Virus total fonctionne avec les bases installées des AV (signatures)
Les antivirus installés sur nos PC ont d'autres fonctionnalités pour détecter une menace (détection temps réel avec du comportemental par ex etc)
Ensuite il faut savoir que ces infections sont de type : Dropper et Payload (je simplifie car cela peut etre plus compliqué que cela et je n'entre pas dans les détails pour dire qui est quoi et ce qu'il fait. Je pense que via google il y a les réponses)
Les fichiers avec une extension .scr sont en général des Dropper (ca fait des années que c'est utilisé comme l'indique justement Z_Cool) , et ces dropper peuvent être modifiés à la chaîne automatiquement et comportent donc une signature aléatoire (je me rappelle de l'étude d'un où il y avait 1500 variantes à l'heure
Donc un AV qui est basé UNIQUEMENT sur des signatures ne verra RIEN (sauf si elle ressemble à quelque chose de connue et l'AV dire qu'il a trouvé un "Trojan-Downloader" )
AUCUN labo d'un AV au monde n'est capable de suivre. C'est pour cela que les AV utilisent d'autres méthodes de détection
Mais pour que le Dropper s'installe, à la base il y souvent soit un fichier téléchargé (les pièges du P2P), ou le plus courant une redirection ou un lien vers un site WEB piégé qui redirige vers des exploits (l'exploit peut etre lié à une faille d'un programme connu, comme IE, ou Flash Player, ou Adobe reader etc (pour les plus connus)
Ensuite derrière la mise en marche de l'infection on ne sait pas toujours ce qui se cache. Ca peut aller de la redirection et écoute d'un port particulier, à un rootkit et cryptage de tous les fichiers du disk avec une clé aléatoire et spécifique pour chaque fichier (comme le fameux virus gendarmerie)
Donc jopopodu13, tu as eu raison de te méfier, et de soumettre quand meme le fichier, car on ne s'amuse pas à tester un lien "juste pour voir si l'antivirus le détecte", surtout qu'en général il laisse passer le dropper - voir le pb des signature plus haut - ou le bloquera ensuite lorsqu'il s'activera ou ne fera rien car le site distant ne fonctionne plus, ou ne se réveillera que pour le payload. Si il se réveille...
Ensuite nombre d'infections ont souvent une vie très courte, car rapidement détectées, et la redirection sur le site où se trouve la véritable infection ne fonctionnera plus.
On peut se retrouver avec un dropper inactif, car le site distant n'existe plus
Bon j'ai schématisé mais c'est juste pour donner une idée du processus
Ensuite le fait de recevoir des messages avec PJ meme de quelqu'un qui figure dans son carnet d'adresse doit toujours être considéré comme suspect. La personne distante peut potentiellement être infectée et le virus pioche dans le carnet d'adresse pour se dupliquer
Message édité par Profil supprimé le 15-12-2014 à 20:00:37