EICAR - Décompression récursive "on access"
   

EICAR - Test de décompression récursive "on access"
Test de la capacité récursive de décompression des scanners en temps réel
(test "on access" antivirus - test "on access" anti-spywares)

Ici, nous allons utiliser (tester) les modules temps réel (scanner "on access") de votre antivirus et de votre anti-spyware (anti-trojans). Il est probable que rien ne fonctionne dès le niveau 2 de récursicité car les modules temps réel ("on access") font des impasses sur les risques mineurs, la vitesse d'exécution des modules temps réel étant un critère majeur dans les choix technologiques de ces modules. Le risque est mineur car, après tout, en dernier ressort, ils analyseront en temps réel la version décompressée du parasite puiqu'il n'y a qu'elle qui puisse, généralement, s'exécuter, donc l'analyse en temps réel de fichiers qui ne sont pas directement exécutables peut être évitée. Mais, il y a un mais... Certains algorithmes de compression sont auto extractibles et auto-exécutables : ils permettent la montée en mémoire d'un parasite compressé, le décompressent à la volée et en lancent l'exécution. C'est le cas du redoutable algorithme UPX, ultra compact et rapide.


Nota:
Je recherche plusieurs versions du compresseur UPX pour parfaire la collection des fichires de tests.

Reprendre eicar_zip_01_fois.zip et le re-compresser sur lui-même une seconde fois, puis une troisième, un quatrième etc. ... Voici ces fichiers de tests tout faits en téléchargement.

Pour être complet il faudrait refaire ce test sur chacun des algorithmes de compression ce qui nous donnerais des centaines de fichiers de test.
  • Désactivez vos antivirus et anti-spywares (anti-trojans)
  • Téléchargez tous ces fichiers dans le répertoire Eicar que vous avez prévu à cet effet.

    • eicar_zip_02_fois.zip - contient eicar.exe compressé 2 fois au format zip
      Taille : 302 octets (302 octets)
      MD5 : 0a18c6b3882fe8854e6fb2e5a4487049
      SHA1 : 78c38abbeff97949b13fe9953ddd519cbabfb24e

    • eicar_zip_03_fois.zip - contient eicar.exe compressé 3 fois au format zip
      Taille : 538 octets (538 octets)
      MD5 : 046ec53d54adabf2a9328319196485ff
      SHA1 : b18d299dbccc962496186cf1e08bad2214fd0da3

    • eicar_zip_04_fois.zip - contient eicar.exe compressé 4 fois au format zip
      Taille : 538 octets (538 octets)
      MD5 : 046ec53d54adabf2a9328319196485ff
      SHA1 : b18d299dbccc962496186cf1e08bad2214fd0da3

    • eicar_zip_05_fois.zip - contient eicar.exe compressé 5 fois au format zip
      Taille : 656 octets (656 octets)
      MD5 : f836ac531b661723fc1fbdbe7ab0dff9
      SHA1 : 28ae551bf2b97138344e7d7698e13482a2475e0f

    • eicar_zip_06_fois.zip - contient eicar.exe compressé 6 fois au format zip
      Taille : 774 octets (774 octets)
      MD5 : fb5b427de084f71056deb43e275fcc42
      SHA1 : 5bed5499443bffa13c2c4424ae9436206c95ccdb

    • eicar_zip_07_fois.zip - contient eicar.exe compressé 7 fois au format zip
      Taille : 892 octets (892 octets)
      MD5 : cd763b17f0572019809812552d888f06
      SHA1 : 5c6050a93eb93ff9962171df31deeec5083a5187

    • eicar_zip_08_fois.zip - contient eicar.exe compressé 8 fois au format zip
      Taille : 1010 octets (1 010 octets)
      MD5 : 71669f3fa980949eaf003fdfd157223c
      SHA1 : 61a79bb81b00430ea2f089b9dcbb2250fba14751

    • eicar_zip_09_fois.zip - contient eicar.exe compressé 9 fois au format zip
      Taille : 1,10 Ko (1 128 octets)
      MD5 : aebadfb4ee63599f88e49032d1a7e251
      SHA1 : 12d57554f56558fefaf09d66a4a4382ed0bfbe90

    • eicar_zip_10_fois.zip - contient eicar.exe compressé 10 fois au format zip
      Taille : 1,21 Ko (1 246 octets)
      MD5 : 4e99db34aef90f06125458235c2dfe33
      SHA1 : 2f4f7a5984cdfd61908e2e08dd6f1ddb3534a4b1

    • eicar_zip_11_fois.zip - contient eicar.exe compressé 11 fois au format zip
      Taille : 1,33 Ko (1 366 octets)
      MD5 : 61535af949ea85fbbb975ad8b2d1bf50
      SHA1 : 5d03c98af215c21312e7a24a69f4da3d5966e096

    • eicar_zip_12_fois.zip - contient eicar.exe compressé 12 fois au format zip
      Taille : 1,45 Ko (1 486 octets)
      MD5 : 951eaf42bb99e4e70c69f0555ddf9142
      SHA1 : 7c4adbcbd4d6f80984879e71ccdbf8db1f0e0584

  • Réactivez votre antivirus et conservez votre anti-spywares (anti-trojans) désactivé.
  • Créez un répertoire Eicar_bis
  • Sélectionnez tous les fichiers cités ci-dessus, copiez-les, tentez de les coller dans le répertoire Eicar_bis.
  • Observez à quel moment le scanner temps réel cesse de décompresser le parasite pour l'analyser. Sur une compression de type .zip, ce n'est pas grâve mais en UPX ce l'est. C'est alors une faille de sécurité. Vérifiez immédiatement la configuration de votre logiciel antivirus ou changez-en ! Vous trouverez, sur le site http://assiste.com, pour chaque antivirus, des conseils de réglages maximums des antivirus, le choix d'un antivirus gratuit et le choix d'un antivirus commercial.
  • Désactivez votre antivirus, votre anti-spywares (anti-trojans) étant toujours désactivé.
  • Re-téléchargez tous les fichiers qu'il vous manque (que votre antivirus a détruit).
  • Réactivez votre anti-spywares (anti-trojans) et conservez votre antivirus désactivé.
  • Re-sélectionnez tous les fichiers ci-dessus, copiez-les, tentez de les coller dans le répertoire Eicar_bis.
  • Dito ci-dessus : observez ce qui se passe. Vous trouverez, sur le site http://assiste.com, le choix d'un anti-spywares (anti-trojans) gratuit et le choix d'un anti-spywares (anti-trojans) commercial.
  • Assurez-vous de réactiver votre antivirus et votre anti-spywares (anti-trojans).



Révision - 10.03.05

Rédigé en écoutant