VirusTotal : comparer n’est pas jouer ?

Des filtres plus efficaces que les antivirus ?

Dans une très grande majorité des cas, il convient de remercier le mécanisme de validation du serveur de messagerie de l’expéditeur : celui-ci, basé sur le champ SPF de l’enregistrement DNS, conduit les serveurs de messagerie dûment configurés – à l’instar de ceux de Google – à détecter les tentatives d’usurpation d’identité de l’expéditeur. En résulte le classement des messages en question comme pourriels. Une bénédiction lorsque l’attaquant essaie de se faire passer pour un expéditeur interne au domaine de sa cible.

Les moteurs bayésiens de filtrage des pourriels s’avèrent également assez efficaces, suffisamment même, de temps en temps, pour bloquer des messages malveillants que les antivirus sont susceptibles de laisser passer. Nous avons déjà pu le constater, avec des messages bloqués par le moteur d’analyse de Proofpoint alors que l’antivirus de F-Secure n’y voyait que du feu.

Des bases de signatures inopérantes ?

De fait, certaines bases de signatures laissent dubitatif. Une pièce jointe malveillante soumise pour la première fois à VirusTotal le 13 avril dernier et représentée au service par la rédaction un mois plus tard n’affichait ainsi, mi-mai qu’un ratio de détection de 35/56. Cette piège jointe est associée à Dridex par Trend Micro et semblait ainsi passer alors aux travers des fourches caudines de ClamAV et de Malwarebytes, notamment. Il aura fallu attendre le 23 mai pour que ClamAV reconnaisse enfin cet échantillon.

Un fichier ZIP soumis pour la première fois à VirusTotal le 29 avril et testé par la rédaction le 13 mai ne donnait guère de résultats plus brillants avec un ratio de détection de 31/57. Associé à Nemucod et à Locky par certains moteurs antivirus, ce fichier laissait indifférent ceux de Malwarebytes, Panda, ClamAV, ou encore Symantec, pour ne citer qu’eux.

Surtout, la soumission de certains échantillons à VirusTotal conduit invariablement à s’interroger – encore une fois, serait-on tenté de préciser – sur l’efficacité des mécanismes de protection basés sur des signatures. Et c’est là la fréquence d’actualisation et de transmission des bases de données qui s’avère préoccupante.

Des mises à jour trop lentes ?

Un échantillon soumis pour la première fois le 16 mai peu avant 13h affichait près de 24h plus tard un ratio de détection de 17/57. Associé à Nemucod par Fortinet, et à Locky par Trend Micro, il apparaissait alors inoffensif selon les bases de signatures d’Avast, de BitDefender, ou encore de F-Secure et de McAfee, datées du 17 mai. Le lendemain, le ratio de détection était remonté à 26/57. Au 23 mai, il est de 32 sur 56.

Un autre échantillon, soumis pour analyse la première fois le 16 mai à 16h09, ne faisait pas bien mieux le lendemain peu avant 14h, avec un ratio de détection de 14/56. Associé par Eset à Nemucod, il apparaissait alors indétecté par Avast, ClamAV, Fortinet, McAfee, Panda ou encore Symantec et Trend Micro. Vingt-quatre heures plus tard, le ratio de détection atteignait 20/57, mais Avast, ClamAV, Fortinet, Panda et Symantec l’ignoraient encore. Une situation en partie corrigée en date du 20 mai, avec un ratio de 27/57.

Pire, un troisième, n’affichait qu’un ratio de détection de 5/57 près de 12 heures après sa première soumission à VirusTotal, interrogeant au passage sur les capacités de protection des antivirus contre les nouvelles variantes lorsqu’elles apparaissant hors heures ouvrées.

La rédaction a sollicité plusieurs éditeurs d’antivirus pour tenter de répondre aux questions soulevées par ces observations. Leurs réponses font l’objet d’un prochain article à paraître demain dans nos colonnes.