Aller au contenu

🖥️ TP — ANALYSE DE MALWARES AVEC VIRUSTOTAL⚓︎

Durée : 50 minutes — Individuel ou binôme

Objectif⚓︎

Apprendre à analyser des fichiers suspects avec VirusTotal pour déterminer s'ils sont malveillants.

Qu'est-ce que VirusTotal ?⚓︎

VirusTotal est un service en ligne gratuit qui : - Analyse un fichier ou une URL - Teste le fichier avec 70+ antivirus différents - Affiche les résultats de chaque antivirus - Donne un score de détection (ex : 45/70 antivirus détectent le fichier comme malveillant)

URL : https://www.virustotal.com

ÉTAPE 1 — Tester un Fichier Test EICAR (10 min)⚓︎

EICAR est un fichier de test inoffensif conçu pour tester les antivirus.

Créer le fichier EICAR :

  1. Ouvrir le Bloc-notes (Notepad)
  2. Copier-coller exactement cette ligne :
📋 Texte
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
  1. Enregistrer sous : eicar.com
  2. Votre antivirus va probablement le bloquer (c'est normal, c'est le test)

Analyser sur VirusTotal :

  1. Aller sur https://www.virustotal.com
  2. Onglet "File" (Fichier)
  3. Cliquer "Choose file" → Sélectionner eicar.com
  4. Cliquer "Confirm upload"

Résultat attendu : - 60+/70 antivirus détectent le fichier comme malveillant - Noms de détection : "EICAR-Test-File", "Test.File", "EICAR"

⚠️ Important : EICAR est totalement inoffensif. C'est juste une chaîne de caractères reconnue par les antivirus comme un test.

ÉTAPE 2 — Analyser des URLs Suspectes (20 min)⚓︎

Liste d'URLs à analyser :

📋 Texte
URL 1 : http://malware-traffic-analysis.net
URL 2 : http://testphp.vulnweb.com
URL 3 : http://www.eicar.org/download/eicar.com
URL 4 : https://www.google.com
URL 5 : http://badssl.com

Pour chaque URL :

  1. Aller sur VirusTotal
  2. Onglet "URL"
  3. Copier-coller l'URL
  4. Cliquer "Search"
  5. Analyser les résultats

Questions à répondre pour chaque URL :

📋 Texte
URL N°___ : _______________________________________________

☐ Détectée comme malveillante par ____ antivirus / 90

☐ SÛRE (0-5 détections)
☐ SUSPECTE (6-20 détections)
☐ MALVEILLANTE (21+ détections)

Catégorie détectée :
☐ Phishing
☐ Malware
☐ Exploit
☐ Autre : _______________

ÉTAPE 3 — Interpréter les Résultats (20 min)⚓︎

Cas pratique : Un employé a reçu cet email

📋 Texte
De : support-technique@entreprise-abc.tk
Objet : Mise à jour logicielle obligatoire

Bonjour,

Une mise à jour de sécurité critique doit être installée sur
tous les ordinateurs de l'entreprise avant 18h aujourd'hui.

Téléchargez et installez le fichier joint (maj_securite.exe).

Cordialement,
Service IT

Fichier joint (simulé) : maj_securite.exe

Mission : 1. Analyser le domaine entreprise-abc.tk sur VirusTotal 2. Déterminer si le domaine est suspect 3. Rédiger une réponse à l'employé

Exemple de réponse :

📋 Texte
☑ EMAIL SUSPECT / PHISHING

Raisons :
1. Domaine : .tk (extension gratuite, souvent utilisée pour phishing)
2. Expéditeur : support-technique@entreprise-abc.tk (pas le domaine officiel)
3. Urgence artificielle ("avant 18h")
4. Fichier exécutable .exe joint (inhabituel pour une mise à jour)

Action recommandée :
❌ NE PAS ouvrir la pièce jointe
❌ NE PAS cliquer sur des liens
✅ Supprimer l'email
✅ Signaler au service IT
✅ Si déjà ouvert → Isoler le PC, scanner avec antivirus