Jouons avec des antivirus

juillet 3rd, 2014 | Posted by Cervoise in Français

J’ai récemment eu à travailler avec des antivirus et logiciel de protection contre les logiciels malveillants. Les différents usages m’ont amenés à réaliser deux tests dont je vais parler ici :

  • test du fichier EICAR
  • scan d’une machine Windows fraichement installée

Test du fichier EICAR

Le fichier EICAR est un fichier qui doit, normalement, être détecté par tous les antivirus. Ce fichier est un simple fichier texte contenant la chaine suivante :

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

On trouve plus d’information sur cette page. Un exemple d’utilisation de ce type de fichier, consiste lors de l’analyse d’une infrastructure, à faire transiter ce fichier afin de détecter si un antivirus est présent (formulaire d’upload sur une application web, serveur de fichiers, contrôle des téléchargements sur un proxy, etc.). Un simple passage sur VirusTotal signale que le fichier est détecté par 51 antivirus sur les 54 :

eicar_result

eicar_liste

Dans les trois dissidents, on retrouve MalwareByte : capture Un test en local avec MalwareByte ne remonte pas de signalement. Un autre usage pourrait être d’analyser le fonctionnement d’un antivirus vis à vis des archives zip, rar, etc. Par exemple, un fichier eicar.txt compressé en zip par 7zip, on reste sur le même taux de détection (51/54).Si on compresse à nouveau ce fichier via le même procédé on passe alors à un score de 46/54 : captures En utilisant le format tar, on descend à 41/53 , et en utilisant le format 7z on descend à 39/53.

Note : nous avons perdu un moteur au passage.

Scan d’une machine Windows fraichement installée

Le jeux ici à consisté à scanner une machine Windows XP SP3 fraichement installée avec Office 2007, à laquelle on a appliqué les patchs de sécurité disponible. L’idée ici est de détecter des faux positifs que l’on pourrait avoir lors du scan d’une machine en production. Plusieurs scans ont été réalisés : un premier avec ClamAV, un second avec Kaspersky Rescue Disk 10.

Version du paquet : 0.98.1+dfsg-1+deb7u3
main.cvd  (version: 55, sigs: 2424225, f-level: 60, builder: neo)
daily.cvd  (version: 19157, sigs: 1074768, f-level: 63, builder: neo)
bytecode.cvd  (version: 242, sigs: 46, f-level: 63, builder: dgoddard)

Le scan de ClamAV remonte trois fichiers, au passage,ClamAV remonte une erreur fmap(), liée au fait que nous tentons de scanner un fichier plus gros que la RAM disponible sur la machine d’analyse :

clamscan -i -r /media/3404D08404D04B0E/
LibClamAV Warning: fmap: map allocation failed
LibClamAV Error: CRITICAL: fmap() failed
LibClamAV Warning: fmap: map allocation failed
LibClamAV Error: CRITICAL: fmap() failed
/media/3404D08404D04B0E/WINDOWS/system32/dllcache/csseqchk.dll: Win.Trojan.Fakesmoke-207 FOUND 
/media/3404D08404D04B0E/WINDOWS/system32/csseqchk.dll: Win.Trojan.Fakesmoke-207 FOUND
/media/3404D08404D04B0E/WINDOWS/Driver Cache/i386/sp3.cab: Win.Trojan.Agent-748500 FOUND
----------- SCAN SUMMARY -----------
Known viruses: 3493531
Engine version: 0.98.1
Scanned directories: 1660
Scanned files: 21163
Infected files: 3
Total errors: 2
Data scanned: 3309.96 MB
Data read: 6063.82 MB (ratio 0.55:1)
Time: 726.984 sec (12 m 6 s)

Si l’on regarde le détail des fichiers, on constate qu’il y a deux fois le même fichier :

  • 832515f8384f8b26d4f75fe838cd802e86c0ba4560de37c6b1dfb044fbb57ff5  /media/3404D08404D04B0E/WINDOWS/system32/dllcache/csseqchk.dll
  • 832515f8384f8b26d4f75fe838cd802e86c0ba4560de37c6b1dfb044fbb57ff5  /media/3404D08404D04B0E/WINDOWS/system32/csseqchk.dll
  • e653e30cdc6464ad3dd3525b690b2ddf8fcc50bb3eb5267e8c5c583756b09efe  /media/3404D08404D04B0E/WINDOWS/Driver Cache/i386/sp3.cab

Un petit tour sur VirusTotal remonte que seul ClamAV détecte ces fichiers :

Le scan avec Kaspersky Rescue Disk 10 n’a lui rien remonté : rapport_kaspersky

kaspersky maj

Ce type de tests simples permettent de révéler des éléments sur les antivirus et devrait être plus approfondies au cours d’analyse afin de détecter des comportements anormaux ou bien des faiblesses.

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Time limit is exhausted. Please reload the CAPTCHA.