Lo venía anunciando el propio creador de la suite de SysInternals Mark Russinovich en un tweet hace semanas, sobre que estaba trabajando en incluir el análisis de los procesos en ejecución del sistema contra el servicio de Virus Total, para poder detectar malware en ejecución en nuestro sistema sin realizar el análisis manual a través de su servicio online.
 |
| Tweet de Mark Russinovich: "Trabajando en la integración de Process Explorer con Virus Total" |
La descripción completa de esta nueva versión es la siguiente:
Process Explorer v16.0: Gracias a la colaboración con el equipo de Virus Total, esta actualización de Process Explorer introduce la integración con VirusTotal.com, un servicio de análisis online de antivirus. Cuando se encuentre habilitado, Process Explorer envía los hashes de las imágenes y ficheros mostrados en el proceso y las vistas DLL a VirusTotal y si hubieran sido previamente analizadas, informaría cuantos motores de antivirus lo identificarían como supuestamente maliciosas. El resultado (que incluye enlace) nos dirigiría al informe en la propia VirusTotal.com e incluso se podría enviar ficheros para su análisis.
Tras descargar esta nueva versión de la aplicación, podremos observar una nueva columna en la aplicación dedicada a recoger los resultados de VirusTotal una vez analizado el proceso:
 |
| Nueva columna en Process Explorer para resultados de Virus Total |
Al hacer clic con el botón derecho del ratón en cualquier proceso, veremos una nueva opción denominada "Check VirusTotal" que, al ser pulsada, comenzará con el envío del hash de la imagen del proceso. Una vez finalizado el análisis, veremos el resultado en base a los motores de antivirus disponibles en este servicio online:
 |
| Opción por proceso para comprobar hash en VirusTotal |
 |
| El búsqueda del hash del proceso jusched.exe sobre VirusTotal reporta 0 detecciones por parte de 50 motores |
La aplicación no funciona bajo demanda únicamente, y también es posible que la propia herramienta realice el análisis de todos los procesos de forma paralela, obteniendo los resultados en la interfaz cuando hubiesen finalizado. Para ello, es necesario activar dicha opción desde el menú de Opciones -> VirusTotal.com -> Check VirusTotal.com
Tras finalizar el análisis, cualquier de los binarios que resultasen desconocidos para VirusTotal, serían marcados como tal en Process Explorer, permitiendo su subida de forma automática para realizar su primer análisis.
Sin duda, esta nueva funcionalidad nos ahorrará muchísimo tiempo en análisis propios del sistema en caso de que notemos que alguno de los procesos realiza un comportamiento anómalo o si su nombre pudiese ser sospechoso. En caso de tener alguna duda, es posible realizar la subida del binario directamente desde la interfaz de Process Explorer.
