Ransomwares et Antivirus Gratuits

Aujourd’hui je regardais assez dubitatif ces deux posts :

et aussi la dernière campagne Sacem qui a fait quelques ravages encore :

 

Dont voici la détection le soir où il était encore en ligne : http://www3.malekal.com/malwares/index.php?&hash=c1a4b0b560d2f024a9d9cf5a684365c4

Les antivirus gratuits sont à la rue :

Deux jours après (il n’est plus en ligne, je pense), Avast! et Microsoft le détecte :

En France, les antivirus gratuits sont majoritaires, or quand je regarde le dernier comparatif que j’avais fait, les résultats étaient plutôt moyens : http://comparatif-antivirus.malekal.com/index.php
Du coup, je voulais voir ce que donnaient les antivirus, au niveauau des détections/protections contre les ransomwares Fake Police.

Scan brute

J’ai pris un pack des derniers malwares ajoutés sur http://www3.malekal.com/malwares/index.php – Les samples sont toujours en lignes.
Voici la détection de fichiers :

Antivir en trouve 36 sur 50 (72%).

Avast! en détecté :  26 sur 50 (56%)

Microsoft Security Essentials

Microsoft Security Essentials en détecte 11 (22%) :

 

AVG en détecté 9 sur 50 (18%) :

et pour avoir une ordre de comparaison avec un antivirus payant comme Kaspersky.
48 sur 50 soit 96%

 

En situation réelle

Que donne les antivirus en situation réelle c’est à dire lorsque l’on joue l’Exploit de A à Z.

Avast!

Dans le cas des droppers qui restent, on obtient ceci lors de l’execution :

Avast! n’a pas pu déterminer si le programme est suspect.
Cette fenêtre peut arriver durant le surf car le malware se propage par un exploit sur site WEB – il peux etre accompagné d’une alerte sur du JavaScript malicieux.
Espérons que l’utilisateur comprenne qu’il ne vaut pas mieux continuer l’execution.

Le fichier en question est un dropper Trojan.Weelsof qui correspond à ce ransomware : http://www.malekal.com/2012/05/22/ransomware-ordinateur-bloque-par-systeme-de-controle-automatique-informationnel/
Les droppers sortent souvent avec aucune détection sur VirusTotal au moment de leurs mises à jour sur les ExploitsKits.

Ci-dessous, un exploit détecté (mais ça n’empêche pas l’execution du malware) qui est executé dans la Sandbox.
CE dernier génèrera une détection.

 

Voici la détection VirusTotal :

https://www.virustotal.com/file/9859ab7fbf9167a96d29925532f3d57d98e024a298e3fdaeae74e96bb4b443f5/analysis/1347029478/
SHA256: 9859ab7fbf9167a96d29925532f3d57d98e024a298e3fdaeae74e96bb4b443f5
File name: ecxkove0tw10a63j.exe
Detection ratio: 3 / 42
Analysis date: 2012-09-07 14:51:18 UTC ( 0 minute ago )

ESET-NOD32 a variant of Win32/Injector.WEH 20120907
McAfee PWS-Zbot.gen.alg 20120907
McAfee-GW-Edition Heuristic.LooksLike.Win32.SuspiciousPE.J!87 20120907

Comme vous pouvez le voir, Avast! n’est pas mentionné mais ça n’empeche pas que le malware est bloqué par la Sandbox.

 

Même cas ci-desssous :

La détection ci-dessous du malware sur VirusTotal :

SHA256: 626d0c83855e2993dd2a996262ba1947234907ca540ffb5c6af4f305f2066cbb
File name: gfhy22.exe
Detection ratio: 8 / 42
Analysis date: 2012-09-08 11:32:16 UTC ( 0 minute ago )AhnLab-V3 Trojan/Win32.Jorik 20120908
AntiVir TR/Crypt.XPACK.Gen 20120907
AVG Cryptic.EGT 20120908
BitDefender Gen:Variant.Kazy.91904 20120908
F-Secure Gen:Variant.Kazy.91904 20120908
GData Gen:Variant.Kazy.91904 20120908
Microsoft Trojan:Win32/Sirefef.P 20120908
Panda Trj/Xpacked.A 20120908

On voit donc ci-dessous que le scan du fichier est négatif.

Même cas ci-dessous :

Conclusion :  La Sandbox d’Avast! bloque l’execution de tous les droppers – si aucun élément malicieux ne peux être déterminé, l’utilisateur doit continuer l’execution.
Cela permet d’empécher l’execution automatique de malwares via les exploits sur site WEB.

La suite sur la page suivante…

(Visité 188 fois, 2 visites ce jour)

Vous pouvez aussi lire...

Vous pouvez lire les articles et tutoriels suivants en rapport avec cette page :
Les ransomwaresTutoriel Malwarebytes Anti-Malware

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com