Web blog d'un ingénieur en sécurité informatique. IT Security watcher's blog: news, threats analysis, AV issues, PoC, IT security, bugs... Contact: philippe.vialle@wanadoo.fr
En navigant sur le web, j'ai eu la surprise de voir KAV 2011 alerter lors de l'accès à un site (trojanedbinaries.com). Voici le message complet :
Analysons donc le sens du message, via le nom de la détection :
- HEUR pour Heuristique, certainement.
- Exploit, comme son nom l'indique ?
- Script.Generic, pour une détection de script ?
J'ai bien peur que KAV fasse erreur : une soumission de l'URL à VT donne des résultats plutôt rassurants
http://www.virustotal.com/url-scan/report.html?id=b222631fa7d0b88d67c630272c3c9690-1320007826
| URL Analysis tool | Result |
|---|---|
| Avira | Clean site |
| BitDefender | Clean site |
| Dr.Web | Error |
| G-Data | Clean site |
| Malc0de Database | Clean site |
| MalwareDomainList | Clean site |
| Opera | Clean site |
| ParetoLogic | Clean site |
| Phishtank | Clean site |
| TrendMicro | Unrated site |
| Websense ThreatSeeker | Unrated site |
| Wepawet | Unrated site |
| Normalized URL: http://trojanedbinaries.com/blog/?feed=rss2//trojanedbinaries |
| URL MD5: b222631fa7d0b88d67c630272c3c9690 |
Bref, si simplement le nom du fichier suffit à KAV pour le bloquer, le risque faux-positif me semble réel.
Solution : ne pas "supprimer" directement les objets détectés, mais toujours les mettre en quarantaine pour inspection à posteriori !