lundi 26 novembre 2012

Sality: Un binaire Nasty traqué de Download.com

Quelle étrange positif que nous avons juste repéré sur le site Download.com de CNET ...

Win32: SaliCode bloqué

Sality est tout à fait un infecteur mauvais fichier. Est-ce un faux positif? Est-ce un échantillon partiellement désinfecté? Quel chemin mène à ce binaire méchant? Découvrez cette capture d'écran:

SecurityXploded
Nous avons décidé de contre-vérifier le dossier plus à fond - le binaire infecté est de InstallMonetizer, qui est emballé à l'intérieur du programme d'installation. Suite à cette opération dans notre machine virtuelle d'essai, nous avons vérifié que c'est le virus Sality, et qu'il est infecte chaque course binaire. Donc, si vous exécutez l'exécutable sur votre ordinateur, Sality sera partout. Ce qui est particulièrement étonnant, est le rapport de détection sur VirusTotal: 30 sur 43 antivirus détectent
Cela nous a fait très curieux, donc nous avons contacté toutes les parties concernées pour leurs déclarations et découvert qu'il y avait succession d'erreurs impliquées.
Tout d'abord, Download.com: Ils télécharger le logiciel depuis le site du développeur utilisant le mécanisme de DPA - par cette méthode les métadonnées part des développeurs et chemins d'accès aux fichiers binaires et les portails de logiciels de télécharger le logiciel et de le publier sur leur page. Nous avons supposé que cela est automatisée et l'une des étapes wold également être automatisée antivirus / antimalware / scans anti-spyware. Cela a été confirmé par le personnel de Download.com, MAIS (!), Le problème est au niveau de bruyance des scanners, qui sont parfois de détecter des tas de trucs dans les coins «zone grise» de portails de téléchargement. Ce fichier se trouve dans une catégorie où il ya une forte probabilité qu'il soit détecté par un AV comme un keylogger ou PUP, il semble qu'il y ait soit une ignore-mode ou il y avait un manuel (mauvaise) décision de laisser le fichier à travers.
Ensuite, le développeur: L'erreur principale du développeur du logiciel est qu'il n'exécute pas un AV avec l'habituel «je sais ce que je fais" approche. Nous considérons cette approche avec les utilisateurs et développeurs trop souvent. Je n'aurais même pas confiance en moi de décider ce qui est un virus ou même naviguer en toute sécurité sans l'aide de divers outils, y compris AV, et je travaille dans le VirusLab Avast! Il ya un peu de controverse au sujet de l'origine de l'infection - le développeur est tout à fait sûr que la configuration InstallMonetizer il a été infecté. Cela semble plausible, parce que c'était la seule binaire infecté dans le programme d'installation de l'ensemble.
Et enfin: InstallMonetizer nie toute responsabilité et prétend que le fichier était propre.
La morale de l'histoire est évidente - une protection antivirus course avec une mise à jour des bases de données et tous les boucliers. Même les sites de bonne réputation, légitimes que vous connaissez peut-être des problèmes comme cela est illustré dans cet exemple. Aussi, si vous n'êtes pas sûr, ne sont pas automatiquement considérer un tel message de votre AV pour être un faux positif - croix vérifier le fichier sur VirusTotal ou rapport qu'elle nous pour vérification. S'il vous plaît utiliser ce formulaire pour contacter Avast avec votre question. Choisissez l'option «Signaler alerte faux virus" comme Sujet / Sujet.

Aucun commentaire:

Enregistrer un commentaire

Nous vous invitons ici à donner votre point de vue, vos informations, vos arguments. Nous refusons les messages haineux, diffamatoires, racistes ou xénophobes, les menaces, incitations à la violence ou autres injures. Merci de garder un ton respectueux et de penser que de nombreuses personnes vous lisent.
La rédaction

Messages les plus consultés

Inscrivez-vous à notre newsletter pour recevoir les nouveaux articles