Interprétation des analyses sur virustotal com

Le problème exposé dans ce sujet a été résolu.

Salut,

De manière générale, ne t’en fait pas trop ici, pour qu’un fichier soit effectivement considéré comme malicieux, il serait nécessaire qu’il y ait bien plus d’alertes. Comme tu le précises, c’est ici typiquement un cas de faux positifs (2 alertes sur 67 sources, c’est peu).

Ensuite, VirusTotal se base sur différentes bases de données dont la source t’est indiquée (ici CrowdStrike Falcon et SentinelOne). Sachant que ces bases de données sont esseniellement alimentées par des hash d’exécutables ou de parties d’exécutables, les collisions sont possibles, d’où ce type de résultat. Il est aussi possible que ton code réalise certaines actions qui sont considérées comme « dangereuses ».

Malheureusement, sans ton code et, surtout, sans les critères d’analyses utilisés, il est difficile d’en dire plus…

+0 -0

Je n’ai malheureusement pas le code sous la main. Je me rappelle que je fais appel à la fonction File.WriteAllBytes() pour éditer le contenu d’un fichier, c’est peut-être cela qui a émis l’avertissement ?

Xalty

Très sincèrement, je n’en ai aucune idée.

De plus, serait-ce utile de signaler ce faux-positif ? Je me demande comment les faux-positifs sont gérés par les anti-virus.

Xalty

Mise à part si cela s’avère gênant (empêche un programme système de fonctionner correctement), je pense qu’ils ne s’en préoccupent pas outre mesure.

+0 -0

Hello.

J’ai pas mal dev’ en C#/VB.Net et en soi ce n’est pas cette fonction à proprement parler qui va induire un faux positif mais plutôt ce pourquoi tu t’en sers.

Je ne connais pas comment fonctionnent les moteurs AV mais je me suis amusé il y a quelques années à devoir rendre un de mes programmes non détectable par les AV car il était positif (c’était un outil permettant de contrôler à distance des fonctions sur mes serveurs). Voici ce que je peux me souvenir et qui se rapprocher de ton cas :

  1. Si ton File.WriteAllBytes() écrit dans un fichier sensible, par exemple C:\Windows\system32\etc\hosts alors l’AV peut le détecter. Tandis qu’écrire dans un fichier comme toto.txt est moins suspicieux.

  2. Quel type de données essaies-tu d’écrire ? Si tu essaies d’écrire un fichier PE ou quelque chose du type par exemple, les AV détectent souvent (mais ici, tu aurai eu bien plus de résultats rouges sur VT)

  3. Je vois que ton projet s’appelle DeleteFile.exe, truc bête mais change complètement les infos de l’assembly, essaie de nommer ton projet/assemble toto.exe et regarde (juste pour debug et trouver d’où ça vient)

  4. Le nom de tes variables peut également soulever un faux positif dans l’analyse de ton programme, exemple bien connu :

    ntuvo = new NtUnmapViewOfSection(…

Le parfait combo pour déclencher un AV (fonction souvent utilisé par les malwares ajouté au nom de la variable assez commun, raison supplémentaire)

C’est un peu pénible d’avoir des soft legit détecté et à part faire remonter -et je doute que tout soit pris en charge- il faut gratter comme ça…

Connectez-vous pour pouvoir poster un message.
Connexion

Pas encore membre ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte