L’antispyware Adaware sous le feu des critiques SecuObs - L'observatoire de la sécurite internet - Site d'informations professionnelles francophone sur la sécurité informatique

Virus

L’antispyware Adaware sous le feu des critiques

Par Ludovic Blin, secuobs.com
Le 18/05/2006

Résumé : Un chercheur s’est livré à un travail de reverse engineering sur l’antispyware en vogue. Son manque de vérifications des signatures pourrait le rendre vulnérable à un malware et donc inopérant dans certains cas. - Lire l'article

Version imprimable de cet article
Suivre l'ensemble des commentaires SecuObs en RSS
Suivre tous les commentaires de la categorie Virus en RSS

Un chercheur s’est livré à un travail de reverse engineering sur l’antispyware en vogue. Son manque de vérifications des signatures pourrait le rendre vulnérable à un malware et donc inopérant dans certains cas.

Face à la prolifération de l’utilisation de techniques plus que contestables par des programmes publicitaires intrusifs (adware) et aux nombre importants de logiciels espions (spyware), l’outil « Ad Aware » s’est taillée une belle réputation parmi les utilisateurs pour éradiquer ce genre de menace.

Le chercheur en sécurité Roy Batty, dans les colonnes de Rootkit.com casse quelque peu le mythe suite à son analyse du fonctionnement du programme, qui décrypte la communication réalisée par la société, par rapport aux fonctionnalités réelles du logiciel.

Il s’est attaché en premier lieu au fichier de signatures de l’utilitaire. Celui-ci est en fait constitué d’un fichier zip qui est protégé par un mot de passe dont une partie est fixe et l’autre générée lors du lancement du programme, puis encodée par un algorithme de type XOR.

Première surprise : le fichier de définitions n’est pas signé et ne dispose pas d’un mécanisme de type somme de contrôle (checksum) sur son intégrité. Il est donc possible assez facilement de modifier le fichier de signatures pour échapper au contrôle du logiciel.

Le mécanisme des sommes de contrôles est utilisé par contre pour le scan des fichiers qui lui sont soumis. Deux sommes de contrôles sommaires (par exemple la première boucle sur les 1536 premiers octets du fichier, avec un pas de 32 octets) sont en effet établies pour chaque fichier, puis comparées aux entrées dans la base de signatures.

Le chercheur met ce mécanisme en rapport avec les déclarations du service marketing de la société clamant que le fichier de signatures était devenu plus petit (NDLR : et donc le scan plus rapide). Par ailleurs, il serait facile de créer des collisions avec des tels algorithmes. Petit détail croustillant, le programme multiplierait en fait par 1,46 le nombre de signatures du fichier, avant de l’afficher pour l’utilisateur.

Enfin, le chercheur note que la nouvelle technologie CSI (Code Sequence Identification), présentée par la société comme permettant de détecter des codes malveillants inconnus, n’est utilisée que sur le contenu de la mémoire, les fichiers n’étant scannés que par rapport à la base de signatures.

Voir tous les articles de "Ludovic Blin" publiés sur SecuObs (269 résultats)
Voir tous les articles publiés par l'organisme "secuobs" sur SecuObs (998 résultats)

Version imprimable de cet article

Suivre l'ensemble des commentaires SecuObs en RSS
Suivre tous les commentaires de la categorie Virus en RSS

- Article suivant : Mc Afee annonce la sortie d’un antivirus pour Mac OS X
- Article précédent : Un suspect de trafic d’arme intente un procès à HP
- Article suivant dans la catégorie Virus : Mc Afee annonce la sortie d’un antivirus pour Mac OS X
- Article précédent dans la catégorie Virus : Cryptovirus, théorie & renforcement

Les derniers commentaires de la catégorie Virus:

- ESRT @hacktalkblog - New Exploit remote - F-Secure Multiple Products ActiveX SEH Overwrite Vulnerability Heap Spray ... - ESRT @xanda @taviso - the paper of my Blackhat talk, if you're evaluating or deploying Sophos you might check it out ... - ESRT @jduck1337 - CA ARCserve D2D r15 GWT RPC Multiple Vulnerabilities ... - ESRT @revskills @secbydefault @aramosf - X.Org security advisory: root hole via rogue hostname ... - DHCP client allows shell command injection ...

Les derniers articles de la catégorie Virus :

- Une famille de codes malicieux ciblant à la fois les systèmes Windows et Mac OS X - Un Botnet utilisant le réseau d’anonymisation et les services cachés de Tor - Une nouvelle forme de code malicieux exploitant Debian Squeeze et NGINX - Un premier ver pour l’iPhone - SCS, un scanner pour déterminer si un poste est contaminé par Conficker - Une nouvelle variante de Conficker en circulation - Downadup/Conficker, un ver qui fait des étincelles - Un code malveillant modifie les DNS via un faux serveur DHCP, déjà 1 million de victimes - Des publicités Google Adsense pour le malware Antivirus XP 2008 - Microsoft One Care le parent pauvre des antivirus + d'articles de la catégorie Virus

SecuToolBox :

Bluetooth Stack Smasher v0.6 / Bluetooth Stack Smasher v0.8 / Slides Bluetooth Eurosec 2006 / Exposé vidéo Windows Shellcode - Kostya Kortchinsky / Exposé audio Reverse Engineering - Nicolas Brulez / Exposé vidéo Securitech - Pierre Betouin / Secure WIFI WPA + EAP-TLS + Freeradius / Audit Windows / Captive Password Windows / USBDumper / USBDumper 2 / Hacking Hardware / WishMaster backdoor / DNS Auditing Tool / Ettercap SSL MITM / Exploit vulnérabilités Windows / Memory Dumper Kernel Hardening / Reverse Engineering / Scapy / SecUbuLIVE CD / Metasploit / eEye Blink Sec Center / eEye Retina Scanner + d'outils / + de tutoriels

Mini-Tagwall des articles publiés sur SecuObs :

sécurité, exploit, windows, attaque, outil, microsoft, réseau, audit, metasploit, vulnérabilité, système, virus, internet, usbsploit, données, source, linux, protocol, présentation, scanne, réseaux, scanner, bluetooth, conférence, reverse, shell, meterpreter, vista, rootkit, détection, mobile, security, malicieux, engineering, téléphone, paquet, trames, https, noyau, utilisant, intel, wishmaster, google, sysun, libre + de mots clés avec l'annuaire des articles publiés sur SecuObs

Mini-Tagwall de l'annuaire video :

curit, security, biomet, metasploit, biometric, cking, password, windows, botnet, defcon, tutorial, crypt, xploit, exploit, lockpicking, linux, attack, wireshark, vmware, rootkit, conference, network, shmoocon, backtrack, virus, conficker, elcom, etter, elcomsoft, server, meterpreter, openvpn, ettercap, openbs, iphone, shell, openbsd, iptables, securitytube, deepsec, source, office, systm, openssh, radio + de mots clés avec l'annuaire des videos

Mini-Tagwall des articles de la revue de presse :

security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone, server, inject, patch, apple, twitter, mobile, virus, ebook, facebook, vulnérabilité, crypt, source, linux, password, intel, research, virtual, phish, access, tutorial, trojan, social, privacy, firefox, adobe, overflow, office, cisco, conficker, botnet, pirate, sécurité + de mots clés avec l'annuaire de la revue de presse

Mini-Tagwall des Tweets de la revue Twitter :

security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall, network, twitter, vmware, windows, microsoft, compliance, vulnerability, python, engineering, source, kernel, crypt, social, overflow, nessus, crack, hacker, virus, iphone, patch, virtual, javascript, malware, conficker, pentest, research, email, password, adobe, apache, proxy, backtrack + de mots clés avec l'annuaire de la revue Twitter