Menu Fermer

VirusTotal et les faux positifs

VirusTotal est un service gratuit qui permet d’analyser un fichier avec plusieurs antivirus.
C’est un outil pratique pour déterminer si un fichier est sain ou malveillant.
Par exemple pour analyser analyser un fichier téléchargé : virus ou sain ?

Mais il peut arriver que certains antivirus détecte un fichier sain comme étant malveillant.
On parle alors de faux positif.

Voici quelques explications autour des erreurs de détections dans VirusTotal.

VirusTotal : et les faux positifs
VirusTotal : et les faux positifs

VirusTotal : et les faux positifs

Chaque jour les éditeurs d’antivirus ajoutent des détections, soit de manière automatisé, soit à partir de laboratoires d’analyses.
Il peut parfois arriver que le service VirusTotal détecte des fichiers sains comme malveillants.
Ce phénomène se nomme faux positif.
L’article suivant en parle de manière détaillé.

Virustotal propose le scan avec plus de soixante-dix antivirus différents.
Parmi ces solutions de sécurité, on trouve des antivirus plus ou moins sensibles.
De plus avec le nombre, les chances d’avoir des faux positifs est plus élevés.

L’article suivant vous guide pour utiliser VirusTotal et analyser un fichier téléchargé : VirusTotal : scanner un fichier avec plusieurs antivirus.

Ainsi, il arrive régulièrement que des fichiers sains soient détecter comme positif.
Par exemple, ci-dessous l’installeur d’Avast! est détecté comme positif par Jiangmin.

Alors que ce dernier est bien signé par l’éditeur Avast!

Autre exemple avec ZHPCleaner qui détecté par 3 antivirus : Bkav, Trapmine, eGambit.

Même chose ci-dessous avec FRST.

Lorsque VirusTotal donne ou un deux détections avec des antivirus “peu connus”. Vous ne pouvez pas être sûr du statut du fichier.
Surtout lorsque ce sont des détections génériques.

Les antivirus suivants semblent assez sensibles :

  • Bkav
  • eGambit
  • Jiangmin
  • NANO-Antivirus
  • Sangfor Engine Zero
  • Trapmine
  • Zillya

Faux positif sur Virustotal : ce qu’il faut vérifier

Lorsque vous avez des erreurs de détections sur VirusTotal.
C’est à dire un fichier sain détecte comme positif.
Il faut alors vérifier les éléments suivants :

  1. Regardez les antivirus qui donnent des détections positives. S’ils font partie de la liste précédente, méfiez vous.
  2. Vérifier si le fichier est signé. Les sources inconnues génèrent plus de détections positifs qu’un fichier dont on connait l’éditeur.
  3. Prendre en compte la source du téléchargement. Un fichier téléchargé depuis un site de téléchargement sûre a moins de chance de renfermé un malware que sur un premier site venu. Toutefois, il reste la problématique des PUP et setup repackés comme InstallCore.
  4. Évaluer s’il s’agit d’une détection générique ou visant une famille de logiciel malveillant.
  5. Enfin, il faut aussi tenir du compte du type de fichier.
    • Un exécutable aura plus de chance de générer un faux positif qu’un fichier document (PDF, etc).
    • Les actions menés par le programme.. Un programme comme ZHPCleaner aura plus de chance de générer de faux positif qu’un simple EXE qui affiche un menu.
Bien entendu, si vous téléchargez un fichier non sûr comme un crack ou keygen. Cela va générer beaucoup de détections antivirus.
Impossible alors de déterminer avec VirusTotal, s’il s’agit d’un fichier sain ou malveillant.

Exemple de faux positif et éléments à vérifier

Prenons exemple sur TaskExplorer, un gestionnaire de tâches alternatif.
Le fichier et programme est sain.

Pourtant une analyse VirusTotal génère deux détections par Avast! et AVG.
Ce sont des détections génériques, car elles comportent le mot : gen ou generic.
Ce sont des détections plus larges et ouvertes et donc sujette à des faux positifs.

L’exécutable ne comporte pas de signature numérique.
Ainsi, il se classe dans les source inconnu. Cela augmente les chances de faux positif.
Toutefois, l’exemple donné précédemment avec un fichier signé par Avast! peut tout de même générer des faux positifs.

Fichier non signé sur VirusTotal

En dernier lieu, vérifiez la note de la communauté.
Celle-ci se trouve sous le nombre de détection.
Ci-dessous, elle est verte donc noté comme sain.
Le bouton Community permet de visualiser les notes et commentaires.

Les limites des analyses et scans Virustotal

Enfin je termine cet article par une vieille vidéo qui alertait déjà sur les faux positifs sur VirusTotal.

Liens

Quelques liens du site autour de VirusTotal :

L’analyse de fichier ou d’adresse internet :

Enfin ces deux liens peuvent vous aider à sécuriser votre PC contre les virus et sites dangereux.