VirusTotal est un service gratuit qui permet d’analyser un fichier avec plusieurs antivirus.
C’est un outil pratique pour déterminer si un fichier est sain ou malveillant.
Par exemple pour analyser analyser un fichier téléchargé : virus ou sain ?
Mais il peut arriver que certains antivirus détecte un fichier sain comme étant malveillant.
On parle alors de faux positif.
Voici quelques explications autour des erreurs de détections dans VirusTotal.
Table des matières
VirusTotal : et les faux positifs
Chaque jour les éditeurs d’antivirus ajoutent des détections, soit de manière automatisé, soit à partir de laboratoires d’analyses.
Il peut parfois arriver que le service VirusTotal détecte des fichiers sains comme malveillants.
Ce phénomène se nomme faux positif.
L’article suivant en parle de manière détaillé.
Virustotal propose le scan avec plus de soixante-dix antivirus différents.
Parmi ces solutions de sécurité, on trouve des antivirus plus ou moins sensibles.
De plus avec le nombre, les chances d’avoir des faux positifs est plus élevés.
Ainsi, il arrive régulièrement que des fichiers sains soient détecter comme positif.
Par exemple, ci-dessous l’installeur d’Avast! est détecté comme positif par Jiangmin.
Alors que ce dernier est bien signé par l’éditeur Avast!
Autre exemple avec ZHPCleaner qui détecté par 3 antivirus : Bkav, Trapmine, eGambit.
Même chose ci-dessous avec FRST.
Surtout lorsque ce sont des détections génériques.
Les antivirus suivants semblent assez sensibles :
- Bkav
- eGambit
- Jiangmin
- NANO-Antivirus
- Sangfor Engine Zero
- Trapmine
- Zillya
Faux positif sur Virustotal : ce qu’il faut vérifier
Lorsque vous avez des erreurs de détections sur VirusTotal.
C’est à dire un fichier sain détecte comme positif.
Il faut alors vérifier les éléments suivants :
- Regardez les antivirus qui donnent des détections positives. S’ils font partie de la liste précédente, méfiez vous.
- Vérifier si le fichier est signé. Les sources inconnues génèrent plus de détections positifs qu’un fichier dont on connait l’éditeur.
- Prendre en compte la source du téléchargement. Un fichier téléchargé depuis un site de téléchargement sûre a moins de chance de renfermé un malware que sur un premier site venu. Toutefois, il reste la problématique des PUP et setup repackés comme InstallCore.
- Évaluer s’il s’agit d’une détection générique ou visant une famille de logiciel malveillant.
- Enfin, il faut aussi tenir du compte du type de fichier.
- Un exécutable aura plus de chance de générer un faux positif qu’un fichier document (PDF, etc).
- Les actions menés par le programme.. Un programme comme ZHPCleaner aura plus de chance de générer de faux positif qu’un simple EXE qui affiche un menu.
Impossible alors de déterminer avec VirusTotal, s’il s’agit d’un fichier sain ou malveillant.
Exemple de faux positif et éléments à vérifier
Prenons exemple sur TaskExplorer, un gestionnaire de tâches alternatif.
Le fichier et programme est sain.
Pourtant une analyse VirusTotal génère deux détections par Avast! et AVG.
Ce sont des détections génériques, car elles comportent le mot : gen ou generic.
Ce sont des détections plus larges et ouvertes et donc sujette à des faux positifs.
L’exécutable ne comporte pas de signature numérique.
Ainsi, il se classe dans les source inconnu. Cela augmente les chances de faux positif.
Toutefois, l’exemple donné précédemment avec un fichier signé par Avast! peut tout de même générer des faux positifs.
En dernier lieu, vérifiez la note de la communauté.
Celle-ci se trouve sous le nombre de détection.
Ci-dessous, elle est verte donc noté comme sain.
Le bouton Community permet de visualiser les notes et commentaires.
Les limites des analyses et scans Virustotal
Enfin je termine cet article par une vieille vidéo qui alertait déjà sur les faux positifs sur VirusTotal.
Liens
Quelques liens du site autour de VirusTotal :
- VirusTotal : scanner un fichier avec plusieurs antivirus
- VirusTotal : Comment visualiser le comportement et activité d’un malware
L’analyse de fichier ou d’adresse internet :
- Comment analyser un fichier téléchargé : virus ou sain ?
- Comment vérifier un lien internet : malveillant ou sain ?
Enfin ces deux liens peuvent vous aider à sécuriser votre PC contre les virus et sites dangereux.