Overblog Tous les blogs Top blogs Technologie & Science Tous les blogs Technologie & Science
Editer l'article Suivre ce blog Administration + Créer mon blog
MENU

Web blog d'un ingénieur en sécurité informatique. IT Security watcher's blog: news, threats analysis, AV issues, PoC, IT security, bugs... Contact: philippe.vialle@wanadoo.fr

Publicité

Faux positif Immunet (WMI admin tools)

En tentant de télécharger des outils de développement WMI ("WMI administrative tools", pour faire des requêtes directement), j'ai eu un petit problème avec Immunet :

 FP_WMI_SDK_230313.PNG

 

Un vrai "faux positif" W32.Spero.Cosmu... sur le setup.exe.

 

C'est l'un des effets de bord du nuage pour les antivirus, à ne pas oublier : l'analyse en dynamique des échantillons peut produire des faux positifs et je n'ai pas pu évaluer leur correction comparé au cas classique de faux positif par une signature nouvellement créée.

 

Dans la version gratuite de Immunet 2.0.17.31, je n'ai eu d'autre choix que de désactiver le service (dans services.msc) pour arriver à télécharger et utiliser l'outil WMI Admin Tools, pourtant récupéré directement sur la TechNet. Je ne pense pas que la TechNet héberge beaucoup de codes malveillants ;)

 

Avis donc pour ceux qui utilisent la technologie du Nuage pour certaines solutions antivirus : s'ils souhaitent faire une action automatique sur détection, je leur commande de ne pas supprimer ce qui est détecté, mais de mettre en quarantaine. Sinon, le mieux à mon sens est de se limiter à la détection, et de faire confirmer chaque échantillon manuellement.

 

Publicité
Retour à l'accueil
Partager cet article
Repost0
Pour être informé des derniers articles, inscrivez vous :
Commenter cet article