fichier texte et faux-virus
Acetonik
Voici ci dessous un extrait d'un fichier texte de calcul math�matique que
j'ai cr�e par n�cessit�...
Mon antivirus ( Avira Antivir Personal ) me d�tecte Heur/HTML.malware
Confirmation obtenue en ligne par Virus Total pour Avira et McAfee-GW
Il n' y a pas de virus �videmment , mais je trouve nos antivirus bien
chatouilleux pour un fichier texte.
Qu'en pensent les sp�cialistes??
Cordialement
--
Acetonik
PS: Un copier coller de ce message ( � partir ce news-group) dans un
fichier .txt donne-t-il la m�me d�tection???
> f:=x-> x^2/(1+x^2);
2
x
f := x -> ------
2
1 + x
> for i from 2 to 4 do simplify((f@@i)(x)) ;od;
4
x
---------------
2 4
1 + 2 x + 2 x
8
x
-----------------------------
2 4 6 8
1 + 4 x + 8 x + 8 x + 5 x
16 / 4 2 8 6 16 10
x / (1 + 32 x + 8 x + 138 x + 80 x + 26 x + 168 x
/
12 14
+ 144 x + 80 x )
> g:=x->1-1/(1+x);
1
g := x -> 1 - -----
1 + x
> for i from 2 to 4 do simplify((g@@i)(x)) ;od;
x
-------
1 + 2 x
x
-------
1 + 3 x
x
-------
1 + 4 x
> evalf(g@c@g)(x);simplify(%);
1
1 - ----------------
/ 1 \2
1 + |1 - -----|
\ 1 + x/
2
x
--------------
2
1 + 2 x + 2 x
Az Sam
4a42540d$0$17757$ba4a...@news.orange.fr...
> Voici ci dessous un extrait d'un fichier texte de calcul math�matique que
> j'ai cr�e par n�cessit�...
>
> Mon antivirus ( Avira Antivir Personal ) me d�tecte Heur/HTML.malware
>
> Confirmation obtenue en ligne par Virus Total pour Avira et McAfee-GW
>
> Il n' y a pas de virus �videmment , mais je trouve nos antivirus bien
> chatouilleux pour un fichier texte.
> Qu'en pensent les sp�cialistes??
>
> PS: Un copier coller de ce message ( � partir ce news-group) dans un
> fichier .txt donne-t-il la m�me d�tection???
les faux positifs sont legions, oui.
Mais qu'est le mieux ? un truc qui dit jamais rien et on s'endort ?
ou un truc qui te reveille plus souvent obligeant a se gratter la tete mais te
tient eveiller ?
Perso , les Faux positifs je les prends comme cela :-)
bien sur si ca devient trop frequent l'effet est perdu, voire pire.
Antivir premium ne dit rien sur un txt contenant tes formules.
--
Cordialement,
Az Sam.
Acetonik
"Az Sam" <m...@home.net> a �crit dans le message de news:
4a42579d$0$27774$426a...@news.free.fr...
> "Acetonik" <acet...@wanadoo.invalid> a �crit dans le message de news:
> 4a42540d$0$17757$ba4a...@news.orange.fr...
>
>> Voici ci dessous un extrait d'un fichier texte de calcul math�matique que
>>
>> Mon antivirus ( Avira Antivir Personal ) me d�tecte Heur/HTML.malware
>>
>> Confirmation obtenue en ligne par Virus Total pour Avira et McAfee-GW
>>
>> chatouilleux pour un fichier texte.
>
>>
>> PS: Un copier coller de ce message ( � partir ce news-group) dans un
>> fichier .txt donne-t-il la m�me d�tection???
>
>
> les faux positifs sont legions, oui.
> Mais qu'est le mieux ? un truc qui dit jamais rien et on s'endort ?
> ou un truc qui te reveille plus souvent obligeant a se gratter la tete
> mais te tient eveiller ?
> Perso , les Faux positifs je les prends comme cela :-)
Moi aussi , surtout quand je les cr�e sans le vouloir!!
Mais si le fichier vient d'ailleurs, comment savoir que c'est un vrai
faux-positif ??
> bien sur si ca devient trop frequent l'effet est perdu, voire pire.
>
>
> Antivir premium ne dit rien sur un txt contenant tes formules.
Pour moi un simple clic sur mon message dans news-group suffit pour paniquer
Avira .
Pas grave cependant, je ne change pas de logiciel pour si peu....
--
Acetonik
Elboras
> Bonjour,
>
> Voici ci dessous un extrait d'un fichier texte de calcul math�matique que
> j'ai cr�e par n�cessit�...
>
> Mon antivirus ( Avira Antivir Personal ) me d�tecte Heur/HTML.malware
>
> Confirmation obtenue en ligne par Virus Total pour Avira et McAfee-GW
>
> Il n' y a pas de virus �videmment , mais je trouve nos antivirus bien
> chatouilleux pour un fichier texte.
> Qu'en pensent les sp�cialistes??
>
> Cordialement
> --
> Acetonik
>
Honnetement j'ai du mal a voir la raison d'un faux positif ici.
Il doit y avoir un signature tr�s mal faite, du genre du code javascript
ayant un compotement malicieux mais sign� sur une partie arithm�tique.
Acetonik
"Acetonik" <acet...@wanadoo.invalid> a �crit dans le message de news:
Avec la MAJ du 24/06 le probl�me a disparu....bizarre bizarre ..
--
Acetonik
Acetonik
"Elboras" <Elboras~no~spam~@gmail.com> a �crit dans le message de news:
y7ydnXI3KORV9N_X...@giganews.com...
bien r�elle .
Je dis "�tait" , car la MAJ que je viens de faire a aussi fait dispara�tre
l'alerte sur mon fichier originel.
--
Acetonik
PS voici l'analyse sur Virus TotalAntivirus Version Derni�re mise � jour
R�sultat
a-squared 4.5.0.18 2009.06.24 -
AhnLab-V3 5.0.0.2 2009.06.24 -
AntiVir 7.9.0.193 2009.06.24 HEUR/HTML.Malware
Antiy-AVL 2.0.3.1 2009.06.24 -
Authentium 5.1.2.4 2009.06.24 -
Avast 4.8.1335.0 2009.06.23 -
AVG 8.5.0.339 2009.06.24 -
BitDefender 7.2 2009.06.24 -
CAT-QuickHeal 10.00 2009.06.22 -
ClamAV 0.94.1 2009.06.24 -
Comodo 1404 2009.06.24 -
DrWeb 5.0.0.12182 2009.06.24 -
eSafe 7.0.17.0 2009.06.24 -
eTrust-Vet 31.6.6577 2009.06.24 -
F-Prot 4.4.4.56 2009.06.24 -
F-Secure 8.0.14470.0 2009.06.24 -
Fortinet 3.117.0.0 2009.06.24 -
GData 19 2009.06.24 -
Ikarus T3.1.1.59.0 2009.06.24 -
Jiangmin 11.0.706 2009.06.24 -
K7AntiVirus 7.10.768 2009.06.19 -
Kaspersky 7.0.0.125 2009.06.24 -
McAfee 5655 2009.06.23 -
McAfee+Artemis 5655 2009.06.23 -
McAfee-GW-Edition 6.7.6 2009.06.24 Heuristic.HTML.Malware
Microsoft 1.4803 2009.06.24 -
NOD32 4184 2009.06.24 -
Norman 6.01.09 2009.06.23 -
nProtect 2009.1.8.0 2009.06.24 -
Panda 10.0.0.16 2009.06.24 -
PCTools 4.4.2.0 2009.06.24 -
Prevx 3.0 2009.06.24 -
Rising 21.35.24.00 2009.06.24 -
Sophos 4.42.0 2009.06.24 -
Sunbelt 3.2.1858.2 2009.06.24 -
Symantec 1.4.4.12 2009.06.24 -
TheHacker 6.3.4.3.352 2009.06.24 -
TrendMicro 8.950.0.1094 2009.06.24 -
VBA32 3.12.10.7 2009.06.24 -
ViRobot 2009.6.24.1802 2009.06.24 -
VirusBuster 4.6.5.0 2009.06.24 -
Information additionnelle
File size: 1977 bytes
MD5 : 8ca007f13895a5f47010e64e3fdf459f
SHA1 : ea07691d3806827b8f619a7b04a33e78455b9956
SHA256:
7ed3d69d43717635c131b1e1c14c32799c4aeb3dedfb57dca006011d9f461b88
TrID : File type identification
VisiCalc spreadsheet (100.0%)
ssdeep:
24:udfhIKhmRLt7QgazOeyMIiYZxw0xH0xWMoJ9srA:8dhkLtSKeyMCZx3xUxWMjrA
PEiD : -
RDS : NSRL Reference Data Set
-
Az Sam
4a426b24$0$17096$ba4a...@news.orange.fr...
>>
>> Moi aussi , surtout quand je les cr�e sans le vouloir!!
>> Mais si le fichier vient d'ailleurs, comment savoir que c'est un vrai
>> faux-positif ??
c'est tout le pb.
Perso j'utilise les scan multi AV en 1er reflexe.
Mais ce n'ets pas infaillible non plus, si il m'en sort 3 qui gueule, je fais
quoi ??
D'ailleurs, meme si c'est 1 seul finalement. Comment puis je savoir que ce n'est
pas tout simplement que cet AV est en avance sur les autres...
>> Pour moi un simple clic sur mon message dans news-group suffit pour paniquer
>> Avira .
>> Pas grave cependant, je ne change pas de logiciel pour si peu....
> Ce qui pr�c�de concernait ma MAJ du 23/06
> Avec la MAJ du 24/06 le probl�me a disparu....bizarre bizarre ..
c'est ca qui m'inquiete le plus, il suffit parfois de faire remonter un truc en
faux positif pour que la mise a jour suivante ca ne le fasse plus.
Et si un faux positif n'en etait finalement pas un ?
--
Cordialement,
Az Sam.
Acetonik
"Az Sam" <m...@home.net> a �crit dans le message de news:
4a427911$0$27790$426a...@news.free.fr...
> "Acetonik" <acet...@wanadoo.invalid> a �crit dans le message de news:
> 4a426b24$0$17096$ba4a...@news.orange.fr...
>
>>>
>>> Moi aussi , surtout quand je les cr�e sans le vouloir!!
>>> Mais si le fichier vient d'ailleurs, comment savoir que c'est un vrai
>>> faux-positif ??
>
> c'est tout le pb.
> Perso j'utilise les scan multi AV en 1er reflexe.
> Mais ce n'ets pas infaillible non plus, si il m'en sort 3 qui gueule, je
> fais quoi ??
> D'ailleurs, meme si c'est 1 seul finalement. Comment puis je savoir que ce
> n'est pas tout simplement que cet AV est en avance sur les autres...
>
>
>>> Pour moi un simple clic sur mon message dans news-group suffit pour
>>> paniquer Avira .
>>> Pas grave cependant, je ne change pas de logiciel pour si peu....
>> Avec la MAJ du 24/06 le probl�me a disparu....bizarre bizarre ..
>
>
> c'est ca qui m'inquiete le plus, il suffit parfois de faire remonter un
> truc en faux positif pour que la mise a jour suivante ca ne le fasse plus.
> Et si un faux positif n'en etait finalement pas un ?
>
Je ne suis pas loin de penser qu'on nous espionne :-) .. n'�tant pas
parano, je me dis que non , mais quand m�me c'est bizarre ...
--
Acetonik
Az Sam
"Acetonik" <acet...@wanadoo.invalid> a �crit dans le message de news:
4a427a79$0$12636$ba4a...@news.orange.fr...
>>
> Aucun doute c'�tait un faux positif. ( je sais ce que j'ai cr�e )
oui dans ton cas sans doute. tu sais. Je parlerais de facon plus globale.
> Je ne suis pas loin de penser qu'on nous espionne :-) .. n'�tant pas parano,
> je me dis que non , mais quand m�me c'est bizarre ...
en emem temps il y a bcp de lecteurs silencieux :-)
--
Cordialement,
Az Sam.
Depassage
> "Acetonik" <acet...@wanadoo.invalid> a �crit dans le message de news:
> 4a426b24$0$17096$ba4a...@news.orange.fr...
>
>
> truc en faux positif pour que la mise a jour suivante ca ne le fasse plus.
> Et si un faux positif n'en etait finalement pas un ?
En fait tu peux avoir le cas d'un vrai/faux positif :-)
Imaginons (oui oui avec BEAUCOUP d'imagination bien s�r n'est ce pas ?
:-) qu'un �tat au nom de la lutte contre le terrorisme impose un
spyware aux �diteurs de son pays ou en lache un dans la nature sans le
dire, et bien, pour ne citer qu'eux, le hasard bien �videmment :-)
Norton et McAfee, un organisme reconnu dans la lutte anti-malware, ne
seront peut etre pas prets d�s le d�part, auront quelques difficult�s �
l'int�grer comme innofensif (normal surtout si la chose est rootkit�e/kernel
Cela est de la science fiction bien s�r :-)
On n'a jamais vu le cas, ne serait ce qu'avec les outils anti-spywares
qui pour ne pas avoir de proc�s face � certaines soci�t�s puissantes, de
ces programmes qui ne d�tectent pas le malware
Cela ne s'est jamais vu, et meme un petit spybot ne s'est jamais pli� �
cela :-)
Sinon pour le script, peut etre que l'@ (arobase)peut faire couiner, car
laissant � penser � une adresse mail fournie dans un script pour
r�cup�rer des donn�es.
Acetonik
"Az Sam" <m...@home.net> a �crit dans le message de news:
4a427bd1$0$27783$426a...@news.free.fr...
>
> "Acetonik" <acet...@wanadoo.invalid> a �crit dans le message de news:
> 4a427a79$0$12636$ba4a...@news.orange.fr...
>
>>>
>> Aucun doute c'�tait un faux positif. ( je sais ce que j'ai cr�e )
>
> oui dans ton cas sans doute. tu sais. Je parlerais de facon plus globale.
>
>> parano, je me dis que non , mais quand m�me c'est bizarre ...
>
> en emem temps il y a bcp de lecteurs silencieux :-)
>
Le fichier suivant a �t� modifi� lors de la mise � jour Antivir:
AEHEUR.DLL : 8.1.0.134 1802616 Bytes 24/06/2009 18:00:14
On peut penser que le faux positif n'est plus d�tect� par une recherche
heuristique pour cette raison.
Ce fichier a �t� cr�� avant le post-original , ce qui mettrait fin aux
suspicions ...sauf si le fichier est antidat� ou cr�� dans un autre fuseau
...
Cordialement
--
Acetonik
Acetonik
"Depassage" <monadre...@hotmail.com> a �crit dans le message de news:
4a4312a9$0$290$7a62...@news.club-internet.fr...
> En fait tu peux avoir le cas d'un vrai/faux positif :-)
> Imaginons (oui oui avec BEAUCOUP d'imagination bien s�r n'est ce pas ? :-)
> qu'un �tat au nom de la lutte contre le terrorisme impose un spyware aux
> �diteurs de son pays ou en lache un dans la nature sans le dire, et bien,
> pour ne citer qu'eux, le hasard bien �videmment :-) Norton et McAfee, un
> organisme reconnu dans la lutte anti-malware, ne seront peut etre pas
> prets d�s le d�part, auront quelques difficult�s � l'int�grer comme
> innofensif (normal surtout si la chose est rootkit�e/kernel
>
> Cela est de la science fiction bien s�r :-)
AMHA, Je le pense aussi ...
[...]
> Sinon pour le script, peut etre que l'@ (arobase)peut faire couiner, car
> laissant � penser � une adresse mail fournie dans un script pour r�cup�rer
> des donn�es.
Pour l'@ (arobase) j'y avais pens�, alors j'ai modifi� un peu mon fichier.
En enlevant la derni�re partie, contenant deux @ cela passait sans alerte ,
pourtant il restait au d�but une autre boucle de commande avec @.
Pour info, l' @ correspond � l'op�rateur de composition de fonctions ,
couramment utilis� et je n'avais jamais eu de souci pr�c�demment avec des
fichiers de ce type , il est vrai qu'il s'agissait l� d'une exportation en
.txt peu utilis�e.
Enfin si la MAJ a vraiment �limin� ce faux positif, sans lien avec ce post ,
cela d�noterait un travail s�rieux de l'�diteur d'AV, et c'est ce que l'on
peut esp�rer de mieux.
Cordialement
--
Acetonik
Depassage
> "Depassage" <monadre...@hotmail.com> a �crit dans le message de news:
> 4a4312a9$0$290$7a62...@news.club-internet.fr...
>
>> En fait tu peux avoir le cas d'un vrai/faux positif :-)
>> Imaginons (oui oui avec BEAUCOUP d'imagination bien s�r n'est ce pas ? :-)
>> qu'un �tat au nom de la lutte contre le terrorisme impose un spyware aux
>> �diteurs de son pays ou en lache un dans la nature sans le dire, et bien,
>> pour ne citer qu'eux, le hasard bien �videmment :-) Norton et McAfee, un
>> organisme reconnu dans la lutte anti-malware, ne seront peut etre pas
>> prets d�s le d�part, auront quelques difficult�s � l'int�grer comme
>> innofensif (normal surtout si la chose est rootkit�e/kernel
>>
>> Cela est de la science fiction bien s�r :-)
>
> AMHA, Je le pense aussi ...
Tu ne devrais pas :-)
Le cas avec des spywares a d�ja �t� vu.
>
> [...]
>> Sinon pour le script, peut etre que l'@ (arobase)peut faire couiner, car
>> laissant � penser � une adresse mail fournie dans un script pour r�cup�rer
>> des donn�es.
>
> Pour l'@ (arobase) j'y avais pens�, alors j'ai modifi� un peu mon fichier.
>
>
>
> Enfin si la MAJ a vraiment �limin� ce faux positif, sans lien avec ce post ,
> cela d�noterait un travail s�rieux de l'�diteur d'AV, et c'est ce que l'on
> peut esp�rer de mieux.
>
En fait c'est l� tout le probl�me de l'heuristique... mais la plupart
des �diteurs suivent avec attention ce qui passe sur virustotal (les
inventeurs d'infections �galement du reste)
Acetonik
Je suis n�ophyte dans ce domaine.
la MAJ a modifi� ce fichier.
AEHEUR.DLL : 8.1.0.134 1802616 Bytes 24/06/2009 18:00:14
L' heure du fichier est ant�rieure � mon premier post, cela supposerait que
ce fichier est antidat� ou cr�e dans un autre fuseau (GMT+00 au lieu de
GMT+01) ...j'y crois peu ...ce ne serait plus de l'attention mais de
l'espionnage !!
--
Acetonik
Az Sam
4a4312a9$0$290$7a62...@news.club-internet.fr...
>
> Cela est de la science fiction bien s�r :-)
>
De la pure meme :-)
Finalement pourquoi ajouter une bebete dans la nature que l'on essaierait de
d�pos� puis de charger quand on peut l'integrer directement dans le noyau . Que
ce soit par une mise a jour (important de garder a jour...) par une nouvelle
appli (important les nouvelles fonctionalit�s...) ou tout simplemet livr� dans
le paquet d'origine certifi� "free mind".
Voir meme dans le firmware du materiel...
Ca doit etre pour cela que je ne fais pas une guerre intense aux cracks : Quitte
a etre rootkit�, autant que ce soit pour mon plaisir, autant que j'en tire moi,
un quelconque b�n�fice.
La guerre entre untel et unetelle pour le pognon g�n�r� sur mon dos,
finalement, en quoi ca me regarde, et que pourrais je y faire au fond ?
Finalement, on se protege pourquoi ? pour garder le systeme fonctionnel, et ne
pas etre emmerd�. On fustige ceux qui nous envahissent de pub ou ceux qui
provoquent des dysfonctionnements. Et on donne de l'argent aux editeur
pourqu'ils nous protegent de ceux la.
Mais des autres, de ceux qui produisent du vrai furtif, qui s'en inquiete ?
pas le CERTA en tout cas ;-)
--
Cordialement,
Az Sam.
Depassage
> "Depassage" <monadre...@hotmail.com> a �crit dans le message de
> news: 4a4312a9$0$290$7a62...@news.club-internet.fr...
>
>>
>> Cela est de la science fiction bien s�r :-)
>>
>
> De la pure meme :-)
En fait non...
J'ai la flemme de rechercher les cas pour les spywares (il y a eu des
proc�s avec certains �diteurs et maintenant tout se r�gle � l'amiable)
J'ai la flemme de rechercher �galement dans spybot l'une de ces
bestioles qui n'�tait pas d�tect�e par d�faut (ca doit y etre encore)
Evidemment de l� � penser que cela pourrait s'agrandir � d'autres types
de programmes il y a un pas :-) mais je ne franchirais pas ce pas
>
> Finalement pourquoi ajouter une bebete dans la nature que l'on
> essaierait de d�pos� puis de charger quand on peut l'integrer
> directement dans le noyau . Que ce soit par une mise a jour (important
> de garder a jour...) par une nouvelle appli (important les nouvelles
> fonctionalit�s...) ou tout simplemet livr� dans le paquet d'origine
> certifi� "free mind".
> Voir meme dans le firmware du materiel...
C'est compl�mentaire...
Il y a les choses de fait car impos�es � la base par les �tats, et
celles ajout�es ensuite dans l'urgence ou parce que celles de fait sont
obsol�tes.
>
> Ca doit etre pour cela que je ne fais pas une guerre intense aux cracks
> : Quitte a etre rootkit�, autant que ce soit pour mon plaisir, autant
> que j'en tire moi, un quelconque b�n�fice.
> La guerre entre untel et unetelle pour le pognon g�n�r� sur mon dos,
> finalement, en quoi ca me regarde, et que pourrais je y faire au fond ?
Perso que les gens fassent usage de cracks je m'en tape
Par contre qu'ils jouent les pleureuses ensuite parce qu'ils sont
infect�s avec un laius sur la st� de consommation et les vilains
�diteurs qui "osent" faire payer leur produits ca me glonfle.
Si ils sont contre le syst�me, qu'ils n'ach�tent pas d'ordi.
C'est comme si ils achetaient une voiture, et ne voudraient pas payer
l'essence qui va dedans.
> Finalement, on se protege pourquoi ? pour garder le systeme fonctionnel,
> et ne pas etre emmerd�. On fustige ceux qui nous envahissent de pub ou
> ceux qui provoquent des dysfonctionnements. Et on donne de l'argent aux
> editeur pourqu'ils nous protegent de ceux la.
> Mais des autres, de ceux qui produisent du vrai furtif, qui s'en inquiete ?
> pas le CERTA en tout cas ;-)
>
Il faut se rappeler que suivant les lois en vigueur par ex aux USA, tout
ce qui est export� (mat�riel/logiciel) doit avoir un agr�ment NSA...
Az Sam
>
> En fait non...
heu.. c'etait une antiphrase...
>
> J'ai la flemme de rechercher les cas pour les spywares (il y a eu des proc�s
> avec certains �diteurs et maintenant tout se r�gle � l'amiable)
> J'ai la flemme de rechercher �galement dans spybot l'une de ces bestioles qui
> n'�tait pas d�tect�e par d�faut (ca doit y etre encore)
spybot continue, comme tous les autres. La securite finalement c'ets un miroir
aux alouettes.
D'ou ma position : tant que ca ne me gene pas dans mon utilisation, je ne vais
pas y passer des heures a m'en inquieter.
> Evidemment de l� � penser que cela pourrait s'agrandir � d'autres types de
> programmes il y a un pas :-) mais je ne franchirais pas ce pas
java ? adobe ? mozzilla ?
en plus de MS bien sur. Le pauvre, on lui tape dessus, mais en fait il ne fait
rien de differents que les autres n'ont pas fait : il protege les interrets de
sa societe.
> C'est compl�mentaire...
> Il y a les choses de fait car impos�es � la base par les �tats, et celles
> ajout�es ensuite dans l'urgence ou parce que celles de fait sont obsol�tes.
ben ouais.. d'ou le matraquage : faire les mises a jour. Et des sumo et autres
secunia.
la vulnerabilite et la protection de l'utilisateur ont beau dos.
> C'est comme si ils achetaient une voiture, et ne voudraient pas payer
> l'essence qui va dedans.
tu veux dire que le spyware c'est le carburant du PC ?
moi je pensais, betement, que c'etait l'electricit� :-))
> Il faut se rappeler que suivant les lois en vigueur par ex aux USA, tout ce
> qui est export� (mat�riel/logiciel) doit avoir un agr�ment NSA...
Les syetmes libres aussi alors ? ;-)
--
Cordialement,
Az Sam.