TDS : anti-trojan. Analyse les fichiers compressés et les processus licites. Réglage de sensibilité. Moteur heuristique. Détecte les malveillances.

cr  23.08.2020      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

TDS-3 Professional (TDS - Trojan Defence Suite), de DiamondCS (Diamond Computer Systems), pourrait bien être le meilleur anti-trojan et les tests comparatifs de l'époque le classaient effectivement en haut des listes. TDS annonçait, le 17.07.03, une base de signatures de 26.624 entrées (il est vrai qu'il s'occupait aussi des vers (worms) et des scripts hostiles) là où The Cleaner clamait haut et fort être le meilleur et annonçait 4.865 entrées (il est vrai, le 28.06.2002).

D'un abord austère, tout en anglais, avec de nombreux réglages fins possibles, TDS-3 Professional est capable d'analyser les fichiers compressés. Il dispose d'un scanner heuristique applicable sélectivement à la recherche de possibles trojans, vers (worms), scripts hostiles, avec un réglage de sensibilité.

TDS-3 Professional comporte de nombreux utilitaires inclus dont ping, traceroute, whois, tables de références croisées port/usage légal ou cheval de Troie, liste des processus actifs avec infos détaillées, liste des ports ouverts avec protocole et sens, etc. Il dispose même d'un système de certification de scripts permettant aux éditeurs de soumettre leurs scripts qui, après analyse par DiamondCS, peuvent être introduits dans une base de signatures de scripts non hostiles (liste blanche) afin de diminuer le nombre de fausses alertes potentielles du moteur heuristique.

Remarque : Lors d'un scan total, il n'a vu que des broutilles (fichiers à doubles extensions...). Même le simple nom du fichier aurait dû l'alerter, lui qui prétend justement conserver son ancienne méthode de scan appelée « traces » pour cela ! Alors je lui ai demandé de scanner spécifiquement le fichier zippé appelé "backwork2" et contenant le trojan "backwork" - au bout de 45 minutes à travailler sur ce fichier j'ai abandonné, considérant qu'il ne s'en sortirait jamais. Même si PestPatrol est un peu moins pointu sur les seuls trojans, il reste, pour moi, très au-dessus du lot et voit très bien backwork.

Logiciel commercial - essai gratuit

TDS - Trojan Defence Suite - TDS-3 Professional - DiamondCS

Analyse de TDS par PestPatrol : UPX trouvé dans TDS.

PestPatrol découvre, installé dans TDS, le packer UPX. UPX ('Ultimate Packer for eXecutables') est un packer exécutable portable, extensible et de hautes performances pour plusieurs formats de fichiers. Il obtient un excellent taux de compression et offre une décompression très rapide.

Les packers sont des utilitaires qui compressent des fichiers exécutables tout en les encryptant. Les packers peuvent être parfaitement utiles aux éditeurs de logiciels de confiance, principalement pour empêcher l'injection d'une malveillance dans leur code et empêcher l'analyse et le vol des technologies développées comme des bases de données secrètes dans leur code. Mais les packers sont également utiles aux auteurs de malveillances et chevaux de Troie, car ils rendent leur travail indétectable aux antivirus.

Que signifie la présence de UPX dans TDS-3 ? Il est possible qu'ils s'en servent pour leurs besoins internes afin de :

• Sécuriser le transfert des bases de signatures et/ou des codes exécutables de TDS.

• Décompresser des fichiers trouvés compressés avec UPX, durant l'analyse des fichiers, afin de détecter s'il s'agit de malveillances ou chevaux de Troie.

La question est posée à DiamondCS le 22 06 03.
Pas de réponse de DiamondCS.
Révision du 14.07.03 et réitération de la question.
Toujours pas de réponse de TDS.

Analyse de TDS par PestPatrol

Windows 95, 98, 98 SE, ME, NT4, 2K, et XP

Trojans, RAT Servers, RAT EditServers, RAT Clients, RAT Plugins, RAT DDoS Servers, FTP RATs, Droppers, Binded trojans, Packed Servers, Keyloggers, Spyware, Mail Trojans, Password Stealers, Internet Worms, mIRC Worms, Malicious DLLs, Monitors, Spyware...

Propriétaire.

Anglais.