VirusTotal vs Jotti: comparativa completa i alternatives reals

Informatec Digital » Recursos » VirusTotal vs Jotti: comparativa completa i alternatives reals

Quan parlem de analitzar arxius sospitosos a la recerca de codi maliciós (malware), dos noms apareixen sempre a les converses: VirusTotal i Jotti. Són serveis veterans molt utilitzats tant per usuaris domèstics com per tècnics i analistes de seguretat que necessiten una segona opinió ràpida sobre un fitxer descarregat d'Internet o rebut per correu.

No obstant, encara que a simple vista puguin semblar eines gairebé idèntiques, la realitat és que hi ha diferències importants en motors antivirus, tipus d'anàlisi, mida màxima d'arxiu, nivell de detall dels informes i fins i tot en l'enfocament del servei (més avançat o més senzill). A més, l'ecosistema ha crescut i avui dia hi ha moltes alternatives que cal conèixer per no dependre d'una sola plataforma.

Per què segueixen sent útils els escàners en línia

En sistemes com Windows, tenir un antivirus resident instal·lat i actualitzat no és opcional, és una necessitat. De fet, el mateix Microsoft integra Windows Defender al sistema, que ofereix protecció bàsica en temps real sense fer res més per part nostra.

Tot i així, molts usuaris segueixen desconfiant una mica de Windows Defender i opten per solucions de seguretat de tercers de marques veteranes que porten anys al mercat. Aquest antivirus principal sol vigilar lequip en segon pla, però no sempre volem instal·lar un altre programa només per revisar un fitxer puntual.

En el dia a dia, resulta molt pràctic poder fer un anàlisi sota demanda d'un o diversos fitxers directament des del navegador, sense instal·lacions i sense tocar la configuració del sistema. Aquí és on entren en joc serveis com VirusTotal o Jotti, que permeten pujar un fitxer i comprovar-ho contra diversos motors antivirus alhora.

A més de les anàlisis programades del propi antivirus, és recomanable fer cada cert temps un revisió més exhaustiva del PC, però quan el que ens preocupa és un fitxer concret (un adjunt, un executable descarregat, un document dubtós), aquests escàners en línia ofereixen una segona opinió ràpida i molt còmoda.

Què és VirusTotal i com funciona

VirusTotal s'ha convertit amb els anys en la referència mundial en anàlisi d'arxius i URLs des de la web. Pertany a l'ecosistema de Google i s'integra en fluxos de treball de tota mena: des d'usuaris que pugen un fitxer aïllat fins a equips SOC que automatitzen consultes mitjançant API.

La gran carta de VirusTotal és que combina més de 70 motors antivirus i eines de seguretat per analitzar l'element enviat. És a dir, no es limita a una única solució, sinó que llança l'arxiu, l'URL, el domini o l'IP contra un ampli ventall de tecnologies independents per augmentar les probabilitats de detecció.

Per a l'usuari, el procés és molt senzill: només cal pujar l'arxiu o enganxar la URL, domini, IP o hash, esperar uns segons i revisar un informe detallat amb quins motors el marquen com a maliciós, quins ho consideren net i quin tipus d'amenaça s'ha detectat, si n'hi ha.

Una altra característica molt potent és la seva enorme base de dades històrica de mostres. VirusTotal conserva i organitza els arxius analitzats, cosa que permet consultar mostres antigues per veure com han anat evolucionant les deteccions i quina informació addicional s'ha anat generant amb el temps.

La plataforma compta a més amb una comunitat molt activa que comenta, etiqueta i enriqueix les mostres amb context: famílies de codi maliciós, campanyes conegudes, indicadors relacionats, etc. Aquest vessant col·laboratiu aporta un valor extra enorme als informes.

A la part negativa, la versió gratuïta té limitacions en la mida dels fitxers que es poden pujar i en lús de lAPI. Un altre punt delicat és la privadesa: molts usuaris no se senten còmodes pujant fitxers sensibles sabent que poden ser compartits amb la comunitat i amb empreses de seguretat.

Què és Jotti i en què es diferencia de VirusTotal

Jotti's malware scan és un servei web molt més senzill, pensat per a qui vol comprovar ràpidament un fitxer sense complicar-se la vida. El concepte és similar: puges un fitxer i s'analitza amb diversos motors antivirus en paral·lel.

Segons la pròpia informació del servei, Jotti permet pujar fins a 5 fitxers alhora, amb una mida màxima de 250 MB per fitxer en la seva configuració més recent (en algunes comparatives antigues es parlava de 20 MB, però el límit actual és força més generós). Això ho fa pràctic per a documents, executables o compressors de mida mitjana.

El nombre de motors és sensiblement menor que a VirusTotal: Jotti treballa amb entre 15 i 20 antivirus diferents, el que a la pràctica segueix sent una bona “segona opinió”, però òbviament ofereix menys diversitat que els més de 70 de VirusTotal.

Un dels seus avantatges és la interfície: Jotti destaca per una presentació molt neta i directa, ideal per a usuaris poc tècnics que només volen saber si un arxiu “fa mala olor” o no. L'informe és més curt i menys aclaparador que el de VirusTotal.

Això sí, el servei està enfocat exclusivament a analitzar arxius solts. No permet escanejar URLs, dominis ni adreces IP, cosa que sí que forma part del dia a dia amb VirusTotal per a analistes i administradors.

El mateix servei adverteix que, encara que utilitzi diversos motors, no hi ha protecció al 100%. A més, tots els fitxers enviats es comparteixen amb les companyies antivirus participants per millorar les seves firmes i mecanismes de detecció, un punt a tenir en compte si manegues contingut molt sensible.

Similituds entre VirusTotal i Jotti

De cara a l'usuari mitjà, VirusTotal i Jotti comparteixen una sèrie de característiques bàsiques que expliquen per què solen esmentar-se junts quan es parla de escàners de malware en línia.

En primer lloc, tots dos són serveis gratuïts i accessibles des del navegador, sense necessitat de crear un compte per als usos bàsics ni instal·lar programari addicional. Simplement s'entra a la web, s'escull el fitxer i s'espera el resultat.

Tots dos es basen en la idea de utilitzar múltiples motors antivirus alhora per augmentar la probabilitat de detectar amenaces. En lloc de refiar-se de l'opinió d'un únic proveïdor, ofereixen una mena de “votació” entre diversos motors.

També coincideixen que són eines d'anàlisi sota demanda, no substitueixen l'antivirus d'escriptori. No proporcionen protecció en temps real, no bloquegen descàrregues ni monitoritzen processos; només analitzen allò que tu els envies manualment.

Tant VirusTotal com Jotti han ofert o segueixen oferint clients d'escriptori per facilitar l'enviament d'arxius sense haver d'obrir el navegador, una cosa útil per als que sovint analitzen fitxers i no volen repetir sempre el mateix procés manual.

Diferències clau: on guanya VirusTotal i on convenç més Jotti?

Encara que el concepte sigui semblant, en comparar VirusTotal vs Jotti apareixen diferències importants en motors, opcions danàlisi i nivell de detall, que fan que cadascú encaixi millor en un tipus dusuari.

La primera gran diferència és al nombre i varietat de motors antivirus. En proves comparatives s'ha vist que mentre Jotti feia servir al voltant de 19 motors, VirusTotal arribava a 40, 50 o més segons l'època, incloent solucions tan populars com McAfee, Symantec o Trend Micro que Jotti no incorpora.

Un altre punt on VirusTotal pren avantatge és a les opcions d'escaneig. No es limita a fitxers: també permet analitzar URLs, dominis, adreces IP, hashes i fins i tot extreure informació de comportament, cosa molt útil per revisar enllaços abans de descarregar-los o visitar pàgines potencialment perilloses.

Al terreny de la seguretat de la pròpia connexió, VirusTotal ofereix pujada de fitxers mitjançant SSL per xifrar la transferència durant lanàlisi. Jotti, en moltes de les seves etapes, no ha tingut aquest nivell d'opcions visibles, cosa que pot preocupar usuaris molt gelosos de la confidencialitat del que pugen.

D'altra banda, Jotti guanya punts precisament pel seu simplicitat i claredat. No aclapara amb desenes de pestanyes, indicadors o mètriques avançades; se centra a mostrar quins motors marquen l'arxiu com a sospitós i poca cosa més, cosa que molts agrairan si només volen una resposta ràpida.

En diferents anàlisis comparatives se sol concloure que, si el que busques és màxima cobertura i versatilitat, VirusTotal surt guanyador amb certa comoditat. Jotti, en canvi, es posiciona bé com a servei complementari, una segona opinió lleugera després de passar per VirusTotal o pel teu antivirus local.

VirusTotal després de la seva integració a Google Threat Intelligence

En els darrers anys el panorama ha canviat per als usuaris professionals de VirusTotal, ja que el servei s'ha anat integrant cada cop més dins de Google Threat Intelligence (GTI), la línia de productes de ciberintel·ligència de Google orientada a empreses.

Amb aquesta integració, moltes de les funcionalitats que abans estaven disponibles a nivells gratuïts o intermedis han passat a models de pagament més alts i diferents professionals han comentat en fòrums especialitzats increments de preu significatius per a l'accés avançat a dades i informes.

Aquest gir es produeix en un moment especialment delicat, amb un augment constant de vulnerabilitats i amenaces. Informes d'intel·ligència d'amenaces han arribat a xifrar en més d'un 15% l'increment de CVE divulgades davant d'anys anteriors, cosa que exigeix ​​més dades, més context i més automatització.

Per a molts equips de ciberseguretat, caçadors d'amenaces i SOCs, refugiar-se només a pujades comunitàries i deteccions antivirus dins de VirusTotal ja no n'hi ha prou, ni tampoc sempre sostenible a nivell de costos si es vol aprofundir mitjançant APIs avançades.

Tot això ha impulsat la recerca de alternatives pràctiques i complementàries que cobreixin necessitats d'intel·ligència d'amenaces, correlació d'indicadors i automatització sense dependre del 100% de l'ecosistema VirusTotal/GTI.

Alternatives potents a VirusTotal (més enllà de Jotti)

Tot i que Jotti és una alternativa interessant per a ús puntual, hi ha tot un ventall de plataformes que cobreixen aspectes concrets d'anàlisi de codi maliciós (malware), compartició de mostres, reputació d'IPs o mapeig d'infraestructura maliciosa que val la pena considerar.

Metadefender Cloud (OPSWAT)

Metadefender Cloud, d'OPSWAT, és una solució al núvol que no només ofereix anàlisi multimotor a l'estil VirusTotal, sinó que afegeix capes addicionals centrades en prevenció, com la desinfecció i el sanejament darxius.

El servei permet escanejar arxius, URLs, adreces IP i hashes amb més de 20-30 motors antivirus, buscant tant amenaces conegudes com a comportaments sospitosos. La idea és maximitzar la detecció combinant diferents tecnologies.

La seva funció estrella és el Content Disarm and Reconstruction (CDR), que pren un arxiu, li elimina parts potencialment perilloses (macros, scripts, contingut incrustat) i genera una versió “neta” utilitzable, fins i tot en casos en què el codi maliciós encara no hagi estat identificat explícitament.

Metadefender Cloud també ofereix escaneig de vulnerabilitats dins dels arxius, per exemple detectant llibreries obsoletes o components amb exploits coneguts, el que afegeix un angle de seguretat addicional a la simple anàlisi antivirus.

Gràcies a la seva API i integracions, és una bona opció per organitzacions que vulguin automatitzar el sanejament de fitxers entrants (correu, portals de clients, transferències internes) abans que arribin a l'usuari final.

Jotti's Malware Scan com a alternativa senzilla

Més enllà de la comparativa directa amb VirusTotal, Jotti segueix sent una excel·lent carta per a escanejats ràpids i gratuïts en entorns domèstics o petits negocis que no necessiten grans desplegaments.

El seu atractiu principal és l'ús de diversos motors antivirus en paral·lel, el que millora la taxa de detecció davant de confiar cegament en un únic producte descriptori i pot descobrir amenaces que un sol motor deixaria passar.

El seu límit de mida (actualment fins 250 MB per arxiu i amb possibilitat d'enviar-ne 5 alhora) ho fa pràctic per a la majoria de casos habituals, des d'instal·ladors fins a arxius comprimits o documents una mica pesats.

Lenfocament dinterfície és molt minimalista, amb un panell clar i sense opcions avançades que puguin confondre. És ideal per als que volen pujar un fitxer, veure un llistat de motors i decidir ràpidament si es fien o no d'aquest fitxer.

Per a analistes o usuaris avançats, Jotti funciona bé com segona o tercera font de verificació després de VirusTotal, sobretot en processos on es vol contrastar resultats entre diferents serveis en línia.

VirSCAN.org

VirSCAN.org és un altre clàssic dels escàners multi-antivirus a la web. Permet pujar fitxers i els revisa amb diversos motors de diferents fabricants, donant una visió creuada sobre possibles infeccions.

Durant molt de temps ha manejat un límit de 20 MB per arxiu, una mica més conservador que les xifres actuals de Jotti, però suficient per a gran part dels executables i documents ofimàtics habituals a escenaris d'anàlisi.

El seu plantejament és semblant: pujar, esperar el resultat i revisar quins motors detecten què. No se centra tant en la ultrausabilitat sinó en oferir un servei funcional i gratuït útil per a una segona opinió.

Intezer Analyze

Intezer Analyze fa un tomb de rosca a l'enfocament tradicional i se centra en el que anomenen “anàlisi genètica de codi”. En lloc de quedar-se només en el resultat dels antivirus, descompon el fitxer i compara fragments de codi amb enormes bases de dades de codi maliciós i programari legítim.

D'aquesta manera, és capaç de detectar reutilització de codi entre diferents famílies de malware, veure similituds amb mostres anteriors i agrupar mostres per llinatges, una mica tremendament útil per a investigadors i equips d'intel·ligència.

Els informes d'Intezer aporten context sobre l'origen probable del codi, quines parts són noves, quines estan preses d'altres troians o eines i com encaixa la mostra en campanyes conegudes, facilitant el treball d'atribució.

A més, s'integra bé mitjançant APIs per automatitzar enviaments i correlacions, per la qual cosa és una alternativa potent per a entorns empresarials i de recerca que busquen anar més enllà del típic “infectat/no infectat”.

AlienVault (Level Blue)

AlienVault, ara sota la marca Level Blue, no és només una eina d'anàlisi de codi maliciós, sinó una plataforma de seguretat unificada que integra múltiples capacitats en un únic producte.

La seva proposta gira al voltant de la gestió unificada de seguretat (USM), combinant SIEM, descobriment d'actius, escaneig de vulnerabilitats i IDS, a més de detecció de codi maliciós i correlació d'esdeveniments.

Una de les claus d'AlienVault és la seva intel·ligència d'amenaces col·laborativa, nodrida per la comunitat i per fonts comercials, que s'actualitza de manera contínua per identificar comportaments sospitosos i campanyes en curs.

Gràcies a la seva API ia la capacitat d'integrar-se amb altres solucions, és una alternativa atractiva per a organitzacions que volen veure el codi maliciós com una peça més dins d'un quadre complet de seguretat, no com una cosa aïllada.

MalwareBazar

MalwareBazar, impulsat per abuse.ch i Spamhaus, és una plataforma col·laborativa per compartir i descarregar mostres de codi maliciós (malware). Està molt orientada a investigadors, fabricants de seguretat i equips que necessiten material fresc per a les anàlisis.

Un dels seus avantatges davant d'altres plataformes és que elimina moltes barreres d'entrada: no hi ha requisits complexos de registre ni límits massa estrictes de descàrrega, cosa que fa més fluid el treball diari de recerca.

La plataforma se centra en mostres reals, evitant arxius benignes, adware o PUPs per maximitzar el valor del que es comparteix. Això ajuda els qui analitzen famílies de codi maliciós (malware), botnets o campanyes concretes.

MalwareBazar ofereix una API que permet automatitzar la descàrrega i integració de mostres en fluxos d'anàlisi, sandboxing o enriquiment intel·ligència, a més d'integracions amb SIEM i altres solucions.

Hunt.io

Hunt.io està més orientat a la caça d'amenaces i intel·ligència sobre infraestructura maliciosa que a lanàlisi darxius en si. El seu focus està en dominis, IPs i hashes i com es relacionen entre si.

Una de les seves funcions estrella és la seva feed d'infraestructura de C2, que identifica i valida proactivament servidors de comandament i control abans que siguin explotats de forma massiva, gràcies a escaneigs dInternet a gran escala.

La plataforma realitza un monitoratge continu de serveis exposats, certificats, capçaleres HTTP i altres elements visibles des de fora per detectar patrons dús per part dactors maliciosos.

Amb característiques com IOC Hunter, permet partir d'un indicador concret (un domini, una IP, un hash) i explorar infraestructura relacionada: directoris exposats, certificats compartits, capçaleres sospitoses, etc.

OPSWAT MetaDefender Cloud com a eina de hunting

A més de les seves capacitats com a escàner multi-motor, MetaDefender Cloud es posiciona bé com eina de threat hunting en integrar dades de múltiples proveïdors de seguretat, feedback dusuaris i capacitats de correlació.

La plataforma aprofita els seus més de 20 motors antivirus i altres capes danàlisi per reduir falsos negatius, millorar temps de resposta i facilitar la priorització d alertes en entorns corporatius.

El seu enfocament col·laboratiu, on els usuaris poden marcar i comentar arxius, IPs o dominis, permet afinar contínuament els algorismes de detecció i mantenir el sistema alineat amb les amenaces més recents.

CAPE Sandbox

CAPE Sandbox (CAPEv2) és l'evolució de projectes previs com Cuckoo Sandbox i s'ha convertit en una eina molt potent per a l'anàlisi dinàmica de codi maliciós (malware), ideal per a laboratoris i equips de resposta.

La seva gran fortalesa és combinar anàlisi estàtica i dinàmica per extreure configuracions internes, desempaquetar payloads ocults i descobrir tècniques d'evasió que moltes vegades passen desapercebudes en anàlisis només estàtiques.

CAPEv2 és capaç de monitoritzar trucades a API, trànsit de xarxa, canvis al sistema de fitxers i memòria, generant informes molt detallats sobre el comportament del codi maliciós en execució.

Inclou a més un sistema de depuració guiat per regles YARA i altres mecanismes, que ajuda a enfrontar mostres amb tècniques anti-sandbox o intents de camuflatge més avançats.

AbuseIPDB

AbuseIPDB és una base de dades col·laborativa de reputació d'adreces IP que recopila informes dactivitat maliciosa enviats per usuaris, empreses i serveis automatitzats de tot el món.

Qualsevol persona o sistema pot reportar IPs que estiguin realitzant atacs, intents de força bruta, spam, escanejos abusius o un altre tipus de conductes sospitoses, contribuint a millorar la qualitat de la base de dades.

Aquesta aproximació comunitària fa que la base de dades es mantingui molt actualitzada amb l'activitat maliciosa real, més enllà de simples llistes estàtiques creades al laboratori, i la fa valuosa per bloquejar o filtrar trànsit entrant.

La seva API facilita integrar aquesta intel·ligència de reputació a firewalls, SIEM, WAF o scripts propis, de manera que les decisions de bloqueig o alerta es puguin recolzar en dades enriquides sobre l'historial de cada IP.

Vist tot això, VirusTotal i Jotti segueixen sent dues peces molt útils per a l'anàlisi puntual d'arxius, però encaixen en un panorama molt més ampli on escàners multimotor, plataformes de compartició de mostres, sandboxes avançats i intel·ligència d'infraestructures malicioses es complementen per oferir una visió molt més rica i accionable de les amenaces.