Depuis quelques jours, je reçois des mails à virus (c'est pas nouveau!) en
provenance de site spammeurs (ça c'est nouveau), référencés comme tels sur
"sbl-xbl.spamhaus.org" et que mon filtre anti-spam marque [DNSBL] (Domain
Name Server Black List) en début d'objet pour qu'ils aillent directement à
la corbeille. J'en ai reçu en tout une dizaine en trois jours.
Si des fermes à spam sont infectées, alors le nombre de virus circulant sur
internet devrait croître très très vite (imaginez un ou des virus s'envoyant
aux dizaines de millions d'adresses mails stockées sur la machine d'un
spammeur professionnel... c'est le scénario catastrophe).
J'ai lu aussi certains avis qui suggèrent qu'il s'agirait d'une
"coopération" entre spammeurs et fabricants de virus, les spammeurs étudiant
les méthodes de propagation des vers internet pour les adapter à la
diffusion de spams commerciaux.
Bref, on est pas sortis de la m...!
A part ça, mon filtre anti-spam est en service depuis le 10/03.
J'ai reçu 472 spams, contre 78 "bons" courriels.
Sur les spams, environ 85% sont des virus, 15% des spams à caractère
commercial (Viagra, Vicodine, augmenter le diamètre de mon pénis,
placements, prêts hypothécaires pas chers...).
Le taux de discrimination est de 97%, les 3% incluant les faux positifs
(bons mails classés spams) et les faux négatifs (spams classés bons).
A noter que dans les virus, passée la période d'apprentissage qui s'est
faite sur 3 à 4 mails infectés, tout les autres mails infectés ont été
automatiquement classés "Spam" par mon filtre (K9, de keir.net). Résultat
remarquable, qui le classe au niveau des meilleurs antivirus de messagerie,
bien qu'a priori il ne soit pas fait pour ça! On est loin d'un simple "effet
de bord"!
Je suis convaincu que les statistiques bayésiennes devraient être intégrées
dans les antivirus et rejoindre la panoplie des techniques de détection.
Messieurs les éditeurs d'antivirus... à vous de jouer!
--
Michel Nallino aka WinTerMiNator
http://www.chez.com/winterminator
(Internet et sécurité: comment surfer en paix)
http://www.gnupgwin.fr.st
(GnuPG pour Windows)
Adresse e-mail: http://www.cerbermail.com/?vdU5HHs5WG
Par contre je ne vois pas comment des filtres bayesiens pourraient s'appliquer à l'analyse des virus : il s'agit simplement de listes de bons et de mauvais mots, un calcul du pourcentage ensuite pour donner une probabilité. A ma connaissance aucun AV ne travaille avec des filtres bayesiens, ça ne s'applique pas à du code : comment veux-tu faire des probabilités sur les mots employés dans le code, c'est les mêmes pour du code correct que pour du code malveillant.
On modifie la définition de "mot". ;-) On décrète qu'un mot, c'est une certaine séquence de code. Ensuite on peut calculer des pourcentages. Reste à savoir si ce serait une méthode efficace, mais c'est faisable.
JacK wrote:
Par contre je ne vois pas comment des filtres bayesiens pourraient
s'appliquer à l'analyse des virus : il s'agit simplement de listes de bons
et de mauvais mots, un calcul du pourcentage ensuite pour donner une
probabilité. A ma connaissance aucun AV ne travaille avec des filtres
bayesiens, ça ne s'applique pas à du code : comment veux-tu faire des
probabilités sur les mots employés dans le code, c'est les mêmes pour du
code correct que pour du code malveillant.
On modifie la définition de "mot". ;-) On décrète qu'un mot, c'est une
certaine séquence de code. Ensuite on peut calculer des pourcentages.
Reste à savoir si ce serait une méthode efficace, mais c'est faisable.
Par contre je ne vois pas comment des filtres bayesiens pourraient s'appliquer à l'analyse des virus : il s'agit simplement de listes de bons et de mauvais mots, un calcul du pourcentage ensuite pour donner une probabilité. A ma connaissance aucun AV ne travaille avec des filtres bayesiens, ça ne s'applique pas à du code : comment veux-tu faire des probabilités sur les mots employés dans le code, c'est les mêmes pour du code correct que pour du code malveillant.
On modifie la définition de "mot". ;-) On décrète qu'un mot, c'est une certaine séquence de code. Ensuite on peut calculer des pourcentages. Reste à savoir si ce serait une méthode efficace, mais c'est faisable.
