Lo venía anunciando el propio creador de la suite de SysInternals Mark Russinovich en un tweet hace semanas, sobre que estaba trabajando en incluir el análisis de los procesos en ejecución del sistema contra el servicio de Virus Total, para poder detectar malware en ejecución en nuestro sistema sin realizar el análisis manual a través de su servicio online.
Tweet de Mark Russinovich: "Trabajando en la integración de Process Explorer con Virus Total" |
La descripción completa de esta nueva versión es la siguiente:
Process Explorer v16.0: Gracias a la colaboración con el equipo de Virus Total, esta actualización de Process Explorer introduce la integración con VirusTotal.com, un servicio de análisis online de antivirus. Cuando se encuentre habilitado, Process Explorer envía los hashes de las imágenes y ficheros mostrados en el proceso y las vistas DLL a VirusTotal y si hubieran sido previamente analizadas, informaría cuantos motores de antivirus lo identificarían como supuestamente maliciosas. El resultado (que incluye enlace) nos dirigiría al informe en la propia VirusTotal.com e incluso se podría enviar ficheros para su análisis.
Tras descargar esta nueva versión de la aplicación, podremos observar una nueva columna en la aplicación dedicada a recoger los resultados de VirusTotal una vez analizado el proceso:
Nueva columna en Process Explorer para resultados de Virus Total |
Al hacer clic con el botón derecho del ratón en cualquier proceso, veremos una nueva opción denominada "Check VirusTotal" que, al ser pulsada, comenzará con el envío del hash de la imagen del proceso. Una vez finalizado el análisis, veremos el resultado en base a los motores de antivirus disponibles en este servicio online:
Opción por proceso para comprobar hash en VirusTotal |
El búsqueda del hash del proceso jusched.exe sobre VirusTotal reporta 0 detecciones por parte de 50 motores |
La aplicación no funciona bajo demanda únicamente, y también es posible que la propia herramienta realice el análisis de todos los procesos de forma paralela, obteniendo los resultados en la interfaz cuando hubiesen finalizado. Para ello, es necesario activar dicha opción desde el menú de Opciones -> VirusTotal.com -> Check VirusTotal.com
Tras finalizar el análisis, cualquier de los binarios que resultasen desconocidos para VirusTotal, serían marcados como tal en Process Explorer, permitiendo su subida de forma automática para realizar su primer análisis.
Sin duda, esta nueva funcionalidad nos ahorrará muchísimo tiempo en análisis propios del sistema en caso de que notemos que alguno de los procesos realiza un comportamiento anómalo o si su nombre pudiese ser sospechoso. En caso de tener alguna duda, es posible realizar la subida del binario directamente desde la interfaz de Process Explorer.
9 comments :
Wow! genial esta información, gracias :)
Gracias por la informacion
Una pregunta si estamos detras de un proxy hay opcion de indicarselo?
Gracias
Seguramente si está establecido un proxy en el propio sistema que ejecuta la aplicación, todas las peticiones irían a través de él, por lo que no sería necesario.
Me encanta esta herramienta y que hayan añadido esto, me parece espectacular y una gran mejora!!
Llevo utilizando esta herramienta desde hace mucho, para controlar los procesos del equipo. Ahora con este añadido, se esta convirtiendo en imprescindible.
Excelente. Muchas gracias por la información
habria que probar esta dristro
Lo he probado y peta. El programa falla algunas veces cuando no puede resolver la dirección. Debn pulirlo más
lo he probado y no funciona.
Espero que lo mejoren en la proxima version.
tengo un troyano en un proceso y si realmente funcionara conseguiria matarlo.
<;<
Publicar un comentario