30 enero 2014

Integración de Process Explorer v16 con Virus Total



Lo venía anunciando el propio creador de la suite de SysInternals Mark Russinovich en un tweet hace semanas, sobre que estaba trabajando en incluir el análisis de los procesos en ejecución del sistema contra el servicio de Virus Total, para poder detectar malware en ejecución en nuestro sistema sin realizar el análisis manual a través de su servicio online.





Tweet de Mark Russinovich: "Trabajando en la integración de Process Explorer con Virus Total"
El día ya ha llegado después de este anuncio anterior al día de reyes: ya está disponible la versión 16.0 de Process Explorer que incluye la integración con Virus Total para análisis de procesos en ejecución.

La descripción completa de esta nueva versión es la siguiente:

Process Explorer v16.0: Gracias a la colaboración con el equipo de Virus Total, esta actualización de Process Explorer introduce la integración con VirusTotal.com, un servicio de análisis online de antivirus. Cuando se encuentre habilitado, Process Explorer envía los hashes de las imágenes y ficheros mostrados en el proceso y las vistas DLL a VirusTotal y si hubieran sido previamente analizadas, informaría cuantos motores de antivirus lo identificarían como supuestamente maliciosas. El resultado (que incluye enlace) nos dirigiría al informe en la propia VirusTotal.com e incluso se podría enviar ficheros para su análisis.

Tras descargar esta nueva versión de la aplicación, podremos observar una nueva columna en la aplicación dedicada a recoger los resultados de VirusTotal una vez analizado el proceso:

Nueva columna en Process Explorer para resultados de Virus Total

Al hacer clic con el botón derecho del ratón en cualquier proceso, veremos una nueva opción denominada "Check VirusTotal" que, al ser pulsada, comenzará con el envío del hash de la imagen del proceso. Una vez finalizado el análisis, veremos el resultado en base a los motores de antivirus disponibles en este servicio online:

Opción por proceso para comprobar hash en VirusTotal

El búsqueda del hash del proceso jusched.exe sobre VirusTotal reporta 0 detecciones por parte de 50 motores
La aplicación no funciona bajo demanda únicamente, y también es posible que la propia herramienta realice el análisis de todos los procesos de forma paralela, obteniendo los resultados en la interfaz cuando hubiesen finalizado. Para ello, es necesario activar dicha opción desde el menú de Opciones -> VirusTotal.com -> Check VirusTotal.com


Tras finalizar el análisis, cualquier de los binarios que resultasen desconocidos para VirusTotal, serían marcados como tal en Process Explorer, permitiendo su subida de forma automática para realizar su primer análisis.

Sin duda, esta nueva funcionalidad nos ahorrará muchísimo tiempo en análisis propios del sistema en caso de que notemos que alguno de los procesos realiza un comportamiento anómalo o si su nombre pudiese ser sospechoso. En caso de tener alguna duda, es posible realizar la subida del binario directamente desde la interfaz de Process Explorer. 

9 comments :

53553y dijo...

Wow! genial esta información, gracias :)

hinojosa89 dijo...

Gracias por la informacion
Una pregunta si estamos detras de un proxy hay opcion de indicarselo?
Gracias

Security By Default dijo...

Seguramente si está establecido un proxy en el propio sistema que ejecuta la aplicación, todas las peticiones irían a través de él, por lo que no sería necesario.

Madrikeka dijo...

Me encanta esta herramienta y que hayan añadido esto, me parece espectacular y una gran mejora!!

spawn dijo...

Llevo utilizando esta herramienta desde hace mucho, para controlar los procesos del equipo. Ahora con este añadido, se esta convirtiendo en imprescindible.

Juan Manuel dijo...

Excelente. Muchas gracias por la información

Mario Alberto Hedz Hedz dijo...

habria que probar esta dristro

Fran dijo...

Lo he probado y peta. El programa falla algunas veces cuando no puede resolver la dirección. Debn pulirlo más

<; dijo...

lo he probado y no funciona.
Espero que lo mejoren en la proxima version.
tengo un troyano en un proceso y si realmente funcionara conseguiria matarlo.

<;<