Bonjour,

Un test des rogues (fake antivirus) et des rasomware (virus gendarmerie...) contre Tiranium:

http://www.youtube.com/watch?v=TG0Z3X7TL2M&feature=youtu.be

DubSeven a écrit:

Bonjour,

Tu peux faire une vidéo de test de ce programme à l'occasion ? http://venom630.free.fr/dumb.zip

J'espère que ton Anti-Virus le détectera...

Merci.

Bonjour,

L'application n'a pas était détecté par la base virale.

L'analyse comportemental n'a pas réussi non plus, l'executable ne voulant pas ce démarrer. (Cette application n'a pas pu ce démarrer car la configuration de l'application est incorrecte).

Marrant. Je testerai sur un Windows 7 alors.

Il fonctionne sous XP en tout cas.

tigzy, je pense qu'il ne faut pas chercher plus loin...

Je suis sûr que si on commence à parler ne serait-ce que du format PE à DubSeven, on commencerait à taper dans la fourmilière...

Si c'est le cas, alors cet ""antivirus"" n'a aucun intérêt.

Ba là c'est grave quand même, c'est à dire qu'il est en production, et que juridiquement ils se protègent derrière une CGU foireuse.

J’insisterais pas autant si le programme était en bêta privée, voire même publique, mais là c'est vendu comme un AV fonctionnel et professionnel. Un novice pourrait bien se faire avoir et le regretter ensuite;

Quid des vrais virus? Virut, Sality, c'est détecté?

Ba non il manque la fin de la vidéo, il se passe quoi avec le svchost lancé?
Pour moi là il a rien bloqué du tout, et une analyse du MBR montrera qu'il est infecté.

Rien n'a été lancé, vous pouvez le voir sur le process explorer.

Les démarrages étaient clean.

Après chaque test je passe RogueKiller et TDSSkiller de Kaspersky. Le PC était toujours clean.

Si vous le souhaitez, je peut vous refaire un test avec un de vos liens et lancer un outil d'analyse de votre choix par la suite en vidéo.

Je suis sûr que si on commence à parler ne serait-ce que du format PE à DubSeven, on commencerait à taper dans la fourmilière...

J'ai assez de connaissances et parfois les gens choisissant de m'aider en m'expliquant des choses en plus que je pourrais ajouter à Tiranium, actuellement Tiranium est capable de contrer tous les malwares qui ont été partagés depuis 1 mois sur le site MalwareTips.

Je fait des tests régulièrement.

J’insisterais pas autant si le programme était en bêta privée, voire même publique, mais là c'est vendu comme un AV fonctionnel et professionnel. Un novice pourrait bien se faire avoir et le regretter ensuite;

Tiranium est complètement gratuit et ai du talent depuis ce qu'on peut voir des vidéos de test.

Notre produit n'est pas infaillible comme n'importe quel produit, mais nous améliorerons sans cesse.

Quid des vrais virus? Virut, Sality, c'est détecté?

Oui c'est détecté, nous avons déjà eu affaire à Sality et Viru.

Merci de vos remarques.

Bonne journée.

-
Edité par DubSeven 18 juillet 2013 à 15:41:13

DubSeven a écrit:

J'ai assez de connaissances et parfois les gens choisissant de m'aider en m'expliquant des choses en plus que je pourrais ajouter à Tiranium, actuellement Tiranium est capable de contrer tous les malwares qui ont été partagés depuis 1 mois sur le site MalwareTips.

Oui, c'est sûr, puisque tu ne fais que consulter une BDD de signatures. Pas d'analyse comportementale...

Tu as pu essayer mon programme sous un windows xp ?

Oui, c'est sûr, puisque tu ne fais que consulter une BDD de signatures. Pas d'analyse comportementale...

Tu as pu essayer mon programme sous un windows xp ?

Bon, l'erreur venait de moi, quelques options de compilation non désirables s'étaient glissées et ont fait que le binaire sollicitait une DLL qui ne se retrouvait pas par défaut sur tous les XP de base... ^^'

Peux-tu recommencer l'analyse ? http://venom630.free.fr/dumb.zip

Merci

Je ne peut pas partager les sources désolé c'est privé pour la sécurité du logiciel.

Parce qu'un antivirus open source est un mauvais antivirus? ClamAV est un mauvais antivirus? chkrootkit est un mauvais antivirus? Je suis presque sûr que les deux sont au moins tout aussi puissant que le tien. De plus, tu peux demander à des reversers du .NET c'est ce qui a de plus simple à reverse "protégé" ou non.

De plus, c'est bien mignon d'avoir la totalité de la base virale dans le cloud mais si un malware kill la connexion entre ton application et les serveurs, elle sert à quoi ton application après?

Je testerais ça demain.

Edit:

Tu as l'accord de sandboxie pour le pousser sur les postes comme ceci? Au moins prévenir l'utilisateur qu'un logiciel tierce va être installé sur la machine.

Le programme ne démarre pas en version R3.700. Il plante sur "Installation des nouveaux fichiers".

Après installation de cet "antivirus" ma VM XP vient de mettre près de 4 minutes à démarrer et une fois la machine démarré, au lancement de "l'antivirus" j'ai eu droit à une jolie levée d'exception:

************** Exception Text **************
System.IO.IOException: Could not complete operation since a file already exists in this path 'C:\Program Files\Tiranium AntiVirus\Tiranium[OLD].exe'.
   at Microsoft.VisualBasic.FileIO.FileSystem.EnsurePathNotExist(String Path)
   at Microsoft.VisualBasic.FileIO.FileSystem.RenameFile(String file, String newName)
   at Microsoft.VisualBasic.MyServices.FileSystemProxy.RenameFile(String file, String newName)
   at ..(Object , AsyncCompletedEventArgs )
   at System.Net.WebClient.OnDownloadFileCompleted(AsyncCompletedEventArgs e)
   at System.Net.WebClient.DownloadFileOperationCompleted(Object arg)

-
Edité par Kevin Falcoz 21 juillet 2013 à 7:41:48

Bonjour,

Bonjour,

Le niveau de détection est de 1 / 5 (rien qu'obtenir ce niveau, n'est pas facile) - Pas de détection depuis base virale (Clean)  + une détection d'application MS-DOS malveillant.

http://oi40.tinypic.com/vhu4wz.jpg

[quote]De plus, c'est bien mignon d'avoir la totalité de la base virale dans le cloud mais si un malware kill la connexion entre ton application et les serveurs, elle sert à quoi ton application après?[/quote]

En cas de perte de connexion alors que l'utilisateur dispose d'une connexion internet et que le serveur est en ligne sans défaut technique, alors l'application va arrêter tous les processus capables d'être légitimes de l'attaque pour ensuite ce ré-ouvrir la connexion avec la base virale et fini avec une analyse automatique pour éliminer la menace qui est à l'auteur.

Mais même si le malveillant parvient à bloquer ceci, il reste encore la détection comportementale qui parviendra sûrement à détecter les menaces.

[quote]Tu as l'accord de sandboxie pour le pousser sur les postes comme ceci? Au moins prévenir l'utilisateur qu'un logiciel tierce va être installé sur la machine.

Le programme ne démarre pas en version R3.700. Il plante sur "Installation des nouveaux fichiers".

Après installation de cet "antivirus" ma VM XP vient de mettre près de 4 minutes à démarrer et une fois la machine démarré, au lancement de "l'antivirus" j'ai eu droit à une jolie levée d'exception:[/quote]

Oui.
Je vais ajouter cela sur le site merci de m'avoir fait part.

Je viens de mettre en place un nouveau système de mise à jour.
J'ai mis à jour l'installateur également.

Votre VM dispose t-il d'assez de puissance?
Au démarrage, Tiranium execute le nettoyage, cela prend environ 4 seconde de plus au démarrage de l'ordinateur. 
Sur mon ordinateur personnel, cela prend 2 secondes, dépendant donc de la puissance de l'ordinateur. 

Merci de votre test et de vos remarques, bonne journée. 

-
Edité par DubSeven 21 juillet 2013 à 14:31:30

Ma VM possède 2Go de ram et 1vCPU sur un i5 donc je pense qu'elle possède assez de ressources. Je testerais sur mon ESX à l'occasion mais je ne suis pas convaincu d'un meilleur résultat.

Edit:

La version R3.715 démarre enfin mais je n'ai pas testé le redémarrage de la machine.

Selon ton appli les deux fichiers suivants serait des malwares:

C:\WINDOWS\system32\VBoxTray.exe: https://www.virustotal.com/fr/file/a2342562c276113f167daf70fc0d5b76da9119d474101a031385104055c24695/analysis/1374413282/
C:\WINDOWS\system32\ctfmon.exe: https://www.virustotal.com/fr/file/2eebb12f677568c9987f17e5d2dd073e016261bee3ed02f4b764d5d7ab1a7c3f/analysis/1374413253/

Résultats sur les premiers binaires analysés avec cet antivirus:

8 binaires analysés et 6 n'ont pas été détectés du tout

https://www.virustotal.com/fr/file/8be08b4d937edfd1eaa899c2e2889833386718cec414d9177621f34f44b584e9/analysis/1374413818/

https://www.virustotal.com/fr/file/ef5abdd0484113bf55d4dabe840aa3890e81094c61b9b2da8c8363f2c3d9966a/analysis/1374414048/

https://www.virustotal.com/fr/file/910a3a2f3e02b8e94fc1c84efc6580f8ae05476b2346ee2c936e15c3abc6a4f2/analysis/1374414091/

https://www.virustotal.com/fr/file/26c0115a68e6d96e40974e0df3baf29d075044ab6134e61763207a3f7866b0d1/analysis/1374414156/

https://www.virustotal.com/fr/file/942093fd55641b90968574ce8ec944c4bcea1254977f47417361efa4fcc98c70/analysis/1374414401/

https://www.virustotal.com/fr/file/f90c87c126d39d7395f95d5930ac517431d864f28367f691d68c131acdf920f9/analysis/1374414741/

Un seul à été détecté par la signature mais aucune alerte du point de vu comportemental:

https://www.virustotal.com/fr/file/54e973959bf97057a75c4e34144b5d7c60094db3934abb9db88029aa47cf9020/analysis/1374414310/

Un seul à été détecté par le comportement:

https://www.virustotal.com/fr/file/9ae8a3a5d7e5fd11f9c754be9c9f038f578956510fc8a9b6a7e3ed9e07fa04ad/analysis/1374414604/

-
Edité par Kevin Falcoz 21 juillet 2013 à 15:53:31

C:\WINDOWS\system32\VBoxTray.exe: https://www.virustotal.com/fr/file/a2342562c276113f167daf70fc0d5b76da9119d474101a031385104055c24695/analysis/1374413282/
C:\WINDOWS\system32\ctfmon.exe: https://www.virustotal.com/fr/file/2eebb12f677568c9987f17e5d2dd073e016261bee3ed02f4b764d5d7ab1a7c3f/analysis/1374413253/

8 binaires analysés et 6 n'ont pas été détectés du tou

Kevin Falcoz a écrit:

Tout les fichiers sont des binaires exécutables (.exe). Je les ai analysés en clique droit puis analyser avec l'application. J'ai laissé le temps nécessaire à l'analyse par la sandboxie. La fin de l'analyse ce termine avec la base virale "Clean" et l'analyse comportementale "Ok".

Bonsoir,

Il semblait avoir un problème avec la connexion au base de données à cause du surcharge du proxy.

Nous avons résolut le problème il y a 13 minutes avec la mise à jour R.

Pouvez-vous ressayer avec d'autres malwares? je vous remercie d'avance.

Bonnes soirée et merci d'avoir donné de votre temps pour notre projet.

Ge0 a écrit:

Bon, l'erreur venait de moi, quelques options de compilation non désirables s'étaient glissées et ont fait que le binaire sollicitait une DLL qui ne se retrouvait pas par défaut sur tous les XP de base... ^^'

Peux-tu recommencer l'analyse ? http://venom630.free.fr/dumb.zip

Merci

Bonjour,
C'est dû à leurs comportements. J'ajoute ceux là en white-list, merci.

C'est à dire? Quel comportement?

Visiblement l'analyse comportementale est un poil trop trop sensible

EDIT: Pour mettre à plat l'AV pas besoin de  tuer la connexion internet, un simple kill et basta

-
Edité par tigzy 22 juillet 2013 à 8:40:31

M'oublie pas. 

Regardez plus haut.

C'est à dire? Quel comportement?

Visiblement l'analyse comportementale est un poil trop trop sensible 

EDIT: Pour mettre à plat l'AV pas besoin de  tuer la connexion internet, un simple kill et basta

Vboxtray => Accès à nombreux choses sur l'ordinateur

CTFMON => Accède aux frappes clavier.

Les Fake.Antivirus fonctionnent en killant les autres processus et Tiranium les contre très bien, un simple kill ne suffit pas.

Par contre je me pose une question ta white-list fonctionne comment ? tu mets le nom du process ? et tu regardes juste le nom ou ?

C'est par l'emplacement + editeur du fichier.

DubSeven a écrit:

Regardez plus haut.

Ge0 a écrit:

Peux-tu recommencer l'analyse ? http://venom630.free.fr/dumb.zip

Vboxtray => Accès à nombreux choses sur l'ordinateur

=> Juste un GUI pour VirtualBox. N'a accès à rien d'autre si ce n'est l'appel du driver bas niveau.

"Les Fake.Antivirus fonctionnent en killant les autres processus et Tiranium les contre très bien, un simple kill ne suffit pas."

Tu veux une démo?

-
Edité par tigzy 22 juillet 2013 à 13:43:15

Pour le kill même pas besoin de démo. Tu as 3 process, dont 1 parent. Tu fais juste un "kill tree" avec process explorer par exemple et pouf, fini.

J'avais fait un test avant avec ProtectMyTool et ba sans surprise j'ai chargé mon driver sans problème, protégé mon process sans souci, et ai pu tuer l'antivirus sans être inquiété ni stoppé.

Bonjour bonjour,

Je n'ai pas eu le moindre truc positif depuis que j'ai posté ce sujet quand même, j'ai l'impression qu'on m'en veux d'avoir posté ce sujet.. mais bref, les critiques me permettant de m'améliorer au moins

On va y arriver...

Je vous fait cela quand j'ai du temps

Pour le kill même pas besoin de démo. Tu as 3 process, dont 1 parent. Tu fais juste un "kill tree" avec process explorer par exemple et pouf, fini.

J'avais fait un test avant avec ProtectMyTool et ba sans surprise j'ai chargé mon driver sans problème, protégé mon process sans souci, et ai pu tuer l'antivirus sans être inquiété ni stoppé.

D'accord merci. La mise à jour est en ligne. J'ai enlevé l'enchaînement "Tree" des processus.

Bonne soirée tout le monde

Je l'avais posté sur un autre forum, mais bon. Voilà à quoi ressemble une architecture d'un AV.

http://www.adlice.com/making-an-antivirus-engine-the-guidelines/

EDIT: L'architecture tree ok, très bien. Sauf que si je suspend les 3 process et que je les tue un par un, comment tu bloques ça?

-
Edité par tigzy 23 juillet 2013 à 11:36:51

Je l'avais posté sur un autre forum, mais bon. Voilà à quoi ressemble une architecture d'un AV.

http://www.adlice.com/making-an-antivirus-engine-the-guidelines/

EDIT: L'architecture tree ok, très bien. Sauf que si je suspend les 3 process et que je les tue un par un, comment tu bloques ça? 

Coucou,

Je l'ai déjà lu il y a 1 mois

Bien vu je vais aller empêcher cela pour la prochaine mise à jour.

Bonne journée.

#EDIT 13h39# - Mise à jour de sécurité en ligne.

Ca me fait penser - j'aurais dû t'en parler plus tôt - tu t'es intéressé à ça ? http://www.davfi.fr/
Tu comprendras qu'il s'agit d'un défi tout autre que le tien... 

Je ne savais même pas que cela existait ^^"

-
Edité par DubSeven 23 juillet 2013 à 13:40:32