Live CD Antivirus

[sioban]

Bonjour,

Je suis en train de travailler sur un outil d'analyse et de désinfection (et la méthode associée) au travers d'un LiveCD.

Je suis tombé sur un article récent qui en parle : http://www.raymond.cc/blog/archives/200 ... scue-disk/

J'aimerais connaitre votre avis sur le sujet, l'article mettant en avant Kaspersky (contre lequel je n'ai rien de particulier sauf qu'il est un peu lourd en mode realtime).
Avira ne détectant malheureusement pas les 11 virus proposés (oui je sais que le protocole de test n'est pas très clair).

Le gros soucis des LiveCD étant les mises à jours, le mieux à mon avis est de pouvoir les fournir sur une clé USB.
Le coût entre en compte mais n'est pas forcément éliminatoire.

Donc si vous avez des conseils je suis preneur !

En tout cas merci pour ce super site ;)

[Malekal_morte]

Salut,

Ta question, c'est quoi ?
Quel est le meilleur scanner ?

[sioban]

Pas nécessairement, sachant bien que c'est plutôt subjectif en fonction du moteur utilisé à l'instant T.

Non ce qui m'intéresse, c'est si vous avez déjà travaillé avec un des LiveCD éditeurs (Kaspersky, avira ou autre) et ce que vous en avez pensé (Pro/Con) ?

Ensuite je pense qu'un outil plus avancé encore, ou plutôt un ensemble d'outils permettant de produire un ou des rapports d'infection est aussi quelque chose qui m'intéresse.

Donc, j'ai déjà une idée sur les LiveCD éditeur, mais je me demande s'il n'existe pas quelque chose de plus efficace incluant tous les outils nécessaires (hijackthis, combofix, gmer, etc) ?

Et pour finir, quels sont les meilleurs outils du moment pour pallier à une infection ?

Merci.

[Malekal_morte]

Non j'ai jamais désinfecter via un CD Live.
J'utilise les tools que je connais et en général ça fonctionne.

Maintenant chaque solution a ses limites... les tools, faut savoir prendre le bon selon l'infection et en général faut terminer à la main (suppression des fichiers via script etc)... Bref c'est pas à la portée de toute le monde.

Les CD Live sont interressants dans le sens où tu scans un système avec aucun malware actif... (comme si tu mettais le disque en esclave), mais il y a de grande chance que si tu prends le CD Live le lendemain d'une infection (quelque soit l'éditeur) le pack au complet en sera pas détecté donc :
- il restera des malwares à l'arrivée
- si t'as pas de chance, il va rester un des trojan-downloader initial et tout peut revenir ou au mieux, un rootkit.

En plus tu peux planter le système car le registre ne sera pas nettoyée (une autre limite des CD Live).
Donc tu oublies les fix.

La seule solution qui marche à 100% contre les malwares, c'est format ou restauration image (encore que pour MBR.Rootkit ... avec les CD de restauration qui ne restaure pas forcément le MBR...).

[sioban]

C'est pas faux.

J'ai aussi pu voir que les antivirus en général ne suppriment que la charge virale (.Exe, .sys, .dll) mais pas les changements de la base de registre ou les répertoires créés.

Je vois quand même l'outil comme étant un minimum, il est bien plus simple de supprimer la charge virale par ce procédé plutôt qu'avec l'OS actif (et le virus).

Bien sur le livecd me permettrait d'identifier le virus, de supprimer la charge virale (en supposant qu'il soit détecté par les patterns...) ensuite je pourrais aller sur le site de l'éditeur pour télécharger l'outil de désinfection complet dédié au virus.

Mon plus gros soucis dans un gros parc de machines est d'arriver à détecter correctement qu'une ou plusieurs machines sont infectées...

Pour en revenir aux différents antivirus, je vois que vous mettez souvent en avant Avira, mais est-ce pour son coté gratuit ou pour sa réélle efficacité ? Quid de Kaspersky, sophos, bitdefender, gdata, etc ?

AMHA ce n'est pas l'efficacité à un instant T qu'il faut rechercher mais bien une société qui a une équipe efficace qui soit très proactive (honeypots ou autre) et un temps de réponse très court.

Les outils que l'on trouve (si vous avez une liste particulière je suis preneur) sont efficaces mais plutôt a réserver à des experts...

[Malekal_morte]

Je vois quand même l'outil comme étant un minimum, il est bien plus simple de supprimer la charge virale par ce procédé plutôt qu'avec l'OS actif (et le virus).

Bien sur le livecd me permettrait d'identifier le virus, de supprimer la charge virale (en supposant qu'il soit détecté par les patterns...) ensuite je pourrais aller sur le site de l'éditeur pour télécharger l'outil de désinfection complet dédié au virus.

Oui pour l'outil minimum mais selon le type d'infection, je parle des "pack", ça nettoyera pas 100% après si ton LiveCD c'est pour un réseau d'entreprise (je dis ça à cause de la question suivante).
Y a peu de chances que tu aies de "grosses" infections...
Selon comment vaut mieux repartir sur un ghost.

En suite pour ce qui est de l'outil de désinfection complet sur le site de l'antivirus, tu reves.

Mon plus gros soucis dans un gros parc de machines est d'arriver à détecter correctement qu'une ou plusieurs machines sont infectées...

On sort des LiveCD là.
Sinon voir :
http://www.bothunter.net/
http://swik.net/botnet
règle pour snort etc.

[sioban]

Oui pour l'outil minimum mais selon le type d'infection, je parle des "pack", ça nettoyera pas 100%

On est d'accord là dessus, d'où l'importance d'identifier correctement le virus pour chercher un outil de désinfection totale (chez l'éditeur ou autre) dont on pourrait pousser l'exécution par GPO par exemple

après si ton LiveCD c'est pour un réseau d'entreprise (je dis ça à cause de la question suivante).
Y a peu de chances que tu aies de "grosses" infections...
Selon comment vaut mieux repartir sur un ghost.

Crois moi, les grosses infections en entreprise, ça existe, personne ne le crie sur les toits, mais il y en a.
De plus quand cela arrive, on ne revient jamais totalement à un état sans virus, il traine toujours à droite ou à gauche

En suite pour ce qui est de l'outil de désinfection complet sur le site de l'antivirus, tu rêves.

Il me semblait bien avoir vu ce genre d'outils chez Kaspersky mais c'était à l'époque de Netsky, ils ne fournissent plus ce genre d'outils selon toi ?

On sort des LiveCD là.
Sinon voir :
http://www.bothunter.net/
http://swik.net/botnet
règle pour snort etc.

Oui on sort du livecd, mais merci pour les liens.

Pour en revenir aux LiveCD, ou plutôt aux éditeurs, selon toi qui est le mieux placé ? Kaspersky ? Avira ? un autre ?

[Malekal_morte]

On est d'accord là dessus, d'où l'importance d'identifier correctement le virus pour chercher un outil de désinfection totale (chez l'éditeur ou autre) dont on pourrait pousser l'exécution par GPO par exemple

Il me semblait bien avoir vu ce genre d'outils chez Kaspersky mais c'était à l'époque de Netsky, ils ne fournissent plus ce genre d'outils selon toi ?

ouaip à l'époque de Netsky.... quand c'était un ver tout simple...
Ce n'est plus la même chose, maintenant ce sont des packs d'infections... avec Rootkit, Trojan, Backdoor et Adware pour se faire des $ via les popups de pubs donc tu as plusieurs malwares installés.

Les packs peuvent être différents d'une heure à l'autre, il y a tellement de famille et ça bouge tellement vite que...
Les seuls fix que tu peux avoir c'est sûr sur certaines familles spécifiques (style Vundo) ou certains vers (comme par exemple Conficker dernièrement) mais si tu prends Vundo c'est mm pas certains que le fix nettoye Vundo au complet, ça bouge tellement vite....

Bref oublie les fix antivirals sauf dans le cas d'un malware spécifique.

Pour en revenir aux LiveCD, ou plutôt aux éditeurs, selon toi qui est le mieux placé ? Kaspersky ? Avira ? un autre ?

Ben déjà doit pas y en avoir bcp qui en font....
Je pense que les deux se valent, après c'est au choix ou avoir les deux sous la main.

[sioban]

Ben à priori ceux qui en font sont les suivants :

- Avira Rescue System v3.4.4
- BitDefender Rescue CD v2
- Dr.Web LiveCD v4.44
- F-Secure Rescue CD v3
- Kaspersky Rescue CD v8.8.1.18
- Norton Recovery Tool
- VBA Rescue v3.12
- Panda Safe CD
- PC Tools Alternate Operating System Scan
- Quick Heal Native Boot Scan
- avast! BART CD v2.0
- Rising AntiVirus Software for Linux
- G DATA AntiVirus BootC
- AVG Rescue CD

Ce qui n'est pas négligeable.

En revanche, peu d'éditeurs communiquent sur ces Rescue CD et ils sont en général planqués sur un FTP.

[Malekal_morte]

Je n'ai pas de préférences car je n'en utilise pas.
Au niveau détection, Antivir, Kaspersky et G-Data sont devant les autres en général.

[sioban]

Ok merci.

Pour mon info personnelle, tu es le seul intervenant sur les forums, ou d'autre personnes pourraient aussi me donner des infos ?

[Malekal_morte]

C'est un forum public dont il y a d'autres intervenants.
Je pense que les Live CD Antivirus sont assez méconnus, donc pas trop d'interventions sur ce sujet.

[sioban]

ok

[sioban]

Pour info, j'ai monté un LiveCD avec UBCD4Win, c'est assez efficace.