VirusTotal est le service d’analyse antivirus fourni par Google. Celui-ci a dû s’excuser après avoir récemment laissé fuiter les informations de nombreux clients de manière accidentelle.
Pour ceux qui ne connaissent pas, VirusTotal c’est l’antivirus le plus mentionné par les hackeurs, qui ajoutent à chaque produit qu’ils vendent « Don’t scan on VirusTotal ! ». Enfin en tous cas c’était le cas à l’époque.
VIrusTotal pour ceux qui ne connaissent pas est le site référence pour distinguer un vrai virus d’une fausse alerte car il teste les fichiers envoyés via l’interface avec la plupart des antivirus du marché.
En gros si une majorité d’antivirus gérés par virustotal disent que c’est un virus c’est un vrai virus sinon non.
Et les fausses alertes il y en a des tonnes malheureusement avec les antivirus, on ne peut hélas pas leur faire confiance. Le plus hallucinant c’est que les noms des virus détectés varient d’un antivirus à l’autre.
Un nom et l’adresse pro cela ne me semble pas si critique que cela.
Je veux dire monsieur truc bidule est sur un Linkedin ou un twitter like et dit bosser pour Laboite si je tente truc.bidule @ laboite.com j’ai de grande chance quand même.
Virustotal c’est bien mais c’est a relativiser désormais. Si le fichier ne vient pas d’un site courant/fiable, qu’il soit bon sur Virustotal n’est pas une garantie. Les créateurs de malware testent leur production sur Virustotal pour voir si cela réagit et réagissent en conséquence.
Inversement c’est assez facile d’etre à la rue sur Virustotal quand on fait un bout de code, suffit d’utiliser un compilateur un peu trop âgé par exemple, ou une vielle librairie.
Que les noms soient différents entre antivirus cela me semble assez logique, vu que c’est eux même qui décident du noms quand ils détectent un malware. Quand il y a un nom de serveur ou une annonce par un ransomware le nom peut être similaire mais cela depend du code present. Apres si un malware devient assez connu il peut avoir son petit nom à lui mais faut quand même qu’il soit très très répandu.
Naaaann!! Arreeeeeette!!!
J’ai déjà soumis un paquet de day0 qui ne chatouillaient que dalle chez VT.
VT est un outil à utiliser, c’est vrai. Mais il faut arrêter avec cette posture de l’unique outil messie.
Depuis peu il y a bien un complément comportemental (encore loin de ce que produisent des outils Sandbox dédiés) mais l’analyse dont tu parles ne teste rien d’autre que les bases de signatures des différents éditeurs.