Virus source Flickr from Kanijoman

Pourquoi votre antivirus est (presque) inutile?

Aujourd’hui la création des codes malicieux se joue des antivirus. C’est même devenu un test standard avant leur diffusion pour obtenir  quelques jours de répit avant d’être détectés.

un petit clic pour ma veille

Seulement 51% des antivirus détectent de nouveaux virus

Une analyse récente de la société Lastline Labs spécialisée dans la sécurité met en évidence les faits suivants :

  • Le jour 0 (0-day), seulement 51% des antivirus sont en mesure de détecter de nouveaux échantillons de malwares;
  • Lorsque aucun des antivirus a  détecté un malware le premier jour, il a fallu en moyenne deux jours pour qu’au moins un antivirus le détecte;
  • Après deux semaines, il faut noter  une amélioration notable du  taux de détection (jusqu’à  61%), ce qui correspond au  temps de retard moyen de détection pour les vendeurs  d’antivirus;
  • Au cours des 365 derniers jours, aucun  antivirus n’a offert une protection parfaite;
  • Après un an, il faut constater que 10% des antivirus  ne détectent toujours pas certains codes malveillants!

Ce qui se traduit graphiquement sous cette forme-là :

Probabilité de détection de malware dans le temps

Top 1% of malware evolved against AV patterns

As you can see in grey lines in the chart above, there is a steady growth curve in the detection rates from Day 0 to Day 365 of the average malware. This pattern mostly mirrors that in the 1-percentile malware trajectory (percentiles based on least detected) which are likely more sophisticated or unique. The 1% of malware that most effectively evaded detection in this dataset is likely to represent the kind of advanced malware created and exploited by cyber-criminals who are persistently and directly targeting and infiltrating organizations, as opposed to more opportunistic malware distributors.

via  AV Isn’t Dead, It Just Can’t Keep Up.

Pour rendre les choses encore plus difficiles, voici un exemple qui provient d’un malware récemment détecté qui a également la capacité de muté sa signature pour rendre sa détection encore plus complexe:

«  Zberp utilise aussi d’autres techniques empruntées à  ZeusVM pour échapper à  la détection et assurer sa durabilité   », ont ajouté les chercheurs. Le programme malveillant supprime sa clé de registre de démarrage quand il tourne et la recrée quand il détecte un arrêt du système. Un scan réalisé par Virus-Total a montré que «  le Trojan Zberp parvient à  échapper à  la plupart des solutions antivirus quand il est détecté pour la première fois   », ont ajouté les chercheurs de Trusteer.

via  Le malware Zberp, hybride de Zeus et Carberp, cible les sites bancaires – Le Monde Informatique.

Le bon comportement de chaque utilisateur devient donc clé dans le bouclier de protection de l’entreprise et la sensibilisation et la formation ne doivent en conséquence certainement pas être négligées.

A lire également  â€œAV is dead” … ou pas !

Veilleur et spécialiste en cybersécurité

Comments are closed.

Newsletter

Me suivre: