Process Explorer v.16 se integra con Virus Total


Mark Russinovich, el creador de la suite de SysInternals, venía anunciando en un tweet hace semanas, sobre que estaba trabajando en incluir el análisis de los procesos en ejecución del sistema contra el servicio de Virus Total, para poder detectar malware en ejecución en nuestro sistema sin realizar el análisis manual a través de su servicio online.


Y finalmente ya tenemos disponible la versión 16.0 de Process Explorer que incluye la integración con Virus Total para análisis de procesos en ejecución.

La descripción completa de esta nueva versión es la siguiente:

Process Explorer v16.0: Gracias a la colaboración con el equipo de Virus Total, esta actualización de Process Explorer introduce la integración con VirusTotal.com, un servicio de análisis online de antivirus. Cuando se encuentre habilitado, Process Explorer envía los hashes de las imágenes y ficheros mostrados en el proceso y las vistas DLL a VirusTotal y si hubieran sido previamente analizadas, informaría cuantos motores de antivirus lo identificarían como supuestamente maliciosas. El resultado (que incluye enlace) nos dirigiría al informe en la propia VirusTotal.com e incluso se podría enviar ficheros para su análisis.

Tras descargar esta nueva versión de la aplicación, podremos observar una nueva columna donde podemos visualizar los resultados de VirusTotal una vez analizado el proceso:


Al hacer clic con el botón derecho del ratón en cualquier proceso, veremos una nueva opción denominada "Check VirusTotal" que, al ser pulsada, comenzará con el envío del hash de la imagen del proceso. Una vez finalizado el análisis, veremos el resultado en base a los motores de antivirus disponibles en este servicio online:


La aplicación no funciona bajo demanda únicamente, y también es posible que la propia herramienta realice el análisis de todos los procesos de forma paralela, obteniendo los resultados en la interfaz cuando hubiesen finalizado. Para ello, es necesario activar dicha opción desde el menú de Opciones -> VirusTotal.com -> Check VirusTotal.com, desde donde también podremos activar la opción para enviar automáticamente los ejecutables desconocidos, para el caso de estos ejecutables que no son reconocidos por la aplicación también se puede realizar un envío manual, usando la opción "Submit to Virus Total".


Finalizado el análisis, cualquiera de los binarios que resultasen desconocidos para VirusTotal, serían marcados como tal en Process Explorer, permitiendo su subida de forma automática para realizar su primer análisis, una vez que el archivo haya sido enviado podremos ver que el mensaje que nos indicaba "Unknown" cambia por "File submitted...".


Y al finalizar el envío nos mostrará un mensaje indicando de que "La operación se completó correctamente", debido a ciertas restricciones de Virus Total, no siempre se podrá hacer uso de esta característica, ya que esta presenta una limitación en cuanto al tamaño del ejecutable a enviar, en ese caso veremos un mensaje que nos indica "El tamaño del archivo supera el límite permitido y no se guardará", tal como se puede ver en la siguiente imagen:


Sin duda, esta nueva funcionalidad nos ahorrará muchísimo tiempo en análisis propios del sistema en caso de que notemos que alguno de los procesos realiza un comportamiento anómalo o si su nombre pudiese ser sospechoso. En caso de tener alguna duda, es posible realizar la subida del binario directamente desde la interfaz de Process Explorer.

[+] Descargar la nueva versión de Process Explorer v16.0

Comentarios