partagez vos antivirus maison et vos idées d’amelioration de détection diy.
hash de fichier (probleme si le virus s’incruste dans un fichier, se rajoute au texte existant. pratique pour les exe, largement utilisé).
recherche de chaine de caractere suspecte (puissant mais un autre antivirus detectera l’antivirus comme un… virus 
).
Un antivirus DIY cela n’existe pas, impossible de faire ces tests en manuel. Même un antivirus comme kaspersky/bitdefender ne garde probablement pas les empreintes des menaces minimes du siècle dernier sinon il serait d’une lourdeur incroyable tellement il y a des empreintes de menace a tester
Un antivirus c’est comme un airbag, c’est bien de l’avoir mais en gros ce qu’il faut éviter c’est de l’utiliser car on est déjà dans l’accident
Le gros problème commence au clic sur l’executable téléchargé ou en allant mettre ses infos sur le lien reçu par mail (ou le lien du qr code)
Donc les plus gros risques :
– email (fichiers, lien)
– sms sur smartphone
(-- qr code smartphone)
– prendre des executables sortant des sentiers battus
Ce qu’il faudrait surtout c’est que windows et les clients de messageries bloquent tous les fichiers ayant du code executable/script quand cela vient d’un mail.
Avec un gros déblocage manuel avertissant que ceci est un script / executable / fichier office avec macro… qui peut éventuellement bricoler le systeme.
Mais on dirait presque que c’est infaisable. (c’est ironique)
En fait dans windows l’extension des fichiers venant du net devrait être en bold rouge et pas … cachée par défaut. Reconnaitre un .pdf , .jpg ou .png c’est à la porté de tout le monde si on voit l’extension
Une faille zero day sur un lecteur pdf/lecteur d’image c’est difficile à gérer à notre niveau (hors mettre a jour sans arrêt)
Mais en 2024 qu’un lancement de bat,cmd,ps1,exe,com,msi, scr (et surement d’autres (comme le quasi disparu vbs, voir les jar, py et autre)) soit possible en direct après l’arrivé par un mail c’est vraiment avoir confiance dans l’expertise de l’interface chaise/clavier (surtout en lui planquant l’extension pour l’enfoncer un peu +)
Pareil pour les adresses de site. C’est la fête dans les sms et les mails, aucun contrôle, open bar.
On peut m’envoyer une adresse raccourcie, on peut mais je ne l’ouvrirai jamais car je ne vois pas directement ou cela m’envoie et pareil si je ne reconnais pas le site cible.
Un mail inquietant/qui cherche a faire réagir rapidement: c’est les plus louches
Les clients de messageries devraient évaluer les sites indiqués dans les mails avec une note de risque. un lien paipal ou laposfe devrait jamais passer facilement dans un client de messagerie (surtout si le mail parle du site officiel)
Mais est ce que je suis à l’abri ?
De grand pan du net sont des zones a risque. Même un site comme github craint en ce moment ( GitHub besieged by millions of malicious repositories in ongoing attack | Ars Technica) .
Donc oui il y a une part de risque dès que je bricole avec des exécutables du net.
J’ai été bien embêté avec un outil pour patcher un executable de jeu (un jeu acheté, hein, pour avoir moins de flou)
Le site https://www.virustotal.com permet de tester un fichier sur + de 60 antivirus. J’étais confiant avec ce patcher de jeu mais avoir + de 10 antivirus qui le déclare suspect cela rend nerveux.
Il y a qq année https://www.virustotal.com était la solution pratique. Mais c’est devenu un outil pour les createurs de malware qui se debrouillent pour que cela ne reagisse plus… donc plus trop fiable quand le resultat est quasi parfait
trop d’accord
par contre virustotal m’a evité 3 infection cette semaine
faux, j’en ai crée un!!!
par contre il est un peu nul.
mouais, c’est vrai mais quand on compte faire de l’infosec c’est pas à ce qu’on pense en premier