Auto-inoculation d’un malware : add-on

14 octobre 2008 Philippe Conchonnet , Sécurité

Suite au post de Jean François « Auto-inoculation d’un malware : La méthode de l’antivirus », nous avons fait quelques tests. Nous avons récupéré deux fichiers (MD5 différents) mais normalement de la même souche. Les tests sont réalisés sur un poste Vista SP1 complètement à jour sous IE7 ou Firefox 3.0.3, cette fin d’après midi, avec les outils fournis en ligne par les éditeurs antivirus (ActiveX, Java, …).
Nous avons pu tester les éditeurs suivants : Kaspersky WebScanner, TrendMicro HouseCall 6.5, Computer Associates Web Scan Control Build 1049, Dr.Web, Bitdefender, F-secure, Avast!, Symantec , PandaSecurity.

Cette liste est non exhaustive, ne se veut pas une référence et est juste établie en fonction d’une recherche dans Google sur ‘online scan virus’ ! (super la méthodologie non ?)
Voici les résultats détaillés :

Kaspersky http://webscanner.kaspersky.fr/

Fichier-1 Trojan-downloader.win32.FraudLoad.vcnu
Fichier-2 Trojan-downloader.win32.FraudLoad.vcoa

TrendMicro HouseCall 6.5 http://housecall65.trendmicro.com/

Fichier-1 - clean
Fichier-2 - clean

CA http://www.ca.com/us/securityadvisor/virusinfo/scan.aspx

CA Web Scan Control Build 1049
Fichier-1 -erreur sur la page lors du click sur 'scan' donc impossible à tester

Dr.Web http://www.drweb-online.com/en/online_check.asp?rpid=

Fichier-1 - clean
Fichier-2 - clean

Bitdefender - http://www.bitdefender.com/scan8/ie.html#

Fichier-1 - rien
Fichier-2 - rien

F-secure - http://support.f-secure.fr/fra/home/ols.shtml

Fichier-1 -BLUE SCREEN !!! Oui je sais même sous Vista…

Avast! http://onlinescan.avast.com/

Fichier-1 - infected - Win32:Trojan-gen Other
Fichier-2 - clean

Symantec http://security.symantec.com/sscv6/default.asp?langid=ie&venid=sym

Fichier-1 – aucun fichier infecté (scan tout le disque)
Fichier-2 - aucun fichier infecté (scan tout le disque)

Panda http://www.pandasecurity.com/activescan/scan/?type=allpc

Fichier-1 toujours en cours de scan...(scan tout le disque)
Fichier-2 toujours en cours de scan...(scan tout le disque)

Conclusion : 4 jours après tout le monde n’est pas à jour ! Comme la protection contre les vulnérabilités n’est pas très bonne, et que les signatures ne suffisent plus que reste t il ?

Bon patch day ce soir !

Philippe Conchonnet

Compte Twitter

Au sein d’Orange Business, je m’occupe de la promotion de la sécurité aussi bien auprès des équipes internes qu’auprès de nos clients. Je travaille dans la sécurité depuis une quinzaine d’années sur des parties techniques, organisationnelle ou promotionnelle. Améliorer la perception de la sécurité en entreprise est un de mes axes majeurs.