Un point sur les antivirus

[Malekal_morte]

Voici une page relatif aux antivirus, détection etc pour que vous compreniez mieux comment fonctionne les antivirus.

Les moyens de propagation des malwares sont des fichiers piégés sur les réseaux P2P, des cracks, des fichiers sur les sites pornographiques, ou des sites piégés exploitant des failles de sécurité sur les logiciels installés sur votre ordinateur, voir Les Exploits sur les sites WEB piégés.

L'infection s'installe à partir d'un dropper, c'est un fichier contenant l'infection et qui "drop" l'infection sur le système, tout est mis en oeuvre dans ce fichier pour cacher l'infection afin que celle-ci ne soit pas détectée par les antivirus (fichier packé/crypté souvent de plusieurs manières etc..).

En pratique, voici un lien qui montre comment une infection s'installe sur un système à travers une faille de navigateur, sans intervention de l'utilisateur, par simple visite d'un site WEB piégé : les dangers des cracks.

Si l'antivirus détecte le dropper, c'est gagné car le fichier sera bloqué avant que l'infection ne soit installée sur le système.
Si l'antivirus ne le détecte pas, c'est fini pour vous car :

• l'infection est installée sur le système et en règle générale, l'antivirus ne parvient pas à supprimer l'infection (si déjà, il arrive à détecter la totalité de l'infection), votre seul réflexe dans ces cas là, est de scanner votre ordinateur avec toute une panoplie de logiciels afin de supprimer la/les infection(s), le résultat n'est souvent pas très satisfaisant.
• à l'heure d'aujourd'hui, les infections installent quasi systématiquement des rootkits. Pour résumer, un rootkit est un programme qui est capable de se cacher dans le système de l'utilisateur (impossible de le voir dans le gestionnaire de tâches, sur le disque etc..), mais aussi des autres programmes, les antivirus y compris. Pour détecter ces rootkits, il faut un scanner rootkit et encore, il n'est pas dit que celui-ci détecte le rootkit, en effet plusieurs techniques de rootkits existent (quelques rootkits rootkit Pe386, Gromozon/LinkOptimizer, Trojan/DNS et le plus courant Magic.Control.
  Voir Le danger et fonctionnement des rootkits

La détection du dropper est très importante puisque c'est la base de l'infection, si le dropper est détecté, aucune infection ne sera installée sur le système.
Détecté, le dropper fait appel à plusieurs technologies différentes puisque les auteurs de malwares utilisent eux aussi diverses méthodes pour dissimuler l'infection dans ce fichier, les antivirus ne sont pas à égalité de ce côté là, la base de données de définition de virus joue bien un rôle très important, si le dropper y est référérencé c'est gagné !

Les auteurs de malwares font donc en sorte que ce dropper ne soit pas détecté afin que l'infection s'installe... Des milliers et des milliers de mises à jour de malwares par famille voit le jour chaque jour afin d'assurer un certains taux d'infection.

Voici comment les antivirus détectent globalement une infection :

• Soit par la détection signature, c'est à dire une suite d'octets contenue dans le fichier infectieux permettant de dire que le fichier appartient à telle ou telle infection. D'où la course à l'ajout de signature dans la base de données des antivirus et les mises à jour régulières de la définition virale de votre antivirus.
• Soit par la détection générique, code spécifique à une famille de malwares Vundo, Bagle, Zlob etc.
• Si le malware est inconnu, l'antivirus peut dire ou non si le fichier est d'origine malware, grâce à la détection heuristique. En scannant le fichier, l'antivirus peut déterminer de par la structure du fichier si celui-ci peut être infectieux ou non. Cette détection peut générer des faux positifs, c'est à dire que l'antivirus va indiquer un fichier sain comme dangereux, l'utilisateur devra donc faire le bon choix.

Il est facile de passer à travers la détection de signature, ce que font les auteurs de malwares chaque jour (ou chaque heure), il est cependant plus difficile de passer à travers la détection générique car cela demande une plus grande modification du code.
Tous les antivirus n'ont pas la même efficacité au niveau des détections génériques puisqu'il faut avoir coder ces détections génériques pour chaque famille différentes de malwares (et il y en a!) et les maintenir à jour lorsque les auteurs de malwares modifient le code pour passer à travers.
Les antivirus qui ont le plus de détections génériques ont aussi moins de travail en ce qui concerne l'ajout de détection par signature puisque la détection générique s'en charge. Je vous cache pas que certains antivirus ne tentent même pas ou pouvent mettre plusieurs jours pour ajouter une détection signature.

Mais c'est parfois difficile, un exemple avec l'infection Slenfbot qui se propage par MSN et disques amovibles dont vous trouverez les scans dans la partie Vers/Virus MSN et arnaques sur MSN (ce sont les sujest avec Worm.Win32.AutoRun.xxx).
Chaque jour une nouvelle variante voyait le jour pour passer à travers la détection de signatures ajoutés par les antivirus (je vous cache pas qu'il y en a peu..), au bout de quelques jours, certains antivirus ajoutent des détections générique... seulement dès que le taux était trops "haut" pour les auteurs de malwares, ces derniers modifiaient le code pour passer à travers ces détections génériques et retomber à un taux de détection faible.
Et on recommence la boucle.

Cela permet garantit de détection faible pour infecter de nouveaux PC, exemple :
viewtopic.php?f=57&t=12506
viewtopic.php?f=57&t=12629
viewtopic.php?f=57&t=14057

Il faut donc bien comprendre et voir l'antivirus comme un assitant à la sécurité de votre ordinateur et NON comme la solution unique - Encore une fois la sécurité de votre PC c'est vous qui l'a faite et non un quelconque programme

Vous trouverez ci-dessous, les résultats du scan avec le nombre de fichiers scannés, certes on peut se dire que sur une centaine de scans, cela ne reflète pas forcément la réalité, vous pouvez alors vous rendre sur ce lien http://www.av-comparatives.org/seiten/comparatives.html afin de visualiser des comparatifs avec un nombre plus conséquent de malwares (attention, le premier est de 2004, il faut scroller vers le bas, pour voir les scans les plus récents).

Pour terminer sur la méthodologie de scan, je dirai que les fichiers récupérés sur ce scan sont des fichiers issus d'infections recueillies sur les forums de sécurité :

• Ce sont des fichiers issus d'infections récentes, les infections récentes sont les plus dangereuses car elles sont souvent mal détectées par les antivirus puisque cela nécessite que l'éditeur ait eu vent de l'infection et surtout l'ait ajoutée dans la base de données.
• Cela donne un aperçu des infections les plus répandues à un instant T dont les internautes sont les victimes. Certains sont listés dans la partie Remontées d'infection : fichiers infectieux, liens infectieux etc.

Notez aussi que vous avez, lors de chaque scan, la date de scan, vous pourrez constater que ce sont des fichiers récupérés dans le mois.
Je tenterai d'ajouter des scans régulièrement, si possible une fois par semaine.

Pour mieux comprendre les infections, reportez-vous à l'article : Pourquoi je me fais infecter?

Liens externes sur le même sujet :

• La vérité sur les antivirus : http://lejournaldunjournaliste.blogspot ... virus.html

Autre référence de détections utilisants VirusTotal, le SRI : http://mtc.sri.com/live_data/av_rankings/

[Malekal_morte]

Voici le fichier contenant la liste des scans en ligne : http://www.malekal.com/fichiers/forum/scanenligne.txt

Je rappelle que ce sont des statistiques sur des droppers qui sont très récents donc règle générale quasi inconnnus, ceci montre donc :
- le temps de réactivité des éditeurs de sécurité
- la qualité de la détection heuristique et autres techniques utilisées sur les malwares inconnus pour les détecter.

Le temps de mise à jour de la base virale d'un antivirus lors d'une nouvelle menace est le temps où vous êtes potentiellement le plus exposé à une infection.

Pour voir les résultats de cette différence et les conséquences d'une meilleure réactivité d'un antivirus à l'autre, vous pouvez consulter cette page Avast! VS Antivir

Dernière note - A LIRE - : Ce sont des scans bruts, si certaines infections sont détectées dans ces scans, ce n'est pas certain à 100% qu'elles soient détectées dans des conditions réelles par votre antivirus.
Inversement, si certaines infections NE sont PAS détectées dans ce test, d'autres technologies utilisées par votre antivirus peuvent vous prévenir de cette infection.
Le but étant de comparer les détections par signatures avec des infections récentes qui restent tout de même qui est (revoir le sens) encore la technologie utilisée par la majorité des antivirus pour détecter ou non une menace

Encore une fois, c'est à vous de vous faire votre propre idée.




Il y a 2102 scans - samedi 22 novembre 2008, 23:35:57 (UTC+0100)
----------------------------
Antivir a detecte 1840 virus.
Antivir na pas detecte 762 virus.

Avast a detecte 826 virus.
Avast na pas detecte 1283 virus.

BitDefender a detecte 1051 virus.
BitDefender na pas detecte 1057 virus.

Kaspersky a detecte 1091 virus.
Kaspersky na pas detecte 1014 virus.

Symantec a detecte 812 virus.
Symantec na pas detecte 1271 virus.

Sophos a detecte 1033 virus.
Sophos na pas detecte 1073 virus.

McAfee a detecte 794 virus.
McAfee na pas detecte 1324 virus.

Microsoft a detecte 913 virus.
Microsoft na pas detecte 1197 virus.

F-Prot a detecte 737 virus.
F-Prot na pas detecte 1372 virus.

Ewido a detecte 718 virus.
Ewido na pas detecte 1379 virus.

DrWeb a detecte 967 virus.
DrWeb na pas detecte 1138 virus.

AVG a detecte 989 virus.
AVG na pas detecte 1118 virus.

Panda a detecte 1310 virus.
Panda na pas detecte 799 virus.

[BIgSiLaB]

Avast fait légèrement mieux que Microsoft...ptdr

[BIgSiLaB]

ouais..mais juste une question Malekal...je comprends pas pourquoi tu conseilles Antivir ( je sais plus où c'est le topic --" ) à une personne...Antivir n'analyse pas les mails, n'est-ce pas un point trop négatif trop important pour se permettre de ne pas le conseiller?

slut

[Maxan]

Pour se faire infecter par un mail, il faut vraiment pas être prudent à mon avis... Oser ouvrir une pièce jointe, ou bien allez sur un site dont tu ignores tout... Faudrait pas devenir trop naïf... Je doute que ce soit une infection bien courante, enfin peut-être que Malekal peut nous en dire plus..

[BIgSiLaB]

Mouais je sais pas trop....
et toi, Malekal?

[Malekal_morte]

Les mails sont de moins en moins utilisés comme vecteur d'infection par rapport à avant.
Après.. bha y en a qui ne savent pas et qui tout et n'importe quoi...

[Marie]

Bonjour à tous

Juste pour apporter une petite précision.

Antivir n'analyse pas les mails

Antivir n'analyse pas les mails à réception, c'est vrai.
Mais si tu reçois par mail une pièce jointe infectée et que tu tentes de l'ouvrir, Antivir Guard va réagir et te prévenir que le fichier est infecté.
J'ai testé en m'envoyant une P.J contenant Eicar et Antivir a bien intercepté le virus à l'ouverture.

[livret_a]

Merci malékal,

Ton post du fait d' expliquer les virus actuels (rootkit ware) m' est très utile pour expliquer rapidement a Mr ToutLeMonde le pourquoi du comment des virus et surtout répond à la typique 'Pourquoi mon antivirus l' a pas arreté ?'

Merci encore ^^

[Skadi]

Très bon sujet agréable à lire

Claire et intéressant Malekal_morte

[cyn]

franchement merci, et heureusement qu'il y a des gard comme toi pour tous expliquer, sans rien en attendre en retour. Ca fait 3 heure que je lit de page en page tu
m'en a apris beaucoup et c pas fini.

[CYN]

Je suis pas une pro, mais si on met 2 anti virus cela peut faire quoi? MERCI

[Ecaone]

Si tu met 2 anti-virus sur ton ordi il y a risque de plantage, ralentissement, etc etc (tout dépend des deux anti-virus installés).

[Malekal_morte]

Oui mauvais réflexes.... encore de mauvaises habitudes que l'on vous donne..
voir ce sujet : http://forum.malekal.com/ftopic4650.php

[cpasmafaute]

Bonjour,

virustotal est il vraiment représentatif de l'efficacité des antivirus quand on voit que ce sont de très vieilles versions, kaspersky 4, bitdefender 7, etc, ?