Ransomwares et Antivirus Gratuits

Aujourd’hui je regardais assez dubitatif ces deux posts :

et aussi la dernière campagne Sacem qui a fait quelques ravages encore :

 

Dont voici la détection le soir où il était encore en ligne : http://www3.malekal.com/malwares/index.php?&hash=c1a4b0b560d2f024a9d9cf5a684365c4

Les antivirus gratuits sont à la rue :

Deux jours après (il n’est plus en ligne, je pense), Avast! et Microsoft le détecte :

En France, les antivirus gratuits sont majoritaires, or quand je regarde le dernier comparatif que j’avais fait, les résultats étaient plutôt moyens : http://comparatif-antivirus.malekal.com/index.php
Du coup, je voulais voir ce que donnaient les antivirus, au niveauau des détections/protections contre les ransomwares Fake Police.

Scan brute

J’ai pris un pack des derniers malwares ajoutés sur http://www3.malekal.com/malwares/index.php – Les samples sont toujours en lignes.
Voici la détection de fichiers :

Antivir en trouve 36 sur 50 (72%).

Avast! en détecté :  26 sur 50 (56%)

Microsoft Security Essentials

Microsoft Security Essentials en détecte 11 (22%) :

 

AVG en détecté 9 sur 50 (18%) :

et pour avoir une ordre de comparaison avec un antivirus payant comme Kaspersky.
48 sur 50 soit 96%

 

En situation réelle

Que donne les antivirus en situation réelle c’est à dire lorsque l’on joue l’Exploit de A à Z.

Avast!

Dans le cas des droppers qui restent, on obtient ceci lors de l’execution :

Avast! n’a pas pu déterminer si le programme est suspect.
Cette fenêtre peut arriver durant le surf car le malware se propage par un exploit sur site WEB – il peux etre accompagné d’une alerte sur du JavaScript malicieux.
Espérons que l’utilisateur comprenne qu’il ne vaut pas mieux continuer l’execution.

Le fichier en question est un dropper Trojan.Weelsof qui correspond à ce ransomware : http://www.malekal.com/2012/05/22/ransomware-ordinateur-bloque-par-systeme-de-controle-automatique-informationnel/
Les droppers sortent souvent avec aucune détection sur VirusTotal au moment de leurs mises à jour sur les ExploitsKits.

Ci-dessous, un exploit détecté (mais ça n’empêche pas l’execution du malware) qui est executé dans la Sandbox.
CE dernier génèrera une détection.

 

Voici la détection VirusTotal :

https://www.virustotal.com/file/9859ab7fbf9167a96d29925532f3d57d98e024a298e3fdaeae74e96bb4b443f5/analysis/1347029478/
SHA256: 9859ab7fbf9167a96d29925532f3d57d98e024a298e3fdaeae74e96bb4b443f5
File name: ecxkove0tw10a63j.exe
Detection ratio: 3 / 42
Analysis date: 2012-09-07 14:51:18 UTC ( 0 minute ago )

ESET-NOD32 a variant of Win32/Injector.WEH 20120907
McAfee PWS-Zbot.gen.alg 20120907
McAfee-GW-Edition Heuristic.LooksLike.Win32.SuspiciousPE.J!87 20120907

Comme vous pouvez le voir, Avast! n’est pas mentionné mais ça n’empeche pas que le malware est bloqué par la Sandbox.

 

Même cas ci-desssous :

La détection ci-dessous du malware sur VirusTotal :

SHA256: 626d0c83855e2993dd2a996262ba1947234907ca540ffb5c6af4f305f2066cbb
File name: gfhy22.exe
Detection ratio: 8 / 42
Analysis date: 2012-09-08 11:32:16 UTC ( 0 minute ago )AhnLab-V3 Trojan/Win32.Jorik 20120908
AntiVir TR/Crypt.XPACK.Gen 20120907
AVG Cryptic.EGT 20120908
BitDefender Gen:Variant.Kazy.91904 20120908
F-Secure Gen:Variant.Kazy.91904 20120908
GData Gen:Variant.Kazy.91904 20120908
Microsoft Trojan:Win32/Sirefef.P 20120908
Panda Trj/Xpacked.A 20120908

On voit donc ci-dessous que le scan du fichier est négatif.

Même cas ci-dessous :

Conclusion :  La Sandbox d’Avast! bloque l’execution de tous les droppers – si aucun élément malicieux ne peux être déterminé, l’utilisateur doit continuer l’execution.
Cela permet d’empécher l’execution automatique de malwares via les exploits sur site WEB.

La suite sur la page suivante…

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 125 times, 1 visits today)

7 thoughts on “Ransomwares et Antivirus Gratuits

  1. Et que penser des solutions payantes vendues par les FAI ? J’ai des amis qui se sont fait infecter plusieurs fois par le virus Gendarmerie malgré la protection (antivirus + firewall) vendue par Orange !

  2. @ Malekal : plusieurs points.

    1 – trés bon article ! merci pour ce retour instructif.
    c’est que je commence à constater chez le client, de plus en plus d’infection suite à action involontaire utilisateur avec AV gratuit …
    > je conserve donc pour le moment AVG et comodo sous le coude pour du gratuit.

    2 – remarques :
    les articles sont difficiles à lire …
    est il prévu de revoir l’ergonomie de ces derniers avec des screenshot plus petits,
    il y a eu des amélioration certes mais ça reste gros à l’affichage et l’article devient trop / très long.
    nota : surtout quand on regarde la quantité de texte (faible finalement).

    3 – au sujet du comparatif de virus :
    est il prévu d’intégrer la consommation en ressource sur ces tests ?
    souvent c’est un élément important car le meilleur anti-virus n’est pas utile,
    si il ne peut pas tourner sur une machine avec de faibles ressources par ex …

    Sebastien

  3. Salut,

    2/ je vais voir si on peux réduire la taille des images.
    Je peux aussi mettrep lusierus pages.

    3/ Non c’est trop compliqué ou aléatoire à tester.
    Faudrait tester l’AV pendant une semaine, avec des jeux etc.
    J’ai pas ce qu’il faut pour faire ça.
    Et parfois c’est subjectif ou ça dépend de la machine :/

  4. @Stephane : Je te conseille d’oublier les Antivirus Payant des FAI. C’est juste F-Secure (pour tous les FAI) sur lequel ils mettent chacun leurs logos. F-Secure est à 40€ et les FAI le font payer 60€ à l’année (5€/mois).

    Mais il vaut mieux acheter un Antivirus genre Kaspersky Antivirus à 30€. T’es au moins aussi bien (voir beaucoup mieux selon moi) protégé et ça te coute moins cher.

  5. Salut,

    Je rajouterai que par le passé F-Secure utilisait la base de def de Kaspersky (sans les détections heuristiques qui sont d’ailleurs pas mal), ils devaient faire les siennes.
    Maintenant c’est BitDefender, qui est à mon avis, un cran en dessous de Kaspersky.

    Le pare-feu de la suite de F-Secure (comme celui d’Avast!) est très moisi.
    Voir le comparatif des payants.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *