Quelle dangereuse peut-elle être un fichier sans logiciel malveillant détecté?
Disons qu'il y ait un fichier qui a passé avec succès toutes les analyses par tous les logiciels antivirus, il existe sur Virustotal. Cela signifie-t-il que cela ne peut pas être dangereux? Si non, quel genre de dangers on pouvait attendre?
Il est tout à fait possible qu'un fichier non détecté par aucun scanner reste un logiciel malveillant. En fait, je m'attendrais à ce que la plupart des nouveaux logiciels malveillants commencent ainsi! N'oubliez pas que les méchants ont également accès aux logiciels antivirus. Et ils en profiteront absolument en faisant des ajustements à leurs logiciels malveillants jusqu'à ce qu'aucun logiciel antivirus ne le détecte. (Accordé, ils ne seraient pas en mesure de tester avec Virustotal ou aucun scanner en ligne qui enverraient leur dossier aux entreprises antivirus pour analyse, mais elles peuvent toujours passer un test de longue distance avec des scanners hors ligne.)
Une fois que les logiciels malveillants sont libérés dans le monde et gagnent une distribution significative, les entreprises antivirus finiront par le remarquer et l'ajouter à leurs bases de données. Mais si vous êtes assez malchanceux d'être parmi les premières personnes à rencontrer un nouveau morceau de logiciels malveillants, il est tout à fait possible qu'aucun logiciel antivirus ne détecte le fichier de logiciels malveillants lorsque vous le rencontrez d'abord.
Ça s'empire. Les attaquants sophistiqués (par exemple les États-nations) distribuent souvent des logiciels malveillants à un très petit groupe de cibles de sélection. En limitant intentionnellement la distribution, il peut prendre des années ou plus avant que toute entreprise antivirus ne s'engage. La plupart des gens ne seront jamais la cible d'attaques sophistiquées comme celle-ci, mais si vous êtes un, les logiciels antivirus seront très inefficaces.
En conclusion: Si de nombreux programmes antivirus signent un fichier de logiciels malveillants, c'est un bon signe que c'est des logiciels malveillants. Si aucun scanner signale un fichier de logiciel malveillant, vous ne pouvez rien conclure.
Il y a beaucoup d'informations là-bas sur la façon dont les logiciels malveillants d'écriture ou de transport pour by-pass anti-virus et d'autres produits de sécurité. Et puisque les attaquants et les fournisseurs de produits de sécurité améliorent en permanence leurs produits il y aura toujours quelques uns des logiciels malveillants qui passe AV, soit il n'y aura pas AV qui est en mesure de protéger contre tous les logiciels malveillants connus et inconnus sans avoir également un haut taux de faux positif inacceptable ( à-dire bloquer tout certainement bloque tous les logiciels malveillants inconnus de trop mais il est pas vraiment utile).
Les risques de laisser ces logiciels malveillants à travers ne sont pas différents de laisser le par des logiciels malveillants détectés. Vous avez juste besoin d'être préparé que votre réseau ou à la machine sera compromise à un moment donné et devraient être en mesure de détecter les attaques réussies tôt et récupérer rapidement de ces derniers.
En général, le risque dépend beaucoup du contexte dans lequel ce fichier a été reçu et quel type de fichier il est. Si c'était un envoi de fichier attendu par une personne de confiance, le risque est faible comparable mais il pourrait encore que le système d'expéditeurs peut être compromise et Intègre malware dans des fichiers. S'il est un fichier téléchargé à partir de certains sites hors du commun, voire illégal sur Internet le risque est beaucoup plus élevé puisque ces sources sont régulièrement utilisées pour les logiciels malveillants propagation. Si cela est un fichier texte pur (texte brut, aucun document Office) ou de l'image, le risque est faible car il faudrait un bug dans l'application locale ou OS pour exécuter certains logiciels malveillants intégré. Si elle est à la place d'un fichier exécutable, document Office, écran de veille ou similaire, le risque est beaucoup plus élevé encore, etc.
J'ajouterai aux autres bonnes réponses ici qu'il est la meilleure pratique de stocker à long terme d'EXE et de les modifier régulièrement lorsque les signatures sont mises à jour.
Quant aux dangers éventuels, cela pourrait faire ce que vous attendez qu'il fasse et que rien de plus. Cela pourrait faire ce que vous attendez et aussi une première étape qui établit une persistance dans votre système puis des téléphones à la maison pour plus d'instructions. Il pourrait être destructeur sur ses propres
Utilisez votre meilleur jugement basé sur la source et le risque potentiel pour votre système/environnement.
Le code frais ne sera pas signalé comme un logiciel malveillant, du moins pas par balayage de signature (la forme d'analyse la plus courante), une personne doit ajouter la signature. L'analyse dynamique peut l'attraper, mais il y a des moyens autour de cela aussi.
En outre, même les anciens logiciels malveillants, avec des signatures sur presque tous les antivirus, peuvent être masqués avec les bons outils. Un crypter polymorphe peut rendre un logiciel malveillant à l'abri de la signature de la numérisation/analyse statique et des moyens d'analyser/émulation dynamique.
Cela dit, vous ne pouvez jamais être sûr à 100% d'un exécutable est un logiciel malveillant ou non à moins que vous ne vérifiez la source et la compilait vous-même.