alguna empresa imporante esta bueno que puedas usar la version de pago.

Paso 4: Edita el archivo config.json y pega tu api.

Paso 5: Ejecuta el archivo pynthon y ya estas para usarlo!!

Ojalá les sea util y ahi estan github para seguir sumando si quieren!! Como siemrpe, si les gusta compartan!!

Entradas relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *