Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
18 mars 2013 1 18 /03 /mars /2013 00:45

Cela faisait un moment que je le suspectais, cette fois-ci j'ai un exemple clair et objectif pour l'étayer.

VirusTotal peut vous indiquer qu'un moteur antivirus ne détecte pas un échantillon alors qu'en fait, si.

 

Voici l'exemple :

SHA256 de l'échantillon : f1c03fbd8633cbbdf96fea9501d89d8022d58eb5e762b620349757002e53710e

Date d'analyse : 2013-03-12 16:05:05 UTC (il y a 5 jours, 7 heures)

Antivirus Résultat Mise à jour
Agnitum - 20130312
AntiVir - 20130312
Antiy-AVL - 20130312
Avast - 20130312
AVG - 20130312
BitDefender - 20130312
ByteHero - 20130310
CAT-QuickHeal - 20130312
ClamAV - 20130312
Commtouch - 20130312
Comodo - 20130312
DrWeb - 20130312
Emsisoft Trojan.Spy.Win32.Zbot.jlgr.AMN (A) 20130312
eSafe - 20130307
ESET-NOD32 - 20130312
F-Prot - 20130312
F-Secure - 20130312
Fortinet W32/Zbot.JLGR!tr 20130312
GData - 20130312
Ikarus Trojan-Spy.Win32.Zbot 20130312
Jiangmin - 20130311
K7AntiVirus - 20130311
Kaspersky Trojan-Spy.Win32.Zbot.jlgr 20130312
Kingsoft - 20130311
Malwarebytes - 20130312
McAfee PWS-Zbot.gen.ad 20130312
McAfee-GW-Edition PWS-Zbot.gen.ad 20130312
Microsoft - 20130312
MicroWorld-eScan - 20130312
NANO-Antivirus - 20130312
Norman ZBot.FYSN 20130312
nProtect - 20130312
Panda - 20130312
PCTools - 20130312
Sophos Mal/Generic-S 20130312
SUPERAntiSpyware - 20130312
Symantec - 20130312
TheHacker - 20130312
TotalDefense - 20130312
TrendMicro - 20130312
TrendMicro-HouseCall TROJ_GEN.F47V0307 20130312
VBA32 - 20130312
VIPRE - 20130312
ViRobot Trojan.Win32.S.Zbot.341724 20130312

 

 


Il me semblait pourtant, de tête, que Clam détectait l'échantillon. J'ai donc voulu leur soumettre, du coup, l'échantillon non détecté.

Le formulaire de clamav.net (http://cgi.clamav.net/sendvirus.cgi) m'a indiqué, au moment de l'envoi, que l'échantillon était déjà détecté !

Recommançant quelques jours plus tard, voici les résultats de VirusTotal (ce soir, nuit du 17 au 18/03) :

 

Date d'analyse : 2013-03-17 23:39:44 UTC (il y a 0 minute)
Antivirus Résultat Mise à jour
Agnitum - 20130317
AhnLab-V3 Spyware/Win32.Zbot 20130317
AntiVir - 20130317
Antiy-AVL - 20130317
Avast - 20130318
AVG - 20130317
BitDefender - 20130318
ByteHero - 20130315
CAT-QuickHeal - 20130316
ClamAV - 20130317
Commtouch - 20130317
Comodo - 20130317
DrWeb - 20130318
Emsisoft Trojan.Spy.Win32.Zbot.jlgr.AMN (A) 20130318
eSafe - 20130313
ESET-NOD32 - 20130317
F-Prot - 20130317
F-Secure - 20130317
Fortinet W32/Zbot.JLGR!tr 20130317
GData - 20130317
Ikarus Trojan-Spy.Win32.Zbot 20130317
Jiangmin - 20130317
K7AntiVirus - 20130315
Kaspersky Trojan-Spy.Win32.Zbot.jlgr 20130317
Kingsoft - 20130311
Malwarebytes - 20130317
McAfee PWS-Zbot.gen.ad 20130318
McAfee-GW-Edition PWS-Zbot.gen.ad 20130318
Microsoft - 20130318
MicroWorld-eScan - 20130317
NANO-Antivirus - 20130317
Norman ZBot.FYSN 20130317
nProtect - 20130317
Panda Trj/OCJ.D 20130317
PCTools - 20130315
Sophos Mal/Generic-S 20130317
SUPERAntiSpyware - 20130317
Symantec - 20130318
TheHacker - 20130315
TotalDefense - 20130317
TrendMicro - 20130318
TrendMicro-HouseCall TROJ_GEN.F47V0307 20130318
VBA32 - 20130315
VIPRE Trojan.Win32.Generic!BT 20130317
ViRobot Trojan.Win32.S.Zbot.341724 20130317

 

 

Toujours pas de détection par Clam, selon VT !

La version indiquée de mise à jour des signatures de clam est bien celle du 17/03...

Pourtant, voici le message sur leur site, quand on leur soumet l'échantillon :

Capture_Clam_deja-detect_188313.PNG

 

Conclusion ?

Si vous voulez réellement surveiller des moteurs, je vous recommande de fairecomme moi sur ma propre architecture de veille perso :

- machines virtuelles XP Pro SP3

- 1 antivirus "classique" par machine virtuelle 

- possibilité de cumul avec Clamn Immunet, Panda Cloud, et d'autres moteurs à la demande comme MalwareBytes.

 

Mise à jour du 24/03:

 

Des gens de VirusTotal ont réagi sur mon blog (cf. commentaire) et sur mon compte Twitter. La réponse était (traduite en Français) "il s'agit d'une détection PUA de Clam, et sur demande de l'éditeur, cela figure dans l'onglet informations additionnelles".

Au-delà du fait que cela manque un peu de clarté selon moi, à savoir les cas où le résultat est affiché en onglet principal ou sinon en infos additionnelles, il y a tout de même un petit problème.

Je vois mal en effet ClamAV catégorizer ce code en PUA (Application Potentiellement Indésirable), car d'après leur site et la capture plus haut de leur message, il s'agit de :

Win.Trojan.Spy.Zbot-43!!

Je ne vois pas le lien avec un PUA, et connaissant un peu le code Zbot, cela me semble incohérent. D'autre part, la convention de nommage de Clam ne mentionne pas PUA ici, alors que c'est le cas pour un script trouvé plus récemment sur le net (cf. mon article du jour, plus haut).

En résumé, non, il crois bien qu'il y a un problème entre les résultats affichés par VirusTotal et les résultats réels de certains moteurs.

Partager cet article

Repost0

commentaires

jcanto 18/03/2013 07:29

that sample is detected as PUA at virustotal, therefore and by request of the vendor, it is not shown in the main report but in the Additional Information tag.

Philippe V. 24/03/2013 17:40



Hi, thanks for your comment. The thing is that it is quite unclear IMHO whether the "PUA" results will be displayed in the main report tab, or if you have to the additional info one.


As you said: "by request of the vendor, itis not shown un the main report", you know that, OK. But regular users may not, and that trick got me as well. May I suggest you to better inform your
users about that kind of choices about results display?


Thanks.