Un site pour tester les programmes des sites web suspects
DePassage
mais il faut pour cela leur envoyer un fichier que l'on poss�de DEJA
Ici on peut tester d�ja un site web "suspect" pour son I-Frame:
http://www.novirusthanks.org/scan-website
ou plus int�ressant :
http://scanner.novirusthanks.org/
L� si on dispose d'une adresse avec un .swf suspect (une banni�re par
ex) un .pdf, un exploit (redirection par ex avec un fichier a installer
ou qui s'installera)c'est possible
Dans la limitation de taille indiqu�e (malheureusement)
J'ai test� ces possibilit�s avec des "0" days" et l� on est fortement
d�pendant de la r�activit� des editeurs d'anti virus (Antivir et
Kaspersky �tant les plus r�actifs) suivis de Bitdefender et... parfois
d'Avast (si si :-)
Mc Afee et Nod 32 �tant � la ramasse
N�anmoins le test est concluant sauf pour une majorit� de Dropper
(normal)pour rappel le Dropper est le programme charg� d'installer
l'infection sur le syst�me (Payload) ou meme de fichiers .exe de faux
codecs par ex
Et c'est l� le probl�me parce qu'il y a tellement de malwares qui
sortent tous les jours, que j'ai remont� jusqu'� 2 jours pour certains
malwares (des programmes que tout le monde peut t�l�charger) et ils
n'�taient toujours pas d�tect�s...
N�anmoins, pour rappel l� aussi, ce n'est pas parce que virus total ne
d�tecte pas ou ne d�tecte rien que l'antivirus install� sur son PC ne
verra rien
L'anti virus install� ne detectera pas le dropper par ex mais detectera
le payload via l'heuristique ou fonctionnalit� install�e
Ensuite il suffit parfois de faire un scan approfondi avec son anti
virus install� pour que le dropper soit... d�tect� (avec un peu de chance)
Cela peut etre aussi par le biais d'autres logiciels qui vont
"r�veiller" l'anti virus install�
Un ex tout bete ; un passage avec MalwareBytes qui verra ou PAS, une
infection peut d�clencher une alerte de l'anti virus
Ex de curiosit� dans les "0 days"
http://scanner.novirusthanks.org/index.php?session=382477119141126377243102125684851495107041209832
Un simple programme "Antivirus" (un faux bien sur)dont la signature
changera plusieurs fois par heure et � chaque t�l�chargement
Les "t�nors" ne voient rien.
Par contre d'autres protections (plug in de Firefox) en place
signaleront le site comme "malveillant"
Si ce n'est pas le cas, l'antivirus install� pourra le signaler
http://moe.mabul.org/up/moe/2009/11/04/img-2201479a0p6.jpg
Avira "Gratuit" ne proposera pas cette option
Avira Premium (payant) propose cette option
(Tu vois la limitation du gratuit le LUDO ? :-)
Et pour rappel l� aussi, sur un site de rogues/malwares, l'infection
n'est pas toujours dans le fichier qu'on t�l�charge (il peut etre sain)
mais dans la mise � jour qui sera propos�es par ex une fois le programme
install� (oui ils sont vicieux :-)
Sinon pour info, pour des programmes on peut installer dans le menu
contextuel
http://www.novirusthanks.org/progs/2/
(il y a un plug in pour virus total qui fait la meme chose)
Ne pas n�gliger les autres parties du site
A visiter donc