Web blog d'un ingénieur en sécurité informatique. IT Security watcher's blog: news, threats analysis, AV issues, PoC, IT security, bugs... Contact: philippe.vialle@wanadoo.fr
En tentant de télécharger des outils de développement WMI ("WMI administrative tools", pour faire des requêtes directement), j'ai eu un petit problème avec Immunet :
Un vrai "faux positif" W32.Spero.Cosmu... sur le setup.exe.
C'est l'un des effets de bord du nuage pour les antivirus, à ne pas oublier : l'analyse en dynamique des échantillons peut produire des faux positifs et je n'ai pas pu évaluer leur correction comparé au cas classique de faux positif par une signature nouvellement créée.
Dans la version gratuite de Immunet 2.0.17.31, je n'ai eu d'autre choix que de désactiver le service (dans services.msc) pour arriver à télécharger et utiliser l'outil WMI Admin Tools, pourtant récupéré directement sur la TechNet. Je ne pense pas que la TechNet héberge beaucoup de codes malveillants ;)
Avis donc pour ceux qui utilisent la technologie du Nuage pour certaines solutions antivirus : s'ils souhaitent faire une action automatique sur détection, je leur commande de ne pas supprimer ce qui est détecté, mais de mettre en quarantaine. Sinon, le mieux à mon sens est de se limiter à la détection, et de faire confirmer chaque échantillon manuellement.