VirusTotal API: File Scan unzuverlässig

xep22 · 6. Mai 2020

hallo,

ich habe gerade mit der VirusTotal API ein kleines Upload script für meine website geschrieben um Dateien zu untersuchen. was mir jetzt auffällt ist, dass bei einer echten Gefahr immer 0 Virenscanner Alarm schlagen... Ich habe es immer mit derselben Datei getestet.

Lade ich die Datei direkt bei VirusTotal hoch, schlagen so gut wie alle Alarm. Richtig so.

Nutze ich das Beispiel Formular bei der API Doku (https://developers.virustotal.com/reference#file-scan) sind es 4 ...

Wie kann das denn bitte sein ? Mache ich was falsch ?

Ergebnis von meinem Script: https://www.virustotal.com/gui/file...8a88b033de35c8ea3e6c130f3898990d6e8/detection

Direktupload VT: https://www.virustotal.com/gui/file...eee87142909716472f911ff6950c790c24d/detection

Form Data von API-Doku: https://www.virustotal.com/gui/file...c31c77700cea837e85dda544c04a4620509/detection

Ich verwende PHP und das Beispiel Script von der Doku:

PHP:

$post = array('apikey' => $api_key, 'file' => 'https://example.com/filetotext.exe');
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, 'https://www.virustotal.com/vtapi/v2/file/scan');
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_VERBOSE, 1);
curl_setopt($ch, CURLOPT_ENCODING, 'gzip,deflate');
curl_setopt($ch, CURLOPT_USERAGENT, 'gzip, My php curl client');
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, $post);

$result = curl_exec($ch);
$status_code = curl_getinfo($ch, CURLINFO_HTTP_CODE);

Thaddelino · 6. Mai 2020

Vielleicht ist es das:
Wenn das Dein Code ist, schickst Du eine URL an den Filescan. Du müsstest dann einen anderen Endpunkt verwenden, den für URL Scans.
https://developers.virustotal.com/reference#url-scan

0x8100 · 6. Mai 2020

du spielst auch mit jeder api, die du finden kannst, oder...? du siehst aber schon, dass du manuell eine 14,5kB exe und per api eine 101Byte text datei hochgeladen hast? natürlich sind das unterschiedliche ergebnisse.

xep22 · 6. Mai 2020

Thaddelino schrieb:
Vielleicht ist es das:
Wenn das Dein Code ist, schickst Du eine URL an den Filescan. Du müsstest dann einen anderen Endpunkt verwenden, den für URL Scans.
https://developers.virustotal.com/reference#url-scan

Hm, aber auch damit ist jetzt alles grün...

Suche

VirusTotal API: File Scan unzuverlässig

xep22

Banned

Thaddelino

Cadet 4th Year

0x8100

Admiral

xep22

Banned

Anhänge