FSB Security Labs

Bonsoir monsieur,

En effet nous sommes au courant de ce (Crash) de l'émulateur BAT avec "Trojan.BAT.KeyboardDisable" depuis un mois à peu près, je peux t'affirmer qu'il est déjà corrigé, mieux encore cette sample est maintenant punie par le moteur d'émulation bat, puisqu'elle est détectée comme étant Heur.Bat.Virus.Gen

Et en effet nous sommes aussi au courant de ton test en cours sur le FSB Antivirus mais tu dois savoir ces quelques tous petits détails qui sont capable de faire une très grande différence sur un test :

1 - La majorité de la base de données virale que tu utilises pour ton test en cours est une base qui a été produite par un ancien combattant de la scène vx, et les noms de virus qu'elle contient ont été obtenu suite à une analyse AVP (Kaspersky).

2 - Mais ce que tu ignores sans doute, c'est que cette même base de données contient des éléments perturbateurs pour ton jugement sur le FSB Antivirus :

- Un nombre non négligeable de "Trash" ( des faux virus, des fichiers innocents ou endommagés, donc qui ne peuvent pas être malicieux ).

- Beaucoup de fichiers archives du type Rar,zip,Ace,arj etc... alors que le FSB Antivirus pour le moment ne supporte pas les archives tout court.

- Beaucoup de fichiers compressés upx, aspack, petite, fsg et toute sorte d'autres crypteurs que le FSB Antivirus n'analyse pas encore minutieusement ou ignore tout simplement ( biensur pour le moment ).

- Beaucoup de scripts / macro virus : HTML, js, php, vbs, vba, xls, doc etc.. alors que le FSB Antivirus n'intègre pas pour le moment un support pour ce genre de menace ( il sera en fait intégré aux alentours de la version 0.8 / 0.9 )

- Un constructor n'est pas un virus !!!! un constructor est un outil avec lequel on génère des virus mais qui ne constitue pas en lui même un virus heuristiquement parlant, puisque la version que tu testes actuellement du FSB Antivirus repose principalement sur la détection heuristique et non pas sur les signatures : il n' y a aucun support logique pour les virus kits.

==> Ce qui fait, que pour une base de test qui contient 80.000 / 40.000 échantillons, au fait le FSB Antivirus va analyser disons 20.000 / 25.000 échantillons seulement pour les raisons citées plus haut : donc s'il arrivera à détecter près de 20.000 crois moi : c'est ce qu'on appelle la Karma Heuristique ôtes à Avira et à Avast leurs bases de données et de signatures respectives si tu peux sur ton test et regarde par tes propres yeux s'ils seront bien capables de dépasser les 500 détéctions

3 - Le moteur pro-actif et les moteurs d'émulation / virtualization Win32, ne sont pas actifs et ne le seront d'ailleurs pas avant la version 1.0 du FSB Antivirus.

4 - Il est inutile de tester la protection (bouclier auto-protecteur) du FSB Antivirus parce qu'elle n'existe pas tout court pour le moment

5 - Le bouclier On Access n'est pas encore activé, donc il ya des virus qui ne peuvent pas être détectés par le FSB même avec toute son armada heuristique alors qu'ils sont très facilement détectables par un module résident ( exemple : La théorie CreateRemoteThread et dérivés que tu appelles erronément Hijacking elle s'appelle en fait Code Injection pour être techniquement correct )

Tristan, T-Virus et tout ceux qui sont intéressés par notre travail, nous vous remercierons jamais assez pour tout ce que vous faites pour nous.

Bonsoir, désolé si je réponds maintenant, enfin une rude journée de labeur dehors...

Apparemment tu as pris les choses vraiment à cœur, pour ne pas dire que tu me sembles être offensé alors qu'il n'y a pas de quoi se sentir offensé, sauf si tu as mal compris ma réponse et mes tirets, alors dans ce que cas je m'excuse vraiment, j'avais pas l'intention de t'offenser mais plutôt de t'éclairer et si c'est possible te guider sur divers facteurs qui peuvent interférer sur ton jugement ; disons ton impression sur le FSB Antivirus, si tu es allergique au mot jugement

Bon repartons sur de nouvelles bases de compréhension mutuelle, repartons sur une base dans laquelle tu dois comprendre une fois pour toute, que nous avons un respect énorme pour ton travail et pour ton intérêt pour le notre, sommes nous d'accords sur ce point précis ? Du moment que nous sommes d'accord sur ces quelques principes de base, tout ce qui va suivre sera pour l'intérêt de tout le monde, merci.

Tristan, tu as évoqué et repris certains points de ma réponse mais tu as ignoré le point le plus important que je voulais te faire comprendre et si je me permets cher tristan : essaye de comprendre ma logique et laissons la susceptibilité derrière nous...

Le FSB Antivirus est puissant pour son âge, Le FSB Antivirus est aussi puissant heuristiquement parlant par rapport à beaucoup d'autres antivirus concurrents : j'ai dis puissant mais pas le meilleur du monde, ou imbattable afin qu'on soit d'accord et qu'on évite toute une amalgame autours de cet adjectif , mais biensur le FSB Antivirus est encore sous développement, et vu qu'il est encore sous développement / incomplet, il lui manque encore beaucoup de choses, ce qui fait qu'il est pour le moment incapable de traiter les fichiers archives et installateurs, un bon nombre de fichiers compressés etc... tu peux me dire qu'elle différence ceci peut faire dans un test d'évaluation et une prise d'impression sur la qualité de cet Antivirus ? Là ma réponse est : ouiiiiiiiiiiiiiii ça peut faire plus qu'une différence surtout que tu comptes faire un test et publier des statistiques pouvant induire en erreur les gens dans leur jugement sur notre Travail

Pour être plus clair sur ce point : supposons que tu vas faire un test sur un ensemble d'objets malicieux, disons 1000 virus toutes catégories confondues; le but de ce test est de traduire le nombre d'objets détectés en un taux / une moyenne de détection n'est ce pas ? imagines maintenant que le FSB Antivirus n'a fini par détecter que 10 objets comme étant malicieux et n'a pas détecté les 990 autres objets. A travers ce test le FSB Antivirus a affiché donc une moyenne très médiocre de 1% !!! c'est catastrophique non ? oui c'est catastrophique s'il a vraiment analysé la totalité des objets et qu'il n'a détecté que 10 / 1000. Maintenant, imagines qu'il s'est avéré que les 990 autres objets sont en fait : des fichiers zip, rar, arj etc... bref dans un format de données encore non couvert par les engins d'analyse du FSB Antivirus, dans ce cas quel est le taux réel de détection ?

Sur un total de 10 objets analysés le FSB Antivirus a détecté 10 objets malicieux == 100% de détection et non plus 1% ! les 990 autres objets ont été tout simplement ignorés parce que leur format ou leur état n'est pas pris en charge par le FSB Antivirus.

Me suis-je fais bien comprendre sur ce point cher tristan

"...Ce test élémentaire répond à une curiosité. Vous pourrez toujours objecter que FSB Antivirus n´est que sous la lumière du petit matin, j´en conviens, mais comment nous attacher à un produit sans en connaître un peu sur lui?"


Tous les autres points que j'ai évoqué ont été cités afin de t'éviter l'exemple d'un homme qui a pris les clefs d'une voiture et a commencé à faire des courses de 300 km/h en n'ayant pas pris la peine de demander au constructeur si le modèle possède au moins des freins ou non Ici dans ce forum, en étant les concepteurs du FSB Antivirus, nous sommes je pense les plus aptes à te guider sur nos failles et nos limites mais aussi à t'aider à découvrir nos vertus.

"..La première impression est importante dans la société (malheureusement), c´est elle qui apprécie ou déprécie un produit."

Tristan, je peux t'affirmer humblement que les couples société et son impression ou le petit matin et sa lumière n'ont rien à avoir avec notre travail sur le FSB Antivirus . Et si ça peut t'assurer, crois moi l'évolution du FSB Antivirus est vraiment très suivie par la haute sphère antivirale, et je peux te dire aussi ceci, même au prix de voir Bruno Bouvet faire une crise de nerfs dessus sur les propos qui vont suivre Nous avons déjà commencé des négociations préliminaires avec une très grosse boite internationale pour intégrer en OEM les moteurs d'analyse du FSB Antivirus avec la finalisation de la version 1.0

"Permettez-moi de vour reprendre sur CreateRemoteThread qui n´est pas une théorie mais une API Windows."

tristan, tu penses que je ne suis pas en mesure de faire la différence entre une théorie et une API Windows ? dans ce cas si tu veux, je te laisse ma place au FSB Security Labs et je vais aller chercher un travail ailleurs dans une autre boite comme un Web Master

Tristan, le terme hijacking est surtout orienté RCE ( Reverse engineering ), par contre dans le monde antiviral on parle de Code Injection, par amour de la précision : j'ai voulu te corriger sur ce point puisque tu est entrain de tester un antivirus et pas un trainer d'un jeu etc... Bon j'ai compris, ou plutôt j'ai mal compris qu'à travers ta réponse : tu n'aimes pas être corrigé. Ok, dans ce cas je suis tout à fait d'accord avec toi, donc j'éviterai au futur ce genre de remarques.

Mes sincères respects.

Re Bonsoir,

Tristan, j'ai un exemple réel à te faire montrer afin que tu comprennes une fois pour toute qu'il est très difficile d'avoir une base de données de test efficace.

Bon, tu es au courant du Worm Kido / Conficker ? tu sais qu'il cible la fonctionnalité Autoplay / Autorun de l'explorateur de windows comme point d'entrée dans le processus d'infection du système hôte ?

Le worm se présente sous la forme suivante : un fichier Autorun.inf et le worm sous la forme d'une DLL.

- Le fichier autorun.inf a pour rôle d'obliger L'explorateur Windows à exécuter le DLL du worm lors de l'insertion du medium USB à travers rundll32.exe

- Le Dll du worm, une fois chargé en mémoire : il va s'occuper de faire son sale travail.

Bien que le concept autorun.inf / clef usb n'est pas nouveau du tout comme approche d'infection, il s'avère tout de même que le concept reste très efficace à cause d'une erreur chaotique de la firme Microsoft dans son design algorithmique de la façon dont l'explorateur Windows traite les fichiers autorun.inf !

Car contrairement aux virus habituels profitant de la fonctionnalité autorun pour s'exécuter dans l'ordinateur hôte, le worm conficker quand à lui profite de la stratégie de parsing des fichiers autorun.inf par l'explorateur Windows à travers sa libraire shell32.dll !! comment ça ?

- Support du format UNICODE pour les autorun.inf
- Insertion des junks sous forme de commentaires.
- Error tolerant parsing du shell avec les fichiers autorun.inf ( je vais revenir sur ce point ).

C'est pas pour rien que Microsoft demande la tête du concepteur de ce worm

Tout ce qui va suivre comme explication, est biensur développé d'un point de vue Antiviral, je t'expliques les choses comme étant vues par un antivirus

L'erreur algorithmique de Microsoft que je juges chaotique, et je pèse bien mes mots : se résume dans le fait que l'explorateur de Windows traite les fichiers autorun.inf comme étant des fichier .ini, donc il applique le même parseur INI lors du traitement des fichiers autorun.inf ; L'auteur ou les auteurs de Conficker en totale conscience de cette erreur, ont profité de la manière dont windows Parse les fichier ini pour évader les détecteurs antiviraux ou mêmes quelques humains soucieux de vérifier certaines choses par leurs propres yeux

(+) Support Unicode :

Le support unicode pour les fichiers autorun.inf, pour être honnête j'ai jamais entendu parlé avant d'avoir eu à faire à monsieur conficker

Donc en partant du principe qu'un fichier autorun.inf est un fichier non unicode, les parseurs antiviraux ne sont pas capablent de comprendre par exemple que "[Autorun]" == "[,0x,A,0x,u,0x,t,0x,o,0x,r,0x,u,0x,n,0x,]" alors que l'explorateur Windows est capable de comprendre qu'ils sont identiques, et le fichier autorun.inf reste parfaitement exécutable !

Jusqu'à la version 0.6a que tu testes actuellement, le FSB Antivirus est aussi vulnérable à cette attaque ! Mais la version 0.7 qui est en cours de finalisation n'est pas vulnérable

(+) Les Junks sous forme de commentaires :

Bein c'est pas nouveau et le concept de cette méthode a été introduit exclusivement avec la famille Vundo qui se propage par clefs USB.

La méthode consiste à introduire des lignes de commentaires avant et entre les champs exécutif du fichier autorun.inf afin de contrer les stupides engins antiviraux qui commencent par vérifier si la 1ère ligne du fichier autorun.inf contient bien le texte suivant : "[Autorun]"

Le FSB Antivirus 0.6a n'est pas vulnérable à ma connaissance à cette attaque.

(+) Error tolerant parsing :

C'est ce que j'ai qualifié de chaotique chez Microsoft, et c'est vraiment le prix à payer quand on applique le même parseur INI pour traiter un fichier autorun.inf !!

Avec conficker, la barre a été poussé vraiment très très loin ! comment ça ?

Bein , en profitant de la flexibilité abusive du parseur Windows des fichiers INI, monsieur Confiture, lol pardon je voulais dire monsieur conficker s'est permis de présenter un fichier autorun.inf, non conforme, mutilé et supposé être non exécutable même à l'oeil nu : mais que Windows valide et exécute quand même !!!! ( dites merci Microsoft !! allez dites merci !! )

En fait la ligne qui est supposée valider et mettre à exécution le contenu du fichier autorun.inf a été tellement mutilée par conficker à un point où elle contient en fait le fragment suivant :

 [AUTorUN


Et là le gentil parseur INI de microsoft valide la ligne et la rend équivante à "[autorun]" et l'explorateur Windows exécute sans aucun problème le contenu du fichier autorun.inf !!!

Supposons ici que le parseur antiviral est capable de traiter le format UNICODE, serait il normal qu'il valide une ligne pareille ? biensur que nonnnnnnnnn !!!

La version 0.6a du FSB Antivirus est malheureusement vulnérable à cette stupidité algorithmique car il faut être aussi stupide que Windows pour valider une telle ligne

Si la stupidité est le prix à payer pour détecter des virus qui profiteront de cette faille pour vous infecter, bein sachez que la version 0.7 du FSB Antivirus est encore plus stupide que Windows sur ce point puisque nous venons de terminer les modifications ce soir sur l'engin Heur.Exploit et donc la version 0.7 prendra en charge les 3 failles que j'ai cité en plus de beaucoup d'autres que je ne peux pas citer

Bon, en parlant de stupidité cher tristan, j'ai voulu pousser la barre plus haut mais même si le thème de cette soirée s'intitule autours de la stupidité : il ya tout de même une limite à tout !! d'ailleurs je suis prêt à t'envoyer le fichier que j'ai envoyé à virus total pour que tu vérifies par toi même...

Sachant que j'ai une copie du fichier autorun.inf d'infection du worm conficker, j'ai supprimé les 10 kb qui se trouvent à la fin de ce fichier et qui contiennent les commandes vulnérables. De manière à ce que le fichier soit totalement inoffensif et surtout invalide : puisqu'il contient alors que des junks et aucune commande pouvant être validée par notre cher explorateur. Et après j'ai envoyé ce bout de fichier invalide à notre corbeille mondiale de la sécurité sur virus total

http://www.virustotal.com/analisis/8c06 ... df2cc5dee2 Les résultats ? ils sont exceptionnels

File autorun.inf received on 03.03.2009 23:10:09 (CET)
Current status: finished
Result: 7/39 (17.95%)

AhnLab-V3 5.0.0.2 2009.02.27 TextImage/Autorun ( vive la corée )
AVG 8.0.0.237 2009.03.03 Worm/Generic_c.ZY ( on triche pas avec moi svp !! c'est pas heuristique )
BitDefender 7.2 2009.03.03 Worm.Autorun.VHG
GData 19 2009.03.03 Worm.Autorun.VHG ( n'achetez plus roumain la prochaine fois )
Microsoft 1.4306 2009.03.03 Worm:Win32/Conficker.B!inf ( N'oubliez pas de remercier Microsoft )
Panda 10.0.0.10 2009.03.03 W32/Conficker.C.worm ( une variante C ? elle n'existe pas encore )
VirusBuster 4.5.11.0 2009.03.03 INF.Conficker.F

==> les antivirus qui ont fait des détections ici, n'ont pas un support heurisitique des fichiers autorun.inf puisqu'ils ont reporté un fichier invalide comme étant Conficker et c'est dû à quoi ? tout simplement à des signatures débiles, tellement débiles qu'elles prennent en charge le début junk du fichier pour afficher une alerte !! donc monsieur AVG arrêtez svp avec vos tricheries de quel worm générique parlez vous vous venez tout simplement de détecter un fichier texte poubelle grâce à vos signatures comme étant un worm, c'est donc ça vos heuristiques AVG exceptionnelles

Conclusion ?

Là un scénario fort probable va se passer : les collecteurs automatisés des autres firmes antivirus reliés au service virus total des autres antivirus vont probablement ajouter la signature du fichier invalide autorun.inf à leurs propres bases de données !! génial non ?!

Tu sais cher tristan, je suis même capable de te faire voir Avira en personne détecter le fichier calculatrice de windows comme étant le Worm Netsky en un coup de pouce !! Donc si j'insiste tellement sur la qualité et la validité des échantillons dans ta base de données virale au sujet du test FSB Antivirus 0.6a : c'est que ce n'est pas sur un coup de tête que je me suis lancé dans cette aventure antivirale; c'est mon mange pain, c'est mon métier que je connais par cœur et que j'adore plus que tout; à moins que tu insistes toujours que j'aille quand même travailler ailleurs comme web master