Détection Antivirus dans le temps

Un billet qui parle un peu de l’évolution du taux de détection dans le temps.
Vous comprendrez pourquoi, il y a quelques années je tappais sur les comparatifs à base de scans à la demande : Comparatif Antivirus : Scan à la demande, c’est débile!
Il semblerait, d’après le peu que j’ai vu sur les dernières discussions que le consensus est bien maintenant de dire que ce genre de comparatif est inutile : ouf !

Comme expliqué sur ce post Mon honeypot, Mon Zoo (Trojan, RAT, Stealers) et abuse Orange, j’ai des VM qui contiennent des malwares de plusieurs botnets qui téléchargent d’autres malwares etc..
Mais aussi des VM qui parcourent des sites WEB à la recherche d’exploit, les URLs et malwares sont récupérés et alimentent eux aussi : http://www3.malekal.com/malwares/index.php

Cela faisait un moment que j’avais pas rangé/triés les malwares récupérés, et du coup, un petit pack de 300 fichiers ces constitués dont voici une capture.
Les droppers s’étendent de fin Juin 2011 à fin Juillet 2011.
Un oeil habitué reconnaîtra quelques infections à partir des icônes ou nom de fichiers.
Par exemple, l’icone avec les pixels colorés est très souvent utilisés par des stealers (Zbot ou Spyeye) mais aussi dernièrement par Sirefef.B / Rootkit.Win32.ZAccess / MAX++

Détection Antivirus dans le temps

 En triant, on arrive à reconstituer facilement des familles de droppers.

Exemple ici des droppers des rogues de type Win32/FakeRean 33 en 1

Détection Antivirus dans le temps

droppers pour les rogues fake repair

Détection Antivirus dans le temps

des droppers pour le Trojan Karagany

Détection Antivirus dans le temps

 

Détection Antivirus dans le temps

 Un oeil toujours habitué reconnaître quelques droppers en VB…

Détection Antivirus dans le temps

Si vous regardez les dates des fichiers, on voit que par exemple dans le cas du Trojan Karagany, on a un dropper par jour.
On en revient à ce que j’explique depuis quelques années, les auteurs de malwares font du bruteforce en mettant en ligne des milliers de  droppers chaque jour, les antivirus, eux, doivent absorber la détection de ces droppers, mettre à jour les domaines/URLs à bloquer etc afin de protéger les internautes.
Le fait de posseder ces droppers permet de suivre un peu les évolutions des détections sur un ensemble de dropper d’une même famille.

Détection sur le temps

Voici une liste de détection sur des droppers différents d’une même famille qui ont été récupérés dans le temps.
Les familles ici étant Karagany, Artro/Renos et deux bots qui vont par IM : Dorkot et du Buzus.
Pour rappel le billet est daté du 1er août 2011.

Karagany

  • kb20110627.exe – Result: 36/ 43 (83.7%) http://www.virustotal.com/file-scan/report.html?id=f91e1e74b554c38ff44d81e8d343930143848aa08a95391a2b41c39a4e723a9d-1312208461
  • kb20110624.exe – Result: 30/ 43 (69.8%) : http://www.virustotal.com/file-scan/report.html?id=9115f581082663f7271cdd43e2d2ada6f4d0de0b6f8e255339aaa6ce06340631-1312208453
  • kb20110701.exe – Result: 39/ 43 (90.7%) : http://www.virustotal.com/file-scan/report.html?id=18399a48c6a674b80cc4c5b89a603b8ad9dab356e7ede74515a8633453e318bc-1312208473
  • kb20110703.exe – Result: 34/ 43 (79.1%) : http://www.virustotal.com/file-scan/report.html?id=12c71efccaa383984c864834ceed00c6e637d6dd91f699208a1a5c3f511f5c05-1312208770
  • kb20110705.exe – Result: 39/ 43 (90.7%) : http://www.virustotal.com/file-scan/report.html?id=958d5f31953d91e0f5c48c055bb2740f1700de305f8c7625dd7a0ed24e5b5fde-1312208773
  • kb20110709.exe – Result: 37/ 43 (86.0%) : http://www.virustotal.com/file-scan/report.html?id=11cf188d333d2d5a8788efcec3bf832854a5e1c36435066fa404a4bd42418220-1312208787
  • kb20110713.exe – Result: 34/ 43 (79.1%) : http://www.virustotal.com/file-scan/report.html?id=2efae6b86f8e1cce4be7a64d914c205a4e07b390bde9e925795263e1173f18f0-1312208818
  • kb20110710.exe – Result: 33/ 43 (76.7%) : http://www.virustotal.com/file-scan/report.html?id=27617e753a941e9f8f70ef244a675fa3cdfa83714f46a61a328339e741907f8e-1312208811
  • kb20110711.exe – Result: 25/ 43 (58.1%) : http://www.virustotal.com/file-scan/report.html?id=34249df63449ab8bbf75efce5c7b6016638e3ad52762ceca7932ac3ce23f642c-1312208371
  • kb20110713.exe – Result: 34/ 43 (79.1%) : http://www.virustotal.com/file-scan/report.html?id=2efae6b86f8e1cce4be7a64d914c205a4e07b390bde9e925795263e1173f18f0-1312208377
  • kb20110714.exe – Result: 35/ 43 (81.4%) : http://www.virustotal.com/file-scan/report.html?id=acd3f5c7f36fd08bd86b61d1c75b2436ad6f59dd8aca967521f50c54ad06218c-1312208381
  • kb20110714_2.exe – Result: 36/ 43 (83.7%) : http://www.virustotal.com/file-scan/report.html?id=dc9900e32e698043025a8f2b9c4450fb061a2d82ff66ff4a51e9cba23b8f1c2a-1312208982
  • kb20110715.exe – Result: 36/ 43 (83.7%) : http://www.virustotal.com/file-scan/report.html?id=a8100e4641864feb76690ac6efd98fbdc40f8f51a0b70c30d3a2e93d0b537eed-1312209180
  • kb20110716.exe – Result: 37/ 43 (86.0%) : http://www.virustotal.com/file-scan/report.html?id=11f0d776a9f2af5482aedb73681f0e3ad5ef0dd657028ebb483bf89ada7a3fcb-1312209197
  • kb20110720.exe – Result: 32/ 43 (74.4%) : http://www.virustotal.com/file-scan/report.html?id=f90b4ce758a607937f9c44d1b3ecbc4e2142abfb9b30dcc47d5c1c91300c4715-1312209200
  • kb20110721.exe – Result: 31/ 43 (72.1%) : http://www.virustotal.com/file-scan/report.html?id=9a3e2c59d8717355ba73807f910076fdf0c7ab3774b2bedd269b0fbb4e24b580-1312209205
  • kb20110722.exe – Result: 34/ 43 (79.1%) : http://www.virustotal.com/file-scan/report.html?id=076e8f699d4e6d7fc1935d27278d74e41605aee33ba85c5b8eeaa25b49d55769-1312208613
  • kb20110723.exe – Result: 29/ 43 (67.4%) : http://www.virustotal.com/file-scan/report.html?id=5b497fdc1712696dce70814f61c4df22fcabbe4970da640aaf43ea0846881e3a-1312209024
  • kb20110724.exe – Result: 29/ 43 (67.4%) : http://www.virustotal.com/file-scan/report.html?id=73aa634edde5b7f0e2cc7c1a172e47568a5e93faf85bbc3d029ea5c31481611d-1312209236
  • kb20110725.exe – Result: 32/ 43 (74.4%) : http://www.virustotal.com/file-scan/report.html?id=b8bc5612441436188d8140a094fc34177070ae19e9640e7177af179c78272843-1312209820
  • kb20110726.exe – Result: 33/ 43 (76.7% : http://www.virustotal.com/file-scan/report.html?id=b302157b5edd37e555c42851e46d0117ceedcfdeb41c821552552801af72a979-1312209051
  • kb20110727.exe – Result: 30/ 43 (69.8%) : http://www.virustotal.com/file-scan/report.html?id=11ccca7f166b700122bd341dda885c204dccc28bb8fd54d03f6c3c3a2442a013-1312209056
    • encore le 27 : 29/ 43 (67.4%) : http://www.virustotal.com/file-scan/report.html?id=4bc8bb3024cc2623d02a7866e2f0a2312b32e1e2b47a3b5d49e169a27d9b071b-1312210159
    • encore le 27 : – Result: 22/ 43 (51.2%) : http://www.virustotal.com/file-scan/report.html?id=bc8e0c90d3e94ea0e109074e95f41cc9f005d3db27df1ee13226825cd230d618-1312209588
  • kb20110728.exe – Result: 27/ 42 (64.3%) : http://www.virustotal.com/file-scan/report.html?id=0d682b273951476b0d81df5f973f98e296dad249beab0995d3d0200a0f1a1451-1312209072
  • kb20110730.exe – Result: 17/ 43 (39.5%) : http://www.virustotal.com/file-scan/report.html?id=7b4ffde568e0c2a29c5b32506a3f12c600bf9b7084c5d053c118912d335f96f7-1312209249
  • 20110731 – 1c9aea701d460742c9d041552d7514db – Result: 17/ 43 (39.5%) : http://www.virustotal.com/file-scan/report.html?id=7b4ffde568e0c2a29c5b32506a3f12c600bf9b7084c5d053c118912d335f96f7-1312209415

Si l’on regarde les détections des « anciens » droppers jusqu’au 16 Juillet on a une détection d’anviron 35 sur 43 soit environ 80% de détection.
A partir du 20 juillet, la détection passe en dessous de 35 soit environ 70-80% de détection et continue de chuter pour arriver à 50-60% pour les droppers du 27-28 Juillet.
Celui d’hier étant à 39% de détection.
Notez qu’au moment de la mise en ligne, ce dernier était de 9,3% : http://www3.malekal.com/malwares/index.php?&hash=1c9aea701d460742c9d041552d7514db

Pour continuer d’illustrer l’évolution dans le temps, j’ai pris d’autres droppers des familles différentes à des instants différents.
Exemple avec Artro/Renos :
http://www3.malekal.com/malwares/index.php?&url=keygen
http://www3.malekal.com/malwares/index.php?&url=crack

Artro/Renos :

On voit aussi l’évolution des détections dans le temps, plus le temps passe plus celles-ci s’améliore.

  • 1er Aout (le jour du billet mais ce matin) – Result: 21/ 43 (48.8%) : http://www.virustotal.com/file-scan/report.html?id=26a8491d694c4e7f7692c86de888ace0c828c22c45bfec82cce6ac96ca21723c-1312211662
  • 30 Juillet : Result: 31/ 43 (72.1%) : http://www.virustotal.com/file-scan/report.html?id=07e2687c0899cebebb258f9f31ab0d95c90f08051312333a340240e7cd522ab0-1312211164
  • 28 Juillet : b59055fc0e541586b6ecf6aafba44159 – Result: 34/ 41 (82.9%) : http://www.virustotal.com/file-scan/report.html?id=b6a70de984f21571b41ece6b59f0e0282e4cfc48553b651af91a4392a6ab0f71-1312210726
    • 275c1e133b2fb2dd57169c59a10c0966 – Result: 35/ 43 (81.4%) : http://www.virustotal.com/file-scan/report.html?id=5c1153fe4745e019e80fecdce1f65c99057da62af74245774bf8896b56b64f53-1312210730
  • 23 Juillet : a25530ca2b6af87888f8c9c2c5cb4ce3 – Result: 37/ 43 (86.0%) : http://www.virustotal.com/file-scan/report.html?id=7c47576b1724c6e2d3a50e14707becf44ee18002fa39935eb0bc66e52dd8d67d-1312210733
  • 19 Juiillet : 942a89e736ff9a3b29147c18a7883ba6 – Result: 36/ 43 (83.7%) : http://www.virustotal.com/file-scan/report.html?id=f6ee701de60afe7995b55795de0611106ace66a91894f611b3f0dbfde1c1c7ad-1312210735
  • 15 Juillet : d97d4b71847521fa3c73832ca46e75f9 – Result: 41/ 43 (95.3%) : http://www.virustotal.com/file-scan/report.html?id=8f8018e38efe434fefc7c6a2f34ea563801d30571467fb69fa4a79efb8226302-1312211344

+30% de détection en 1 jour et + environ 40% sur deux jours.
Pour cette famille l’ajout de détection est plus rapide.

 

Dorkbot

Se propage par IM, vous pouvez avoir la liste à partir de ce lien : http://www3.malekal.com/malwares/index.php?&url=facebook
Ne pas prendre les adresses en album.php etc, ce sont des Buzus voir plus bas.

  • 31 Juillet : 602c4bbb962527baa9b75d4c704203bd – Result: 16/ 42 (38.1%) : http://www.virustotal.com/file-scan/report.html?id=c5a0adf744aabe273c7204d1e3884b71fb0b1d745f92d31b7abefac00ba5a88a-1312213576
  • 29 Juillet : 9717e6d1890fc49d69c37c747a01858c – Result: 23/ 43 (53.5%) : http://www.virustotal.com/file-scan/report.html?id=04f2dbb7405a79a8a4e9cfaea0df74db8400770a3d6ca01e849cf81092efed74-1312213587
  • 26 Juillet : fa80221926a93c725340240563628064 – Result: 27/ 43 (62.8%) : http://www.virustotal.com/file-scan/report.html?id=4b9043984afd099dab4db6c93de9853afe789ea0afa65c615b05cf1b54d106a0-1312213591
  • 21 Juillet 3e4c87815c7231ff8833ed4a3bbc48b7 – Result: 30/ 43 (69.8%) : http://www.virustotal.com/file-scan/report.html?id=333a04df272081f977f21c845910c037e1eae2c5404e856415c274dab0fbf037-1312213594
  • 17 Juillet 77ab6e3eaee9585a2c1580a9c928b709 – Result: 34/ 43 (79.1%) : http://www.virustotal.com/file-scan/report.html?id=47ac2b1582cfbfbf019c4d99a43b25a1800fedf02512558f5e2a31baa8813d47-1312213912
  • 11 Juillet : 52edda26009c40f4443b15f805a6dcc3 – Result: 36/ 43 (83.7%) : http://www.virustotal.com/file-scan/report.html?id=bbcd7d4ab47a1d9d8080b62f658c22b77b5d323997b8769b8c7670aebfe4b1e8-1312216760
  • 12 Juillet : a1082bcbda17c06cfb5b2474211bf804 – Result: 36/ 43 (83.7%) : http://www.virustotal.com/file-scan/report.html?id=abdc88b9415b53f4c37218e7797dc5d5ccf73da215f69b136fe6394d7439cad7-1312216565
  • 9 Juillet : d831a01e2bbd9220c7b0af3c95b94631 – Result: 32/ 43 (74.4%) : http://www.virustotal.com/file-scan/report.html?id=e19b6809896f11916041a653d4888c4e135a5de6cf7661c87f8ed22e41f82c28-1312215961
  • 8 Juillet : b2bbd08a8601baff43835a558c7d39dd – Result: 34/ 43 (79.1%) : http://www.virustotal.com/file-scan/report.html?id=f5b2a93235c0c06ce1cdc9c97d0174d466efbc5d51e5bf5c6c6bf5d36e96879a-1312216827

Au bout de 5 jours, 63% de détection.
Au bout de 10 jours, 70% de détection.
Au bout de 15 jours, 80% de détection.

Pour cette famille, dans les 15 jours qui suivent la mise en ligne, la détection des antivirus est donc d’environ +10% tous les 5 jours sur un sample unique.
Pour en revenir à mon Zoo, cela signifie que le botmaster a environ 5 jours pour mettre à jour un sample et éviter que la moitié des antivirus détectent le malware et décapite la moitié des machines du botnet.
En sachant que pour cette famille, comme expliqué plus haut, un dropper est mis à jour chaque jour.

Buzus

Adresse pour avoir la liste : http://www3.malekal.com/malwares/index.php?&url=album

  • 1er Aout : 4b72ceffb22961df25fe29ef382135c1 –Result: 17/ 43 (39.5%) : http://www.virustotal.com/file-scan/report.html?id=ad0a8a3618651472def7cc38d504df41e80ffc846f46fa335340cdd4484d73ef-1312214225
  • 31 Juillet : e1beb93be479c89c0c0a1da5cd209f62 – Result: 23/ 43 (53.5%) : http://www.virustotal.com/file-scan/report.html?id=d8eaf83f05170f7cd9e9509f9cfe9e9b595b900012d55cf4db5dd4e685e44640-1312213622
  • 29 Juillet : c1c2890d75563684d808a259a0a318f9 – Result: 24/ 43 (55.8%) : http://www.virustotal.com/file-scan/report.html?id=31d59e8ad3c47120b4cdf45c3f9ee3008089734daba2f9d525452ebb024c6b22-1312214215
  •  28 Juillet : af95b79b2a1c3e3fadd2bac49a8c254d – Result: 28/ 43 (65.1%) : http://www.virustotal.com/file-scan/report.html?id=138ead0d7352fdd7bbb0a4fbd5a15ffc1fab7f3e407809c1e035a63580c1d91c-1312213611
  • 25 Juillet : 7f44a4d11d1c87b2aab63be33218e003 –Result: 30/ 43 (69.8%) : http://www.virustotal.com/file-scan/report.html?id=245901f3bac5f10aa826201bea4d69886dbb809fa062ada66bb586437dbe73c0-1312214204
  • 23 Juillet : fd9452f13d92c2c68c1ea89ffb12786e – Result: 25 /43 (58.1%) : http://www.virustotal.com/file-scan/report.html?id=5dbc9fddb247fe7de3b6e7bf973ed84f23470eadc0bb461bacfa778360154f3d-1312213602
  • 20 Juillet : edc1ff5f422bbc2b40ae91c1df75be3d – Result: 30/ 43 (69.8%) : http://www.virustotal.com/file-scan/report.html?id=4321f473bbb3559476de56f1cd501ca78f0305561a3a2956f0297e1ef3862775-1312213600
  •  19 Juillet : 62ae8c3410f595c89fbfe07faf0496cf – Result: 33/ 43 (76.7%) : http://www.virustotal.com/file-scan/report.html?id=3bd24c30d918b3d9adb2f8168d74be26127389321338108ee34d8d14095e800e-1312213592
  •  18 Juillet :d6cf501d32bfb6ccb285447f3ee5525e – Result: 35/ 43 (81.4%) : http://www.virustotal.com/file-scan/report.html?id=e1bdd1bb15a0a94ebdd6a46084e86391a55ed6627a38a711e7210797e51b33cf-1312215385
  • 17 Juillet : e66158af350d5659fc1a4a2b8c7d6eee – Result: 33/ 43 (76.7%) : http://www.virustotal.com/file-scan/report.html?id=8890fa3705629e05dcaacbf49f7f1a4f60da5e78d8a420aa1f849b4c56044f3f-1312215382
  • 25 juin : 3d8e54c6d770500b5a5c3e7910be5117 – Result: 35/ 43 (81.4%) : http://www.virustotal.com/file-scan/report.html?id=dee1273ed871fbe3227e656390d0fe7ffecd2cd7eccaa48ea67e3dcbe649621e-1312216206

Pour cette famille, l’évolution du taux de détection est plus rapide.

En graphique sur l’évolution des détections par famille dans le temps, on obtient :

Graphique Detection Antivirus sur le temps

Conclusion

On voit bien quelles sont les difficultés pour les antivirus d’intégrer une détection des droppers chaque jour.
Selon la famille de malwares, la vitesse pour arriver à un taux de détection de 80% n’est pas la même. L’attention portée sur des familles plus ou moins connues et virulente n’est pas la même.
Une étude plus poussée montrerait certainement que certains antivirus sont plus rapides que d’autres pour ajouter des détections.

Pour en revenir aux critiques sur les comparatifs d’antivirus par scan à la demande, on comprend bien qu’il est impossible d’avoir 1 millions de malwares vieux de seulement 2/3 jours.
Dès lors scanner avec 1 millions de malware est complètement stupide puisque cela ne reflète pas la course entre les éditeurs d’antivirus et auteurs de malwares autour de la mise en ligne quotidienne de milliers de samples et les disparités qu’il doit exister entre certains laboratoires.
On voit qu’ici, scanner avec des samples vieux de plus de 5 jours commencent à flouter cette disparité.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 46 times, 1 visits today)

8 thoughts on “Détection Antivirus dans le temps

  1. Lorsque tu dis  » Une étude plus poussée montrerait certainement que certains antivirus sont plus rapides que d’autres pour ajouter des détections  » : tu veux faire allusion à la qualité de développement des différents moteurs antivirus ?

    Le graphe de fin est assez équivoque.

    Sinon chapeau bas et merci encore pour cet énorme boulot d’une utilité évidente.

  2. Ben l’ajout de détection par les labos et aussi les moteurs dans le sens où certaines détections génériques marchent sur les droppers suivants.

    Je pense que si tu suis l’évolution des premières heures de plusieurs droppers sur un mois de différentes familles, tu dois avoir une certaines redondances dans l’ordre des ajouts.
    Un tel AV va ajouter au bout de quelques heures, un autre au bout de quelques jours.

    Et du coup, tu peux déterminer lesquels sont les plus rapides et donc plus performents.

  3. Ouaip, donc de ce que j’en constate les labos les plus réactifs sont : BitDefender, McAfee, Kaspersky/ESET(Nod32) Panda et Avira. C’est un constat après consultation quotidienne de VT depuis quasi 2 ans sur la base de 10 urls/jour testées.

    Certains labos sont également réactifs mais de manière ponctuelle et/ou irrégulières : AhnLab-V3, Avast, GFI (ex-Sunbelt), IKARUS, Microsoft et Trend Micro.

    Je ne cite volontairement pas les softs comme Gdata, Emsisoft et Fsecure (liste non-exhaustive) qui utilisent en partie des moteurs tiers.

  4. Pour info le service Clear Cloud DNS s’arrête en Septembre… Cette annonce a été faite suite au rachat par de Sunbelt par la société GFI

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *