Virustotal es un proyecto español muy popular, ahora propiedad de Google: https://www.virustotal.com/, que a pesar de lo que pueda dar a entender a través de su nombre, no es un antivirus, o al menos no un antivirus al uso, sin embargo sí es una herramienta de seguridad muy útil, que permite complementar al clásico antivirus en determinadas circunstancias y mantenernos protegidos.
En el artículo “Riesgos de seguridad: QR y URLs ofuscadas”: https://ciberseguridadtotal.com/riesgos-de-seguridad-qr-y-urls-ofuscadas/, ya comenté alguna de sus bondades muy por encima, pero hoy voy a tratar de mostrar todas sus virtudes, así como la manera de sacarle partido en el día a día.
Lo primero de todo indicar que el método de uso de Virustotal es web, es decir, no hay que instalar nada, simplemente acceder a https://www.virustotal.com/ desde nuestro navegador favorito. Allí encontraremos algo como lo siguiente:
Las 3 funcionalidades propuestas son: FILE, URL y SEARCH.
URL:
Comienzo por URL porque desde mi punto de vista es la opción a la que más partido podemos sacar a diario. Cada vez es más común recibir una URL maliciosa por correo electrónico, chat, QR… que trate de robarnos nuestras credenciales (phishing), o remitirnos a un sitio externo con un fichero con malware o similar esperándonos. Ya no se estila remitirnos directamente un adjunto con virus o un ejecutable, que en la mayoría de ocasiones cortará nuestro sistema de antivirus/antispam.
Son estas URLs ahora mismo, el mayor problema de seguridad al que nos enfrentamos cada día, un correo o mensaje inofensivo, que sólo contiene texto, que no es catalogado como SPAM porque viene de una dirección “buena”; y que sin embargo incluye una URL que o bien trata de engañarnos para obtener nuestras credenciales, o bien nos remite a un sitio con bicho.
Para más inri, muchas de estas URLs vienen ofuscadas a través de enlace o con acortadores, con lo que tampoco tenemos una idea de lo que nos depara el destino.
En estos casos, resulta muy útil copiar la URL e introducirla en VirusTotal, que revisará si ésta se encuentra listada en alguna de las bases de datos de referencia incluidas en su servicio, entre las que se encuentra URLHaus: https://urlhaus.abuse.ch/, que bien merece otra entrada dedicada.
A continuación, un ejemplo del resultado de una consulta, dónde se puede ver cómo es catalogada como maliciosa una URL de un servicio de referencia como Drive, y es que los malos también pueden tratar de engañarnos remitiéndonos a malware publicado en Drive, Dropbox, Onedrive y similares servicios archiconocidos.
Además, si pulsamos en los detalles de la alerta, nos mostrará por qué motivos se encuentra listada la URL en el servicio: malware, spam…
FILE:
Es el servicio original de Virustotal, y probablemente por el que se ha hecho más popular. Básicamente subes un fichero cualquiera, puede ser un excel con macros del que desconfías, un ejecutable descargado de internet, o lo que sea, y Virustotal lo examina con decenas de los motores antivirus más populares.
Es decir, es como si examinaras el fichero subido, con todos los antivirus listados, sin tener que instalarlos en tu equipo. Y estos antivirus son de renombre: Ad-aware, Bitdefender, Avast, DrWeb, F-Secure, Fortinet, McAffe, Microsoft, Panda, Sophos, Symantec,TrendMicro…
SEARCH:
Permite añadir una IP, dominio o URL concreta, y Virustotal analizará si es legítimo o se encuentra catalogado como malicioso.
Nos permite por ejemplo comprobar si un servidor de correo es fiable o está catalogado en listas de SPAM, si un dominio o web son de confianza o por contra debemos desconfiar de ellos, etc…
Conclusiones:
Hay que reconocer que no es funcional, ni tiene sentido comprobar todo cuanto pasa por nuestras manos en Virustotal, pero si ocurre a veces que sobre todo para las personas más inexpertas surgen dudas con determinados casos específicos: un correo electrónico con una URL un poco sospechosa, un documento con macros descargado de tal sitio… y para esto es muy útil tirar de las bondades de Virustotal, tanto por inmediatez, tan fácil como hacer click en su web, como por la seguridad de realizar el chequeo fuera de tu equipo.
Más:
Por si alguien quiere ir más allá, Virustotal no se queda únicamente en los 3 servicios listados anteriormente, más orientados al usuario final por decirlo de algún modo. Sino que posee herramientas avanzadas orientadas a corporaciones, algunas con posibilidad de trial temporal, que a través de su web oficial podremos conocer más a fondo.
