Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée

TotalHash - Recherches des caractéristiques d'une menace par condensat

Dernière mise à jour : 2017-04-28T00:00 - 28.04.2017
20.01.2016 - 00h00 - Paris - (Assiste - Pierre Pinard) - Une correction lexicale.

TotalHash - Recherches des caractéristiques d'une menace par condensat - Moteur de recherches préfixées

TotalHash - Recherches des caractéristiques d'une menace par condensatTotalHashTotalHash - Recherches des caractéristiques d'une menace par condensat

TotalHash - Antivirus multimoteurs en ligne.

Pour chercheurs - Recherches des caractéristiques d'une menace par son condensat

Formellement, le service s'appelle #TotalHash.

Recherches par hash (condensats) (Utilisez HashTab pour calculer des condensats) de types MD5, SHA-1. (SHA-256 n'est pas supporté).

Recherches par les 3 premiers groupes de 2 octets d'un hash (onglet Browse).

Recherches préfixées (av, dnsrr, email, filename, hash, ip, mutex, pdb, registry, url, useragent, version) et utilisation d'opérateurs logiques AND, OR, NOT. Ecrire le préfixe, suivi de deux points (":"), suivi de la recherche (utilisation de WildCard possible (caractère joker "*") en début ou fin de chaîne de caractères. Voir notre "En savoir plus" (le point d'interrogation, à droite) pour les significations de ces préfixes et des exemples d'usage.

Possibilité d'envoyer un fichier à l'analyse. Il faut donner une adresse e-mail. Le résultat est obtenu, par e-mail, au bout d'environ 1/2 heure (en théorie car, dans la pratique, c'est beaucoup plus et il arrive, même pour un tout petit fichier de quelques dizaines de KO, de recevoir à l'écran, 2 heures plus tard, un laconique message "Progress updates have timed out, please checkback later.".).

L'adresse e-mail sera utilisée pour de la Pub. Dès première réception d'une pub de TotalHash, cliquez sur “unsubscribe”. Probables pubs de tierces parties bloquées par vos outils anti-spam.

Test du 1er mars 2016 : l'upload de fichier ne semble pas fonctionner.

TotalHash - Upload d'un fichier
TotalHash - Upload d'un fichier

Moteurs d'antivirus :


Signification des préfixes de requêtes

  • av – search for samples that contain a specific phrase in all anti virus output.
    example: av:*poison*
    example: av: Trojan.Poison
  • dnsrr – search for samples that contain a specific phrase in any DNS requests made during dynamic analysis.
    example: dnsrr:*.3322.org
    example: dnsrr:mta5.am0.yahoodns.net
  • email – search for samples that contain a specific phrase in any email address that the malware sample has sent to during dynamic analysis.
    example: email:*@mail.ru
    example: email:fernanda88@hotmail.com
  • filename – search for samples that contain a specific phrase in any filenames that have been created/modified/deleted during dynamic analysis.
    Example: filename:*sdra64.exe
  • hash – search for samples that have a specific SHA1 or MD5 hash. The hash maybe the whole sample or sections within a sample.
    Example: hash:da39a3ee5e6b4b0d3255bfef95601890afd80709
  • ip – search for samples that have generated a network connection towards a specific IP address or an IP address seen in a DNS record.
    Example: ip:8.8.8.8
  • mutex – search for samples that contain a specific phrase in a mutex value the sample has created during dynamic analysis.
    Example: mutex:DC_MUTEX_*
    Example: mutex:ASPLOG
  • pdb – search for samples that contain a specific phrase found in the pdb path embedded in a sample.
    Example: pdb:*Documents and Settings*
  • registry – search for samples that contain a specific phrase found in registry values that have been created/modified/deleted during dynamic analysis.
    Example: registry:*rundll32.exe*
  • url – search for samples that contain a specific phrase found in any URL generated during dynamic analysis.
    Example: url:*/gate.php
  • useragent – search for samples that contain a specific phrase found in any user-agent strings seen in HTTP requests during dynamic analysis.
    Example: useragent:malware.exe
    Example: useragent:*wget*
  • version – search for samples that contain a specific phrase found in the version string embedded in the sample.
    Example: version:*calc.exe*

Les termes de recherches peuvent être combinés en utilisant les opérateurs logiques AND, OR, NOT.
Par exemple, recherche d'échantillons de malveillances ivy (un backdoor classé à "poison") qui n'utilisent pas le mutex par défaut. Cette requête donne, comme résultat, toutes les malveillances de type "poison" connues dans la base de données de TotalHash qui n'invoquent pas le mutex (Mutual Exclusion) )!VoqA.I4 utilisé habituellement par ivy: av:*poison* NOT mutex:)!VoqA.I4

Attention : Un produit ou service antivirus "on-demand" ne remplace pas et ne remplacera jamais un véritable antivirus.

Rien de ce qui est téléchargé dans votre ordinateur ne doit être ouvert ou exécuté avant d'avoir été analysé. Faites analyser un téléchargement gratuitement immédiatement, avec de multiples antivirus simultanés, avant sa première ouverture.

Les produits ou services fonctionnant à la demande, et non pas en temps réel, qu'ils soient installés localement ou en ligne, ne servent qu'à vous aider à estimer l'innocuité ou la dangerosité d'un objet (fichier). Les produits ou services on-demand, incluant la plupart des outils gratuits et des versions gratuites des produits commerciaux, ne protègent pas votre ordinateur et ne vous protègent pas. Ces outils arrivent trop tard, après l'infection et ses dégâts ! Seuls les outils fonctionnant on-acces (en temps réel) vous protègent.