Attention à ne pas vous faire piéger dans #VirusTotal avec le scan d'URL ⚠️
Scénario : vous recevez un lien (suspect) vers un fichier ZIP, mais un doute subsiste, d'autant que le domaine semble légitime. Vous décidez alors de soumettre cette URL à https://www.virustotal.com (onglet "URL")
Après le scan, VirusTotal retourne un résultat comme celui de l'image.
Tout est au vert, rien n'est détecté, ouf ?
Pas si vite ! Lisez bien ce que j'ai encadré en rouge... 🔍
⤵️⤵️⤵️
Vous voyez ? VirusTotal a reçu un contenu HTML vide, autrement dit une page blanche, et non le fichier ZIP ! Forcément, une page blanche ne présente aucun risque…
En téléchargeant le fichier ZIP (en VM) et en le soumettant directement à VirusTotal, le résultat est tout autre : 17 antivirus signalent une menace ! 😲
Techniquement, il est très probable que le site cible détecte le "bot" de VirusTotal et lui bloque tout téléchargement du fichier en lui présentant un autre contenu.
Prudence, donc…
@kvuilleumier Il est effectivement bon de rappeler que VirusTotal n'est qu'un outil parmi d'autres ; de simples indicateurs permettant une évaluation rapide. De la même manière, un scan en ligne de l'antivirus X ne retourne pas systématiquement le même résultat que le produit X installé localement.
« Prudence est mère de sûreté »
