Portail officiel de la sécurité informatique - ANSSI - République française

• Je suis...
  • Particulier
  • Entreprise
  •  
• Je cherche...
  • Autoformation
  • Fiche technique
  • Guide de configuration
  • Mémento
  • Question/Réponse
  • Une solution pour me protéger
  • Passeport de conseils aux voyageurs
  • Lien
  •  
• Actualités
  • Alertes
  • Faits marquants
  • Technique
  •  

Actualités  >  Faits marquants

Détection erronée de virus (Exploit.PDF-9669)

Les faits observés par l’ANSSI :

Samedi 9 janvier de 00h30 UTC, à 10h20 UTC certains courriers électroniques sont détectés malveillants à tort par certains systèmes de messagerie : ils sont pris pour porteurs de virus et mis en quarantaine, voire détruits, même sur des fichiers ou des messages sains.

Une mise à jour de la base de signatures de l’anti-virus ClamAV a provoqué des dysfonctionnements de certaines versions de ce logiciel.

Que faire :

Tous les e-mails entrants bloqués ou détruits par l’anti-virus ont fait l’objet d’un message d’alerte comportant la mention Exploit.PDF-9669. Ces détections sont fausses. Il ne s’agit pas d’un virus mais d’une erreur de détection.

 Les utilisateurs de ClamAV doivent mettre à jour leur base de signatures en version 10276 ou supérieure.

 Il est recommandé de mettre également à jour le logiciel ClamAV en version 0.95.3.

 La possibilité ou non de récupérer les messages perdus dépend de la configuration du système utilisé. Si vous avez reçu des messages avec un rapport d’émission mentionnant "Exploit.PDF-9669" et contenant une indication de suppression d’un e-mail à cause d’un virus, nous vous recommandons de recontacter l’émetteur du message pour un nouvel envoi.

Pour en savoir plus :

Les systèmes anti-virus se basent sur des "signatures" pour détecter les codes malveillants. Ces bases de signatures doivent être régulièrement actualisées pour que la détection soit efficace. Les éditeurs d’anti-virus produisent donc très régulièrement (plusieurs fois par jour) des mises à jour de leurs bases de signatures. Les logiciels anti-virus sont généralement programmés pour télécharger automatiquement ces mises à jour.

En outre, l’évolution des codes malveillants oblige également à mettre à jour les logiciels anti-virus en eux-mêmes. De ce fait, une base de signatures n’est adaptée qu’à un nombre restreint de versions du logiciel anti-virus auquel elle est destinée.

En l’occurrence, il semble qu’une mise à jour de la base de signature de ClamAV adaptée à sa version 0.95.3 ait provoqué, pour certaines versions antérieures du logiciel, un dysfonctionnement conduisant à une détection quasi systématique du virus Exploit.PDF-9669, même sur des fichiers ou des messages sains.