2016-01-20T00:00 - Assiste - Pierre Pinard
20.01.2016 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour
20.01.2016 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mises à jour liste des antivirus, taille maximum des fichiers. Merci à Tourix sur nos forums. Une correction lexicale.
Rien de ce qui est téléchargé dans votre ordinateur ne doit être ouvert ou exécuté avant d'avoir été analysé. Faites analyser un téléchargement gratuitement immédiatement, avec de multiples antivirus simultanés, avant sa première ouverture.
Attention : Un produit ou service antivirus "on-demand" ne remplace pas et ne remplacera jamais un véritable antivirus.
Les produits ou services fonctionnant à la demande, et non pas en temps réel, qu'ils soient installés localement ou en ligne, ne servent qu'à vous aider à estimer l'innocuité ou la dangerosité d'un objet (fichier). Les produits ou services on-demand, incluant la plupart des outils gratuits et des versions gratuites des produits commerciaux, ne protègent pas votre ordinateur et ne vous protègent pas. Ces outils arrivent trop tard, après l'infection et ses dégâts ! Seuls les outils fonctionnant on-acces (en temps réel) vous protègent.
Analyse antivirus gratuite, en ligne, immédiate, d'un fichier (jusqu'à 5 fichiers peuvent être envoyés en une seule requête). 21 antivirus simultanés, tous dans leur version la plus à jour et tous en version Linux. 50 Mo maxi par fichier / jusqu'à 5 fichiers à la fois.
Recherche par condensat (hashcode) : une fois rendu sur le site de Jotti, cliquer, en haut de page, sur le lien appelé "" Recherche hachage "".
Indiquer l'emplacement du fichier à analyser, sur votre ordinateur, et il sera télétransmis. Jusqu'à 5 fichiers peuvent être soumis / transmis en même temps. Taille maximum par fichier : 50 MO
Service multi-antivirus gratuit en ligne - Jotti
Les 20 antivirus suivants sont utilisés (et trois ne font plus partie du pannel), tous en version Linux et dans leur mise à jour la plus récente :
Cet outil, gratuit pour l'utilisateur (vous), vous permet d'avoir une idée de l'innocuité ou de la nocivité d'un fichier et permet à chaque éditeur d'antivirus de recevoir immédiatement tout fichier analysé dans lequel il n'aurait pas détecté de menace, dès lors qu'un autre antivirus aurait détecté une menace.
Note : le service s'appelle, formellement, VirusScan. Ce service, au sein de l'Université de Hambourg, en Allemagne, participe à la liste des Virus « In the Wild » (The WildList), en la personne de Toralv Dirro (vérifié en mai 2013).
Mode d'emploi des services multi-antivirus gratuits en ligne
Envoyer un fichier local à l'analyse antivirus.
Se rendre sur la page du service (clic sur le bouton , en haut à droite de cette page).
Le service offre un bouton permettant de naviguer, sur vos disques, afin de désigner le fichier (un seul à la fois) à analyser. Le bouton peut s'appeler ou ou etc. ... Cliquer sur ce bouton.
Une fenêtre classique de l'explorateur de Windows s'ouvre. Naviguer jusqu'au fichier à analyser et le sélectionner puis cliquer sur le bouton (très mal nommé à ce stade) .
Le chemin d'accès au fichier à analyser s'affiche dans la boîte de dialogue du service. Jeter un coup d'oeil afin de s'assurer que l'on envoi le bon fichier à l'analyse.
Cliquer sur le bouton lançant l'envoi du fichier sur le serveur du service, envoi qui sera suivi de son analyse par le pack d'antivirus utilisé par le service. Le bouton peut s'appeler ou ou etc. ...
Attendre que le résultat de l'analyse s'affiche, sans jamais demander de rafraîchissement de la page. L'attente est plus ou moins longue, dépendante de la taille du fichier qui doit être téléchargé à la vitesse de votre connexion Internet et de la charge des serveurs du service d'analyse antivirus (votre demande est mise en file d'attente et les demandes sont traîtées dans leur ordre d'arrivée. Selon la nationalité des services (fuseaux horaires), et leur notoriété, il y a des heures de très fortes charges où l'attente peut atteindre plusieurs minutes, et des heures creuses.
Si le fichier a déjà été analysé par le service, il vous est proposé de consulter immédiatement l'archive de cette analyse (le temps depuis lequel cette analyse a été faite est signalé). Vous pouvez demander à ce que ce fichier soit ré-analysé car, depuis la précédente analyse, les antivirus ont probablement été mis à jour (code et bases de données).
Exemple d'une analyse par VirusTotal Analyse
Ce KeyGen est dangereux
Antivirus
Résultat
AVG
BackDoor.Generic14.BPTG
Agnitum
Backdoor.Turkojan!GJutAUxqMys
AntiVir
TR/Kazy.32449.1
Antiy-AVL
Backdoor/Win32.Turkojan.gen
BitDefender
Gen:Variant.Kazy.2529
CAT-QuickHeal
Trojan.Orsam
Comodo
TrojWare.Win32.Agent.~ssf
Emsisoft
Gen:Variant.Kazy.32449 (B)
F-Secure
Gen:Variant.Kazy.2529
Fortinet
W32/SPNR.08K911!tr
GData
Gen:Variant.Kazy.2529
Ikarus
Trojan-Downloader.Banload
Jiangmin
Backdoor/Turkojan.etc
K7AntiVirus
Backdoor
Kingsoft
VIRUS_UNKNOWN
McAfee
Suspicious Keygen!rar
McAfee-GW-Edition
Suspicious Keygen!rar
MicroWorld-eScan
Gen:Variant.Kazy.2529
Microsoft
HackTool:Win32/Keygen
Norman
keygen.QD
Panda
Generic Backdoor
Sophos
Mal/Generic-L
Symantec
Trojan.Gen.2
TheHacker
Trojan/Ilomo.f
TrendMicro
TROJ_SPNR.08K911
TrendMicro-HouseCall
TROJ_SPNR.08K911
VIPRE
Trojan.Win32.Generic!BT
eSafe
Win32.PCKEnigma
Faire analyser un fichier sur son lieu d'hébergement, avant de le télécharger
Certains services (VirusTotal, ) permettent, alternativement, de saisir une URL afin de demander l'analyse d'un fichier se trouvant sur un serveur. Il est donc possible de demander l'analyse d'un fichier avant de le télécharger, ce qui évite la perte de temps de télécharger un objet qui va se révéler être un virus qu'il faudra ensuite détruire (et cela économise la bande passante de la connexion Internet).
Pour obtenir le lien à soumettre, faire un clic droit (clic avec le bouton droit de la souris) sur le lien ou le bouton qui permet le téléchargement en question (le bouton qui s'appelle ou etc. ...). Une petite fenêtre dite "contextuelle" s'ouvre qui comporte, entre autres, l'option "Copier l'adresse du lien". Cliquer sur cette option, revenir à la page du service multi-antivirus gratuit en ligne, chercher l'endroit où il propose de soumettre une URL et coller l'URL que vous venez de copier à cet endroit puis validez.
Chez VirusTotal, le lien s'appelle . Il existe également le fabuleux module complémentaire VTZilla pour Firefox, à installer absolument, qui permet d'obtenir, en plus, un avis, de type Web Réputation, sur le site lui-même puis de lancer l'analyse du fichier avant de le télécharger.
Chez Novirusthanks, la boîte de dialogue s'appelle , sur la page d'accueil du service.
Notons qu'il n'est pas toujours possible d'obtenir l'URL d'un fichier (de nombreux sites camouflent l'emplacement exact de manière à empêcher le téléchargement direct et à obliger à passer par des cascades de pages bourrées de publicités).
Télécharger ou Exécuter
Vous ne devez jamais ouvrir (ou exécuter) un fichier en même temps que son téléchargement. Vous devez choisir de simplement le télécharger, sans qu'il soit ouvert / exécuter. Ceci vous donne le temps de le faire analyser et de mesurer sa dangerosité ou son innocuité, avant de décider s'il est opportun de l'ouvrir. Si votre navigateur n'est pas fichu de vous proposer cela, changez de navigateur et passez à Firefox.
Rechercher si un fichier a déjà été analysé par l'un de ses hashcodes (MD5, SHA-1, SHA-256)
Certains services conservent les résultats d'analyses et permettent de rechercher ce résultat antérieur à partir d'un "chiffre clé" (hashcodes selon les algorithmes MD5, SHA-1, SHA-256) du fichier analysé. C'est un gain de temps énorme et, si le fichier a déjà été analysé, les résultats s'affichent immédiatement. Si l'analyse n'a que peu d'antériorité (quelques heures à quelques jours), et qu'elle comporte de nombreux signalements, il n'est pas utile de ré-analyser l'objet. Si le fichier n'a fait l'objet d'aucun signalement, il est préférable de demander une nouvelle analyse, sachant que les bases de signatures des antivirus sont mises à jour des dizaines de fois par heure.
Pour calculer le chiffre clé d'un fichier présent sur votre ordinateur, il existe divers outils dont, recommandé : HashTab.
Chez VirusTotal, le lien s'appelle . Notons que la recherche sur le service VirusTotal est plus vaste et peut contenir des recherches de mots contenus dans les commentaires des internautes attachés aux analyses.
Astuce pour faire analyser de très gros fichiers par un service multi-antivirus gratuit Une archive multi-volumes est une archive découpée en plusieurs fichiers dont on limite la taille pour diverses raisons : par exemple, mettre sur un serveur une archive de 1GO alors que le serveur n'accepte pas des envoies de fichiers de plus de 100MO. L'outil de compression / décompression verra le tout comme une archive unique tandis que la limite sera contournée. Un usage typique est l'envoi à l'analyse antivirale en ligne d'un fichier dont la taille dépasse la taille maximum autorisée par le service (VirusTotal, Jotti, VirScan...).
Il faut utiliser un outil de compression (archivage) multi-volumes et donner à cet outil l'ordre de compresser le/les fichiers en une archive multivolume dont la taille de chaque "volume" est, au plus, égale à la taille maximum cible.
Il est ainsi possible de sauvegarder une archive de plusieurs GO sur des disquettes de 1,44 MO.
Il est ainsi possible de faire analyser les archives une par une, par des services comme VirusTotal, Jotti, VirScan... comme autant de fichiers séparés
Cas particulier des analyses antivirales d'archives multi-volumes :
Dans le cas d'une grosse archive découpée en plusieurs petits volumes, les antivirus ne pourront travailler qu'en analyse de signatures virales. Les analyses de type Sandbox, machines virtuelles, analyses heuristiques etc. ... sont impossibles.
Il y a un risque, minime mais réel, qu'une signature virale ne soit pas détectée car à cheval sur la coupure entre deux volumes. Pour y remédier, faire un second découpage en volumes de tailles différentes. Par exemple, si on souhaite faire analyser un gros fichier suspect par un service multi-antivirus en ligne, comme VirusTotal, sachant que ce service limite la taille des fichiers (par exemple, taille maximum de 32MO), faire un premier archivage en volumes de 30MO et un second en volumes de 31MO.
L'outil d'archivage idéal pour faire des archives multi-volumes est le célèbre 7-Zip, Open Source et gratuit.
Installer 7-Zip (version 32bits ou 64bits selon le système Windows cible)
Dans l'Explorateur Windows, sélectionner le fichier à compresser en une archive multi-volumes.
Faire un clic droit sur le nom du fichier. Un menu contextuel s'ouvre.
Sélectionner 7-Zip puis cliquer sur "Ajouter à l'archive".
Dans la fenêtre du programme 7-Zip qui s'ouvre, un nom d'archive est proposé, basé sur le nom du fichier à archiver et suivi d'une extension .7z (extension standard des fichiers compressés avec l'algorithme de compression de 7-Zip).
Ajouter un symbole quelconque (caractères légaux dans un nom de fichier Windows) devant ou derrière le nom du fichier. Par exemple, si le fichier à compresser est grosfichier.exe, le nom proposé pour l'archive est grosfichier.7z. Modifiez-le, par exemple, en grosfichier_.7z ou _grosfichier.7z ou archive_suspecte_grosfichier.7z etc. ... Ceci va permettre d'éviter d'éventuels ambiguïtés avec d'autres noms de fichiers proches ou avec votre mémoire lorsque vous reviendrez sur cette archive plus tard, après avoir oublié de quoi il s'agit.
Si le destinataire de l'archive, par exemple un service comme VirusTotal, Jotti, VirScan..., a spécifié un format d'archive qu'il sait décompresser, à l'exclusion d'autres formats, sélectionner, dans "Format de l'archive", le format souhaité. Pour les soumissions aux services d'analyse antivirus en ligne, utiliser le format "Zip".
Dans la boîte de dialogue "Découpez en volumes, octets", saisir, par exemple, 18M pour un découpage en volumes de 18MO.
Clic sur Ok.
La compression avec découpage multi-volumes se déroule et vous obtenez une série de fichiers portant le nom de l'archive postfixé .001, .002, .003 etc. ...
Manipuler ces fichiers comme autant de fichiers séparés (ou les laisser groupés dans le même répertoire pour l'outil de décompression qui les verra tous comme un unique grand fichier).
Nombre maximal de fichiers dans une archive, selon les antivirus gratuits en ligne
Une archive compressée peut contenir de nombreux fichiers, toutefois les services d'analyse multi-antivirus ne donnent qu'une limite de taille de l'archive, pas de limite du nombre de fichiers. Seul VirSCAN signale qu'il supporte la décompression Rar/Zip mais qu'il doit y avoir moins de 20 fichiers dans une archive.
Passer le barrage de l'antivirus local pour uploader vers un antivirus gratuit en ligne
Vous souhaitez faire analyser un fichier par un service multi-antivirus en ligne mais votre antivirus local vous empêche de manipuler ce fichier (de l'uploader) car il est détécté comme comportant un virus. Ne jamais désactiver votre antivirus ! Simplement compresser le fichier avec un outil d'archivage (7-Zip, par exemple, gratuit) et protéger cette archive avec un mot de passe, ce qui empêchera votre antivirus de l'analyser. Le mot de passe doit, par contre, être reconnu par le service multi-antivirus en ligne (le service VirSCAN signale qu'il peut détecter un fichier compressé avec le mot de passe 'infected' ou 'virus').
Sécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoir
Sécurité informatique - Contre-mesures
Derrière le rideau
Références
Ressources
Requêtes similaires
Historique des mises à jour de cette page
21.11.2014 - 00h00 - Paris - (Assiste - Pierre Pinard) - Vérification
10.01.2013 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour
01.04.2012 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour de notre article antérieur (versions 1997-2007)