Cloud Antivirus et Détections ProActives / Comportementales

Depuis 2012, certains éditeurs d’antivirus sont passés à des solutions de « Cloud Antivirus » et ont aussi ajoutés des détections comportementales :

Je n’avais pas trop regardé les antivirus payants, ces derniers temps, à vrai dire pas trop en 2011. Un peu prisonnier des antivirus gratuits, il faut dire qu’en France, ils représentent +60% du marché.
Il existait une ancienne page sur les antivirus que je mettrai à jour suite à ce billet : Infections VS Antivirus
La présentation de ces trois a permis de se mettre un peu à jour et du coup, voici un billet concernant le Cloud et les détections Proactives/Comportementales

Détection ProActives / Comportementales

Sur la présentation de Kaspersky Antivirus 2012, on peux voir que Kaspersky bloque un fichier fus.exe dont la détection au moment du test était de 2/ 44 (4.5%) sur VirusTotal.
De même dans le test de Norton, celui bloque un fichier Youtube.exe avec le même taux de détection.
Enfin BitDefender bloque aussi un malware/virus avec ce taux de détection.

J’ai testé le fichier fus.exe bloqué par Kasperksy juste après sur Norton et BitDefender. Voici ce que l’on constate.

Norton le bloque aussi :

BitDefender aussi :

BitDefender Antivirus 2012

Comment est-ce possible alors que les antivirus ne le détectent pas ?

Comme évoqué sur le billet RAT, Bifrose, Cybergate, Spynet : Botnet pour les nuls, il est possible d’échapper aux détections de fichiers via des packers/crypters et autres.
Ceci permet de créer des centaines de droppers par semaine/jour qui ne seront pas détectés par les antivirus. L’exemple ci-dessus est le cas.

Maintenant regardons ces trois détections :
http://www.virustotal.com/file-scan/report.html?id=0c588daac6ac9a0d8be4188029467515cc2e0680510b1bc7b585bd163eb9d49f-1316551721

File name: clocktime.exe
Submission date: 2011-09-20 20:48:41 (UTC)
Current status: finished
Result: 29/ 44 (65.9%)	VT Community

Compact
Print results  Antivirus	Version	Last Update	Result
AhnLab-V3	2011.09.20.05	2011.09.20	Trojan/Win32.VBKrypt
AntiVir	7.11.14.250	2011.09.20	TR/Injector.311296.1
Antiy-AVL	2.0.3.7	2011.09.20	Trojan/Win32.VBKrypt.gen
Avast	4.8.1351.0	2011.09.18	Win32:Malware-gen
Avast5	5.0.677.0	2011.09.18	Win32:Malware-gen
AVG	10.0.0.1190	2011.09.20	PSW.VB.DSR
BitDefender	7.2	2011.09.20	Gen:Variant.Kazy.37183
DrWeb	5.0.2.03300	2011.09.20	Trojan.PWS.Siggen.25233
Emsisoft	5.1.0.11	2011.09.20	Trojan-PWS.VB!IK
F-Secure	9.0.16440.0	2011.09.20	Gen:Variant.Kazy.37183
Fortinet	4.3.370.0	2011.09.20	W32/VBKrypt.GEJE!tr
GData	22	2011.09.20	Gen:Variant.Kazy.37183
Ikarus	T3.1.1.107.0	2011.09.20	Trojan-PWS.VB
Jiangmin	13.0.900	2011.09.20	Trojan/VBKrypt.defp
K7AntiVirus	9.113.5168	2011.09.20	Trojan
Kaspersky	9.0.0.837	2011.09.20	Trojan.Win32.VBKrypt.geje
McAfee	5.400.0.1158	2011.09.20	Artemis!3131EEE0B7A9
McAfee-GW-Edition	2010.1D	2011.09.20	Artemis!3131EEE0B7A9
Microsoft	1.7604	2011.09.20	VirTool:Win32/VBInject
NOD32	6480	2011.09.20	a variant of Win32/Injector.JCH
Norman	6.07.11	2011.09.20	W32/Fakeav.BB!genr
nProtect	2011-09-20.01	2011.09.20	Gen:Variant.Kazy.37183
Panda	10.0.3.5	2011.09.20	Trj/CI.A
Symantec	20111.2.0.82	2011.09.20	Trojan.Gen
TrendMicro-HouseCall	9.500.0.1008	2011.09.20	TROJ_GEN.R04C3IK
VBA32	3.12.16.4	2011.09.20	Trojan.VBKrypt.geje
VIPRE	10534	2011.09.20	Trojan.Win32.Generic!BT
VirusBuster	14.0.222.0	2011.09.20	Trojan.VBKrypt!1NDPelAzYj0
Additional information
Show all
MD5   : 3131eee0b7a95d34f2a847d6b0a9f72b
SHA1  : ce73aebfd3ca51cec00fbcd8bb95c1ad23b7124a
SHA256: 0c588daac6ac9a0d8be4188029467515cc2e0680510b1bc7b585bd163eb9d49f
et : http://www.virustotal.com/file-scan/report.html?id=59424f4686f540fdb2a19804dcad0937d8f7f44880d9fef58d2cb7378def5807-1316551728
File name: thisforbs.exe
Submission date: 2011-09-20 20:48:48 (UTC)
Current status: finished
Result: 29/ 44 (65.9%)	VT Community

Compact
Print results  Antivirus	Version	Last Update	Result
AhnLab-V3	2011.09.20.05	2011.09.20	Trojan/Win32.VBKrypt
AntiVir	7.11.14.250	2011.09.20	TR/Injector.569344.2
Avast	4.8.1351.0	2011.09.18	Win32:Malware-gen
Avast5	5.0.677.0	2011.09.18	Win32:Malware-gen
AVG	10.0.0.1190	2011.09.20	Injector.ERV
BitDefender	7.2	2011.09.20	Worm.Generic.344629
Comodo	10183	2011.09.20	TrojWare.Win32.KeyLogger.VB.~AE
DrWeb	5.0.2.03300	2011.09.20	BackDoor.Siggen.687
Emsisoft	5.1.0.11	2011.09.20	Trojan.Injector!IK
eSafe	7.0.17.0	2011.09.20	Win32.GenVariant.Kaz
F-Secure	9.0.16440.0	2011.09.20	Worm.Generic.344629
Fortinet	4.3.370.0	2011.09.20	W32/Malware_fam.NB
GData	22	2011.09.20	Worm.Generic.344629
Ikarus	T3.1.1.107.0	2011.09.20	Trojan.Injector
Jiangmin	13.0.900	2011.09.20	Trojan/Generic.mxjj
K7AntiVirus	9.113.5168	2011.09.20	Riskware
Kaspersky	9.0.0.837	2011.09.20	HEUR:Trojan.Win32.Generic
McAfee	5.400.0.1158	2011.09.20	Generic.dx!b2uj
McAfee-GW-Edition	2010.1D	2011.09.20	Generic.dx!b2uj
Microsoft	1.7604	2011.09.20	VirTool:Win32/VBInject
NOD32	6480	2011.09.20	Win32/VB.NXB
Norman	6.07.11	2011.09.20	W32/Suspicious_Gen2.QQOAX
nProtect	2011-09-20.01	2011.09.20	Worm/W32.Agent.569344.G
Panda	10.0.3.5	2011.09.20	Trj/CI.A
Sophos	4.69.0	2011.09.20	Mal/Generic-L
SUPERAntiSpyware	4.40.0.1006	2011.09.20	-
TrendMicro	9.500.0.1008	2011.09.20	TROJ_INJECTO.JP
TrendMicro-HouseCall	9.500.0.1008	2011.09.20	TROJ_INJECTO.JP
VIPRE	10534	2011.09.20	Trojan.Win32.Generic!BT
VirusBuster	14.0.222.0	2011.09.20	Trojan.Injector!6yTC5ka8igE
Additional information
Show all
MD5   : 958f8fdbc9abc4b1c5f5bd56f90c951f
SHA1  : 6b01608fb6d73011a2214b7d17a236bc86855fd7
SHA256: 59424f4686f540fdb2a19804dcad0937d8f7f44880d9fef58d2cb7378def5807

et enfin plus récent : http://www.virustotal.com/file-scan/report.html?id=a12672af336a8d42463d5d41afabc1e47e884592fb30addedd014a51917b305f-1316551732

File name: notepad.exe
Submission date: 2011-09-20 20:48:52 (UTC)
Current status: finished
Result: 14/ 44 (31.8%)	VT Community

Print results  Antivirus	Version	Last Update	Result
AhnLab-V3	2011.09.20.05	2011.09.20	Trojan/Win32.VBKrypt
Avast	4.8.1351.0	2011.09.18	Win32:VB-YJC [Trj]
Avast5	5.0.677.0	2011.09.18	Win32:VB-YJC [Trj]
AVG	10.0.0.1190	2011.09.20	SHeur4.CML
BitDefender	7.2	2011.09.20	Gen:Variant.Kazy.38081
DrWeb	5.0.2.03300	2011.09.20	Tool.BtcMine.8
Emsisoft	5.1.0.11	2011.09.20	Worm.Win32.Nayrabot!IK
F-Secure	9.0.16440.0	2011.09.20	Gen:Variant.Kazy.38081
GData	22	2011.09.20	Gen:Variant.Kazy.38081
Ikarus	T3.1.1.107.0	2011.09.20	Worm.Win32.Nayrabot
Kaspersky	9.0.0.837	2011.09.20	Trojan.Win32.VBKrypt.grgw
NOD32	6480	2011.09.20	a variant of Win32/Injector.JGU
nProtect	2011-09-20.01	2011.09.20	Gen:Variant.Kazy.38081
Panda	10.0.3.5	2011.09.20	Suspicious file

Additional information
Show all
MD5   : 6a46f5c6ffae9e26bbf0c0cf9f193bd1
SHA1  : 60053142bbb37d5423ad40d23fafbec9f853a41e
SHA256: a12672af336a8d42463d5d41afabc1e47e884592fb30addedd014a51917b305f

Les détections ne sont donc pas les mêmes et pourtant, regardons les strings en mémoires de ces trois fichiers :

On voit que ce sont exactement les mêmes.
En réalité, ces trois fichiers sont le même malware/virus : BlackShades RAT
Le code du fichier est offusqué par différents crypters/packers d’où les détections différentes mais « derrière » le malware est strictement le même à la version près. Ces trois fichiers auront donc le même comportement et donc les strings en mémoire sont rigoureusement identiques.

Du coup, pour contrer les milliers de nouveaux malware/virus qui sont en réalité de nouveaux droppers pour des familles de malwares déjà connues, dont le code est offusqué par des crypters/packers, les antivirus intègrent des détections comportementales/proactives.
Les comportements général des droppers peux aussi être identiques d’une famille à l’autre (Injections de processus systèmes, créer de fichiers temporaires dont souvent des fichiers batchs, exclusions sur le pare-feu Windows etc).

A partir des éléments en mémoire, le comportement du processus – ce dernier peux être jouer dans une sandbox avant l’exécution réelle sur le système – l’antivirus peux alors déterminer si ce dernier a un comportement connu de familles ou de droppers génériques.
Dès lors des nouveaux droppers dont la détection de fichier est quasi-nulle peuvent être détectés au moment de l’exécution du malware sur le système. J’insiste sur le exécution. D’où la nullité en terme de résultat des scans à la demande.

Bien entendu, il faut que l’éditeur génère des règles de détection de malware/virus génériques mais aussi des règles pour détecter des familles particulières.
D’autre part, si demain, une nouvelle famille apparaît, il faut créer cette nouvelle règle ProActive.

Enfin, comme toute détection, cela peux générer des faux positifs.

Cloud et Antivirus

Le Cloud Antivirus avait été déjà abordé lors du comparatif des antivirus gratuits 2010 : http://forum.malekal.com/comparatif-antivirus-gratuits-2010-t23535.html#p196486
On découvrait alors le Web Reputation de Trend-Micro à travers le Cloud en temps réel.

Le Cloud, c’est déporté la base des définitions virales locale au niveau des serveurs de l’antivirus. Ceci a plusieurs effets :

  • Cela allège les clients antivirus qui n’ont plus besoin d’embarquer une base de définition virale de A à Z – simplement lorsqu’on passe en mode déconnecté.
  • La base peux être beaucoup plus volumineuses – Les traitements étant maintenant effectuées du côté des serveurs de l’antivirus. Cela permet de faire du File Reputation antivirus ou du Web Reputation.
  • Les temps de mise à jour de la base sont en théorie plus rapides – en effet – plus besoin de mettre à jour l’antivirus locale. Le temps entre l’ajout de détection, la mise en ligne au niveau du serveur et le téléchargement de la mise à jour par le client Antivirus peux être casi immédiat. Je dis en théorie, car c’est dans le cas où on a du Cloud en temps réel – Rien ne dit que l’ajout de détection et la mise à disposition dans le Cloud soit fait au même instant. On peux imaginer que la mise à jour de la base de données du Cloud soit fait par exemple tous les quarts d’heure chez certains éditeurs. Il y a donc du Cloud en temps réel et du Cloud semi-temps réel. Tous les éditeurs d’antivirus ne pouvant pas investir les mêmes sommes. Démonstration au niveau de Windows Defender sur le terrain.

Cela peut, par contre, poser des problèmes de confidentialités, par exemple Avast! récupère les URLs visitées, les adresses emails et les objets des mails..
Les hashs et portions de fichiers sont aussi récupérés, cela peut aussi poser des problèmes pour les entreprises.

Avast_confidentialite

Sur les dernières présentations des Antivirus 2012, on voit que le Cloud est maintenant très présents, surtout chez Kaspersky et Norton.

Web Reputation chez BitDefender et Kaspersky :

En mixant les deux, Norton créé, par exemple, les détections : WS.Reputation.1 / Suspicious.Insight
Cette détection mixte des fichiers inconnus de la base de reputation de Norton (donc nouveau ou compilé récemment) et dont le contenu ProActive correspond à une menace.
Ceci peux éventuellement réduire les faux positifs.

D’autre part, les détections proactive avec le file Reputation permet une recrudescence de la surveillance du système et savoir si on est infecté et/ou potentiellement identifier un fichier non venue pour l’utilisateur via une liste des fichiers en cours d’exécution. La majeur partie des fichiers en cours d’exécution seront en verts car connu de l’éditeur d’antivirus.

Antivirus payants VS Antivirus gratuits

En 2007/2009, le fossé entre les antivirus payants et gratuits n’étaient pas énormes et ne justifiait pas forcément le passage du gratuit vers le payant.
(ici on raisonne avec un PC de monsieur tout le monde, à savoir un gratuit sans rien à côté, pas les PC des internautes confirmés qui augmentent la protection ou pallie la protection des gratuits, avec d’autres programmes : NoScript, Comodo, StormShield ou autres).
En effet les modules offerts par les payants n’offraient pas une différence significatives en terme de protection.

Avec l’arrivé du Cloud et des détections proactives (actuellement les versions gratuites n’en ont pas), la protection offerte par les payantes est bien supérieur à un gratuit tout seul, cela peux relancer l’intérêt des payants.
C’est surtout vrai dans le cas d’Antivir et AVG, un peu moins pour Avast! avec sa Sandbox mais ne se lance pas sur tous les fichiers nouveaux.

Ci-dessous Avast! et Antivir VS notre fameux fichier fus.exe

On voit que l’on peux exécuter le fichier fus.exe sans qu’Avast! n’émet d’alerte.


puis fus.exe lance un autre fichier fus.exe (les icônes sont différentes)
et notre infection est installée… le « nouveau » fus.exe contacte son Control Center – Le fichier malicieux est droppé dans %APPDATA% et une clef Run est ajoutée pour se lancer à chaque démarrage de Windows.
Avast! n’a rien vu.

Du côté d’Antivir avec le WegGuard activé.
Antivir ne bronche pas sur l’URL

fus.exe se lance sans soucis..

et l’infection s’installe..

Echec et Mat !

Pourquoi cela fonctionne ?

car les deux seuls protections offertes par les gratuits sont la détection de fichiers et la blacklistage d’URL.
Or notre fus.exe comme expliqué plus haut et tout chaud, tout a été fait pour échapper à ces détections de fichiers.
Quant au blacklistage d’URL, il est assez limité dans le cas des gratuits.

On voit donc la différence entre une détection de fichiers et les détections proactives/comportementales.
A l’heure actuelle, des antivirus gratuits « tout seul » ne sont pas suffisants.

Conclusion

Les antivirus payants sont entrés depuis l’année dernière et encore plus vrais, dans une nouvelle dimension via le Cloud et les détections proactives.
Les détections proactives permettent de répondre à la problématiques des droppers compilées par milliers pour échapper aux détections de fichiers.
Bien entendu, on peux s’attendre à ce que les auteurs de malware/virus répondent et tentent à leurs tours de d’échapper à ces détections proactives, puisqu’elles vont se généraliser.

Ce qui peux relancer l’intérêt des antivirus payants – Le standard étant devenu :

  • Détection de fichiers et protection en temps réel
  • Détection Proactive / Comportementale
  • Web ou file Reputation
  • Scan de vulnérabilités

Cela montre aussi, c’était vrai il y a quelques années, qu’on ne peux plus se faire une idée d’un antivirus à partir des détections de fichiers quand celui-ci intègre des protections proactives/comportementales, car on ne sait pas qu’elle va être sa réaction lors de l’exécution de fichiers. De quoi rendre encore plus obsolète les comparatifs sur scan à la demande.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 259 times, 1 visits today)

17 thoughts on “Cloud Antivirus et Détections ProActives / Comportementales

  1. Merci pour ce post très intéressant.

    A l’occasion, peux-tu me dire ce que tu penses de la version 5 de Eset Smart Security (NOD32) qui vient de sortir elle aussi ?

    @+

  2. kikou,
    je vois que souvent des antivirus style antivir,avast,kaspersky ect…. mais quand et t’il des antivirus trent micro ??? part exemple j’ai trent micro titanium maximum security .
    je vois très peu de test qui parle de trent micro…

  3. Trend-Micro, j’en ai parlé en 2010 longuement dans le comparatif, il y a des présentations de divers outils.
    Je peux pas parler de tous les AV tout le temps pour faire plaisir à tout le monde, j’ai que deux bras.

    Kaspersky / Norton et BitDefender me semble pas en avoir parlé depuis très longtemps.
    De même pour NOD32.

  4. oui j’ai vus sauf que tu parlais de (Trend-Micro bloque au niveau de l’URL), moi je parle niveau détection une fois sur le pc, même si celui-ci et sensé le bloqué avant sans forcément passé par une url. exemple usb,dvd ect infecté .
    après j’oblige en rien et je demande pas que l’on me fasse plaisir , c’est juste une constations dans se que je peus voir dans les tests que je vois un peu partout.

  5. Salut,

    Comodo (CIS) dans sa version gratuite intègre « une analyse comportementale des fichiers inconnus dans le cloud » via son module Defense+,
    il a aussi une Sandbox.

  6. ok mak il me bloque les pages même le premier :
    hxtp://origin-ics.brightbreeze.com/IC/GPLBrightBreeze07/23212/0/230e8a6b-84e0-41dd-998a-46525b37d917/XvidSetup.exe

    Trend Micro confirme que ce site Web peut diffuser des logiciels malveillants ou a déjà été impliqué dans des escroqueries ou des fraudes en ligne.

    moi je parle d’analyse directe et non d’url .

  7. Embrasse moi, … met ton doigt dans mon cloud.
    Qu’arrivera t’il le jour où les nuages seront assombris par des menaces ?
    Savez-vous ce qui transite dans le nuage sensé vous protéger ?
    Est-il possible d’intercepter des nuages ? Peuvent-il être espionnés ?
    Nuage… c’est beau. Le type qui a inventé ce terme est un sacré malin.
    Dormez bien… on s’occupe de tout 🙂

  8. Moi je n’en veux pas de cette merde de cloud computing. C’est encore une arnaque pour que nos allées et venues sur internet soit encore davantage surveillé et collecté. Bienvenu en 1984 (Georges Orwell). SVP. faites des recherches approfondies sur ce sujet avant d’installer des espions sur vos ordinateurs. Je vais prolonger ma licence de Kaspersky Internet Security 2011 pour une année de plus. Je ne veux pas la version 2012.

  9. La détection proactive/comportementale ça fait lontemps qu’elle existe sur les antivirus payant,au moins depuis 5 ans,en tout cas pour nod32 que j’utilise
    Le cloud et la réputation c’est nouveau ça.
    Un très bon site en anglais sur les antivirus:AV-COMPARATIVES.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *