Les faux positifs sont des détectons erronées des antivirus.
Il s’agit du même terme employé en biologie ou en médecine qui s’applique lorsqu’un élément est positif alors qu’il ne devrait pas l’être.
Ainsi pour les antivirus, une détection d’un fichier malveillant est généré alors que le fichier est sain.
Les faux-positifs
Les faux positifs sont des détections de l’antivirus sur des fichiers sains.
Cela peut donc être gênant pour l’utilisateur puisqu’il bloque l’accès à un fichier ou une adresse WEB qui n’est pas malveillant.
Enfin, cela peut aussi être encore plus gênant voire catastrophique quand la détection se porte sur un fichier système de Windows.
Par le passé, quasi tous les antivirus ont fait face à des faux positifs sur des fichier systèmes de Windows.
Certains faux positif ont pu faire que Windows ne démarre plus, obligeant l’éditeur a proposé une solution de réparation de Windows.
Voici quelques exemples de fichiers systèmes détectés par erreur par les antivirus par le passé :
- McAfee Faux Positif svchost.exe (W32/Wecorl.a) : McAfee Faux Positif svchost.exe
- AVG qui a détecté C:\Windows\system32\user32.dll en Trojan Horse PSW.Banker4.APSA et AVG : AVG Faux Positif user32.dll
- Trend-Micro qui a détecté le fichier C:\Windows\system32\
svchost.exe : Faux Positif Trend-Micro svchost.exe - Avast! qui a détecté C:\Windows\system32\kernel32.dll : Avast! faux positif kernel32.dll
- Mass detection par BitDefender : Faux positif BitDefender FakeAlert.
etc.
Dans les cas précédents, on parle de détections de fichiers mais le faux positif peut se porter sur des sites internet.
Les faux positifs sur des URLs
L’erreur de détection peut aussi se porter sur une page internet spécifique ou un site entier.
Les antivirus parcourent les sites internet à travers des robots, lorsqu’un contenu malveillant est détecté, le site peut-être bloqué.
A la suite d’un piratage et l’injection d’un Javascript malveillant, votre site internet peut donc être blacklisté (mise dans la liste liste noire).
A noté que par le passé, McAfee a bloqué malekal.com à cause de la présence de détection de type « Hacktool », voir ce topic : SiteAdvisor et malekal.com
A noter que le service Google SafeBrowsing fonctionne un peu sur le même principe.
Les faux positifs sur les téléchargements
Les fichiers de sources inconnus provenant de site d’hébergements comme uptobox, 1fichier, etc ainsi que les torrents font souvent l’objet de détections.
En effet, ces logiciels comportent souvent des cracks et keygen pour contourner l’achat de licence du logiciel.
Ces cracks ne sont pas des sources sûres, des pirates peuvent aussi mettre en ligne des cracks qui sont en réalité des logiciels malveillants.
De plus, les cracks peuvent avoir des comportements proches de virus, comme le remplacement de partie de fichiers exécutables.
Cela peut donc engendrer des détections positives de la part des modules heuristiques des antivirus.
Notez que les logiciels de détections gratuits ont pu générer aussi des détections de la part des antivirus.
Le fait que le fichier n’était initialement pas signé numériquement et pouvait ajouter des clés Run pour terminer la suppression de malware au démarrage.
Tout cela génère la confusion sur les antivirus.
Quelques messages de forum de 2012 où AdwCleaner est détecté en malware. A chaque nouvelle mise à jour d’AdwCleaner, l’exe pouvait à nouveau être détecté par les antivirus.
Depuis, AdwCleaner est à 0 détection sur VirusTotal
On constate aussi que le fichier est signé numérique.
A titre de comparaison, ZHPCleaner lui donne des résultats de positifs.
et le fichier n’est pas signé.
La signature numérique joue beaucoup car elle permet de s’assurer de la source.
Ainsi, les fichiers système de Windows XP n’étaient pas tous signés, ce qui n’aidait pas pour les faux positifs.
Les risktools et hacktools
Et puis, il y a les risktools ou hacktools avec par exemple,Windows Defender qui peut générer des alertes Hacktool:MSIL/AutoKMS.
Pour rappel, ce programme permet d’utiliser Windows et Microsoft Office sans devoir acheter de licences.
En soi, le programme n’est pas dangereux, toutefois Microsoft a décidé d’ajouter une protection pour se protéger de ce type de cracks.
Comment vérifier si un fichier est réellement malicieux
Dans le cas d’une détection sur un programme qui est installé depuis plusieurs semaines/mois, il y a de grandes chances que ce soit un faux positif.
Parfois il est pas forcément simple de déterminer si un fichier est réellement malicieux ou non.
La meilleur solution consiste à scanner le fichier sur VirusTotal : analyser un fichier sur VirusTotal.
Si seul votre antivirus le détecte, alors, il y a de grandes chances que ce soit un faux positif.
Signaler des faux positifs aux Antivirus
Vous pouvez signaler le faux positif afin de faire corriger la détection, cela peut se faire directement depuis l’antivirus, souvent à partir de la quarantaine ou depuis le site de l’éditeur.
N’hésitez pas non plus à faire une recherche sur Google, type « reporter faux positif avast », des formulaires sur les sites des éditeurs existent.
Quelques liens du site qui expliquent comment signaler un faux positif.
- Rapporter faux positif Avast!
- Rapporter un faux positif Antivir
- Rapporter un faux positif à Malwarebytes Anti-Malware
- Rapporter faux positif à AVG (anglais)
L’article Les faux positifs des antivirus est apparu en premier sur malekal’s site.
source : malekal’s site http://ift.tt/2iV1VYt November 14, 2017 at 04:21PM