Comment les scanners AV de VirusTotal vérifient-ils si un fichier est malveillant ou non et à quel point son rapport est-il fiable?

annonce 1: Il télécharge votre fichier, mais uniquement si le hachage n'est pas connu. Comme toute première chose, un morceau de Javascript calculera un hachage cryptographique (SHA-256 si je me souviens bien, mais peut-être faux) et l'envoie. Le moteur recherche ensuite le hachage dans une base de données déjà créée, plutôt que de scanner. Seulement s'il n'est pas présent, ou si vous insistez, il téléchargera le fichier réel.
Est-ce sécurisé? À peu près à 100%, ou aussi près que possible. Les chances que votre fichier ait le même hachage qu'un fichier déjà scanné mais n'est pas le même fichier sont réductives. Pas tout à fait zéro, certes, mais aussi bon que.

ad 2: Il ne fait pas grand-chose du tout par lui-même à part "aucun problème n'a été trouvé" s'il y avait zéro hits signalés. Ce qu'il fait, c'est qu'il tourne autour de 60 à 70 scanners différents, dont certains sont bien connus, et certains dont je n'ai jamais entendu parler, et affiche leur sortie. Qui, parfois, contient des faux positifs, et qui peuvent très bien contenir des faux négatifs. L'utilité réelle des antivirus est contestée, mais hélas, c'est aussi bon que possible. Au moins, les antivirus détectent les menaces bien connues relativement bien.
De plus, il y a le truc communautaire où les utilisateurs peuvent donner des notes, mais tout se résume à faire confiance à un inconnu sur Internet, alors ...

annonce 3: À peine. La meilleure alternative est de ne jamais exécuter de programmes d'origine inconnue ou même douteuse. Tout le reste lit des feuilles de thé. Bien sûr, certains lisent mieux les feuilles de thé que d'autres, mais ils ne lisent toujours que les feuilles de thé. L'analyse dynamique existe, à peu près tous les logiciels AV de bureau en ont de nos jours (exécutant la plupart des appels système via une bibliothèque proxy), mais s'il fait réellement quelque chose d'utile autre que de graver un processeur massif est discutable. Virus Total peut être un peu mieux dans la mesure où il exécute une énorme quantité de scanners. Il n'est pas certain que cela augmente réellement la sécurité. Si vous y pensez: en supposant que les scanners qui sont exécutés valent réellement leur sel, alors un seul d'entre eux devrait faire l'affaire. D'un autre côté, s'ils ne valent pas leur sel, quelle valeur ajoutée en exécutant plus d'entre eux? Citant une vieille sagesse: si vous n'ajoutez rien à rien, la somme reste plutôt faible. Ou, comme indiqué dans Fidelio : "Rien, si vous n'ajoutez rien à l'air".

Si vous avez obtenu un fichier d'un site vraisemblablement digne de confiance, et vous avez zéro frappe sur VT, alors c'est probablement, généralement, plutôt sûr. Si vous conservez le fichier pendant deux semaines et que vous le réexécutez à nouveau deux semaines plus tard, c'est encore mieux (en supposant qu'une nouvelle menace puisse être connue entre-temps). C'est ce que je fais, et je l'ai fait des années avant même que VirusTotal existe - jusqu'à présent, cela fonctionne très bien (ou, il semble travail, je pourrais avoir des logiciels malveillants que je ne connais pas). En fin de compte, vous ne savez jamais avec certitude.

À propos de l'analyse dynamique
Cela ne se produit pas. Vous pouvez déduire le type d'analyse que VirusTotal fait de son affichage. Il ne s'agit presque certainement pas simplement d'un transfert de hachages vers un autre service (comme suggéré dans un commentaire) en raison du temps nécessaire à l'analyse et du fait que les fichiers de définition ne sont pas toujours synchronisés (en fait, la plupart du temps, ils ne le sont pas) avec les outils des fabricants. Vous pouvez également décompresser et reconditionner un fichier Zip (ce qui entraîne presque certainement un fichier non identique), et il sera analysé très bien. Comment cela fonctionnerait-il si seuls des hachages étaient distribués? Ce ne serait pas le cas ... mais cela le fait . Cela, et le fait que parfois un scanner ou un autre échoue à ouvrir une archive, indique que le scan réel se produit.
Vous pouvez en déduire qu'ils effectuent la correspondance de signature statique et l'analyse heuristique car la correspondance de signature est ce que chaque AV fait et a fait depuis 30+ ans par défaut, et l'analyse heuristique est ce que la plupart (sinon tous) les scanners font par défaut pendant au moins 20 ans également.

D'un autre côté, vous pouvez être sûr qu'aucune analyse dynamique n'est effectuée car cela est interdit et peu pratique pour un service Web. Afin de faire une analyse dynamique, vous devez exécuter le binaire dans un environnement sécurisé (émulateur, machine virtuelle ou similaire) qui fournit un système d'exploitation complet pour le binaire à exécuter, et qui est capable de répondre aux exigences de mémoire et de CPU d'un hasard quantité de programmes inconnus a priori. Ce n'est guère réaliste. De plus, il existe un risque très non négligeable d'exécuter un logiciel inconnu qui pourrait essentiellement tout y compris exécuter des services malveillants à l'intérieur de la machine virtuelle , ou sortir de la machine virtuelle. Vous savez, par exemple, un navigateur Web ou un client de messagerie a besoin d'un accès Internet pour fonctionner correctement. Comment pouvez-vous fournir cela sans également octroyer de malware à votre accès à Internet? Google (le propriétaire de VirusTotal) n'aimerait certainement pas être accusé de gérer des logiciels malveillants.
Enfin, vous devez avoir une couverture de 100% pour être sûr (sinon, l'analyse est assez inutile, les logiciels malveillants ne font pas nécessairement leur travail au lancement du programme), vous avez donc besoin d'un humain ou du robot de duplication le plus avancé de le monde de fournir une contribution adéquate au programme afin qu'il prenne tous les chemins possibles. Faites-le pour un service Web que dix millions de personnes environ utilisent chaque jour, et personne n'aime attendre plus d'une minute ou deux pour les résultats, bonne chance.