El informe de análisis contiene los resultados detallados de un envío de archivos a la nube. La pestaña Descripción general muestra un resumen de alto nivel del análisis de archivos. La pestaña Informe muestra información clave sobre el análisis realizado en el archivo.
Pestaña Descripción general
La descripción general se organiza en las siguientes secciones.
- Descripción general del análisis
-
En esta sección se proporciona un resumen de los resultados del análisis del archivo. Podrá consultar los siguientes datos:
- Hash MD5
- Hash SHA1
- Hash SHA256
- Tipo MIME
- Marca de tiempo de envío
- Nivel de amenaza
-
Esta sección comienza con un resumen de los resultados del análisis.
Por ejemplo: se detectó que el archivo md5_hash es malintencionado.
Después del resumen, se muestran los siguientes datos:
- Evaluación de riesgos
-
- Puntuación de malintencionalidad: una puntuación de 100.
- Estimación de riesgo: estimación del riesgo estimado por el artefacto.
- Alto: el artefacto representa un riesgo crítico y debe abordarse con prioridad. Por lo general, estos asuntos son archivos o documentos de Internet que contienen vulnerabilidades de seguridad, lo que pone en peligro el sistema infectado. Los riesgos son múltiples: desde la pérdida de información hasta el fallo del sistema. Estos riesgos se infieren parcialmente del tipo de actividad detectada. El umbral de puntuación de esta categoría suele ser ≥ 70.
- Medio: el artefacto representa un riesgo a largo plazo y debe supervisarse de cerca. Estos asuntos pueden ser una página web que contiene contenido sospechoso, lo que podría provocar intentos de ataques drive-by. También pueden ser adware o productos antivirus falsos que no representan una amenaza grave inmediata, pero pueden causar problemas con el funcionamiento del sistema. El umbral de puntuación de esta categoría suele ser de 30 a 69.
- Bajo: el artefacto es benigno y se puede ignorar. El umbral de puntuación de esta estimación de riesgo suele ser inferior a 30.
- Clase de antivirus: la clase de antivirus o malware a la que pertenece el artefacto. Por ejemplo, troyanos, gusanos, adware, ransomware, spyware, etc.
- Familia de antivirus: la familia de antivirus o malware a la que pertenece el artefacto. Por ejemplo, valyria, darkside, etc.
- Descripción general del análisis
-
Los datos se ordenan por gravedad e incluyen los siguientes campos:
- Gravedad: una puntuación entre 0 y 100 de la malintencionalidad de las actividades detectadas durante el análisis del artefacto. Los iconos adicionales indican en qué sistemas operativos se ha observado la actividad correspondiente durante el análisis.
- Tipo: los tipos de actividades detectados durante el análisis del artefacto. Entre ellas se incluyen:
- Inicio automático: capacidad para reiniciar después de apagar una máquina.
- Deshabilitar: capacidad para desactivar componentes críticos del sistema.
- Evasión: capacidad para evadir el entorno de análisis.
- Archivo: actividad sospechosa en el sistema de archivos.
- Memoria: actividad sospechosa dentro de la memoria del sistema.
- Red: actividad sospechosa en el nivel de red.
- Reputación: origen conocido o firmado por una organización de reputación.
- Configuración: capacidad para alterar permanentemente los ajustes críticos del sistema.
- Firma: identificación de asunto malintencionado.
- Robo: capacidad para acceder a información confidencial y potencialmente filtrada.
- Invisible: capacidad para permanecer inadvertido por parte de los usuarios o los sistemas de análisis.
- Silenciado: identificación del sujeto benigno.
- Descripción: una descripción correspondiente a cada tipo de actividad detectada durante el análisis del artefacto.
- TÁCTICAS ATT&CK: la etapa o etapas de un ataque ATT&CK de MITRE. Varias tácticas están separadas por comas.
- TÉCNICAS DE ATT&CK: las acciones o herramientas observadas que puede utilizar un actor malintencionado. Varias técnicas están separadas por comas.
- Artefactos adicionales
-
En esta sección se enumeran los artefactos adicionales (archivos y URL) que se observaron durante el análisis de la muestra enviada y que, a su vez, se enviaron para un análisis detallado. Esta sección incluye los siguientes campos:
- Descripción: Describe el artefacto adicional.
- SHA1: el hash SHA1 del artefacto adicional.
- Tipo de contenido: el tipo MIME del artefacto adicional.
- Puntuación: la puntuación de malintencionalidad del artefacto adicional.
- Argumentos de la línea de comandos descodificados
- Si se ejecutó algún script de PowerShell durante el análisis, el sistema los descodifica, lo que hace que sus argumentos estén disponibles en un formato más legible.
- Herramientas de terceros
- Un vínculo a un informe sobre el artefacto en el portal VirusTotal.
Pestaña Informe
Haga clic en la flecha hacia abajo de la pestaña Informe y seleccione el informe que desea ver. La información del informe varía en función del tipo de archivo que se haya analizado.
- Información de análisis
-
Esta sección contiene la siguiente información clave sobre el análisis al que hace referencia el informe actual:
- Asunto de análisis: el hash MD5 del archivo.
- Tipo de análisis: tipo de análisis realizado:
- Análisis dinámico en Microsoft Windows 10: el asunto del análisis se ejecutó en un entorno de Windows 10 virtual mediante el espacio aislado VMware NSX® Network Detection and Response™. El sistema supervisa el comportamiento de los archivos y sus interacciones con el sistema operativo en busca de indicadores sospechosos o malintencionados.
- Análisis dinámico en Microsoft Windows 7: el asunto del análisis se ejecutó en un entorno de Windows 7 virtual mediante el espacio aislado. El sistema supervisa el comportamiento de los archivos y sus interacciones con el sistema operativo en busca de indicadores sospechosos o malintencionados.
- Análisis dinámico en el navegador Chrome instrumentado: el asunto del análisis (como un archivo HTML o una URL) se inspeccionó con el navegador instrumentado, que está basado en Google Chrome. El navegador instrumentado reproduce de forma intencionada el comportamiento del navegador real y, por lo tanto, el contenido malintencionado no le permite tomar huellas digitales fácilmente.
- Análisis dinámico en un navegador emulado: el asunto del análisis (como un archivo HTML o una URL) se inspeccionó con el explorador emulado. El explorador emulado puede emular dinámicamente diferentes "personalidades" del navegador (por ejemplo, cambiar su agente de usuario o modificar las API que expone). Esta capacidad es útil cuando se analiza contenido malintencionado dirigido a tipos o versiones de exploradores específicos. La desventaja de este tipo de análisis es que este navegador es menos realista y es posible que el contenido malintencionado pueda tomar huellas digitales.
- Análisis dinámico en visor de archivos simulado: el asunto del análisis (como un archivo PDF) se inspeccione mediante el visor de archivos simulado. El visor puede detectar contenidos y vínculos integrados.
- Inflación de archivo: el asunto de análisis (un archivo) se expandió, se extrajo su contenido y, si es del tipo apropiado, se envió para su análisis.
- Contraseña utilizada: si está disponible, se proporciona la contraseña que se utilizó en el back-end para descifrar correctamente la muestra.