Cymru disponibiliza serviço gratuito para verificação de hashes de arquivos (md5/sha1) via Whois e Dns

Para análise de malwares via WEB, já são famosos os serviços VirusTotal e JottiScan.

Agora o Team Cymru divulgou um serviço muito interessante para verificação simples ou em lote de hashes de arquivos que pode ser utilizado por grupos de resposta a incidentes:

Funciona assim: você primeiro gera a lista de hashes (md5sum / sha1sum) dos seus arquivos suspeitos, depois basta utilizar um cliente whois ou dns para fazer as consultas:

whois input:
$whois -h hash.cymru.com e1112134b6dcc8bed54e0e34d8ac272795e73d74

whois output:
"1221154281 53"

whois interpretação:
A data de entrada do binário está em epoch / unix time.
para traduzir, o melhor comando é "date -d @1221154281" => Thu Sep 11 14:31:21 BRT 2008

depois do espaço, é apresentado o percentual de detecção, ou seja, no exemplo
53% dos anti-vírus utilizados detectaram o hash que você enviou como malware

Mais info aqui para saber como se consulta via DNS e para consultas de arquivos contendo múltiplos hashes (via netcat).