Quand Kaspersky retire des signatures sans le dire...

Il avait déjà été évoqué que Kaspersky Labs retirait silencieusement des signatures, en même temps qu'ils en publient... Des sources internes éditeur m'avaient permis d'apprendre que VirusBulletin avait adressé un gentil avertissement à KLabs sur ce type de pratiques (impactant potentiellement leur renouvellement de certification)...

Alors oui, il faut reconnaître qu'avec plus de 2 100 000 menaces annoncées comme détectées par Kaspersky Antivirus 2009, il y a forcément un problème de stockage de l'information : je n'ai pas encore vu l'installation d'une base Oracle ou MS SQL avec l'antivirus de KLabs pour stocker les signatures... et heureusement !
Le souci est que ces signatures peuvent malgré tout correspondre à des menaces virales encore actives.


En voici la preuve par l'exemple.

Je m'intéressais aux attaques par parasitisme de nom de domaine (typosquatting en baragouinage anglophone), et notamment pour la "cible" Facebook.

Après quelques brefs tests, j'ai trouvé www.facebooc.com.

Lorsque l'on va sur ce site, on est automatiquement redirigé sur www.popularscreensavers.com (et une page variable selon le navigateur utilisé, attention ! à manipuler avec prudence...).

Un logiciel est proposé au téléchargement. : PopularScreensaversSetup2.3.50.45.ZRman000.exe.

Immédiatement, NOD32 a réagi : "une variante de Win32/AdInstaller application : supprimé - mis en quarantaine".

Un vieux réflexe m'a poussé à soumettre l'analyse à un système en ligne multi-moteurs, type VirusTotal, ou Jotti.

Parlons donc des résultats de Jotti :
- j'apprends que le fichier a déjà été proposé pour analyse le 16 mai 2009, avec résultat de scan positif...
- je vois dans la liste que Kaspersky Labs détecte la bestiole comme "not-a-virus:WebToolbar.Win32.MyWebSearch.fh"

Or, si je demande une nouvelle analyse, la détection par Kaspersky disparaît !!  (cf. lien)

Pourtant, la menace est toujours là, puisque le site existe toujours, et menace potentiellement toute personne faisant une faute de frappe pour accéder à Facebook, ou pire, qui recevrait un courriel avec ce lien piégé !


En tant que veilleur, et versant particulièrement dans la virologie, je m'interroge réellement sur ces pratiques de KLabs.

Pour confirmer la chose :
- ThreatExpert indique que KLabs détecte le fichier
- VirusTotal ne montre pas de détection par Kaspersky ce jour...

Il y a donc bien anguille sous roche...

Affaire à suivre, et à garder à l'esprit pour ceux qui travaillent sur des problématiques de désinfection antivirale (problématique différente de la lutte antivirale "proactive avant infection", telle que le dicte l'état de l'art actuel pour protéger les parcs informatiques).

Posté le 03 juin 2009 par Philippe VIALLE - source Veille virale

Vous pouvez commenter cette nouvelle
en posant vos avis, questions et remarques
sur le forum actualité