List&Kill'em = Faux positif?

Bonsoir à toutes et tous,

Microsoft Windows Defender a détecté, à mon grand étonnement, List&Kill'em.src comme étant un malware, avec risque de sécurité grave......

J'envoie donc le fichier sur VirusTotal, après analyse, il est détecté par 5 AV (pas des meilleurs certes.... mais bon)

Voici l'analyse:

[code]
a-squared 4.5.0.50 2010.03.18 -
AhnLab-V3 5.0.0.2 2010.03.18 -
AntiVir 8.2.1.194 2010.03.18 -
Antiy-AVL 2.0.3.7 2010.03.18 -
Authentium 5.2.0.5 2010.03.18 -
Avast 4.8.1351.0 2010.03.18 -
Avast5 5.0.332.0 2010.03.18 -
AVG 9.0.0.787 2010.03.18 -
BitDefender 7.2 2010.03.18 -
CAT-QuickHeal 10.00 2010.03.18 -
ClamAV 0.96.0.0-git 2010.03.18 -
Comodo 4306 2010.03.18 -
DrWeb 5.0.1.12222 2010.03.18 -
eSafe 7.0.17.0 2010.03.18 -
eTrust-Vet 35.2.7372 2010.03.18 -
F-Prot 4.5.1.85 2010.03.17 -
F-Secure 9.0.15370.0 2010.03.18 -
Fortinet 4.0.14.0 2010.03.18 -
GData 19 2010.03.18 -
Ikarus T3.1.1.80.0 2010.03.18 -
Jiangmin 13.0.900 2010.03.18 Heur:TrojanDropper/Agent
K7AntiVirus 7.10.1001 2010.03.18 -
Kaspersky 7.0.0.125 2010.03.18 -
McAfee 5924 2010.03.18 -
McAfee+Artemis 5924 2010.03.18 -
McAfee-GW-Edition 6.8.5 2010.03.18 Heuristic.BehavesLike.Win32.ModifiedUPX.J!87
Microsoft 1.5605 2010.03.17 -
NOD32 4956 2010.03.18 -
Norman 6.04.09 2010.03.18 -
nProtect 2009.1.8.0 2010.03.18 -
Panda 10.0.2.2 2010.03.18 -
PCTools 7.0.3.5 2010.03.18 Trojan.Dropper
Prevx 3.0 2010.03.18 -
Rising 22.39.03.04 2010.03.18 -
Sophos 4.51.0 2010.03.18 -
Sunbelt 5956 2010.03.18 CoreGuardAntivirus2009
Symantec 20091.2.0.41 2010.03.18 Trojan.Dropper
TheHacker 6.5.2.0.237 2010.03.18 -
TrendMicro 9.120.0.1004 2010.03.18 -
VBA32 3.12.12.2 2010.03.17 -
ViRobot 2010.3.18.2234 2010.03.18 -
VirusBuster 5.0.27.0 2010.03.18 -
Information additionnelle
File size: 592896 bytes
MD5...: c215bdf78db86026222807dbc8c634ec
SHA1..: 27ac275b59b05529b81e0e2b9885be28d21e652d
SHA256: c76f534aa2e43bb6395ae26fe0b79d14019dd792898c247bb9f4b04b30fe3405
ssdeep: 12288:XgWrXXoFQJ/R1Dc6Q83AfgaiDGpAolgZ1Wip5F5TEntlktLfiEoSmm:nrX
XoFQFR5CqkgOhe3WeZEnzxm
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1b2190
timedatestamp.....: 0x498d2b1e (Sat Feb 07 06:33:02 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x128000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x129000 0x8a000 0x89e00 8.00 1ab9abb948976fb9dcf44173d561ad20
.rsrc 0x1b3000 0x7000 0x6c00 5.80 aff52454d7e5c03d87bbfc8450cfa253

( 7 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> COMCTL32.dll: InitCommonControls
> GDI32.dll: SetBkColor
> MSVCRT.dll: memset
> OLE32.dll: CoInitialize
> SHELL32.dll: ShellExecuteExA
> USER32.dll: IsChild

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
packers (Kaspersky): UPX, UPX, PE_Patch.UPX, UPX
packers (F-Prot): UPX_LZMA
sigcheck:
publisher....: n/a
copyright....: g3n-h@ckm@n
product......: List_Kill_em
description..: Files _ Keys killer
original name: n/a
internal name: List_Kill_em.exe
file version.: 1,1,0,0
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned /code

Ce qui est des plus étrange, c'est le résultat "CoreGuardAntivirus2009" [rogue]

Voilà, qu'en pensez vous? A moins qu'en le téléchargent j'ai chopé le virus avec??? C'est une chose probable.

Néanmoins, aucun symptômes d'infection: c'est ça qui me pousse à croire au faux positif!

Cordialement,

Julien