Comment baiser ViGuard, premiere lecon.
Guillermito
Profiter de l'*énorme* trou de securité suivant:
La base de données contenant la liste des programmes qui se lancent au
boot (par le registre, autoexec.bat, system.ini, etc...) est en ASCII
non crypté dans le fichier "c:\windows\vistart.ini". Les programmes
qui ont ete enlevés du boot par Viguard et/ou l'utilisateur sont, de
meme, dans le fichier c:\windows\viundo.ini. On peut manipuler ces
fichiers sans probleme, Viguard ne les surveille pas. Il suffit de les
effacer, et on peut alors lancer n'importe quel programme au boot
suivant.
Possibilités infinies. Quelques exemples, du plus simple au plus
complexe:
- effacer ces fichiers, et mettre un virus ou trojan qui n'est pas
detecté par Viguard dans le registre ou l'autoexec.bat, de facon a ce
qu'il soit lancé au prochain boot.
- effacer ces fichiers, puis enlever la clef dans le registre qui
lance le moniteur résident de Viguard (SdLoad32.exe) au boot. Au
prochain boot, on a alors un systeme absolument sans protection.
Méthode ultra-simple, qui ne demande aucune connaissance en
progammation, aucun test, et qui laisse le systeme completement
ouvert.
- pour les programmeurs qui ont envie de s'amuser: effacer ces
fichiers, puis renommer SDLoad32.exe, le remplacer par un loader qui
va lancer le moniteur résident de Viguard, et le patcher en mémoire.
Par exemple, dans l'unique routine de lecture de fichier (appel de
l'API windows ReadFile), il suffit de forcer SDLoad a ne lire qu'un
seul octet a chaque fois (il lit generalement le header d'un
executable d'un seul coup, puis des blocs de 4096 octets), en
remplacant un "push eax" par un "push 1". Ca marche tres bien pour le
scanner de Viguard (SDMain32.exe), que j'ai patché en memoire avec
SoftIce. Il ouvre tous les fichiers, scanne le systeme de maniere
apparemment normale, mais forcément ne détecte plus rien.
Je n'ai pas trop le temps, mais j'ai reperé d'autres failles de
securite grossieres, par exemple:
- les fichiers "sensibles" dont Viguard fait une copie par defaut
(wsock32.dll, explorer.exe, kernel32.dll) sont compressés, renommés
(0.bkx, 1.bkx, 2.bkx) puis stockés dans le sous-répertoire
"\ViRepair". Ils ne sont protegés d'aucune maniere. On peut les
effacer sans probleme. Le plus amusant/consternant étant ceci: si ces
fichiers ne sont plus présents, au prochain lancement de Viguard, ils
sont recréés sans meme un avertissement a l'utilisateur. Si ces
fichiers ont été infectés ou modifiés entre-temps, on se retrouve donc
avec des backups supposés "propres" qui ne le sont pas. Vérifié avec
une infection de wsock32.dll par le ver Happy99. Viguard "restaure" un
wsock32.dll manquant avec une version infectée.
- Les fichiers de "certification" des programmes, présents dans chaque
repertoire du disque dur, ont l'attribut "caché", mais c'est leur
seule protection. Ces fichiers contiennent sans doute, mais je n'ai
pas vraiment cherché a connaitre leur format, une somme de controle,
et des informations pouvant servir a restaurer un fichier en cas de
modification simple (appending infector sans doute - mais certainement
pas dans le cas d'un infecteur un brin complexe comme un cavity
infector, un virus hautement polymorphe ou un virus utilisant une
technique d'Entry Point Obscuring). Une attaque de base est tout
simplement de les effacer. Ils seront recréés automatiquement et
"certifieront" des programmes infectés. Attaque archi-classique contre
les verificateurs d'integrité, soulignée par V. Bontchev il y a des
années dans son analyse d'Invircible [1], dont Viguard est issu [2].
A bientot pour de nouvelles aventures.
--
Guillermito, L0rD-0f-W4r3Z
[1] http://www.claws-and-paws.com/virus/papers/invircib.shtml
"This is probably the easiest, silliest, and the most often used
attack against integrity checkers. It consists of simply locating
and deleting the database(s) where the anti-virus program stores the
checksums of the protected objects. Many integrity checkers that
suffer from a bad design will fail to notice anything unusual and
will simply re-create the database(s) of checksums - this time of
the already infected files." [V. Bontchev]
[2]
"Tegam represented us in France until terminated. Plagiarizing our
product was one of the reasons for terminating Tegam's
distributorship" [Zvi Netiv, alt.comp.virus, 16 nov. 1999]
Roland Garcia
> Une attaque de base est tout
> simplement de les effacer. Ils seront recréés automatiquement et
> "certifieront" des programmes infectés. Attaque archi-classique contre
> les verificateurs d'integrité, soulignée par V. Bontchev il y a des
> années dans son analyse d'Invircible [1], dont Viguard est issu [2].
>
> A bientot pour de nouvelles aventures.
>
> [2]
> "Tegam represented us in France until terminated. Plagiarizing our
> product was one of the reasons for terminating Tegam's
> distributorship" [Zvi Netiv, alt.comp.virus, 16 nov. 1999]
Je me souviens parfaitement de cette intervention de Zvi Netiv dans la
foulée de celle de Nick Fitzgerald.
Autre chose sans rapport, qu'est devenu le "nouveau virus" de Zombie dont
le source faisait 900 kb ?
Roland Garcia
Roland Garcia
> La suite de mes aventures avec Viguard 9 Pro.
>
> - Les fichiers de "certification" des programmes, présents dans chaque
> repertoire du disque dur, ont l'attribut "caché", mais c'est leur
> seule protection. Ces fichiers contiennent sans doute, mais je n'ai
> pas vraiment cherché a connaitre leur format, une somme de controle,
> et des informations pouvant servir a restaurer un fichier en cas de
> modification simple (appending infector sans doute - mais certainement
> pas dans le cas d'un infecteur un brin complexe comme un cavity
> infector, un virus hautement polymorphe ou un virus utilisant une
> technique d'Entry Point Obscuring).
Justement j'avais expliqué à Alain Godet ce problème de l'EPO, explication
qu'il considère comme étant du vent:
J'infecte avec MTX et juste avant que le contrôleur d'intégrité ne
désinfecte je constate que:
Changed files: 69
New files: 3
New value -
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run -
SystemBackup
Changed files:
C:\WINDOWS\SYSTEM\WSOCK32.DLL - size 44878 (19-07-2000 00:31:32)
Change Size - 3918 bytes
** CRC has changed
**** ALERT **** File has changed but date and time remain the same ****
Possible virus infection ****
** Size has changed
C:\WINDOWS\HWINFO.EXE - size 124028 (05-05-1999 22:22:00)
Change Size - 9340 bytes
** CRC has changed
**** ALERT **** File has changed but date and time remain the same ****
Possible virus infection ****
** Size has changed
C:\WINDOWS\MPLAYER.EXE - size 169074 (05-05-1999 22:22:00)
Change Size - 9330 bytes
** CRC has changed
**** ALERT **** File has changed but date and time remain the same ****
Possible virus infection ****
C:\WINDOWS\CLSPACK.EXE - size 66660 (05-05-1999 22:22:00)
Change Size - 9316 bytes
** CRC has changed
**** ALERT **** File has changed but date and time remain the same ****
Possible virus infection ****
New files:
C:\WINDOWS\IE_PACK.EXE - size 18483 (28-10-2000 19:30:18)
C:\WINDOWS\WIN32.DLL - size 18483 (28-10-2000 19:30:18)
C:\WINDOWS\MTX_.EXE - size 6144 (28-10-2000 19:30:18)
J'ai volontairement raccourci le log.
Il y a donc 68 fichiers augmentés de 9.3 Ko représentant le code du virus.
Wsock32.dll est bien infecté (c'est la routine utilisée par le ver)
On trouve trois nouveaux fichiers: IE_PACK.EXE (le ver), WIN32.DLL
et MTX_.EXE (La backdoor).
Je passe ensuite à la phase désinfection par Viguard et je vois:
Changed files: 69
New files: 3
Changed files:
C:\WINDOWS\SYSTEM\WSOCK32.DLL - size 44878 (19-07-2000 00:31:32)
Change Size - 3918 bytes
** CRC has changed
**** ALERT **** File has changed but date and time remain the same ****
Possible virus infection ****
** Size has changed
C:\WINDOWS\HWINFO.EXE - size 114688 (28-10-2000 19:45:40)
Change Size - 0 bytes
** CRC has changed
** Time and Date were changed
C:\WINDOWS\MPLAYER.EXE - size 159744 (28-10-2000 19:45:48)
Change Size - 0 bytes
** CRC has changed
** Time and Date were changed
C:\WINDOWS\CLSPACK.EXE - size 66660 (28-10-2000 19:45:48)
Change Size - 9316 bytes
** CRC has changed
** Size has changed
** Time and Date were changed
New files:
C:\WINDOWS\IE_PACK.EXE - size 18483 (28-10-2000 19:30:18)
C:\WINDOWS\WIN32.DLL - size 18483 (28-10-2000 19:30:18)
C:\WINDOWS\MTX_.EXE - size 6144 (28-10-2000 19:30:18)
Je constate donc que la "désinfection" n'a rien changé pour ce qui
concerne le ver et la backdoor.
Pour ce qui est des virus, un certain nombre n'ont même pas été
désinfectés alors qu'il dit que si :-(
Pour ceux qui le sont on constate que le CRC a changé mais le virus a
complètement disparu.
Si on analyse le code on s'aperçoit que le virus a bien été enlevé mais
l'instruction de jump non, ce qui explique le changement de CRC. Ces
fichiers ne sont plus réparables ni fonctionnels alors que ceux qui n'ont
pas été touchés le sont toujours par le scanner de signature.
Moralité il aurait mieux fait de ne rien toucher.
Roland Garcia
Roland Garcia
> La suite de mes aventures avec Viguard 9 Pro.
>
> Profiter de l'*énorme* trou de securité suivant:
>
> La base de données contenant la liste des programmes qui se lancent au
> boot (par le registre, autoexec.bat, system.ini, etc...) est en ASCII
> non crypté dans le fichier "c:\windows\vistart.ini". Les programmes
> qui ont ete enlevés du boot par Viguard et/ou l'utilisateur sont, de
> meme, dans le fichier c:\windows\viundo.ini. On peut manipuler ces
> fichiers sans probleme, Viguard ne les surveille pas. Il suffit de les
> effacer, et on peut alors lancer n'importe quel programme au boot
> suivant.
etc etc...........
A ce stade de "non protection" on n'a même plus envie de rire surtout pour
un produit dit de "sécurité.
Les responsables informatiques qui utilisent ce produit feraient mieux
d'exiger en urgence de sérieux rectificatifs.
Roland Garcia
Alain Godet
peux dire dans ce mail :
tu as fait tes tests sur Viguard 8, pas 9. Donc, non significatif. Comme
la plupart de tes interventions sur Viguard qui ne sont basées sur aucun
test, contrairement à Guillermito.
Par contre, l'intervention de ce dernier est plus intéressante. Je vais
me renseigner de mon côté.
N'empêche que dans l'absolu, à ce jour, un virus qui s'attaquerait à
Viguard n'existe pas. Même si cette faille de sécurité, si c'en est une,
mérite qu'on y prêt attention.
Concernant les autres interventions depuis hier 18h00, je m'en occuperai
plus tard...
Roland Garcia a écrit :
Roland Garcia
> Une seule réponse à Roland pour l'instant, qui balaie tout ce que tu
> peux dire dans ce mail :
> tu as fait tes tests sur Viguard 8, pas 9. Donc, non significatif. Comme
> la plupart de tes interventions sur Viguard qui ne sont basées sur aucun
> test, contrairement à Guillermito.
A votre place je me cacherais.
> Par contre, l'intervention de ce dernier est plus intéressante. Je vais
> me renseigner de mon côté.
Faites la vérif vous même puisque vous avez la version.
> N'empêche que dans l'absolu, à ce jour, un virus qui s'attaquerait à
> Viguard n'existe pas.
Ca n'intéresse aucun codeur de virus. Par contre ça pourrait intéresser un
pirate dans un cas bien précis.
Je n'ose imaginer le scénario :-)
> Même si cette faille de sécurité, si c'en est une,
> mérite qu'on y prêt attention.
> Concernant les autres interventions depuis hier 18h00, je m'en occuperai
> plus tard...
Si c'est pour dire toujours les mêmes choses ce n'est pas la peine.
Roland Garcia
Baptiste Soto
> Concernant les autres interventions depuis hier 18h00, je m'en
occuperai
> plus tard...
Seriez-vous donc ici pour "défendre" Viguard... surprenante objectivité
de la presse !
Frederic Bonroy
> Concernant les autres interventions depuis hier 18h00, je m'en occuperai
> plus tard...
Au fait, cette routine utilisant l'interruption 13h, qu'est-ce qu'il
en dit, le Viguard?
Frederic Bonroy
> A ce stade de "non protection" on n'a même plus envie de rire surtout pour
> un produit dit de "sécurité.
> Les responsables informatiques qui utilisent ce produit feraient mieux
> d'exiger en urgence de sérieux rectificatifs.
Oui, c'est marrant - si vraiment ce type d'antivirus était LA solution
contre tous les problèmes de virus, alors tout le monde l'utiliserait
depuis longtemps.
Or ces logiciels ne sont pas très répandus par rapport aux antivirus
ordinaires, et pour cause...
Alain Godet
J'ai dis que j'allais me renseigner pour comprendre cette faille (même
pas pour la nier, si elle pose un véritable problème de sécurité, ce qui
n'est pas impossible).
En fait, je suis là pour empêcher Roland de raconter n'importe quoi sur
un produit qu'il ne connait pas puisqu'il ne l'a jamais eu entre les
mains. Je me situe plus près de Guillermito que de Roland. Le premier se
donne les moyens de son expertise. Pas le second qui, qui plus est,
tente par des moyens indignes (intimidation auprès de mon employeur
entre autres, et ça, ça ne tiens pas de la conversation privée) de faire
taire toute tentative d'objection à ses propos non vérifiés. C'est tout.
A ce sujet, je tiens à la disposition de ceux qui veulent les voir ses
mails à mes supérieurs...
Quand à Roland, une fois de plus, il élude le fond de mon intervention :
il n'a jamais testé Viguard 9 et se permet de le juger sans le
connaître. Aucun expert digne de ce nom ne se permettrait une telle
attitude. Il n'est donc pas et ne sera jamais un expert des virus et
antivirus, ce qu'il veut faire croire ici. Il est tout juste un amateur
éclairé d'AVP.
Que Roland se cantonne aux domaines qu'il connait (AVP, donc), et tout
ira pour le mieux...
Roland Garcia
> Je ne suis pas là pour défendre Viguard. L'as-tu lu dans ce post ? Non.
> J'ai dis que j'allais me renseigner pour comprendre cette faille (même
> pas pour la nier, si elle pose un véritable problème de sécurité, ce qui
> n'est pas impossible).
> En fait, je suis là pour empêcher Roland de raconter n'importe quoi sur
> un produit qu'il ne connait pas puisqu'il ne l'a jamais eu entre les
> mains.
Attendez, Guillermito dit qu'il a infecté la version 9 avec Happy 99, vous
rigolez ou quoi?
Ma version date de octobre 2000 et que je sache j'avais désaoûlé du
réveillon de 99!
> Je me situe plus près de Guillermito que de Roland. Le premier se
> donne les moyens de son expertise.
Justement je m'en réfère aux expertises de Guillermito qui m'ont l'air
sensées.
> Pas le second qui, qui plus est,
> tente par des moyens indignes (intimidation auprès de mon employeur
> entre autres, et ça, ça ne tiens pas de la conversation privée) de faire
> taire toute tentative d'objection à ses propos non vérifiés. C'est tout.
> A ce sujet, je tiens à la disposition de ceux qui veulent les voir ses
> mails à mes supérieurs...
Vous signez Distributique et de là bas portez atteinte à ma vie privée
etc....
C'est normal que je vienne me plaindre .
>
> Quand à Roland, une fois de plus, il élude le fond de mon intervention :
> il n'a jamais testé Viguard 9 et se permet de le juger sans le
> connaître. Aucun expert digne de ce nom ne se permettrait une telle
> attitude. Il n'est donc pas et ne sera jamais un expert des virus et
> antivirus, ce qu'il veut faire croire ici. Il est tout juste un amateur
> éclairé d'AVP.
> Que Roland se cantonne aux domaines qu'il connait (AVP, donc), et tout
> ira pour le mieux...
Tout à fait d'accord, pour Viguard l'expert c'est Guillermito.
Roland Garcia
Roland Garcia
> En fait, je suis là pour empêcher Roland de raconter n'importe quoi sur
> un produit qu'il ne connait pas puisqu'il ne l'a jamais eu entre les
> mains. Je me situe plus près de Guillermito que de Roland.
Je ne vois pas ce que Guillermito pourrait dire de différent de ce que je
peux dire,
mais puisque vous avez des atomes crochus avec lui.........c'est peut-être
plus simple.
Roland Garcia
Guillermito
> - Les fichiers de "certification" des programmes, présents dans chaque
> repertoire du disque dur, ont l'attribut "caché", mais c'est leur
> seule protection. Ces fichiers contiennent sans doute, mais je n'ai
> pas vraiment cherché a connaitre leur format, une somme de controle,
> et des informations pouvant servir a restaurer un fichier en cas de
> modification simple (appending infector sans doute - mais certainement
> pas dans le cas d'un infecteur un brin complexe comme un cavity
> infector, un virus hautement polymorphe ou un virus utilisant une
> technique d'Entry Point Obscuring).
[rapidement et de memoire, mon portable est a la maison]
J'avais deviné a peu pres correctement. J'ai décrypté ces fichiers qui
s'appellent par défaut "certify.bvd". Ils sont cryptés par XOR avec
une clef fixe de 35 octets, qui se répete sur toute la longueur du
fichier. Je coderai sans doute un petit programme pour les décrypter
facilement, si ca intéresse les gens. Leur structure est relativement
simple. Globalement, je sais maintenant ce que Viguard stocke comme
information sur chaque programme pour aider a la restauration (pour
les éxecutables PE, les seuls que j'ai testé). Il y a encore un ou
deux champs dans ce fichier que je n'ai pas eu le temps d'analyser
mais ils contiennent:
- le nom long Win95, le nom court DOS, la taille du programme et autre
trucs de base. Je n'ai pas détecté de date / time, ni d'attributs du
fichier (ie je change ca sur mon fichier test, et le "certify.bvd" est
exactement le meme que le controle).
- le header PE en *entier* (file header, optional header, sections
headers), qui commence donc avec "PE", jusqu'a la fin du dernier
header de section. Ce qui explique que leurs "certify.dvd" sont longs
et pleins de zéros. Ca pourrait se compresser facilement, d'autant
qu'ils ont une fonction de compression dans une de leurs dll.
- quelque chose qui ressemble de loin a une somme de controle
soustractive sur un double word. Je m'explique: si on remplace par
exemple un "push 5" (opcode 6A05) par "push 6" (opcode 6A06), cette
somme de controle diminue d'un bit. Si on remplace par "push 7", ca
diminue de 2 bits. Il faut que j'analyse l'algorithme exact qui sert a
calculer ca, mais a vue de nez, ca ressemble a du "on prend tous les
octets du programme et on les soustrait les uns apres les autres".
Vraiment amateur. En terme de détection de changement dans un
programme, c'est le niveau zéro. Il faudra qu'ils se documentent sur
les algorithmes de CRC, tres rapides, voire meme de hash
cryptographique, beaucoup plus lents (pour ceux qui ne connaissent
pas, si on change un seul bit dans un programme, le CRC ou le hash du
programme modifié est *completement* different). Avec la protection de
Viguard, il est trivial, si l'on change quelque chose dans un
programme, de "compenser" de maniere a ce que leur somme de controle
ne change pas. Pour un bete CRC, c'est tres complexe (voir Hybris).
Curieusement, Invircible faisait la meme erreur, sauf que leur somme
de controle etait additive [1]
- les 18 premiers octets de la section de code executable. Roland et
moi avions donc raison. Il suffit qu'un virus modifie un peu plus que
les 18 premiers octets du code (ou modifie ailleurs) pour que, a
priori, Viguard ne soit pas capable de restaurer l'executable. A vue
de nez, conserver la taille du fichier, le PE header, et les 18
premiers octets, est une stratégie de base qui ne permet que de
réparer les dégats commis par des virus tres simples, appending
infectors, de plus en plus rares sous Windows. Ce que Roland a
apparemment montré avec MTX.
Voila voila. Encore pas mal de choses a tester et analyser, mais je
dirais que pour le moment, Viguard ressemble a du travail d'amateur.
Pas du tout relié a la sécurité du produit, je peux aussi leur
expliquer comment faire pour afficher des fenetres irrégulieres sous
windows, sans que la fenetre rectangulaire apparaisse en premier, ce
qui est affreux (l'esthétique, c'est important, merde!). Le .wav qui
annonce, d'une douce voix féminine, a chaque fois qu'on charge le
moniteur résident "Votre ordinateur est protégé contre les virus",
c'est un peu ridicule. Je vais le changer pour quelque chose de plus
marrant.
Ce sera tout pour aujourd'hui. Je me casse a New-York pour voir Manu
Chao en concert a Central Park demain, alors je vous laisse vous
étriper a propos de Viguard :)
--
Guillermito.
[1] http://www.claws-and-paws.com/virus/papers/invircib.shtml
"That is, the words from offset 0x20 to 0x1020 of the file are
simply added together. First of all, this checksum algorithm is
astonishingly insecure from the cryptographic point of view. It
would be trivial for a virus to infect the file without modifying
its checksum. [...] Second, an "add-them-together" checksum is
much less likely to detect random corruptions than, say, a CRC."
(Vesselin Bontchev encore).
Guillermito
> Autre chose sans rapport, qu'est devenu le "nouveau virus" de Zombie dont
> le source faisait 900 kb ?
Je l'ai quelque part, avec sa source. C'est le "uber-virus",
ultra-complexe, un genre de Zhengxi puissance 10. Meme avec la source,
il est quasiment impossible a analyser (pour moi), surtout avec les
commentaires en russe :)
Je ne sais pas s'il l'a envoyé aux anti-virus, ou s'il l'a laché dans
la nature. Z0mbie est une machine a coder, genre Vecna. Son dernier
programme est un ... IRC zombie, pour lancer des attaques DDOS par
exemple. Il s'amuse aussi avec les anti-virus russes, DrWeb et AVP.
La derniere fois que j'ai discuté avec lui, il était un brin fébrile a
propos de la police russe, qui apparemment aimerait bien lui mettre la
main dessus.
--
Guillermito.
Guillermito
> N'empêche que dans l'absolu, à ce jour, un virus qui s'attaquerait à
> Viguard n'existe pas.
Viguard, en dehors de la France, n'est pas tres utilisé. De plus, les
codeurs de virus francais ne sont pas tres nombreux, et de toute
maniere ils n'utilisent pas Viguard.
Conceptuellement, écrire un virus qui cible directement un seul
anti-virus est une tache facile, a la portée de tout le monde. Ca a
déja été fait pour des anti-virus beaucoup plus complexes, comme AVP,
F-Prot, TBAV, NOD32, etc... La difficulté étant d'écrire un virus qui
s'attaque a plusieurs anti-virus.
Dans mon post précédent, j'ai exposé une stratégie ultra-simple
(effacer deux fichier, puis enlever une clef du registre) pour
éliminer Viguard d'un ordinateur au prochain boot. C'est tellement
trivial, et faisable dans n'importe quel langage ou script, que je ne
perdrai les pas cinq minutes nécessaires a programmer ca en
assembleur.
A ce propos, j'ai envoye un email au developpeur de Viguard pour lui
dire de jeter un oeil sur fr.comp.securite.virus. En espérant qu'ils
renforcent un peu la sécurité de leur produit pour les prochaines
versions.
Mais, vous savez, un oeil un peu exercé et habitué au discours
marketing - a mille lieues de la réalité - dans le domaine de la
sécurité informatique, meme sans tester le produit, peut souvent
corréler (négativement, cela va de soit) la qualité d'un produit aux
affirmations extraordinaires utilisées pour le vendre. Il suffit de
jeter un oeil sur le site web de Tegam, par exemple (mais ce ne sont
pas les seuls), pour partir avec un a priori tres négatif sur leur
produit, qui peut se tester techniquement par la suite. Pour rire, je
dirais meme que la qualite d'un produit est souvent inversement
proportionnelle au nombre de points d'exclamation sur un site web. Le
site de Tegam en contient des dizaines.
Un ou deux exemples tires de leur site web:
"A l'installation ViGUARD vérifie et nettoie les éléments malveillants
du disque dur."
C'est faux.
"ViGUARD+Net n'a pas besoin de connaître chaque virus spécifiquement
pour le détecter et l'arrêter. Si on sait reconnaître ce code, on
détecte tous les virus !"
C'est faux.
"Le seul à arrêter tous les virus sans mises à jour de signatures !"
C'est faux.
etc...
Ce qui me fait un peu rire jaune, c'est qu'un journal comme le Virus
Informatique est censé, justement, se moquer de ce genre
d'affirmations, pour d'autres produits, dire la vérité sans se baser
sur les communiqués de presse des marketroides. Et, avec votre
article, ils vont défendre Viguard.
Enfin. Ca va pas m'empecher de dormir.
--
Guillermito.
Guillermito
> Attendez, Guillermito dit qu'il a infecté la version 9 avec Happy 99, vous
> rigolez ou quoi?
Pour etre précis, Viguard a détecté l'ajout de la clef dans le
registre quand wsock32.dll était bloqué, au moment d'éteindre
l'ordinateur. C'est ca qui m'a poussé a chercher ou il cachait cette
information (les programmes qui se lancent au boot).
Une chose est sure, c'est que Viguard fonctionne tres bien et ne
detecte rien avec Happy99 installé.
--
Guillermito.
chrestia
Vous voulez Viguard??? www.fullsoft.org
et pour répondre aux poltrons des posts en dessous sachez que Viguard ne
bronche pas devant Bo2k et NetBus
expérience,expérience...
Now à quand 1 petit concours d'intrusion entre amis Hein Mister
Godet, ou vous comprendrez que le + important est vous mème personnelement
FIRST et un firewall,
et autres scan , sniff, non pas des produits commerciaux(pléonasme)
toujours à la traine et ne sachant + quoi inventer pour attirer le
gogo.
D'ou la dif entre hackers et crackers, moi aussi à 15 ans j'étais 1 vandale
now je préfere le silence et la subtilité.
"Guillermito" <guill...@pipo.com> a écrit dans le message news:
1ed8586c.01070...@posting.google.com...
Roland Garcia
> Roland Garcia :
>
> > Autre chose sans rapport, qu'est devenu le "nouveau virus" de Zombie dont
> > le source faisait 900 kb ?
>
> Je l'ai quelque part, avec sa source. C'est le "uber-virus",
> ultra-complexe, un genre de Zhengxi puissance 10. Meme avec la source,
> il est quasiment impossible a analyser (pour moi), surtout avec les
> commentaires en russe :)
>
> Je ne sais pas s'il l'a envoyé aux anti-virus, ou s'il l'a laché dans
> la nature. Z0mbie est une machine a coder, genre Vecna. Son dernier
> programme est un ... IRC zombie, pour lancer des attaques DDOS par
> exemple. Il s'amuse aussi avec les anti-virus russes, DrWeb et AVP.
>
Je l'avais expliqué ici, on peut fabriquer des leurres détectés par AVP et DrWeb
comme étant des virus.
> La derniere fois que j'ai discuté avec lui, il était un brin fébrile a
> propos de la police russe, qui apparemment aimerait bien lui mettre la
> main dessus.
Pas possible :-)
Roland Garcia
Frederic Bonroy
> La suite de mes aventures avec Viguard 9 Pro.
J'ai été capable de lancer un petit virus .com à moi très simple sans
que Viguard ne dise un mot. Pourtant Viguard est censé contrôler ces
fichiers aussi?
D'ailleurs ce virus est crypté et change de clé à chaque fois qu'il
est executé, ce qui modifie donc les fichiers infectés. Mais ça
n'empêche pas Viguard de le recertifier à chaque fois que je lui
demande de vérifier ce répertoire.
Bien sûr il se peut que je me suis simplement mal servi du logiciel,
mais si c'est le cas, ça ne fait pas remonter Viguard dans mon estime
parce qu'il en suivrait qu'il ne possède pas d'interface intuitive. ;-)
Eric Chapuzot
leurres à anti-virus... chez moi en tout dernier recours, j'ai un ordinateur
où je suis certain qu'un virus ne s'y trouve pas pour le moment, c'est un
amstrad cpc252, il est éteint, il marche sur disquette, y a pas de bios à
flasher que je sache et pas de disque dur... l'ennui, c'est que depuis le
temps que je ne m'en sers plus, rien ne me garanti plus que je ne tombe pas
sur une disquette vérolée pour le démarage... mais tant que ca démarre ces
bestiaux, c'est le bonheur... ensuite un ptit dos et un tit turbo-pascal et
y'en a encore pour des heures de satisfaction garanties... et sincere, 80%
du boulot est pareil
"Roland Garcia" <roland...@worldnet.fr> a écrit dans le message news:
3B46B70F...@worldnet.fr...
Roland Garcia
> je comprends pourquoi maintenant tu as pris mes leurres à virus pour des
> leurres à anti-virus...
Subseven comme leurre à virus!!!!!
En tout cas ce ne sera pas un leurre pour les gamins de douze ans qui viendront
visiter votre PC.
On voit de tout, certains s'installent même des virus :-(
Roland Garcia
Eric Chapuzot
nue avec les lolos à l'air n'est pas spécialement une aide au travail (ou un
chippendale pour ces demoiselles) enfin pour moi ca devient de @ du joindre
de outlook qui commence à etre hypnotique et me faire baver...
Quant à un antivirus qui pour être seulement à moitié efficace devrait
mettre deux jours pour faire le tour de tous les disques durs avant de
commencer la journée, c'est pas la peine non plus, à fortiori deux ou trois
Pi, t'as raison de le jouer big mélange entre les leurres, les nouveautés,
les noms qui correspondent pas aux références... ca aide
"Roland Garcia" <roland...@worldnet.fr> a écrit dans le message news:
3B481804...@worldnet.fr...
spam --@hotmail.com christian
> pour les gif, je crois que je n'aurais aucune >peine à expliquer qu'une
fille
> nue avec les lolos à l'air n'est pas >spécialement une aide au travail (ou
un
> chippendale pour ces demoiselles) enfin >pour moi ca devient de @ du
joindre
> de outlook qui commence à etre >hypnotique et me faire baver...
>
> Quant à un antivirus qui pour être >seulement à moitié efficace devrait
> mettre deux jours pour faire le tour de tous >les disques durs avant de
> commencer la journée, c'est pas la peine >non plus, à fortiori deux ou
trois
>
> Pi, t'as raison de le jouer big mélange >entre les leurres, les
nouveautés,
> les noms qui correspondent pas aux >références... ca aide
Tu fumes quoi ?
ca a l'air d'être de la bonne...
christian
Olivier Aichelbaum
> Informatique est censé, justement, se moquer de ce genre
> d'affirmations, pour d'autres produits, dire la vérité sans se baser
> sur les communiqués de presse des marketroides. Et, avec votre
> article, ils vont défendre Viguard.
sans rentrer dans la polemique, comment peux tu te prononcer
sur un article qui n'a pas ete encore publie ? merci de nous
laisser deja le temps de terminer l'enquete et de blinder les
infos...
a+
--
[ACBM] Olivier Aichelbaum Pirates Mag' / Pocket
14/30, rue de Mantes Le Virus Informatique
F-92 700 Colombes Les Puces Informatiques
Tel (Fax) : -1 47 81 04 45 (03 72) http://www.acbm.com
Olivier Aichelbaum
une question indispensable concernant le protocole :
quelle est la version de Viguard utilisee pour ce test ?
la beta des betatesteurs ou la version du commerce destinee
aux clients ? (on peut savoir en fonction de la date du soft)
merci !
Roland Garcia
> > Ce qui me fait un peu rire jaune, c'est qu'un journal comme le Virus
> > Informatique est censé, justement, se moquer de ce genre
> > d'affirmations, pour d'autres produits, dire la vérité sans se baser
> > sur les communiqués de presse des marketroides. Et, avec votre
> > article, ils vont défendre Viguard.
>
> sans rentrer dans la polemique, comment peux tu te prononcer
> sur un article qui n'a pas ete encore publie ? merci de nous
> laisser deja le temps de terminer l'enquete et de blinder les
> infos...
Le problème pour vous arrivé à ce stade va être de trouver quelqu'un de
suffisamment compétent pour dejà comprendre ce que dit ou va dire
Guillermito et éventuellement prendre la suite car on n'en est qu'à un
stade technique encore élémentaire.
J'ai bien quelques noms à vous proposer, Benny, Bumblebee, Vecna, Zombie,
Duke, Black Jack, Griyo et j'en oublie.
Vous pouvez les faire intervenir, ils ont des emails comme tout le monde.
Ca va faire une super pub au "Pirate Informatique", un antivirus testé par
les grands codeurs de ce monde. Je vais être le premier à l'acheter car là
je suis sûr d'apprendre quelque chose.
Roland Garcia
Roland Garcia
> Vous pouvez les faire intervenir, ils ont des emails comme tout le monde.
> Ca va faire une super pub au "Pirate Informatique", un antivirus testé par
> les grands codeurs de ce monde. Je vais être le premier à l'acheter car là
> je suis sûr d'apprendre quelque chose.
>
> Roland Garcia
Remarquez que ça c'est vu, une colle sous forme de concours posée par Zombie
et à I.Danilov (Dr.Web) et à V.Bogdanov (AVP).
Competition results.
Nobody emulated IDIV correctly.
subroutines: total programmed correct incorrect
bogdanov 6 6 3 3
danilov 6 5 2 3
Bof :-)
Roland Garcia
Olivier Aichelbaum
> suffisamment compétent pour dejà comprendre ce que dit ou va dire
> Guillermito et éventuellement prendre la suite car on n'en est qu'à un
> stade technique encore élémentaire.
on attend juste que Guillermito - ou un autre - nous parle de la
premiere
protection : celle contre la duplication des virus en amont (car tout
le concept reposerait sur elle)
> J'ai bien quelques noms à vous proposer, Benny, Bumblebee, Vecna,
> Zombie, Duke, Black Jack, Griyo et j'en oublie.
> Vous pouvez les faire intervenir, ils ont des emails comme tout le monde.
pas la peine de les deranger pour si peu : on vous a sous la main,
il suffit que vous nous disiez comment vous avez outrepasse la
protection de Viguard (9 *non* beta) et quel virus a pu se propager
sans alerte. Apres tout notre article parle de vous et votre decouverte
surtout (donner des details sera le seul moyen de vous eviter un proces
en diffamation lorsque Tegam le lira)
> Ca va faire une super pub au "Pirate Informatique", un antivirus testé par
"Pirates MAG", vous vouliez dire.
salutations,
Roland Garcia
> on attend juste que Guillermito - ou un autre - nous parle de la
> premiere
> protection : celle contre la duplication des virus en amont (car tout
> le concept reposerait sur elle)
On pourrait aussi débrancher le modem et la protection contre les vers serait
totale :-)
Et bien il suffit de faire une expérience en double aveugle, 10 vers courants
plus dix fichiers sains, exe Flash, écrans de veille etc, envoyés par courrier.
On prend un utilisateur lambda et on lui demande de discerner avec Viguard les
10 virus des 10 fichiers sains, on compare le résultat avec quelqu'un qui n' a
pas d'antivirus.
C'est la seule méthode scientifique reconnue, avec un scanner les résultats
seront plus que probants.
> pas la peine de les deranger pour si peu : on vous a sous la main,
> il suffit que vous nous disiez comment vous avez outrepasse la
> protection de Viguard (9 *non* beta) et quel virus a pu se propager
> sans alerte. Apres tout notre article parle de vous et votre decouverte
> surtout (donner des details sera le seul moyen de vous eviter un proces
> en diffamation lorsque Tegam le lira)
Je ne suis pas engagé par ce que vous écrivez, que je vous donne des détails ou
pas.
Roland Garcia
Roland Garcia
> on attend juste que Guillermito - ou un autre - nous parle de la
> premiere
> protection : celle contre la duplication des virus en amont (car tout
> le concept reposerait sur elle)
La meilleure réponse vient de Tegam lui même: http://www.tegam.fr/winnews.shtm
"Les virus, les chevaux de Troie et les vers sont des programmes, et ne sont
dangereux qu'à l'utilisation, et non pas lors du transfert comme l'article tente
de le faire croire". Il convient donc de ne pas regarder le vecteur d'infection,
messagerie, ftp, IRC, mais de cliquer sur le virus directement ce que tout
testeur fait dans les labos reconnus.
Roland Garcia
Olivier Aichelbaum
> > premiere
> > protection : celle contre la duplication des virus en amont (car tout
> > le concept reposerait sur elle)
>
> On pourrait aussi débrancher le modem et la protection contre les vers serait
> totale :-)
pour l'instant, j'ai bien pose une question sur la propagation des
*virus*
(et pas les vers car pour les vers c'est d'autres personnes de la redac
qui s'en chargent)
> > pas la peine de les deranger pour si peu : on vous a sous la main,
> > il suffit que vous nous disiez comment vous avez outrepasse la
> > protection de Viguard (9 *non* beta) et quel virus a pu se propager
> > sans alerte. Apres tout notre article parle de vous et votre decouverte
> > surtout (donner des details sera le seul moyen de vous eviter un proces
> > en diffamation lorsque Tegam le lira)
>
> Je ne suis pas engagé par ce que vous écrivez, que je vous donne des détails ou
> pas.
nous allons reprendre *vos* affirmations *publiques* a titre de
citations conformement a la loi (liens vers les archives de ce forum,
info parue sur Secusys, etc.). Le seul moyen d'eviter la diffamation
sera de prouver ces affirmations a la justice.
C'est la procedure legale habituelle en matiere de presse, je n'y suis
pour rien, ce n'est pas moi qui ait cree la loi...
cordialement,
Nicob
wrote:
[snip]
>- quelque chose qui ressemble de loin a une somme de controle
>soustractive sur un double word.
[snip]
>En terme de détection de changement dans un
>programme, c'est le niveau zéro. Il faudra qu'ils se documentent sur
>les algorithmes de CRC, tres rapides, voire meme de hash
>cryptographique, beaucoup plus lents (pour ceux qui ne connaissent
>pas, si on change un seul bit dans un programme, le CRC ou le hash du
>programme modifié est *completement* different). Avec la protection de
>Viguard, il est trivial, si l'on change quelque chose dans un
>programme, de "compenser" de maniere a ce que leur somme de controle
>ne change pas. Pour un bete CRC, c'est tres complexe (voir Hybris).
>Curieusement, Invircible faisait la meme erreur, sauf que leur somme
>de controle etait additive [1]
[snip]
Humm ... même pour moi qui n'y connait rien en virus, ça fait
effectivement un peu léger comme contrôle d'intégrité :)
C'est dingue que des tonnes de softs (contrôleur d'intégrité spécial
virus, logiciels de type Tripwire, firewall perso ZA, systèmes de
package pour SUN) utilisent les techniques "normales" (à l'heure
actuelle) de création de fingerprint d'un fichier (hash
cryptographique) et qu'un des meilleurs AV au monde (ici, une pointe
d'ironie a été inséréee, si le décrypteur adapté n'est pas incorporé
au message reçu .... et ben tant pis pour vous) se contente d'une
cuisine maison vraiment affligeante par sa médiocrité.
Ils feraient mieux de ne pas chercher à réinventer la roue et
d'utiliser des routines connues et en plus déja codées !
Ils y gagneraient en sécurité et en temps de dévloppement.
Nicob
Note : Guillermito, tu devrais demander à Tegam des sous pour
"consulting en développement sécurisé", t'en penses quoi ?
Olivier Aichelbaum
> > premiere
> > protection : celle contre la duplication des virus en amont (car tout
> > le concept reposerait sur elle)
>
> La meilleure réponse vient de Tegam lui même: http://www.tegam.fr/winnews.shtm
> "Les virus, les chevaux de Troie et les vers sont des programmes, et ne sont
> dangereux qu'à l'utilisation, et non pas lors du transfert comme l'article tente
j'attends bien les commentaires de l'analyse technique de Viguard
par Guillermito (ou un autre specialiste de haut niveau) sur
l'utilisation - comprendre execution du code viral - et non
du transfert - simple copie de fichiers, sans execution.
Guillermito nous a propose une analyse technique de haut vol,
profitons en ! nous reviendrons vers le discours marketing
ensuite, forts de son etude...
a+
Roland Garcia
> pour l'instant, j'ai bien pose une question sur la propagation des
> *virus*
> (et pas les vers car pour les vers c'est d'autres personnes de la redac
> qui s'en chargent)
Pour les virus la réponse est évidente et ils n'ont pas attendu Internet pour
exister, disquettes, CD, serveurs etc....
Cas célèbres récents de diffusion de virus: Microsoft, HP. (Au cas où on dirait que
ça n'existe pas).
Magistr étant d'ailleurs un vrai virus peut se transmettre pas disquette ou CD et
doit être testé comme tel.
> nous allons reprendre *vos* affirmations *publiques* a titre de
> citations conformement a la loi (liens vers les archives de ce forum,
> info parue sur Secusys, etc.). Le seul moyen d'eviter la diffamation
> sera de prouver ces affirmations a la justice.
Dans ce cas vous n'ajoutez rien de nouveau à la soi-disante diffamation et là
j'attends toujours, la diffamation suppose mensonge.
Roland Garcia
Roland Garcia
> j'attends bien les commentaires de l'analyse technique de Viguard
> par Guillermito (ou un autre specialiste de haut niveau) sur
> l'utilisation - comprendre execution du code viral - et non
> du transfert - simple copie de fichiers, sans execution.
Là on commence à parler le même langage, vérifiez simplement la bonne version de
Guillermito, si vous voulez des virus qui infectent et des explications, on va vous en
fournir.
Roland Garcia
Olivier Aichelbaum
> exister, disquettes, CD, serveurs etc....
> Cas célèbres récents de diffusion de virus: Microsoft, HP. (Au cas où on dirait que
> ça n'existe pas).
> Magistr étant d'ailleurs un vrai virus peut se transmettre pas disquette ou CD et
> doit être testé comme tel.
???
je ne comprends pas pourquoi vous parlez de ca maintenant...
on parlait de l'analyse technique par Guillermito du module de
protection
de Viguard (9 *non* beta) contre la propagation des virus, qu'on attend
tous avec impatience.
laissons lui le temps de se remettre de son concert a New York ! ;)
salutations,
Olivier Aichelbaum
> Guillermito, si vous voulez des virus qui infectent et des explications, on va vous en
> fournir.
enfin, ca fait des mois que j'attends ca !
donnez nous enfin des noms de **virus** qui contaminent un systeme
protege prealablement par Viguard **9 non beta**. on refait les tests
devant huissier (pres de chez vous si vous voulez y assister), ainsi
on aura une preuve en beton !
merci d'avance !
Baptiste Soto
> donnez nous enfin des noms de **virus** qui contaminent un systeme
> protege prealablement par Viguard **9 non beta**. on refait les tests
> devant huissier (pres de chez vous si vous voulez y assister), ainsi
> on aura une preuve en beton !
Sans vouloir rentrer dans une quelconque polémique, pourquoi ne
cherchez-vous pas à effectuer des tests sur les vers *aussi*. Après
tout, ils sont tout autant nuisibles que les virus ! A moins que Viguard
ne soit conçu pour ne lutter *que* contre les virus et non contre les
vers, auquel cas ça serait plus clair.
Et au passage, je ne vois pas l'intérêt d'une procédure huissier à un
instant t, sachant que que la procédure ne serait judicieuse que si elle
était effectuée très régulièrement, vu la prolifération des nuisibles...
M'enfin.
Cordialement,
Baptiste
Roland Garcia
> > Là on commence à parler le même langage, vérifiez simplement la bonne version de
> > Guillermito, si vous voulez des virus qui infectent et des explications, on va vous en
> > fournir.
>
> enfin, ca fait des mois que j'attends ca !
>
> donnez nous enfin des noms de **virus** qui contaminent un systeme
> protege prealablement par Viguard **9 non beta**. on refait les tests
> devant huissier (pres de chez vous si vous voulez y assister), ainsi
> on aura une preuve en beton !
Essayez déjà Magistr et Win32.HIV qui sont des vrais virus.
Win32.HIV n'infecte que les fichiers du même répertoire, essayez donc dans
c:\windows\system.
Roland Garcia
Olivier Aichelbaum
> cherchez-vous pas à effectuer des tests sur les vers *aussi*. Après
je repete : on a partage l'article, je ne participe qu'a la partie
virus. d'autres personnes s'occupent de l'article pour les parties
vers et trojans.
> Et au passage, je ne vois pas l'intérêt d'une procédure huissier à un
> instant t, sachant que que la procédure ne serait judicieuse que si elle
> était effectuée très régulièrement, vu la prolifération des nuisibles...
> M'enfin.
le test devant huissier permet d'eviter un proces en diffamation
si on dit que le virus X en particulier passe l'antivirus Y et que
l'editeur pretend le contraire concernant X en particulier.
bien sur si un seul virus passe, d'autres passeront forcement.
alors deja on serait heureux d'avoir un virus qui passe !
a+
Jean-Francois BILLAUD
> bien sur si un seul virus passe, d'autres passeront forcement.
> alors deja on serait heureux d'avoir un virus qui passe !
Vous avez déjà entendu parler de Fred Cohen ?
JFB
--
Notre sélection de logiciels libres :
http://www.interpc.fr/mapage/billaud/selectll.htm
Olivier Aichelbaum
> > protege prealablement par Viguard **9 non beta**. on refait les tests
> > devant huissier (pres de chez vous si vous voulez y assister), ainsi
> > on aura une preuve en beton !
>
je vous ai demande un **virus** (cf ci dessus) et vous me repondez
par un ver (Magistr est un ver a ma connaissance...)
ne m'occupant que de la partie "virus" de notre enquete, je cherche
un **virus** qui passe Viguard (mes confreres qui s'occupent de la
partie "vers" de l'article feront le test avec Magistr bien sur).
salutations,
Roland Garcia
> je vous ai demande un **virus** (cf ci dessus) et vous me repondez
> par un ver (Magistr est un ver a ma connaissance...)
>
> ne m'occupant que de la partie "virus" de notre enquete, je cherche
> un **virus** qui passe Viguard (mes confreres qui s'occupent de la
> partie "vers" de l'article feront le test avec Magistr bien sur).
Non c'est un virus et il correspond parfaitement à la définition. Les
fichiers infectés peuvent à leur tour infecter d'autres PC.
La peuve: accessoirement il envoie un des fichiers infectés, mais les mêmes
peuvent très bien être transmis sur disquette comme l'ont fait tous les virus
avant 99.
La fonction de ver est simplement un plus.
Roland Garcia
Roland Garcia
> Non c'est un virus et il correspond parfaitement à la définition. Les
> fichiers infectés peuvent à leur tour infecter d'autres PC.
> La peuve: accessoirement il envoie un des fichiers infectés, mais les mêmes
> peuvent très bien être transmis sur disquette comme l'ont fait tous les virus
> avant 99.
> La fonction de ver est simplement un plus.
Regardez vous même chez NAI: W32/Magistr@MM is a combination of a files infector
virus and e-mail worm.
et Symantec: W32.Magistr.24876@mm is a virus that has email worm capability. .
Alors qu'est ce qu'il donne Magistr sur la dernière version?
Roland Garcia
Olivier Aichelbaum
>
> > ne m'occupant que de la partie "virus" de notre enquete, je cherche
> > un **virus** qui passe Viguard (mes confreres qui s'occupent de la
> > partie "vers" de l'article feront le test avec Magistr bien sur).
>
> Non c'est un virus et il correspond parfaitement à la définition. Les
> fichiers infectés peuvent à leur tour infecter d'autres PC.
les editeurs d'antivirus ont tous un avis different sur le sujet.
peu importe, que ce soit un ver et/ou un virus, j'avais dit ci
dessus qu'il serait teste par notre equipe, et c'est la seule chose
qui compte.
a bientot pour les resultats !
Roland Garcia
> > Non c'est un virus et il correspond parfaitement à la définition. Les
> > fichiers infectés peuvent à leur tour infecter d'autres PC.
>
> les editeurs d'antivirus ont tous un avis different sur le sujet.
> peu importe, que ce soit un ver et/ou un virus, j'avais dit ci
> dessus qu'il serait teste par notre equipe, et c'est la seule chose
> qui compte.
Impossible qu'un éditeur quelconque dise un truc pareil, c'est bien un
virus.
> a bientot pour les resultats !
D'après les tests de Alain Godet le PC est bien infecté. Techniquement la
désinfection par un contrôleur d'intégrité est totalement impossible et on
peut vous expliquer pourquoi.
Vérifiez bien que c'est un virus:
http://www.sophos.fr/virusinfo/analyses/w32mag.html
et qu'il est plutôt répandu:
http://www.sophos.fr/pressoffice/pressrel/20010705topten.html
Il faut être précis sur ce forum :-)
Roland Garcia
Olivier Aichelbaum
> Impossible qu'un éditeur quelconque dise un truc pareil, c'est bien un
> virus.
j'ai pas trop de temps a perdre a discuter vocabulaire donc,
si vous voulez, oui c'est un virus avec des bouts de vers dedans.
je prefere qu'on passe notre temps a refaire votre experience
de contamination...
> D'après les tests de Alain Godet le PC est bien infecté.
ce sont les tests de Alain Godet, c'est a lui de s'exprimer la dessus
> Techniquement la
> désinfection par un contrôleur d'intégrité est totalement impossible et on
> peut vous expliquer pourquoi.
pour l'instant, comme je l'ai dit dans mes posts precedents,
nous nous interessons uniquement au module de detection
chaque chose en son temps...
> Il faut être précis sur ce forum :-)
c'est ce qu'on vous demande depuis le debut :
cf toutes les questions d'Alain Godet restees sans reponse...
a bientot,
Roland Garcia
> > Il faut être précis sur ce forum :-)
>
> c'est ce qu'on vous demande depuis le debut :
> cf toutes les questions d'Alain Godet restees sans reponse...
J'ai toujours été très précis. Je peux même vous dire que sans fausse alarme,
AVP 8, Norton 2100 et Viguard 14 seront très facilement infectables.
Alors pour la version 8, 8+, ou 9 beta machin c'est pareil, même sans regarder.
Roland Garcia
Olivier Aichelbaum
> J'ai toujours été très précis. Je peux même vous dire que sans fausse alarme,
> AVP 8, Norton 2100 et Viguard 14 seront très facilement infectables.
> Alors pour la version 8, 8+, ou 9 beta machin c'est pareil, même sans regarder.
bah si, regardons justement ! et la 9 commercialisee tant qu'a faire,
on est la pour ca...
a+
Roland Garcia
> Olivier Aichelbaum wrote:
>
> > bien sur si un seul virus passe, d'autres passeront forcement.
> > alors deja on serait heureux d'avoir un virus qui passe !
>
> Vous avez déjà entendu parler de Fred Cohen ?
Oui c'est celui qui a démontré mathématiquement en 1984 que votre
Viguard 9 actuel est très facilement infectable.
Roland Garcia
Roland Garcia
> Roland Garcia wrote:
> > J'ai toujours été très précis. Je peux même vous dire que sans fausse alarme,
> > AVP 8, Norton 2100 et Viguard 14 seront très facilement infectables.
> > Alors pour la version 8, 8+, ou 9 beta machin c'est pareil, même sans regarder.
>
> bah si, regardons justement ! et la 9 commercialisee tant qu'a faire,
> on est la pour ca...
Ca fait plusieurs mois qu'on en parle ici et toujours aucune infection en vue, Fred
Cohen va trouver ça louche.
Roland Garcia
Frederic Bonroy
> je vous ai demande un **virus** (cf ci dessus) et vous me repondez
> par un ver (Magistr est un ver a ma connaissance...)
>
> ne m'occupant que de la partie "virus" de notre enquete, je cherche
> un **virus** qui passe Viguard (mes confreres qui s'occupent de la
> partie "vers" de l'article feront le test avec Magistr bien sur).
C'est très simple, cherchez un simple virus .com sur Internet,
lancez le sur un ordinateur soi disant "protégé" par Viguard et vous
verrez peut-être la surprise tant attendue. Il n'y a besoin ni de
spécialistes ni d'huissier pour ça, le test est effectué en 30 secondes.
Si vous vous procurez une bestiole qui n'infecte que les fichiers dans
le répertoire courant, même pas besoin de faire le ménage après.
Roland Garcia
> Si vous vous procurez une bestiole qui n'infecte que les fichiers dans
> le répertoire courant, même pas besoin de faire le ménage après.
Je lui est procuré spécialement Win32.HIV pour cet usage. Evidemment si le
laissent sur une disquette vide ;-)
Roland Garcia
Alain Godet
>
> Olivier Aichelbaum a écrit :
>
> > > Non c'est un virus et il correspond parfaitement à la définition. Les
> > > fichiers infectés peuvent à leur tour infecter d'autres PC.
> >
> > les editeurs d'antivirus ont tous un avis different sur le sujet.
> > peu importe, que ce soit un ver et/ou un virus, j'avais dit ci
> > dessus qu'il serait teste par notre equipe, et c'est la seule chose
> > qui compte.
>
> Impossible qu'un éditeur quelconque dise un truc pareil, c'est bien un
> virus.
>
> > a bientot pour les resultats !
>
> D'après les tests de Alain Godet le PC est bien infecté. Techniquement la
> désinfection par un contrôleur d'intégrité est totalement impossible et on
> peut vous expliquer pourquoi.
d'intégrité, aucune trace d'infection. Plus précisément, après un temps
aléatoire, à chaque tentative de modification de fichier, Viguard 9,
daté de janvier 2001 (dernière version sortie avant Magistr) signale une
tentative d'infection et la bloque. Contrairement à ce que tu me fais
dire, il n'y a pas d'infection.
Maintenant, explique moi pourquoi le contrôle d'intégrité est impossible
alors qu'il y a un mois, tu me demandais de vérifier mes résultats avec
un contrôleur ?
Olivier Aichelbaum
> C'est très simple, cherchez un simple virus .com sur Internet,
> lancez le sur un ordinateur soi disant "protégé" par Viguard et vous
nous avons fait le test avec plusieurs .com, Viguard les detecte
tous avant infection du systeme. pouvez vous me donner le nom d'un
virus .com en particulier qui passe outre la protection ?
merci d'avance !
> verrez peut-être la surprise tant attendue. Il n'y a besoin ni de
> spécialistes ni d'huissier pour ça, le test est effectué en 30 secondes.
je suis desole mais, en matiere de presse, le controle d'un huissier
est indispensable lors de la publication d'un tel article. c'est la
procedure.
cordialement,
Roland Garcia
> Maintenant, explique moi pourquoi le contrôle d'intégrité est impossible
> alors qu'il y a un mois, tu me demandais de vérifier mes résultats avec
> un contrôleur ?
Parce que les choses sont plus compliquées que ça et que ça ne s'improvise pas.
Quand je vais chez mon médecin pour une grippe je ne lui demande pas de me
déballer ses septs ans de cours.
Je n'ai plus le temps de répondre aux questions de vulgarisation, si encore vous
écoutiez.
Roland Garcia
Alain Godet
AUCUNE infection (attention : ce n'était pas forcément le cas avec des
versions plus anciennes).
Mais la dernière version de Viguard, apparue avant Magistr, bloque les
tentatives d'infection du virus et empêche la propagation du mail. CQFD.
Alain Godet
COM, comme chacun le sais). Mis à part la création de PRESS.XML, la
vérification d'intégrité ne montre aucune infection.
Roland Garcia a écrit :
Frederic Bonroy
> nous avons fait le test avec plusieurs .com, Viguard les detecte
> tous avant infection du systeme.
Quel genre de .com? Avez vous essayé des virus .com cryptés ou
polymorphes, enfin assez sophistiqués?
> pouvez vous me donner le nom d'un virus .com en particulier qui
> passe outre la protection ?
Malheureusement non. :-)
Frederic Bonroy
Olivier Aichelbaum
pardon ?
Frederic Bonroy
Voyez mon message de Samedi dernier, 12:54
c8f
testé un antivirus inconnu : A.WC, une contre-façon en provenance
d'extrème-orient, d'un antivirus fort connu qui commence par A en 3 lettres.
Vous pouvez donner votre langue au chat !
Ou encore poser la question au sergent Garcia, qui espère avoir enfin
attrapé Zorro God Day !
L'anarchiste anti-libertaire.
Roland Garcia
> Roland Garcia wrote:
> > J'ai toujours été très précis. Je peux même vous dire que sans fausse alarme,
> > AVP 8, Norton 2100 et Viguard 14 seront très facilement infectables.
> > Alors pour la version 8, 8+, ou 9 beta machin c'est pareil, même sans regarder.
>
> bah si, regardons justement ! et la 9 commercialisee tant qu'a faire,
> on est la pour ca...
Il me semble que la toute dernière version téléchargée (avec un code) sur le site de
Tegam mettrait enfin tout le monde sur le même plan.
Il font ça très souvent, ils m'avaient donné un code d'accès en mai 2000.
Je ne vois pas pourquoi un virus marchant chez Guillermito et Frederic ne marcherait
plus à Paris :-)
Roland Garcia
Roland Garcia
> Je l'ai testé dans la racine du PC (sur laquelle il y a plusieurs EXE et
> COM, comme chacun le sais). Mis à part la création de PRESS.XML, la
> vérification d'intégrité ne montre aucune infection.
Vous en avez beaucoup d'EXE dans la racine vous?????????
Il n'infecte pas les COM :-(
Donc un test complètement pipo.
J'attends toujours une version officielle téléchargeable de Viguard pour que
Frédéric et Guillermito puissent vérifier.
Roland Garcia
Olivier Aichelbaum
> Vous en avez beaucoup d'EXE dans la racine vous?????????
> Il n'infecte pas les COM :-(
> Donc un test complètement pipo.
Alain n'a pas le droit de mettre des EXE dans sa racine ?!
> J'attends toujours une version officielle téléchargeable de Viguard pour que
> Frédéric et Guillermito puissent vérifier.
tant qu'on y est, on devrait demander a Tegam de mettre en ligne une
version open source et gratuite de son logiciel...
a+
Roland Garcia
> Roland Garcia wrote:
> > Vous en avez beaucoup d'EXE dans la racine vous?????????
> > Il n'infecte pas les COM :-(
> > Donc un test complètement pipo.
>
> Alain n'a pas le droit de mettre des EXE dans sa racine ?!
>
Si mais les a t'il mis??
On aimerait vérifier chez nous.
> > J'attends toujours une version officielle téléchargeable de Viguard pour que
> > Frédéric et Guillermito puissent vérifier.
>
> tant qu'on y est, on devrait demander a Tegam de mettre en ligne une
> version open source et gratuite de son logiciel...
En tout cas pour certains journalistes c'est possible!
Pour moi ce l'était également (mai 2000) jusqu'à ce que je leur raconte toutes les
infections constatées :-(
Roland Garcia
Baptiste Soto
news:
> > tant qu'on y est, on devrait demander a Tegam de mettre en ligne une
> > version open source et gratuite de son logiciel...
>
> En tout cas pour certains journalistes c'est possible!
> Pour moi ce l'était également (mai 2000) jusqu'à ce que je leur
raconte toutes les
> infections constatées :-(
Bah je vois pas où est la surprise...
Quand un magazine met tous les éléments pour terminer sur un test
positif, on donne.
Quand des éléments extérieurs *compétents* peuvent faire des tests
réellement approfondis qui parviennent à saisir les failles, on snobe.
"Elle pas belle, la vie ?" (c)
Baptiste
Olivier Aichelbaum
> > Alain n'a pas le droit de mettre des EXE dans sa racine ?!
> >
>
> Si mais les a t'il mis??
> On aimerait vérifier chez nous.
rappel :
il vous a propose de venir vous voir et vous montrer,
vous avez refuse... mais sa proposition tient toujours !
> > tant qu'on y est, on devrait demander a Tegam de mettre en ligne une
> > version open source et gratuite de son logiciel...
>
> En tout cas pour certains journalistes c'est possible!
je vais vous faire une confidence : a part pour notre societe,
il est rare qu'un journaliste paye ses logiciels. accessoirement
quand on lui remet un logiciel gratuit, ca se passe souvent au
bout du monde (frais d'avion et hotel payes par l'editeur bien
sur...).
> Pour moi ce l'était également (mai 2000) jusqu'à ce que je leur raconte toutes les
> infections constatées :-(
ah ? vous avez eu une version opensource ? avec le listing donc !
alors vous etes la personne la mieux placee pour nous parler du
fonctionnement de Viguard, on vous ecoute !
(Guillermito ca ne sert a rien de decompiler)
d'autre part, si je me souviens bien vous avez achete Viguard 8+
(alors que la 9 etait dispo, sauf dans votre Fnac) *apres* avoir
ecrit vos articles denonciateurs en octobre 2000. pourquoi Tegam
ne vous a pas envoye cette version avant ? en plus, vous nous parlez
la de mai 2000 (quel rapport ?) et je ne comprends plus rien.
il doit me manquer des infos.
pouvez vous nous faire une chronologie precise des evenements svp ?
merci d'avance !
Roland Garcia
> Roland Garcia wrote:
> > > Alain n'a pas le droit de mettre des EXE dans sa racine ?!
> > >
> >
> > Si mais les a t'il mis??
> > On aimerait vérifier chez nous.
>
> rappel :
> il vous a propose de venir vous voir et vous montrer,
> vous avez refuse... mais sa proposition tient toujours !
Du pipo! Avec la version parfaitement adaptée à la situation :-)
Que viguard arrête une version officielle définitive pour tout le monde et on verra.
Même pour le test catastrophique de Virus Bulletin dans lequel il se détectait lui-même
comme virus, ils avaient contesté leur propre version :-)
> > > tant qu'on y est, on devrait demander a Tegam de mettre en ligne une
> > > version open source et gratuite de son logiciel...
> >
> > En tout cas pour certains journalistes c'est possible!
>
> je vais vous faire une confidence : a part pour notre societe,
> il est rare qu'un journaliste paye ses logiciels. accessoirement
> quand on lui remet un logiciel gratuit, ca se passe souvent au
> bout du monde (frais d'avion et hotel payes par l'editeur bien
> sur...).
A bon, Tegam paye les journalistes ;-)
> > Pour moi ce l'était également (mai 2000) jusqu'à ce que je leur raconte toutes les
> > infections constatées :-(
>
> ah ? vous avez eu une version opensource ? avec le listing donc !
Qui a dit ça? j'avais téléchargé simplement la dernière version exécutable.
> alors vous etes la personne la mieux placee pour nous parler du
> fonctionnement de Viguard, on vous ecoute !
> (Guillermito ca ne sert a rien de decompiler)
Sur le plan sécurité Guillermito a dit que c'était pratiquement nul.
Sur l'aspect antivirus, tout le monde peut lire dans les tests effectués en dehors du
cadre des amis de Tegam qu'il ne protège pas contre certains virus, vers ou trojans
connus de tout le monde (sauf taux de fausse alarme rhédibitoire bien entendu).
Il suffit de lire Windows News.
> d'autre part, si je me souviens bien vous avez achete Viguard 8+
> (alors que la 9 etait dispo, sauf dans votre Fnac) *apres* avoir
> ecrit vos articles denonciateurs en octobre 2000. pourquoi Tegam
> ne vous a pas envoye cette version avant ? en plus, vous nous parlez
> la de mai 2000 (quel rapport ?) et je ne comprends plus rien.
> il doit me manquer des infos.
> pouvez vous nous faire une chronologie precise des evenements svp ?
Je pense que tout est parfaitement clair.
Roland Garcia
Olivier Aichelbaum
> > rappel :
> > il vous a propose de venir vous voir et vous montrer,
> > vous avez refuse... mais sa proposition tient toujours !
>
> Du pipo! Avec la version parfaitement adaptée à la situation :-)
> Que viguard arrête une version officielle définitive pour tout le monde et on verra.
???
on est en train de vous proposer un RDV publiquement, pour
faire une demonstration avec *vos* outils, mais une fois de
plus vous preferez eluder le sujet et botter en touche...
> > je vais vous faire une confidence : a part pour notre societe,
> > il est rare qu'un journaliste paye ses logiciels. accessoirement
> > quand on lui remet un logiciel gratuit, ca se passe souvent au
> > bout du monde (frais d'avion et hotel payes par l'editeur bien
> > sur...).
>
> A bon, Tegam paye les journalistes ;-)
une fois de plus, je ne parlais pas de Tegam en particulier.
mais cela devient une obsession chez vous...
perso je n'ai eu que le stylo piqure comme Guillermito ;)
> > > Pour moi ce l'était également (mai 2000) jusqu'à ce que je leur raconte toutes les
> > > infections constatées :-(
> >
> > ah ? vous avez eu une version opensource ? avec le listing donc !
>
> Qui a dit ça? j'avais téléchargé simplement la dernière version exécutable.
*vous* avez dit ca ! j'ai dit tant qu'a faire Tegam a qu'a mettre
son soft en opensource, vous aviez repondu que vous aviez deja eu
cette version (si vous preniez le temps de lire avant d'ecrire...)
> Sur le plan sécurité Guillermito a dit que c'était pratiquement nul.
encore une fois vous preferez changer de sujet ! vous avez affirme
que vous avez une version open source de Viguard, donc son code source.
a partir de la, on attend votre etude sur un plan informatique.
ce que je vois c'est que Guillermito se decarcasse pour trouver des
infos qu'on aurait en quelques secondes avec votre code source...
> Il suffit de lire Windows News.
ah ah ah !
> > d'autre part, si je me souviens bien vous avez achete Viguard 8+
> > (alors que la 9 etait dispo, sauf dans votre Fnac) *apres* avoir
> > ecrit vos articles denonciateurs en octobre 2000. pourquoi Tegam
> > ne vous a pas envoye cette version avant ? en plus, vous nous parlez
> > la de mai 2000 (quel rapport ?) et je ne comprends plus rien.
> > il doit me manquer des infos.
> > pouvez vous nous faire une chronologie precise des evenements svp ?
>
> Je pense que tout est parfaitement clair.
quand on reprend chacun de vos mails, la chronologie est totalement
incoherente (cf ci dessus). pouvez-vous nous resumer cela de facon
claire svp ? on en a besoin pour notre article...
salutations,
Baptiste Soto
> *vous* avez dit ca ! j'ai dit tant qu'a faire Tegam a qu'a mettre
> son soft en opensource, vous aviez repondu que vous aviez deja eu
> cette version (si vous preniez le temps de lire avant d'ecrire...)
Et quand bien même il travaillerais sur cette version, vous lui
reprocheriez de travailler sur une ancienne version (comme il l'a écrit,
vous avez dû le lire).
> a partir de la, on attend votre etude sur un plan informatique.
Pour mieux lui reprocher de travailler sur une ancienne version ? Quel
intérêt ?
> ce que je vois c'est que Guillermito se decarcasse pour trouver des
Et vous ? Si vous faisiez profiter le forum de votre compétence, mmmh ?
Si votre but est d'apporter quelque chose au forum, faites-le. Sinon, je
ne vois pas l'intérêt de vos contributions (pas plus que celles d'AG).
Si c'est simplement de l'ordre de la polémique personnelle... le mail
est fait pour ça.
> infos qu'on aurait en quelques secondes avec votre code source...
Roland n'a jamais fait part de sa possession d'un code source
*actualisé*.
Baptiste
Ps Roland : que diriez-vous d'un subtil plonk sur ces adresses, ça
eviterai à tous ces polémiques stériles, mmmh ?
Roland Garcia
> > Je pense que tout est parfaitement clair.
>
> quand on reprend chacun de vos mails, la chronologie est totalement
> incoherente (cf ci dessus). pouvez-vous nous resumer cela de facon
> claire svp ? on en a besoin pour notre article...
Je pense tout simplement que des gens comme Tegam, peut être vous et M. Godet, devraient
faire un petit stage en correctionnelle pour se remettre les idées en place, ce qui ne
serait tarder.
Roland Garcia
Nicob
<roland...@worldnet.fr> wrote:
>Je pense tout simplement que des gens comme Tegam, peut ętre vous et M. Godet, devraient
>faire un petit stage en correctionnelle pour se remettre les idées en place, ce qui ne
>serait tarder.
>
>Roland Garcia
Du sang, du sang !!!
Nicob
Roland Garcia
> > infos qu'on aurait en quelques secondes avec votre code source...
>
> Roland n'a jamais fait part de sa possession d'un code source
> *actualisé*.
Peut-être qu'ils relèvent de l'asile en fin de compte ;-)
> Ps Roland : que diriez-vous d'un subtil plonk sur ces adresses, ça
> eviterai à tous ces polémiques stériles, mmmh ?
Ce serait le meilleur service à rendre à tout le monde.
Roland Garcia
Olivier Aichelbaum
> > *vous* avez dit ca ! j'ai dit tant qu'a faire Tegam a qu'a mettre
> > son soft en opensource, vous aviez repondu que vous aviez deja eu
> > cette version (si vous preniez le temps de lire avant d'ecrire...)
>
> Et quand bien même il travaillerais sur cette version, vous lui
> reprocheriez de travailler sur une ancienne version
(tiens, le fils cache de Mme Soleil ? ;)
il y a une difference entre etudier un source pour comprendre
la philospohie generale de l'antivirus (point de vue de l'informaticien)
et faire des tests contre une version en particulier (point de vue
de l'utilisateur).
meme si j'avais l'etude d'un ancien listing, je serai content
en tant qu'informaticien...
> > ce que je vois c'est que Guillermito se decarcasse pour trouver des
>
> Et vous ? Si vous faisiez profiter le forum de votre compétence, mmmh ?
nos resultats seront publies ici lorsque termines, nous l'avons
deja annonce...
(ca prend du temps, on n'a que deux mains chacun)
> > infos qu'on aurait en quelques secondes avec votre code source...
>
> Roland n'a jamais fait part de sa possession d'un code source
> *actualisé*.
j'ai demande - sur le ton de la boutade - a ce que Tegam diffuse
une version opensource. Rolland a pretendu en avoir eu une dans
le passe.
l'open source etant public par definition, nous attendons ce
fichier dans le cas ou il ne serait pas capable de l'analyser
lui meme. ce fichier fera tres plaisir a Guillermito.
a+
Olivier Aichelbaum
> faire un petit stage en correctionnelle pour se remettre les idées en place, ce qui ne
> serait tarder.
je vous demande de nous raconter comment vous etes arrive a votre
decourverte, dans quel ordre, etc. pour qu'on le raconte a nos
lecteurs. et en guise de reponse, vous me menacez de correctionnelle.
???
j'ai du mal a saisir le lien, vraiment.
Roland Garcia
> > Je pense tout simplement que des gens comme Tegam, peut être vous et M. Godet, devraient
> > faire un petit stage en correctionnelle pour se remettre les idées en place, ce qui ne
> > serait tarder.
>
> je vous demande de nous raconter comment vous etes arrive a votre
> decourverte, dans quel ordre, etc. pour qu'on le raconte a nos
> lecteurs. et en guise de reponse, vous me menacez de correctionnelle.
Dans la série je suis de mauvaise foi:
Roland Garcia
Guillermito
> - quelque chose qui ressemble de loin a une somme de controle
> soustractive sur un double word. [...]
> Il faut que j'analyse l'algorithme exact qui sert a
> calculer ca, mais a vue de nez, ca ressemble a du "on prend tous les
> octets du programme et on les soustrait les uns apres les autres".
J'ai tracé cette routine jusqu'a la moelle. Correction, c'est:
"on prend tous les octets [double word - ou 32 bits - par double word]
et on les XORe les uns apres les autres".
Comme je testais des petites variations (plus ou moins un ou deux bits
dans un cas particulier) les résultats d'une soustraction ou d'un XOR
étaient les memes (because un XOR est une soustraction bit par bit
sans retenue).
Cette routine lamentable d'un point de vue sécurité, que ma petite
soeur aurait pu programmer, est utilisée une fois pour chaque section
de l'éxecutable PE, et une fois pour le fichier "certify.cfg"
lui-meme. C'est a dire cinq fois, pour un executable a peu pres
classique avec quatre sections. Le tout est stocké dans ce fichier de
certification. Cette routine est utilisée ailleurs, aussi, apparemment
pour vérifier le fichier de configuration. A part deux ou trois octets
que je n'ai pas encore eu le temps de tracer, j'ai maintenant la
structure entiere de ces fichiers de certification, de toute maniere
inutiles puisqu'effacables a vue.
Maintenant, rions un peu. Sur le site web de Tegam (quand on arrive a
éviter les erreurs 404), dans la section "Protection des executables",
on peut lire "Contrôle d'intégrité avancé".
Je leur conseille une carriere de gagmen, plutot que de spécialistes
de sécurité informatique.
--
Guillermito.
Olivier Aichelbaum
en lisant cette archive, je ne comprends toujours pas pourquoi ci dessus
vous me menacez de correctionnel quand je vous pose une question...
est-il interdit legalement de poser des questions a M. Roland Garcia ?
(accessoirement, l'archive en question ne repond pas a ma question)
fff
dernier salon des privilégiés branchés ou on cause....
St Trop est passé de mode, alors vive la Santé !!!
Emmenez-moi... (chanson)
"Olivier Aichelbaum" <ac...@acbm.com> wrote in message
news:3B54A6E4...@acbm.com...