nntp2http.com
Posting
Suche
Optionen
Hilfe & Kontakt

Un site pour tester les programmes des sites web suspects

Von: DePassage (monadresseamoi@hotmail.com) [Profil]
Datum: 04.11.2009 22:06
Message-ID: <hcsqa6$j0p$1@aioe.org>
Newsgroup: fr.comp.securite.virus
Tout le monde connait :

http://www.virustotal.com/

mais il faut pour cela leur envoyer un fichier que l'on possède DEJA


Ici on peut tester déja un site web "suspect" pour son I-Frame:

http://www.novirusthanks.org/scan-website




ou plus intéressant  :

http://scanner.novirusthanks.org/


Là si on dispose d'une adresse avec un .swf suspect (une bannière par
ex) un .pdf, un exploit (redirection par ex avec un fichier a installer
ou qui s'installera)c'est possible


Dans la limitation de taille indiquée (malheureusement)


J'ai testé ces possibilités avec des "0" days" et là
on est fortement
dépendant de la réactivité des editeurs d'anti virus (Antivir et
Kaspersky étant les plus réactifs) suivis de Bitdefender et... parfois
d'Avast (si si :-)
Mc Afee et Nod 32 étant à la ramasse

Néanmoins le test est concluant sauf pour une majorité de Dropper
(normal)pour rappel le Dropper est le programme chargé d'installer
l'infection sur le système (Payload) ou meme de fichiers .exe de faux
codecs par ex

Et c'est là le problème parce qu'il y a tellement de malwares qui
sortent tous les jours,	que j'ai remonté jusqu'à 2 jours pour certains
malwares (des programmes que tout le monde peut télécharger) et ils
n'étaient toujours pas détectés...
Néanmoins, pour rappel là aussi, ce n'est pas parce que virus total ne
détecte pas ou ne détecte rien que l'antivirus installé sur son PC ne
verra rien
L'anti virus installé ne detectera pas le dropper par ex mais detectera
le payload via l'heuristique ou fonctionnalité installée
Ensuite il suffit parfois de faire un scan approfondi avec son anti
virus installé pour que le dropper soit... détecté (avec un peu de
chance)

Cela peut etre aussi par le biais d'autres logiciels qui vont
"réveiller" l'anti virus installé

Un ex tout bete ; un passage avec MalwareBytes qui verra ou PAS, une
infection peut déclencher une alerte de l'anti virus


Ex de curiosité dans les "0 days"

http://scanner.novirusthanks.org/index.php?session8247711914112637724310212568485149510704
1209832

Un simple programme "Antivirus" (un faux bien sur)dont la signature
changera plusieurs fois par heure et à chaque téléchargement

Les "ténors" ne voient rien.

Par contre d'autres protections (plug in de Firefox) en place
signaleront le site comme "malveillant"

Si ce n'est pas le cas, l'antivirus installé pourra le signaler

http://moe.mabul.org/up/moe/2009/11/04/img-2201479a0p6.jpg

Avira "Gratuit" ne proposera pas cette option
Avira Premium (payant) propose cette option

(Tu vois la limitation du gratuit le LUDO ? :-)


Et pour rappel là aussi, sur un site de rogues/malwares, l'infection
n'est pas toujours dans le fichier qu'on télécharge (il peut etre sain)
mais dans la mise à jour qui sera proposées par ex une fois le programme
installé (oui ils sont vicieux  :-)


Sinon pour info, pour des programmes on peut installer dans le menu
contextuel

http://www.novirusthanks.org/progs/2/

(il y a un plug in pour virus total qui fait la meme chose)



Ne pas négliger les autres parties du site

A visiter donc
[ Auf dieses Posting antworten ]