Depuis quelque temps, j'ai mis en place un site qui me permet de récupérer certains fichiers à savoir : http://upload.malekal.com/
J'ai aussi accès à une base de données de fichiers infectieux qui proviennent de divers forums de sécurité (notamment US).
Tout ça pour vous dire que je vois de plus en plus de scans de fichiers passés sur virustotal et virusscan.jotti.org. Ce sont en général des fichiers d'infections toutes récentes afin de les analyser (en gros voir ce que fait l'infection). Elles sont souvent assez mal détectées par les éditeurs de sécurités, et, en règle générale, le fichier finit dans les mains de l'éditeur de sécurités afin d'ajouter l'infection dans la base de données de définitions de virus.
Ces scans permettent de donner une idée du niveau de détection des antivirus et de la réactivité des éditeurs sur les nouvelles infections.
Cela permet aussi de constater si la détection heuristique des antivirus est efficace. Pour rappel voici comment les antivirus détectent globalement une infection :
- Si le malware est connu, l'antivirus le reconnaît à partir de la signature, c'est à dire une suite d'octets contenue dans le fichier infectieux permettant de dire que le fichier appartient à telle ou telle infection. D'où la course à l'ajout de signature dans la base de données des antivirus et les mises à jour régulières de la définition virale de votre antivirus.
- Si le malware est inconnu, l'antivirus peut dire ou non si le fichier est d'origine malware, grâce à la détection heuristique. En scannant le fichier, l'antivirus peut déterminer de par la structure du fichier si celui-ci peut être infectieux ou non. Cette détection peut générer des faux positifs, c'est à dire que l'antivirus va indiquer un fichier sain comme dangereux, l'utilisateur devra donc faire le bon choix.
Il existe bien d'autres méthodes de scan, certaines de ces méthodes sont présentées sur cette page : http://www.malekal.com/antivirus.php
Les moyens de propagation des malwares sont des fichiers piégés sur les réseaux P2P, des cracks, des fichiers sur les sites pornographiques, ou des sites piégés exploitant des failles de sécurité sur les mêmes thèmes que précédemment en général, voir Les Exploits sur les sites WEB piégés.
L'infection s'installe à partir d'un dropper, c'est un fichier contenant l'infection et qui "drop" l'infection sur le système, tout est mis en oeuvre dans ce fichier pour cacher l'infection afin que celle-ci ne soit pas détectée par les antivirus (fichier packé/crypté souvent de plusieurs manières etc..).
En pratique, voici un lien qui montre comment une infection s'installe sur un système à travers une faille de navigateur, sans intervention de l'utilisateur, par simple visite d'un site WEB piégé : les dangers des cracks.
Si l'antivirus détecte le dropper, c'est gagné car le fichier sera bloqué avant que l'infection ne soit installée sur le système.
Si l'antivirus ne le détecte pas, c'est fini pour vous car :
- l'infection est installée sur le système et en règle générale, l'antivirus ne parvient pas à supprimer l'infection (si déjà, il arrive à détecter la totalité de l'infection), votre seul réflexe dans ces cas là, est de scanner votre ordinateur avec toute une panoplie de logiciels afin de supprimer la/les infection(s), le résultat n'est souvent pas très satisfaisant.
- à l'heure d'aujourd'hui, les infections installent quasi systématiquement des rootkits. Pour résumer, un rootkit est un programme qui est capable de se cacher dans le système de l'utilisateur (impossible de le voir dans le gestionnaire de tâches, sur le disque etc..), mais aussi des autres programmes, les antivirus y compris. Pour détecter ces rootkits, il faut un scanner rootkit et encore, il n'est pas dit que celui-ci détecte le rootkit, en effet plusieurs techniques de rootkits existent (quelques rootkits rootkit Pe386, Gromozon/LinkOptimizer, Trojan/DNS et le plus courant Magic.Control.
Voir Le danger et fonctionnement des rootkits
A l'heure où j'écris cette page, les éditeurs de sécurités sont TRES en retard par rapport aux auteurs de malwares puisque leurs scanneurs ne sont qu'en version BETA et pas encore intégrés aux suite des sécurité (sauf pour F-Secure avec F-Secure Internet Security 2007) - Quelques un des scanner rootkits en version beta :
L'un des plus efficaces actuellement est gmer développé : http://www.gmer.net/
La détection du dropper est très importante puisque c'est la base de l'infection, si le dropper est détecté, aucune infection ne sera installée sur le système.
Détecté, le dropper fait appel à plusieurs technologies différentes puisque les auteurs de malwares utilisent eux aussi diverses méthodes pour dissimuler l'infection dans ce fichier, les antivirus ne sont pas à égalité de ce côté là, la base de données de définition de virus joue bien un rôle très important, si le dropper y est référérencé c'est gagné !
Illustration sur la page : Dropper & Payload : Explications
Pour en revenir au scan en ligne, j'ai été très étonné par le niveau de détection d'Antivir, quand le malware n'est pas dans la base de données, la détection heuristique prend très bien le relais (noté HEUR/Crypted sur les scans). A l'inverse, Avast! m'a beaucoup déçu.
Avast! est très populaire parmi les antivirus gratuits, je le vois très souvent installé sur les ordinateurs infectés. En règle général, lorsqu'une personne demande quel est le meilleur antivirus, il revient souvent dans les réponses. La réponse est souvent suivi d'un "je n'ai jamais eu de problèmes", sauf que les habitudes de surf sont beaucoup plus prépondérantes que le choix de l'antivirus dans les possibilités d'infection.
Je veux dire par là que quelqu'un qui surf n'importe où et installe n'importe quoi sur son ordinateur (cracks, sites pornographiques, P2P) aura beaucoup plus de chances d'être infecté avec le meilleur antivirus installé que quelqu'un qui fait attention et n'installe pas le premier programme venu possédant un antivirus noté comme "mauvais", ce que la page securiser son ordinateur tente de faire comprendre, les réponses des internautes peuvent donc être faussées.
Pour ma part, et au vu des scans effectués, je préconiserai plutôt Antivir qui me semble beaucoup plus efficace qu'Avast!. Antivir est de plus un antivirus gratuit donc pourquoi se priver ? Pour avoir un aperçu de l'antivirus, reportez-vous à ce lien : Tutorial installation et configuration Antivir
Vous trouverez ci-dessous, les résultats du scan avec le nombre de fichiers scannés, certes on peut se dire que sur une centaine de scans, cela ne reflète pas forcément la réalité, vous pouvez alors vous rendre sur ce lien http://www.av-comparatives.org/seiten/comparatives.html afin de visualiser des comparatifs avec un nombre plus conséquent de malwares (attention, le premier est de 2004, il faut scroller vers le bas, pour voir les scans les plus récents).
Il y a une différence entre Antivir et Avast! de 6%, si on part du principe qu'il y a environ 1 000 000 de malwares, cela nous fait environ 50 000 malwares non détectés.
Pour voir les résultats de cette différence et les conséquences d'une meilleure réactivité d'un antivirus à l'autre, vous pouvez consulter cette page Avast! VS Antivir
Pour terminer sur la méthodologie de scan, je dirai que les fichiers récupérés sur ce scan sont des fichiers issus d'infections recueillies sur les forums de sécurité :
- Ce sont des fichiers issus d'infections récentes, les infections récentes sont les plus dangereuses car elles sont souvent mal détectées par les antivirus puisque cela nécessite que l'éditeur ait eu vent de l'infection et surtout l'ait ajoutée dans la base de données.
- Cela donne un aperçu des infections les plus répandues à un instant T dont les internautes sont les victimes.
Notez aussi que vous avez, lors de chaque scan, la date de scan, vous pourrez constater que ce sont des fichiers récupérés dans le mois.
Je tenterai d'ajouter des scans régulièrement, si possible une fois par semaine.
Pour mieux comprendre les infections, reportez-vous à l'article : Pourquoi je me fais infecter?
Liens externes sur le même sujet :
- La vérité sur les antivirus : http://lejournaldunjournaliste.blogspot ... virus.html
Avast fait légèrement mieux que Microsoft...ptdr 
je sais pas trop....
