Fausses alertes des logiciels anti-malwares

[Jack_Burton]

Bonjour a tous,

 

J ouvre une nouvelle discussion qui traitera des fausses alertes des logiciels anti-malwares!

En effet, il arrive quelque fois (souvent? ) que les logiciels anti-malwares détectent des infections dans des fichiers tout a fait légitimes ou non-vérolés!

Nous connaissons le cas de a² free (un anti-trojans) qui avait détecté des fichiers infectés dans le dossier de ZoneAlarm ou de BitDefender dans le logiciel CrapCleaner (CCleaner, un outil de nettoyage du systeme)!

 

Aujourd'hui, c est le cas du McAfee VirusScan qui détecte également un virus dans le dossier de CCleaner!

IMPORTANT NOTICE

Users of McAfee VirusScan have been reporting that CCleaner contains a virus. This is a false positive detection, there is no virus in CCleaner. I've contacted McAfee and asked them to fix the issue.

C est une nouvelle fausse alerte!

 

Zebuloniens, soyez prudent! Ne prenez pas systématiquement les alertes des logiciels anti-malwares pour "argent comptant"!

Il faut toujours etre prudent avant de supprimer un fichier de son systeme! Et si vous etes pris d un doute, n hésitez pas a poster sur le forum sécurité de zebulon

Modifié le 20 novembre 2005 par Jack_Burton

[Sacles]

Bonjour,

 

Plusieurs AV ont détecté un problème dans le fichier uclose.exe de SpyBlocker Pro.

 

AntiVir notamment le détectait. J'ai signalé le problème chez AntiVir et il est résolu. Apparemment, d'autres AV n'ont pas encore fait la correction.

 

Voilà le verdict de VirusTotal il y a quelques jours (impossible de faire une nouvelle analyse aujourd'hui). Les choses ont sans doute évolué depuis:

 

 

Cordialement.

[Mark]

Bonjour à toutes/tous

 

Merci Jack pour ce sujet très intéressant

 

Une petite note additionnelle au sujet de McAfee : cet antivirus détectait, il y a quelques mois de cela, la nouvelle version d'Hijackthis! (1.99.1) comme étant un virus !! Ils ont réglé le tout lors d'une MAJ, et puis quelques semaines plus tard ça recommençait ! Nous avons été témoin de ce faux-positif à nouveau, il y a un mois environ. Ça manque de sérieux.. et de communication entre les différentes équipes chez Networks Associates. Souhaitons que ça ne se reproduise plus !

[Sacles]

Bonsoir,

 

Voici une actualisation de VirusTotal pour le fichier uclose.exe (détecté erronément comme infécté) de SpyBlocker Pro.

 

 

Cordialement.

Modifié le 21 novembre 2005 par Sacles

[ipl_001]

Bonsoir Jack_Burton, Sacles, Qc001, bonsoir à tous,

 

Spybot Search and Destroy a longtemps fait l'objet de ces fausses infections et Patrick Kolla était obligé de lancer les mêmes démarches !

 

J'en profite pour attirer l'attention de malwares signalés dans le slogiciels antimalwares qui dans leur code peuvent contenir des chaines de caractères que les autres interprètent comme le malware lui même ! C'est notamment le cas de Smitfraudfix de S!Ri (CCM).

 

C'est aussi un peu le cas de EICAR ! Il s'agit d'un fichier qui sert à tester les antivirus... si l'AV signale quelque chose dans ce ficheir, c'est qu'il est activé !

C'est bien gentil mais certains AV vont trop loin en supprimant carrément ce fichier ! LOL

[Jack_Burton]

Bonjour a tous,

 

Aujourd'hui est sortie une mise a jour pour le logiciel RootkitRevealer de sysinternals! Attention avant la suppression des "fichiers infectés". Il ne fait aucun doute que cette mise a jour (v1.60) ne soit pas au point! Elle m a détecté de multiples Rootkits dans des fichiers tout a fait légitimes!!

J espere que sysinternals va corriger le tir (je ne me fais pas de soucis pour cela )!

 

Je vous conseille donc de rester sur la version précédente, la v 1.56 pour le moment

Modifié le 14 décembre 2005 par Jack_Burton

[Svr32]

Très bonne idée d'ouvrir un post sur ce sujet. cela devrait éviter à certains zebuloniens, novices ou non, de flinguer un logiciel utile en pensant éradiquer un nouveau malware

 

Je garde un oeil sur le sujet !

 

Pour le moment je ne suis concernée par aucun de ces couacs (because avast! donc pas de faux positif pour SpyBlocker pro que je n'ai d'ailleurs pas, et Rootkitrevealer ne tourne pas sur ma bécane win 98). Mais on ne sait jamais !

 

Poiur faire brèche à ipl_001 je me rappelle des cas antérieurs à ceux qu"il cite, où A2 squared (ou free d'aileurs) trouvait des faux positifs dans le dossier Windows/system32). Cata évitée de justesse.....

Modifié le 14 décembre 2005 par Svr32

[megataupe]

Bonjour à tous . Bonne idée Jack que de collationner les faux positifs

des anti-cafards. Le roi en ce domaine reste très certainement Pest Patrol

dans sa version beta gratuite ou il faut faire très attention avant de supprimer

un fichier annoncé comme infecté. Je ne saurais trop recommander d'envoyer

la liste sur le forum pour analyse.

[Svr32]

Aujourd'hui c'est A2 qui met la panique avec plusieurs faux positifs de taille (notamment en proposant winlogon comme trojan.... )

 

http://forum.pcastuces.com/sujet.asp?SUJET_ID=230804

http://forum.pcastuces.com/sujet.asp?SUJET_ID=230840

http://forum.zebulon.fr/index.php?showtopic=82443

[Mark]

Un de mes potes a dû formater sa bécane XP, il y a environ 6 mois, après le passage de a-squared. Il m'a avoué ne pas avoir pris soin d'examiner les fichiers trouvés avant de fixer. Le gel total et irréversible (selon lui..).

 

Ce logiciel demeure un outil utile, surtout sur bécanes 98/ME (où Ewido ne fonctionne pas). J'imagine que les codeurs ont amélioré un peu. Même Ewido a connu des ratées, mais tout est dans l'ordre maintenant.