Archives du mot-clé antivirus

Détection d’antivirus avec Javascript

Détecter la présence de tel ou tel AV via javascript ? Quel est le miracle derrière tout ça ?

En fait chaque antivirus y va de sa solution pour sécuriser le surf, souvent en forçant l’installation d’un module complémentaire Chrome/Firefox.
Ces modules injectent du code javascript dans les pages visitées, rendant alors possible la détection de l’AV en regardant simplement si on retrouve certains codes ou tags html dans la page.

Kaspersky a t-il tenté de saboter les antivirus concurrents ?

Le buzz du moment c’est l’article de Reuters : le journal a eu l’affirmation d’ex-employés de l’entreprise antivirale russe que sous l’ordre d’Eugene Kaspersky des projets destinés à générer des faux positifs chez les logiciels rivaux avaient été mis en place.

L’origine de ces actes serait le sentiment de Kaspersky de voir son logiciel pompé.
Pour illustrer ces propos, Kaspersky avait envoyé à une époque à la plateforme VirusTotal un exécutable tout à fait inoffensif en indiquant qu’il était vérolé. Quelques jours plus tard, 14 antivirus rivaux indiquaient à leur tour que l’exécutable était malicieux…

Dans l’idée de saboter les résultats des AV concurrents, l’entreprise Kaspersky aurait injecté des payloads dans des exécutables importants de Windows ou d’autres logiciels critiques et aurait ainsi partagé les samples vérolés dans l’objectif que les autres AV les considèrent comme malicieux et les mettent en quarantaine, briquant ainsi le système ou causant des dégâts pour l’utilisateur, un type d’événements qui n’est pas si anodin.

Kaspersky a réfuté tout agissement de ce type : pour l’entreprise il s’agit d’affirmations faussées d’ex-employés qui l’ont mauvaise.
Les compagnies concurrentes ont quand à elle indiquées qu’elles avaient en effet déjà rencontré des samples visiblement destinés à générer des faux-positifs mais aucune société n’a lié ces incidents à Kaspersky.

Vulnérabilité dans l’antivirus ESET

Dans le cadre de Project Zero, Tavis Ormandy a découvert une vulnérabilité importante dans l’antivirus ESET puisqu’elle concerne le moteur d’émulation de l’AV.

Au lancement d’un exécutable inconnu sur un OS protégé par ESET, l’antivirus intercepte l’exécution de l’exécutable et émule les 80000 premières instructions assembleurs (à condition que le binaire réponde à certaines caractéristiques comme la présence d’une section exécutable et écrivable…)

L’AV est à l’affût de certaines instructions caractéristiques d’un mécanisme d’unpacking.
Pour réaliser cette émulation il tient à jour une stack à lui qui mimique la stack du malware potentiel en analysant les instructions assembleurs. Malheureusement il y a une faille dans la logique employée par ESET et il est alors possible pour un malware de provoquer une écriture dans la stack de l’antivirus en dehors de la zone qu’ESET pensait utiliser…

De part les privilèges dont dispose l’AV sur le système et la phase à laquelle l’exploitation se fait ça en fait une faille plus qu’intéressante pour un ver.
ESET a corrigé le problème et propose déjà une mise à jour à ses utilisateurs.

Panda s’autodétecte comme virus, brique des Windows

Oups… Ce n’est pas la première fois que ça arrive chez les éditeurs d’antivirus mais c’est toujours embarrassant : une mise à jour de la base de signature de Panda a provoqué la détection de certains fichiers systèmes de l’antivirus comme étant eux même vérolés.

Les utilisateurs qui ont eu le malheur de faire la mise à jour puis de redémarrer leur système ont au mieux un système très instable et au pire un système qui ne démarre plus…
Les utilisateurs de Panda sont donc appelés à ne pas redémarrer leur système tant qu’ils n’ont pas récupéré la dernière mise à jour corrective.