Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
30 mars 2013 6 30 /03 /mars /2013 16:59

En tentant de télécharger des outils de développement WMI ("WMI administrative tools", pour faire des requêtes directement), j'ai eu un petit problème avec Immunet :

 FP_WMI_SDK_230313.PNG

 

Un vrai "faux positif" W32.Spero.Cosmu... sur le setup.exe.

 

C'est l'un des effets de bord du nuage pour les antivirus, à ne pas oublier : l'analyse en dynamique des échantillons peut produire des faux positifs et je n'ai pas pu évaluer leur correction comparé au cas classique de faux positif par une signature nouvellement créée.

 

Dans la version gratuite de Immunet 2.0.17.31, je n'ai eu d'autre choix que de désactiver le service (dans services.msc) pour arriver à télécharger et utiliser l'outil WMI Admin Tools, pourtant récupéré directement sur la TechNet. Je ne pense pas que la TechNet héberge beaucoup de codes malveillants ;)

 

Avis donc pour ceux qui utilisent la technologie du Nuage pour certaines solutions antivirus : s'ils souhaitent faire une action automatique sur détection, je leur commande de ne pas supprimer ce qui est détecté, mais de mettre en quarantaine. Sinon, le mieux à mon sens est de se limiter à la détection, et de faire confirmer chaque échantillon manuellement.

 

Partager cet article

Repost0

commentaires