Infections VS Antivirus

Dans cette partie vous trouverez des papiers, articles sur l'informatique/sécurité.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86216
Inscription : 10 sept. 2005 13:57
Contact :

Infections VS Antivirus

Message par Malekal_morte » 09 avr. 2007 13:59

Voici une page relative aux antivirus, leurs détections contre les menaces informatiques (virus, malwares, trojans) etc afin que vous compreniez mieux comment fonctionnent les antivirus.

Avant de comprendre les parades les antivirus, il faut comprendre le fonctionnement des infections, nous allons ici survoler rapidement les infections.

Image

Les méthodes de propagation...
Les moyens de propagation des des virus/malwares se font par divers moyen : 90% des moyens de propagation utilisent des URL malicieuses qui conduisent à l'installation d'une infection soit de manière automatique (dans le cas des exploits sur site WEB) soit effectué par l'utilisateur (ex Virus MSN) en utilisant [url=http://forum.malekal.com=http://forum.malekal.com/social-engineering-t4043.html]social engineering[/url].
Seul le P2P et les vulnérabilités à distance n'utilisent pas d'URL malicieuses lors de l'infection initiale.

Les mécanismes de bases : Le dropper

Avant toute infection, il y a toujours un fichier originel qui est executé sur l'ordinateur, ce dernier peut installer l'infection en sont entier ou aller télécharger les autres fichiers necessaires à l'infection (C'est alors un Trojan-Downloader).

Ce fichier peut-être nommé dropper, tout est mis en oeuvre dans ce fichier pour cacher l'infection afin que celle-ci ne soit pas détectée par les les antivirus (fichier packé/crypté souvent de plusieurs manières etc..).

En pratique, voici un lien qui montre comment une infection s'installe sur un système à travers une faille de navigateur, sans intervention de l'utilisateur, par simple visite d'un site WEB piégé : les dangers des cracks.

Si l'les antivirus détecte le dropper, c'est gagné car le fichier sera bloqué avant que l'infection ne soit installée sur le système.
Si l'les antivirusne le détecte pas, c'est fini pour vous car :
  • l'infection est installée sur le système et en règle générale, l'antivirus ne parvient pas à supprimer l'infection (si déjà, il arrive à détecter la totalité de l'infection), votre seul réflexe dans ces cas là, est de scanner votre ordinateur avec toute une panoplie de logiciels afin de supprimer la/les infection(s), le résultat n'est souvent pas très satisfaisant.
  • à l'heure d'aujourd'hui, les infections installent quasi systématiquement des rootkits. Pour résumer, un rootkit est un programme qui est capable de se cacher dans le système de l'utilisateur (impossible de le voir dans le gestionnaire de tâches, sur le disque etc..), mais aussi des autres programmes, les les antivirus y compris. Pour détecter ces rootkits, il faut un scanner rootkit et encore, il n'est pas dit que celui-ci détecte le rootkit, en effet plusieurs techniques de rootkits existent (quelques rootkits rootkit Pe386, Gromozon/LinkOptimizer, Trojan/DNS et le plus courant Magic.Control.
    Voir Le danger et fonctionnement des rootkits
La détection du dropper est très importante puisque c'est la base de l'infection, si le dropper est détecté, aucune infection ne sera installée sur le système.
Détecté, le dropper fait appel à plusieurs technologies différentes puisque les auteurs de virus/malwares utilisent eux aussi diverses méthodes pour dissimuler l'infection dans ce fichier, les les antivirus ne sont pas à égalité de ce côté là, la base de données de définition de virus joue bien un rôle très important, si le dropper y est référencé c'est gagné !

Les auteurs de virus/malwares font donc en sorte que ce dropper ne soit pas détecté afin que l'infection s'installe... Des milliers et des milliers de mises à jour de virus/malwares par famille voit le jour chaque jour afin d'assurer un certains taux d'infection (se reporter au paragraphe "Un point sur les infections" du lien suivant : avast-antivir-avg-obsolete-t11659.html ).

Image

La détection des droppers (et fichiers malicieux en généraux)

Voici comment les les antivirus détectent globalement une infection :
  • Soit par la détection signature, c'est à dire une suite d'octets contenue dans le fichier infectieux permettant de dire que le fichier appartient à telle ou telle infection. D'où la course à l'ajout de signature dans la base de données des les antivirus et les mises à jour régulières de la définition virale de votre les antivirus.
  • Soit par la détection générique, code spécifique à une famille de des virus/malwares Vundo, Bagle, Zlob etc (voir Index des menaces et programmes malveillants/Malwares)
  • Si le malware est inconnu, l'les antivirus peut dire ou non si le fichier est d'origine malware, grâce à la détection heuristique. En scannant le fichier, l'les antivirus peut déterminer de par la structure du fichier si celui-ci peut être infectieux ou non. Cette détection peut générer des faux positifs, c'est à dire que l'les antivirus va indiquer un fichier sain comme dangereux, l'utilisateur devra donc faire le bon choix.
Il est facile de passer à travers la détection de signature, ce que font les auteurs de des virus/malwares chaque jour (ou chaque heure), il est cependant plus difficile de passer à travers la détection générique car cela demande une plus grande modification du code.
Tous les les antivirus n'ont pas la même efficacité au niveau des détections génériques puisqu'il faut avoir coder ces détections génériques pour chaque famille différentes de des virus/malwares (et il y en a!) et les maintenir à jour lorsque les auteurs de des virus/malwares modifient le code pour passer à travers.
Les les antivirus qui ont le plus de détections génériques ont aussi moins de travail en ce qui concerne l'ajout de détection par signature puisque la détection générique s'en charge. Je vous cache pas que certains les antivirus ne tentent même pas ou pouvent mettre plusieurs jours pour ajouter une détection signature.

Mais c'est parfois difficile, un exemple avec l'infection Slenfbot qui se propage par MSN et disques amovibles dont vous trouverez les scans dans la partie Vers/Virus MSN et arnaques sur MSN (ce sont les sujest avec Worm.Win32.AutoRun.xxx).
Chaque jour une nouvelle variante voyait le jour pour passer à travers la détection de signatures ajoutés par les les antivirus (je vous cache pas qu'il y en a peu..), au bout de quelques jours, certains les antivirus ajoutent des détections générique... seulement dès que le taux était trop "haut" pour les auteurs de malwares, ces derniers modifiaient le code pour passer à travers ces détections génériques et retomber à un taux de détection faible.
Et on recommence la boucle.

Cela permet garantit de détection faible pour infecter de nouveaux PC, exemple :
nuevofoto8-zip-backdoor-win32-ircbot-dyn-t12506.html
fotos-004-zip-worm-win32-autorun-elb-t12629.html

Les URL Malicieuses

Le dropper peut-être hébergé par des URL malicieuse, c'est notamment le cas des infections par Faux Codec et infections MSN et enfin vers Koobface sur les sites de réseaux sociaux que l'on peux voir comme un mélange entre les vers MSN et Faux Codec au niveau des méthodes de propagations.

Les les antivirus incorporent de plus en plus la détection d'URL malicieuse via des bases d'URL blacklistées.
L'URL est connue comme étant malicieuse, l'les antivirus vous le signale et bloque son accès, vous êtes alors protégé du contenu malicieux.

Cela est particulièrement intéressant dans le cas où l'URL héberge des Droppers régulièrement mis à jour. Ainsi, l'les antivirus vous protège de cet URL sans pour autant devoir courir après la détection du dropper mis à jour.
Mais vous verrez plus tard que cela ne protège pas de tout.

A noter que les URL malicieuses rentrent ensuite en jeu lorsque le PC est infecté puisque : Image

Les limites du blocage d'URL

Si le blocage d'URL maliceuse est intéressante pour Les Exploits sur les sites WEB piégés, il reste que dans le cas des Faux Codec et infections MSN, il atteint vite ses limites.

Pourquoi ?

Tout simplement car la durée de vie d'une URL est de quelques heures, dès lors le temps que l'les antivirus "capte" la nouvelle URL et l'ajoute dans sa base de définitions virales (et que celles-ci soit téléchargée par les clients les antivirus dans le cas d'un les antivirus non cloud), l'URL a le temps de changer.

Il suffit de se reporter à la page des infections MSN ou la page de remontées d'URL des faux codec : Trojan.Renos/Trojan.FakeAlert - Dropper pour constater que ces urls changent constamment.

La page de remontés des FakeAlert est intéressante car on voit bien que les URL changent et que la détection de fichiers varient elles aussi (mais ce sont à peu près toujours les mêmes antivirus qui détectent le dropper).
Cette famille est pourtant bien connu et est active depuis plus d'un an.
On voit que les détections sont beaucoup moins bonnes. Lorsque des les antivirus commencent à rattraper trop les auteurs de malwares (>4 détections), le fichier est modifié et la détection retombe.

Le blocage d'URL peut s'avérer être complémentaire à la détection de dropper. Par exemple, une URL malicieuse bloquée peut bloquer une infection dont le Dropper n'est pas bloqué et inversement, un dropper peut-être détecté depuis une URL malicieuse inconnue.
Au final les deux modules peut améliorer de manière significative la protection.

Le cas des exploits sur site WEB

Le cas des infections par exploits sur site WEB est un peu plus compliqué.
Ce cas est détaillé sur la page suivante du Comparatif des les antivirus gratuits 2010 : comparatif-antivirus-gratuits-2010-t23535.html#p196486
Vous y trouverez le fonctionnement de ces exploits et les difficultés pour les les antivirus pour bloquer ces infections.

Un mot rapide sur les IDS

La multiplication des sources d'infection, la rapidité des auteurs de virus/malwares à mettre à jour les infections obligent les éditeurs de sécurité à proposer des protections plus générale et plus efficaces.
Certains éditeurs optent pour intégrer des IDS notamment dans les suites de sécurité.
(Rapidement : un IDS sous Windows est un programme qui fonctionne avec des règles donnant la possibilité à un processus d'effectuer tel ou tel opération. Tout nouveau processus exécute sera bloqué par l'IDS et l'utilisateur sera notifié afin de permettre son exécution. Dès lors, tout dropper exécuté sur le système et notamment ceux à l'insu de l'utilisateur pourra être bloqué par l'utilisateur).

Si l'IDS est efficace, il pourra bloquer 99% des infections. La limite de l'IDS reste les connaissances de l'utilisateur puisque ce dernier devra savoir si tel ou tel nouveau processus qui s'exécute est légitime ou non.

Conclusion

Le blocage des infections avant infection n'est donc pas simple puisque les auteurs de virus/malwares font du "brute force" en mettant à jour constamment un nombre conséquent de fichiers, urls afin de passer à travers les défenses des les antivirus.
Il faut donc bien comprendre et voir l'les antiviruscomme un assistant à la sécurité de votre ordinateur et NON comme la solution unique - Encore une fois la sécurité de votre PC c'est vous qui l'a faite et non un quelconque programme

Il convient aussi de comprendre que tous les comparatifs les antivirusne testent pas toutes les modules de protection, se reporter à la page Comparatif Antivirus : Scan à la demande, c'est débile!.


Plus globalement sur les infections/malwares/virus et les protections, vous pouvez lire les pages :
Liens externes sur le même sujet :
Autre référence de détections utilisant VirusTotal, le SRI : http://mtc.sri.com/live_data/av_rankings/
Dernière édition par Malekal_morte le 01 juin 2007 21:26, édité 4 fois.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Papiers / Articles »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité