Cela faisait un moment que je le suspectais, cette fois-ci j'ai un exemple clair et objectif pour l'étayer.
VirusTotal peut vous indiquer qu'un moteur antivirus ne détecte pas un échantillon alors qu'en fait, si.
Voici l'exemple :
SHA256 de l'échantillon : f1c03fbd8633cbbdf96fea9501d89d8022d58eb5e762b620349757002e53710e
Date d'analyse : 2013-03-12 16:05:05 UTC (il y a 5 jours, 7 heures)
| Antivirus | Résultat | Mise à jour |
|---|---|---|
| Agnitum | - | 20130312 |
| AntiVir | - | 20130312 |
| Antiy-AVL | - | 20130312 |
| Avast | - | 20130312 |
| AVG | - | 20130312 |
| BitDefender | - | 20130312 |
| ByteHero | - | 20130310 |
| CAT-QuickHeal | - | 20130312 |
| ClamAV | - | 20130312 |
| Commtouch | - | 20130312 |
| Comodo | - | 20130312 |
| DrWeb | - | 20130312 |
| Emsisoft | Trojan.Spy.Win32.Zbot.jlgr.AMN (A) | 20130312 |
| eSafe | - | 20130307 |
| ESET-NOD32 | - | 20130312 |
| F-Prot | - | 20130312 |
| F-Secure | - | 20130312 |
| Fortinet | W32/Zbot.JLGR!tr | 20130312 |
| GData | - | 20130312 |
| Ikarus | Trojan-Spy.Win32.Zbot | 20130312 |
| Jiangmin | - | 20130311 |
| K7AntiVirus | - | 20130311 |
| Kaspersky | Trojan-Spy.Win32.Zbot.jlgr | 20130312 |
| Kingsoft | - | 20130311 |
| Malwarebytes | - | 20130312 |
| McAfee | PWS-Zbot.gen.ad | 20130312 |
| McAfee-GW-Edition | PWS-Zbot.gen.ad | 20130312 |
| Microsoft | - | 20130312 |
| MicroWorld-eScan | - | 20130312 |
| NANO-Antivirus | - | 20130312 |
| Norman | ZBot.FYSN | 20130312 |
| nProtect | - | 20130312 |
| Panda | - | 20130312 |
| PCTools | - | 20130312 |
| Sophos | Mal/Generic-S | 20130312 |
| SUPERAntiSpyware | - | 20130312 |
| Symantec | - | 20130312 |
| TheHacker | - | 20130312 |
| TotalDefense | - | 20130312 |
| TrendMicro | - | 20130312 |
| TrendMicro-HouseCall | TROJ_GEN.F47V0307 | 20130312 |
| VBA32 | - | 20130312 |
| VIPRE | - | 20130312 |
| ViRobot | Trojan.Win32.S.Zbot.341724 | 20130312 |
Il me semblait pourtant, de tête, que Clam détectait l'échantillon. J'ai donc voulu leur soumettre, du coup, l'échantillon non détecté.
Le formulaire de clamav.net (http://cgi.clamav.net/sendvirus.cgi) m'a indiqué, au moment de l'envoi, que l'échantillon était déjà détecté !
Recommançant quelques jours plus tard, voici les résultats de VirusTotal (ce soir, nuit du 17 au 18/03) :
| Date d'analyse : | 2013-03-17 23:39:44 UTC (il y a 0 minute) |
| Antivirus | Résultat | Mise à jour |
|---|---|---|
| Agnitum | - | 20130317 |
| AhnLab-V3 | Spyware/Win32.Zbot | 20130317 |
| AntiVir | - | 20130317 |
| Antiy-AVL | - | 20130317 |
| Avast | - | 20130318 |
| AVG | - | 20130317 |
| BitDefender | - | 20130318 |
| ByteHero | - | 20130315 |
| CAT-QuickHeal | - | 20130316 |
| ClamAV | - | 20130317 |
| Commtouch | - | 20130317 |
| Comodo | - | 20130317 |
| DrWeb | - | 20130318 |
| Emsisoft | Trojan.Spy.Win32.Zbot.jlgr.AMN (A) | 20130318 |
| eSafe | - | 20130313 |
| ESET-NOD32 | - | 20130317 |
| F-Prot | - | 20130317 |
| F-Secure | - | 20130317 |
| Fortinet | W32/Zbot.JLGR!tr | 20130317 |
| GData | - | 20130317 |
| Ikarus | Trojan-Spy.Win32.Zbot | 20130317 |
| Jiangmin | - | 20130317 |
| K7AntiVirus | - | 20130315 |
| Kaspersky | Trojan-Spy.Win32.Zbot.jlgr | 20130317 |
| Kingsoft | - | 20130311 |
| Malwarebytes | - | 20130317 |
| McAfee | PWS-Zbot.gen.ad | 20130318 |
| McAfee-GW-Edition | PWS-Zbot.gen.ad | 20130318 |
| Microsoft | - | 20130318 |
| MicroWorld-eScan | - | 20130317 |
| NANO-Antivirus | - | 20130317 |
| Norman | ZBot.FYSN | 20130317 |
| nProtect | - | 20130317 |
| Panda | Trj/OCJ.D | 20130317 |
| PCTools | - | 20130315 |
| Sophos | Mal/Generic-S | 20130317 |
| SUPERAntiSpyware | - | 20130317 |
| Symantec | - | 20130318 |
| TheHacker | - | 20130315 |
| TotalDefense | - | 20130317 |
| TrendMicro | - | 20130318 |
| TrendMicro-HouseCall | TROJ_GEN.F47V0307 | 20130318 |
| VBA32 | - | 20130315 |
| VIPRE | Trojan.Win32.Generic!BT | 20130317 |
| ViRobot | Trojan.Win32.S.Zbot.341724 | 20130317 |
Toujours pas de détection par Clam, selon VT !
La version indiquée de mise à jour des signatures de clam est bien celle du 17/03...
Pourtant, voici le message sur leur site, quand on leur soumet l'échantillon :
Conclusion ?
Si vous voulez réellement surveiller des moteurs, je vous recommande de fairecomme moi sur ma propre architecture de veille perso :
- machines virtuelles XP Pro SP3
- 1 antivirus "classique" par machine virtuelle
- possibilité de cumul avec Clamn Immunet, Panda Cloud, et d'autres moteurs à la demande comme MalwareBytes.
Mise à jour du 24/03:
Des gens de VirusTotal ont réagi sur mon blog (cf. commentaire) et sur mon compte Twitter. La réponse était (traduite en Français) "il s'agit d'une détection PUA de Clam, et sur demande de l'éditeur, cela figure dans l'onglet informations additionnelles".
Au-delà du fait que cela manque un peu de clarté selon moi, à savoir les cas où le résultat est affiché en onglet principal ou sinon en infos additionnelles, il y a tout de même un petit problème.
Je vois mal en effet ClamAV catégorizer ce code en PUA (Application Potentiellement Indésirable), car d'après leur site et la capture plus haut de leur message, il s'agit de :
Win.Trojan.Spy.Zbot-43!!
Je ne vois pas le lien avec un PUA, et connaissant un peu le code Zbot, cela me semble incohérent. D'autre part, la convention de nommage de Clam ne mentionne pas PUA ici, alors que c'est le cas pour un script trouvé plus récemment sur le net (cf. mon article du jour, plus haut).
En résumé, non, il crois bien qu'il y a un problème entre les résultats affichés par VirusTotal et les résultats réels de certains moteurs.
