2 votes

AlainD avatar

Comment vérifier les faux positifs d'un antivirus ?

Demandé el 26 de Avril, 2016
Quand la question a-t-elle été
1229 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai lancé Kaspersky Rescue 10 pendant la nuit et le système est ressorti propre, à l'exception d'un raccourci obscur (un parmi des centaines). Kaspersky rapporte que le cheval de Troie est :

trojan-downloader.win32.pif.xx

et selon ce lien Microsoft Kaspersky pourrait en effet avoir trouvé une infection valide. J'ai soigneusement vérifié le fichier .lnk dans un éditeur binaire et dans Notepad, sans rien de suspect.

Les scanners de virus utilisent diverses heuristiques sophistiquées (telles que les hachages SHA256) pour détecter les infections, mais celles-ci sont sujettes aux faux positifs. Existe-t-il un moyen manuel de déterminer avec certitude si le raccourci est infecté ou si Kaspersky est simplement tombé sur un (rare) faux positif ?

UPDATE

J'ai trouvé ceci scanner en ligne . Après avoir téléchargé mon fichier .lnk, Kaspersky a de nouveau trouvé le cheval de Troie susmentionné... mais 55 autres scanners n'ont rien trouvé. Le raccourci exécutait cette commande :

%SystemRoot%\system32\cmd.exe /c start "Send USB" /min /low C:\Batch\SendToUSB.bat

Après avoir effectué un changement trivial en supprimant /low à partir de la commande ci-dessus, tous les scanners montrent maintenant le raccourci comme propre, y compris Kaspersky. J'ai également analysé cmd.exe le fichier batch lui-même et quelques autres raccourcis avec des commandes similaires. Rien n'a été détecté.

Avec un haut degré de confiance, cela semble être un faux positif.

Demandé el 26 de Avril, 2016 par AlainD

Réponse

Trop de publicités?

1voto

frooyo avatar
frooyo Points 658

On parle de "faux positif" lorsque le logiciel anti-malware a détecté un problème, mais que celui-ci n'était pas réellement malveillant. Il n'existe pas de processus simple et direct qui permette d'éliminer à 100% les faux positifs. S'il en existait un, nous automatiserions cette technique et l'intégrerions au logiciel anti-malware.

Donc la réponse à votre question,

"Existe-t-il un moyen manuel de déterminer de manière définitive".

est : un seul. Cette solution consiste à analyser manuellement la menace, ce que vous avez dit avoir fait dans le Bloc-notes. Si vous avez fait preuve d'une expertise suffisante (par exemple, comprendre le format du fichier et ce qu'il peut faire), vous avez fait tout ce que vous pouviez "certainement" faire. C'est tout ce que les meilleurs auteurs/experts anti-malware du monde peuvent faire. Il n'y a rien d'autre qui soit plus "définitif", ni aucun autre processus plus simple qui soit "définitif".

Une approche que vous pouvez utiliser est de soumettre cette question à un vote. Téléchargez le fichier sur http://VirusTotal.com et voir rapidement ce que les autres anti-malware pensent du fichier.

Les éditeurs de logiciels anti-malware publient souvent des informations complémentaires sur les menaces détectées, sur leur site web. La recherche de "Kaspersky Threat Database" m'a conduit à Kaspersky VirusWatchLite. Vous pouvez alors entrer "trojan-downloader.win32.pif.xx" dans la boîte de filtre. Cela vous indique que Kaspersky a ajouté cette menace en avril 2010. Contrairement à d'autres menaces, cette menace ne semble pas comporter de lien hypertexte vers des informations supplémentaires.

Vous pouvez aussi essayer de rechercher "trojan-downloader.win32.pif.xx" sur le Web. Cela m'a montré que "trojan-downloader.win32.pif.us" contenait des informations à son sujet, le premier résultat de la recherche Google étant l'hyperlien Microsoft que vous avez fourni. Il semble donc que vous ayez déjà trouvé ce chemin à vérifier.

En fin de compte, étant donné que le processus visant à déterminer si quelque chose est réellement malveillant consiste à prendre une décision qui n'est pas entièrement automatisable, vous devez prendre votre propre décision.

Mise à jour : Je vois maintenant votre mise à jour. (Je ne sais pas comment j'ai pu la manquer avant.) Je vois que vous avez aussi trouvé VirusTotal. Eh bien, il semble que vous trouviez les bonnes approches. Considérez ma réponse comme un vote de confiance que vous faites les bonnes choses. Considérez-vous comme satisfait. Ou, si vous ne pouvez pas le faire, jouez encore un peu avec, apprenez le format exact d'un raccourci Windows et vérifiez chaque octet dans un éditeur hexadécimal.

Répondu el 26 de Avril, 2016 par frooyo (658 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X