Skip to content

Práctica 04 - Virus Total

Objetivo

Utilizar la web VirusTotal para escanear archivos, hashes, dominios, IPs y URLs sospechosos de malware o brechas de seguridad. Aprender a interpretar los resultados y tomar decisiones informadas sobre la seguridad de los elementos analizados.

alt text

Introducción teórica

VirusTotal es un sitio web que ofrece análisis gratuitos de archivos, dominios, IPs y páginas web en busca de malware. Fue creado por la empresa española Hispasec Sistemas y utiliza decenas de motores antivirus y de detección online.

Las ventajas de escanear archivos con VirusTotal incluyen la revisión simultánea por múltiples proveedores de seguridad, lo que permite detectar anomalías de forma más efectiva. Por ejemplo, un archivo que no es detectado por un antivirus puede ser identificado como malicioso por otros motores.

Analizar archivos

  • Desde la página principal de VirusTotal, selecciona el archivo a analizar y revisa los resultados:
    • Detalles: Propiedades del archivo (tamaño, tipo, fecha de creación), histórico de análisis y nombres alternativos.
      Ejemplo real: Al subir el archivo eicar.com, VirusTotal muestra que es un archivo de prueba para antivirus, detectado como “EICAR-Test-File” por la mayoría de los motores.
    • Relaciones: URLs y dominios relacionados con el archivo, como servidores de comando y control o sitios de descarga.
      Ejemplo real: Un archivo malicioso puede estar vinculado a una URL de phishing.
    • Comportamiento: Acciones del archivo malicioso, como creación de procesos, modificación de registros o conexiones de red.
      Ejemplo real: Un troyano puede intentar conectarse a una IP externa tras ejecutarse.
    • Comunidad: Comentarios públicos relacionados, donde usuarios comparten información adicional sobre el archivo.
      Ejemplo real: Usuarios pueden advertir sobre falsos positivos o confirmar la peligrosidad del archivo.

Analizar URLs

  • En la opción URL de VirusTotal puedes escanear direcciones web sospechosas:
    • Detalles: Categoría de la web (maliciosa, phishing, legítima), longitud del cuerpo, IP asociada, país de alojamiento, etc.
      Ejemplo real: Al analizar http://www.marketingbyinternet.com/, VirusTotal puede indicar si la web está marcada como spam o phishing.
    • Enlaces: Páginas que mencionan la URL, lo que ayuda a identificar campañas de distribución de malware.
      Ejemplo real: Una URL de descarga de malware puede estar enlazada desde foros de hacking.
    • Comunidad: Opiniones y comentarios de usuarios sobre la reputación de la URL.
      Ejemplo real: Usuarios pueden reportar si la web ha sido utilizada en ataques recientes.

Otros análisis

  • La opción SEARCH permite buscar hashes, dominios, IPs o URLs sospechosas de forma similar a los análisis anteriores.
    • Hashes: Permiten identificar archivos específicos por su huella digital.
      Ejemplo real: El hash 53ad51a5a0263a5c4b3d35f64d4f45f77c26a23496d5c72ff5015aadec343c60 corresponde a un archivo detectado como ransomware por varios motores.
    • Dominios: Muestra información sobre el dominio, reputación, historial de detecciones y relaciones con otros elementos maliciosos.
      Ejemplo real: El dominio cifraronline.com puede estar relacionado con campañas de phishing.
    • IPs: Indica si la IP ha sido utilizada para actividades maliciosas, como envío de spam o alojamiento de malware.
      Ejemplo real: La IP 193.161.193.99 puede aparecer en listas negras por distribuir troyanos.

Desarrollo

En cada ejercicio realiza capturas de pantalla y describe el proceso paso a paso, incluyendo los resultados obtenidos y su interpretación.

Utiliza VirusTotal para todos los análisis y detalla el tipo de malware o brecha detectada mayoritariamente, citando ejemplos reales de detección y explicando el impacto potencial.

Dominios e IPs de ejemplo

Los dominios e IPs proporcionados en los ejercicios son ejemplos para practicar el análisis en VirusTotal. No se garantiza que estén actualmente activos o maliciosos. Utilízalos únicamente con fines educativos y de análisis.

Realiza las búsquedas en VirusTotal y documenta los resultados obtenidos de algunas web e ips que sepas que son seguras y otras que no lo son. Busca esta información en Internet para justificar tus conclusiones.

Ejercicios

  1. Analiza los 4 archivos del enlace de la Práctica 3 - antivirus desde la web:
    Eicar Antivirus Testfiles

    • Ejemplo real: El archivo eicar.com es detectado como “EICAR-Test-File” por casi todos los motores, usado para comprobar la eficacia de los antivirus.
    • Captura recomendada: Resultados de detección y detalles del archivo.

  2. Analiza las siguientes URLs:

  3. Analiza los siguientes hashes:

    • 53ad51a5a0263a5c4b3d35f64d4f45f77c26a23496d5c72ff5015aadec343c60
      Ejemplo real: Detectado como ransomware por varios motores.
    • 4d8c0db6f80b18f6921997683325a03af3baf26ea542e99b951488cf6438b93f
      Ejemplo real: Puede corresponder a un troyano bancario.
    • 8c283ace779977a0642254ac184617c69943fecb7ef66bca1b8ab4136aa8ae9f
      Ejemplo real: Detectado como adware.
    • 8044f340276e2623beff0e0e2d0853af1831fcaecefbb9a9d0954f08cc8e74b8
      Ejemplo real: Archivo legítimo sin detecciones.
    • Captura recomendada: Detecciones y detalles de cada hash.

  4. Analiza las siguientes IPs:

    • 216.239.38.120
      Ejemplo real: IP de Google, normalmente sin detecciones.
    • 193.161.193.99
      Ejemplo real: Puede estar en listas negras por actividades maliciosas.
    • 172.27.111.20
      Ejemplo real: IP privada, no debería tener detecciones públicas.
    • 31.210.74.53
      Ejemplo real: Puede estar asociada a servidores de malware.
    • Captura recomendada: Reputación y relaciones de cada IP.

  5. Analiza los siguientes dominios:

    • https://portal.edu.gva.es/aules Ejemplo real: Dominio educativo, normalmente sin detecciones.
    • 0.tcp.sa.ngrok.io
      Ejemplo real: Usado para túneles temporales, puede ser aprovechado para ataques.
    • mail.stilltech.ro
      Ejemplo real: Puede estar relacionado con campañas de spam.
    • cifraronline.com
      Ejemplo real: Detectado en campañas de phishing.
    • Captura recomendada: Historial y reputación de cada dominio.