Test Blocage URL Malicieuses
Voici le premier test qui consiste à tester l'efficacité de protection des antivirus contre les malwares qui se propagent par des URLS, ceci inclut :
90% des URLS testées sont
des exploits sur des sites WEB et la majorité qui suit sont
des Virus MSN et des
Faux Codecs.
Avant de continuer nous allons faire un petit Zoom sur le fonctionnement des
exploits sur des sites WEB afin que vous compreniez bien la problématique qui se pose quant à la protection contre ces menaces et les difficultés qui en découlent.
Je vous conseille donc, pour ceux qui ne savent pas de quoi on parle, de lire d'abord le lien des exploits puis ce qui suit.
Le principe des
exploits sur des sites WEB est d'hacker un grand nombre de sites WEB légitimes afin de provoquer lors des visites, des connexions vers des sites WEB malicieux qui tirent parti de vulnérabilités présentes sur l'ordinateur (exploit) de l'internaute afin de télécharger et exécuter automatiquement un malware (payload/dropper).
Le blocage par l'antivirus peut se faire donc à plusieurs niveaux :
- soit dès la visite du site WEB légitime, l'antivirus va détecter la présence d'un javascript malicieux (ou iframe) va éventuellement bloquer la connexion (si Web Guard) et cela s'arrête là.
- soit au niveau de l'exploit - l'antivirus détecte l'exploit, le téléchargement du dropper et surtout son exécution ne se fait pas et cela s'arrête là :
- La détection peut se faire par le WEB Guard qui détecte l'exploit sur une page WEB et coupe la connexion au site WEB malicieux.
- la protection en temps réel détecte la présence de l'exploit sur l'ordinateur, soit dans le cache internet, soit par exemple dans le cas d'un PDF/SWF malicieux simplement le PDF ou le SWF malicieux sur l'ordinateur.
- soit tout à la fin de la chaîne, lors du téléchargement (ou exécution) du Dropper.
En pratique, cela donne :
Code : Tout sélectionner
1265218985.977 1030 192.168.1.120 TCP_MISS/200 3535 GET http://anandbazaar.com/ - DIRECT/74.52.35.98 text/html
1265218986.767 169 192.168.1.120 TCP_MISS/302 297 GET http://77.221.153.178/go2/in.php? - DIRECT/77.221.153.178 text/html
1265218990.800 3863 192.168.1.120 TCP_MISS/302 319 GET http://gythynfuwt.com/ld/tuta8/ - DIRECT/72.51.41.83 text/html
1265218992.062 1263 192.168.1.120 TCP_MISS/200 7090 GET http://gythynfuwt.com/nte/tuta8%20.asp - DIRECT/72.51.41.83 text/html
1265218994.292 1460 192.168.1.120 TCP_MISS/200 19487 GET http://gythynfuwt.com/nte/tuta8%20.asp/jH9e9cb060V0100f060006R816af5f6102Td5f5259d203L66720000000000000000Keeb7c3f1 - DIRECT/72.51.41.83 text/javascript
1265218996.854 2562 192.168.1.120 TCP_MISS/200 38372 GET http://gythynfuwt.com/nte/tuta8%20.asp/oH9e9cb060V0100f060006R816af5f6102Td5f5259f203l000cKeeb7c3f1317 - DIRECT/72.51.41.83 application/pdf
1265218997.827 2301 192.168.1.120 TCP_MISS/200 111354 GET http://gythynfuwt.com/nte/tuta8%20.asp/eH9e9cb060V0100f060006R816af5f6102Td5f5259f203l000cKeeb7c3f13020 - DIRECT/72.51.41.83 application/octet-stream
Le site hxxp://anandbazaar.com/ est légitime, en s'y connectant on se connecte à l'adresse hxtp://77.221.153.178/go2/in.php? qui renvoie vers hxtp://gythynfuwt.com/ld/tuta8/
hxtp://gythynfuwt.com/ld/tuta8/ renvoie vers hxtp://gythynfuwt.com/nte/tuta8%20.asp/jH9e9cb060V0100f060006R816af5f6102Td5f5259d203L66720000000000000000Keeb7c3f1 - DIRECT/72.51.41.83
text/javascript
On voit ensuite une connexion vers hxtp://gythynfuwt.com/nte/tuta8%20.asp/oH9e9cb060V0100f060006R816af5f6102Td5f5259f203l000cKeeb7c3f1317 - DIRECT/72.51.41.83
application/pdf
puis le téléchargement d'un binaire hxtp://gythynfuwt.com/nte/tuta8%20.asp/eH9e9cb060V0100f060006R816af5f6102Td5f5259f203l000cKeeb7c3f13020 - DIRECT/72.51.41.83
application/octet-stream
Le javascript a téléchargé un PDF malicieux qui exploite une vulnérabilité sur Acrobat Reader pour permettre le téléchargement d'un binaire (Dropper) qui sera exécuté sur la machine. Si cela réussit, l'infection est installée sur le système.
C'est exactement ce qui est décrit sur cette page :
d'un PDF/SWF malicieux.
Généralement les tests de scan à la demande comptabilisent le nombre de détections sur les droppers or le dropper peut ne pas être détecté par un antivirus mais vous pouvez tout de même être protégé si l'antivirus détecte le javascript malicieux ou l'exploit avant (ou qu'un autre module de protection coupe court à l'infection).
Or il existe des différences de stratégies chez les éditeurs, certains se focalisent sur les javascript malicieux et tardent à ajouter des détections sur les droppers.
Il faut comprendre que plus l'infection est bloquée tôt, et moins les chances d'infection sont fortes.
En effet, si l'antivirus bloque la connexion sur le site légitime qui a été hacké et que la connexion au site malicieux ne se fait pas vous êtes tranquille. Si le blocage se fait à l'étape d'après, il reste tout de même une chance que l'infection s'installe car l'antivirus peut détecter l'exploit mais ne pas pas parvenir à le stopper.
Pire si la détection se fait au niveau du dropper, ce dernier peut ne pas parvenir à bloquer le malware qui peut en télécharger d'autres (souvent on arrive à de multiples alertes).
Plus tôt c'est... mieux c'est!
Reste que la majorité des antivirus se focalisent tout de même sur le dropper final, voici un exemple
de détection de PDF malicieux "standard" :
File readme_2_.pdf received on 2010.02.04 10:44:58 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 7/40 (17.5%)
Antivirus Version Last Update Result
BitDefender 7.2 2010.02.04 Exploit.PDF-JS.Gen
eTrust-Vet 35.2.7281 2010.02.04 PDF/Pidief!generic
F-Secure 9.0.15370.0 2010.02.04 Exploit.PDF-JS.Gen
GData 19 2010.02.04 Exploit.PDF-JS.Gen
McAfee-GW-Edition 6.8.5 2010.02.04 Heuristic.BehavesLike.PDF.Obfuscated.Z
Sophos 4.50.0 2010.02.04 Troj/PDFJs-GA
Sunbelt 3.2.1858.2 2010.02.04 Exploit.PDF-JS.Gen (v)
Additional information
File size: 3028 bytes
MD5...: 33bcae7922e21adba04f07f51e0ca17b
SHA1..: 13d7bc57be3b9e81a0dc2472b01731b597d527e3
File randomDeFor.pdf received on 2010.02.03 17:23:08 (UTC)
Current status: finished
Result: 6/39 (15.38%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
Avast 4.8.1351.0 2010.02.02 JS:Pdfka-gen
BitDefender 7.2 2010.02.03 Exploit.PDF-JS.Gen
eTrust-Vet 35.2.7278 2010.02.03 PDF/Pidief!generic
F-Secure 9.0.15370.0 2010.02.03 Exploit.PDF-JS.Gen
GData 19 2010.02.03 Exploit.PDF-JS.Gen
Sophos 4.50.0 2010.02.03 Troj/PDFJs-HC
Additional information
File size: 32802 bytes
MD5 : 2c8c4ccb3d930b7db3346f2d07b658b3
SHA1 : eb468ad2209408a181d42c73314bb8af44b9ea25
et d'un Exploit en JavaScript/HTML :
File hihih.html received on 2010.02.04 14:49:14 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 8/40 (20%)
Antivirus Version Last Update Result
AntiVir 7.9.1.158 2010.02.04 JS/Agent.8124
Avast 4.8.1351.0 2010.02.02 HTML:IFrame-LJ
AVG 9.0.0.730 2010.02.04 Script/Exploit
eTrust-Vet 35.2.7283 2010.02.04 JS/Iframe!exploit
GData 19 2010.02.04 HTML:IFrame-LJ
Kaspersky 7.0.0.125 2010.02.04 Trojan.JS.Iframe.ef
McAfee-GW-Edition 6.8.5 2010.02.04 Heuristic.BehavesLike.JS.Obfuscated.H
Sophos 4.50.0 2010.02.04 Mal/ObfJS-CF
Additional information
File size: 32005 bytes
MD5...: 75e92c756c54693672c9a73353f747b9
SHA1..: 1f9aed9b320a8369dc34048107f01c22063f9606
File test2..html received on 2010.02.04 14:51:34 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 6/39 (15.39%)
Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.02.04 Trojan.JS.IFrame!IK
Avast 4.8.1351.0 2010.02.02 HTML:IFrame-LJ
eTrust-Vet 35.2.7283 2010.02.04 JS/Iframe!exploit
GData 19 2010.02.04 HTML:IFrame-LJ
Ikarus T3.1.1.80.0 2010.02.04 Trojan.JS.IFrame
Kaspersky 7.0.0.125 2010.02.04 Trojan.JS.Iframe.ef
Additional information
File size: 2852 bytes
MD5...: 211eb08df78d63890382cc4e93c29dc9
SHA1..: 24ec52da140e803c92b79e3df8ace3629e19712e
Comme vous pouvez le voir la détection reste vraiment moyenne.
Ensuite il faut comprendre que c'est la course.... :
Vous pouvez être protégés d'un site WEB malicieux à un instant T et l'instant d'après non, tout simplement parce que les auteurs de malwares peuvent mettre à jour les exploits et le dropper, on tombe alors à une détection de 0 ce qui peut permettre l'infection sur le système.
C'est ce qui est posté dans la partie
Remontées d'infection : fichiers infectieux, liens infectieux etc
Tout cela est à multiplié par le nombre conséquent de sites malicieux en ligne à un instant T.
Méthodologie du test :
Quels sont les difficultés ?
Dans un premier temps, il faut aussi comprendre que la configuration de la machine peut influer sur les tests, en effet, tester avec une machine XP pas à jour avec IE 6, Acrobat Reader, Java et Flash pas à jour ne donnera pas les mêmes résultats qu'avec un XP SP3 et seulement Adobe Reader pas à jour. Pourquoi ?
Car pour les cas où on arrive aux exploits, avec la seconde machine on ne testera que le blocage des PDF alors que dans le premier cas un exploit mdac, PDF malicieux, Java ou SWF malicieux pourra être joué afin de télécharger/exécuter le dropper.
Exemple sur un même site - voici la détection d'un
PDF malicieux :
File readme_3_.pdf received on 2010.02.06 12:25:36 (UTC)
Current status: finished
Result: 21/39 (53.85%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.02.06 Exploit.Win32.Pdfjsc!IK
AntiVir 7.9.1.158 2010.02.05 HTML/Malicious.PDF.Gen
Authentium 5.2.0.5 2010.02.05 PDF/CollabExpl.C!Camelot
Avast 4.8.1351.0 2010.02.06 JS:Pdfka-DC
AVG 9.0.0.730 2010.02.06 Exploit.PDF
BitDefender 7.2 2010.02.06 Exploit.PDF-JS.Gen
ClamAV 0.96.0.0-git 2010.02.06 Exploit.PDF-63
eSafe 7.0.17.0 2010.02.04 PDF.Exploit.1
eTrust-Vet 35.2.7286 2010.02.05 PDF/Pidief.FC
F-Secure 9.0.15370.0 2010.02.06 Exploit.PDF-JS.Gen
GData 19 2010.02.06 Exploit.PDF-JS.Gen
Ikarus T3.1.1.80.0 2010.02.06 Exploit.Win32.Pdfjsc
McAfee 5883 2010.02.05 Exploit-PDF.b.gen.a
McAfee+Artemis 5883 2010.02.05 Exploit-PDF.b.gen.a
McAfee-GW-Edition 6.8.5 2010.02.05 Script.Malicious.PDF.Gen
Microsoft 1.5406 2010.02.06 Exploit:Win32/Pdfjsc.Q
NOD32 4841 2010.02.06 PDF/Exploit.Gen
PCTools 7.0.3.5 2010.02.06 HeurEngine.MaliciousExploit
Rising 22.33.05.04 2010.02.06 Hack.Exploit.PDF.e
Sophos 4.50.0 2010.02.06 Troj/PDFJs-L
Sunbelt 3.2.1858.2 2010.02.06 Exploit.PDF-JS.Gen (v)
Additional information
File size: 9974 bytes
MD5 : accac5c27c38447e87b096abaf1ac552
SHA1 : e28ee81ea11779d41e20ab09a7ab60a64b2f15ff
et le l'Exploit SWF du même site :
MD5 : d1e5c87722e883d30ddf342dfc0e08e9
Date : 2010.02.06 12:31:45 (UTC)
Results : 15/40
Virus Names : SWF.Drop.Agent.E.10 Trojan.SWF.Dropper.E SWF/TrojanDownloader.Swif.NAL
Permalink :
http://www.virustotal.com/analisis/ce2b ... 1265459505
The results for flash.swf.1 are :
Microsoft 1.5406 2010.02.06 TrojanDownloader:Win32/Swif.gen!A
McAfee-GW-Edition 6.8.5 2010.02.05 SWF.Drop.Agent.E.10
GData 19 2010.02.06 Trojan.SWF.Dropper.E
NOD32 4841 2010.02.06 SWF/TrojanDownloader.Swif.NAL
PCTools 7.0.3.5 2010.02.06 HeurEngine.MaliciousExploit
BitDefender 7.2 2010.02.06 Trojan.SWF.Dropper.E
Ikarus T3.1.1.80.0 2010.02.06 Exploit.SWF
a-squared 4.5.0.50 2010.02.06 Exploit.SWF!IK
Sophos 4.50.0 2010.02.06 Troj/SWFLdr-A
Comodo 3840 2010.02.06 UnclassifiedMalware
Authentium 5.2.0.5 2010.02.05 SWF/Obfusc.A!Camelot
F-Secure 9.0.15370.0 2010.02.06 Trojan.SWF.Dropper.E
TrendMicro 9.120.0.1004 2010.02.06 SWF_DLOADR.AOU
Avast 4.8.1351.0 2010.02.06 SWF:Downloader-F
AntiVir 7.9.1.158 2010.02.05 SWF/Drop.Agent.E.10
On voit qu'AVG détecte le PDF mais pas le SWF (il ne détecte pas non plus le dropper final) potentiellement, si AVG ne connait pas ce site malveillant (LinkScanner), et que des javascript malicieux intermédiaires ne sont pas détectés, il est possible si Flash Player n'est pas à jour que l'infection s'installe (AVG fera une alerte sur le PDF).
ET oui... ça fait beaucoup de "si".
La difficulté pour les antivirus est donc plus forte (c'est pour cela que je vous rabâche de
maintenir ses programmes à jour - question de probabilité!).
J'ai donc essayé de faire attention à cela, le top aurait été de mettre des points par exploit bloqué, mais ça aurait été trop compliqué.
Vous comprendrez que les tests dans ce domaine sont compliqués puisqu'il faut tester l'infection au droit niveau où elle peut être bloquée, les infections étant constamment mises en ligne, il faut pouvoir prendre des urls fraîches et aussi des anciennes (pour rendre compte de la protection).
Le top serait de pouvoir tester toutes les urls malicieuses régulièrement sur 1 mois mais comme je n'ai que 10 doigts, ce n'est pas possible.
Au niveau des urls, j'ai donc pris des URL malicieuses et tenté de tester l'infection pour chaque antivirus sur les 3 niveaux (site WEB hacké au départ / Exploit / Dropper Final).
Au moment du test, il y avait beaucoup de
KoobFace,
Trojan.Sasis/Oficla et
Rootkit MBR : PSW-Sinowal et comme d'habitude
Trojan.FakeAlert et
Zbot/Zeus.
Certains Antivirus se focalisent sur les exploits et les Javascripts, si j'avais pris que du KoobFace et MBR.Rootkit qui pourtant sont très présents, cela aurait gonflé les stats du même AV qui bloque le WebMalwareKit utilisé par ces infections.
J'ai donc essayé de mixer.
J'ai aussi essayé de ne pas me focaliser trop sur les nouvelles URL (qui ont généralement de mauvaises détections puisque quand c'est mis en ligne on atteint généralement les 0 de détection sur
VirusTotal) mais mixer avec des URLS "anciennes" pour rendre compte du taux de protection à un instant T.
Enfin j'ai ajouté dans ce test Trend-Micro (
Trend-Micro WEB Reputation) - Pourquoi ? car c'est certainement à l'heure actuelle l'un des antivirus (l'antivirus?) qui offre la meilleur protection.
Les chiffres sont juste le blocage des URL malicieuses connues par Trend-Micro, cela n'inclue pas la protection de l'antivirus (protection en temps réel etc), il faut donc certainement ajouter 5 à 10% de détection en plus.
Pour plus d'informations, lire le paragraphe enfin sur les antivirus payants.
J'espère que vous comprendrez deux choses à travers ces explications :
- Le boulot des éditeurs de sécurité est complexe car n'oubliez pas qu'il faut rajouter à cela la masse de nouveaux malwares (et de mise à jour) quotidiennes qui se compte en milliers.
- Quand vous voyez un scan VirusTotal d'un dropper et que votre antivirus ne le détecte pas, considérez le fait qu'il peut bloquer l'infection en amont. Dans tous les cas, il est bien difficile de déduire à partir d'un simple scan VirusTotal si un antivirus est mauvais ou pas.
- Effectuer des tests pertinents est aussi très compliqué. Alors s'il vous plait, lecteur de forum et de magasines, à l'avenir, avant de prendre pour argent comptant tout test qu'on vous balance, regardez un peu avant la méthodologie de ce dernier car de "vrais" tests valides, il y en a très peu.
Conclusion du test
Comme on peux le voir Trend-Micro est devant, juste avec simplement son module de filtrage d'URL, Trend fait donc mieux qu'Avast! avec tous les modules de protection. Vous pouvez ajouter 10 à 20% dans les résultats de blocage en plus, avec la détection en temps réel de Trend.
Je ne m'étalerai pas dans cette partie sur Trend-Micro, je vous conseille vraiment de lire le paragraphe consacré à cela.
Ce qui se dégage du Test est qu'AVG et Panda Cloud sont en dessous des autres antivirus et n'offrent qu'une protection partielle.
Je vous conseille donc de privilégier les autres antivirus.
Le combat se situe donc entre Avast!, MSE et Antivir et là le choix est plus difficile.
Mon ressenti pour chaque antivirus :
Panda Cloud : L'antivirus n'intègre qu'une protection en temps réel qui se focalise sur le dropper.
Si le dropper est détecté, ça va, mais c'est malheureusement peu souvent le cas (bien que Panda soit assez réactif dans l'ensemble).
L'antivirus n'a jamais détecté de javascript malicieux/exploit et c'est bien dommage car cela empêche tout autre secours dans le cas où le dropper n'est pas détecté.
Le problème majeur se situe donc au niveau du programme qui ne comporte pas assez de modules de protection pour bloquer l'infection tôt et le laboratoire qui n'ajoute aucune détection de Javacript malicieux/Exploit.
(NOTE : vous trouverez une explication sur le Cloud dans le paragraphe consacré à Trend-Micro).
AVG Antivirus : L'antivirus (le programme) incorpore des modules de protection intéressants (WEBGuard et LinkScanner) malheureusement cela n'est pas mis à profit.
Trop peu d'exploits et de droppers sont détectés ce qui au final offre une protection moyenne.
C'est bien dommage.
Il ne semble pas y avoir de stratégie directrice sur la protection mais des ajouts de définitions (ou mise à jour de détections génériques) quotidiens.
A noter qu'AVG se comporte assez bien sur les
des Virus MSN.
Microsoft Security Essentials : MSE détecte moyennement les exploits et javascript malicieux. Par contre, il est relativement bon au niveau des droppers.
La stratégie de Microsoft qui se dégage lorsqu'une nouvelle famille de malwares est ajoutée au MSRT est de suivre cette famille à travers des détections génériques et généralement ils le font bien.
Si vous allez voir les scans de la partie Virus MSN et Remontés de malwares, vous verrez que dans les scans VirusTotal, ils sont souvent présents :
http://forum.malekal.com/virus-msn.html
http://forum.malekal.com/remontees-lien ... tions.html
Du coup lorsque la famille est connue, vous êtes vraiment bien protégés et c'est notamment le cas des virus MSN, Trojan.Alueron et FakeAlert des
Faux Codecs.
Le revers de la médaille et que si la famille n'est pas connue généralement, vous n'êtes pas protégés mais il est à parier que le but est de gonfler le suivi des familles en ajoutant de nouvelles familles au fur et à mesure.
Antivir : Antivir est bon partout au niveau des détections (et c'est pas nouveau comme on peut le voir sur les comparatifs précédents).
Le score d'Antivir aurait pu être meilleur avec un WebGuard (présent que dans la version payante), en effet, très souvent le Guard (protection en temps réel) réagit sur les javascript malicieux mais la connexion au site WEB se poursuit et l'installation de l'infection est alors possible (si le dropper en aval n'est pas détecté).
On arrive aussi souvent à de multiples alertes du Guard ce qui peut être pénible pour l'utilisateur.
Vous pouvez rajouter 15% de blocage au test pour la version payante.
Reste qu'Antivir, dans ce test, ressort dans les meilleurs.
Avast! : La stratégie d'Avast! est claire, comme dit dans les comparatifs précédents, le but est de bloquer l'infection très tôt.
Avast! se focalise donc sur les javascripts malicieux et PDF malicieux (la détection sur les SWF semble moins bonne), le dropper est ajouté par la suite (1 à deux jours). Avast! est très bon pour la détection de JavaScript malicieux même sur de nouvelles URL malicieuses - ce qui donne ces détections :
Pour les exploits.PDF et SWF voir les détections plus hauts.
Dans sa version 5, Avast! inclue un Web Guard (comme le bouclier WEB mais en amélioré), ce dernier coupe la connexion au site WEB dès lors qu'un javascript malicieux/Exploit est détecté et cela est assez payant au final.
Le Web Guard fonctionne via une base de données de sites malveillants, si ces derniers sont reconnus, l'accès est bloqué. Cette base n'est que très peu utilisée pour les exploits mais un peu plus pour certaines familles de
Faux Codecs.
Avast! offre donc la meilleure protection WEB actuellement dans ce test des antivirus gratuits.
Si je devais résumer les stratégies et les lacunes des AV testés ce serait à travers ces captures de scan d'Exploit.PDF :
- Avast! premier sur la détection des Exploits qui axe sa stratégie sur le blocage en amont et l'ajout par la suite de détection au niveau des droppers.
- Antivir en second qui compense par sa détection générique des droppers.
- MSE ensuite qui arrive à compenser par sa détection générique des droppers lui aussi mais par famille.
- AVG et Panda Cloud qui détectent très peu d'Exploit.PDF (0 pour Panda) et qui compensent que très difficilement sur la détection des droppers.
(Pour info Trend-Micro en détecte 72)