Gros doute
Acetonik
Je viens de t�l�charger le fichier :
fs98pat1.exe
Compl�ment pour flight simulator 98
http://support.microsoft.com/kb/178710/fr
J'utilise Avira Antivir Personal
(param�tre: mode de d�tection heuristique �lev�)
On est pr�venu dans ce cas de la forte possibilit� de faux-positifs.
VirusTotal m'a donn� une analyse que je joins (d�sol� c'est un peu long)
Que faut-il en penser?
Merci par avance
--
Acetonik
Fichier fs98pat1-microsft.exe re�u le 2009.06.24 08:38:09 (UTC)
Situation actuelle: termin�
R�sultat: 2/38 (5.26%)
Format� Impression des r�sultats
Antivirus Version Derni�re mise � jour R�sultat
a-squared 4.5.0.18 2009.06.24 -
AhnLab-V3 5.0.0.2 2009.06.24 -
AntiVir 7.9.0.193 2009.06.24 -
Antiy-AVL 2.0.3.1 2009.06.24 -
Authentium 5.1.2.4 2009.06.24 -
Avast 4.8.1335.0 2009.06.23 -
AVG 8.5.0.339 2009.06.23 -
BitDefender 7.2 2009.06.24 -
CAT-QuickHeal 10.00 2009.06.22 -
ClamAV 0.94.1 2009.06.24 -
Comodo 1404 2009.06.24 -
DrWeb 5.0.0.12182 2009.06.24 -
eSafe 7.0.17.0 2009.06.23 -
eTrust-Vet 31.6.6575 2009.06.23 -
F-Prot 4.4.4.56 2009.06.23 -
F-Secure 8.0.14470.0 2009.06.24 -
Fortinet 3.117.0.0 2009.06.24 -
GData 19 2009.06.24 -
Ikarus T3.1.1.59.0 2009.06.24 Trojan.Crypt
Jiangmin 11.0.706 2009.06.24 -
K7AntiVirus 7.10.768 2009.06.19 -
Kaspersky 7.0.0.125 2009.06.24 -
McAfee 5655 2009.06.23 -
McAfee-GW-Edition 6.7.6 2009.06.24 Trojan.Crypt.FKM.Gen
Microsoft 1.4803 2009.06.24 -
NOD32 4182 2009.06.24 -
Norman 6.01.09 2009.06.23 -
nProtect 2009.1.8.0 2009.06.24 -
Panda 10.0.0.16 2009.06.24 -
Prevx 3.0 2009.06.24 -
Rising 21.35.20.00 2009.06.24 -
Sophos 4.42.0 2009.06.24 -
Sunbelt 3.2.1858.2 2009.06.23 -
Symantec 1.4.4.12 2009.06.24 -
TheHacker 6.3.4.3.352 2009.06.24 -
TrendMicro 8.950.0.1094 2009.06.24 -
ViRobot 2009.6.24.1801 2009.06.24 -
VirusBuster 4.6.5.0 2009.06.23 -
Information additionnelle
File size: 819856 bytes
MD5 : b6cf51e460633454acf752d112fb098b
SHA1 : 84716527061615acf3230d1d365d1409e03552c9
SHA256:
cd75e73ea8fd209566230b6fa757eef54d93b89e236fd103528347188a420613
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x2723
timedatestamp.....: 0x33CB637C (Tue Jul 15 13:48:12 1997)
machinetype.......: 0x14C (Intel I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8E48 0x9000 6.48 a78884f38271295e42ce3d664ef33c2f
.data 0xA000 0x1C0C 0x400 4.10 a8800423228f9a86657c80297a8ce5f0
.rsrc 0xC000 0xBC000 0xBB800 7.97 2bb1768c06d7bea18bff8247f6edf893
( 6 imports )
> advapi32.dll: RegCloseKey, EqualSid, AllocateAndInitializeSid,
GetTokenInformation, OpenProcessToken, AdjustTokenPrivileges,
LookupPrivilegeValueA, FreeSid, RegDeleteValueA, RegOpenKeyExA,
RegSetValueExA, RegQueryValueExA, RegCreateKeyExA, RegQueryInfoKeyA
> comctl32.dll: -
> gdi32.dll: GetDeviceCaps
> kernel32.dll: lstrcatA, GetFileAttributesA, GetShortPathNameA,
GetPrivateProfileStringA, GetPrivateProfileIntA, GetCurrentProcess,
lstrlenA, lstrcmpiA, lstrcpyA, GetModuleFileNameA, FreeLibrary, LocalAlloc,
GetLastError, GetSystemDirectoryA, LoadLibraryA, FindClose, FindNextFileA,
DeleteFileA, SetFileAttributesA, lstrcmpA, FindFirstFileA, _lclose, _llseek,
_lopen, GetWindowsDirectoryA, GetProcAddress, RemoveDirectoryA,
GlobalUnlock, GlobalLock, GlobalAlloc, ExitProcess, GetModuleHandleA,
GetStartupInfoA, CloseHandle, LoadResource, FindResourceA, CreateMutexA,
SetEvent, CreateEventA, SetCurrentDirectoryA, CreateThread, ResetEvent,
TerminateThread, GetVersionExA, LocalFree, GetExitCodeProcess,
WaitForSingleObject, CreateProcessA, GetTempPathA, FreeResource,
LockResource, SizeofResource, CreateFileA, ReadFile, WriteFile,
SetFilePointer, SetFileTime, LocalFileTimeToFileTime, DosDateTimeToFileTime,
GetTempFileNameA, GetSystemInfo, GetDiskFreeSpaceA, GetDriveTypeA,
lstrcpynA, GetVolumeInformationA, GetCurrentDirectoryA, LoadLibraryExA,
GetCommandLineA, CreateDirectoryA, GlobalFree, FormatMessageA,
IsDBCSLeadByte
> user32.dll: EndDialog, wsprintfA, ExitWindowsEx, CharNextA,
CharUpperA, GetDesktopWindow, SetWindowLongA, GetWindowLongA,
CallWindowProcA, GetDlgItem, SetForegroundWindow, SetWindowTextA,
SendDlgItemMessageA, EnableWindow, GetDlgItemTextA, SendMessageA,
DispatchMessageA, LoadStringA, PeekMessageA, MessageBoxA, CharPrevA,
SetWindowPos, ReleaseDC, GetDC, GetWindowRect, ShowWindow,
DialogBoxIndirectParamA, SetDlgItemTextA, MessageBeep,
MsgWaitForMultipleObjects
> version.dll: GetFileVersionInfoSizeA, VerQueryValueA,
GetFileVersionInfoA
( 0 exports )
TrID : File type identification
InstallShield setup (45.1%)
Win32 Executable MS Visual C++ (generic) (39.5%)
Win32 Executable Generic (8.9%)
Win16/32 Executable Delphi generic (2.1%)
Generic Win/DOS Executable (2.0%)
ssdeep:
12288:ltPe94VBoF+IwSKfimpvRTnVQOERp+l7c+AvHCusfuWpiltwzz6YSnMvtOQJ0Ep/:l9s4Vi+6SvtVQnRraEcKY2ytOVEp/
PEiD : -
RDS : NSRL Reference Data Set
-
Acetonik
"Acetonik" <acet...@wanadoo.invalid> a �crit dans le message de news:
4a43495b$0$17743$ba4a...@news.orange.fr...
D�sol� pour la pi�ce jointe provenant du copier coller page VirusTotal.
Je ne pensais pas qu'on pouvait mettre une pi�ce jointe dans la hi�rarchie
fr.
pas de rejet automatique ??
--
Acetonik
Az Sam
"Acetonik" <acet...@wanadoo.invalid> a �crit dans le message de news:
4a434aa8$0$12659$ba4a...@news.orange.fr...
>
>
> D�sol� pour la pi�ce jointe provenant du copier coller page VirusTotal.
> Je ne pensais pas qu'on pouvait mettre une pi�ce jointe dans la hi�rarchie fr.
>
> pas de rejet automatique ??
>
moi aussi, j'etais en train de me le dire :-))
Comment sont passes les png ??
--
Cordialement,
Az Sam.
Eric Demeester
ecrivait (wrote) :
Bonjour,
> un essai pour voir
Les pi�ces jointes de petite taille sont parfois accept�es par les
serveurs, mais ce n'est pas une raison pour en envoyer...
--
Eric
Acetonik
"Eric Demeester" <eric+...@galacsys.net> a �crit dans le message de news:
hvo645lagtio1efse...@4ax.com...
Je rappelle que l'envoi initial �tait involontaire.
Cela pose quand m�me une question , un code malicieux pourrait-il �tre
transmis via un news-group ??
--
Cordialement
Az Sam
hvo645lagtio1efse...@4ax.com...
>
> Les pi�ces jointes de petite taille sont parfois accept�es par les
> serveurs, mais ce n'est pas une raison pour en envoyer...
tiens donc... je ne savais pas, docile que je suis de ne jamais tente d'en
mettre sur les newsgroups..
ca date de quand ?
--
Cordialement,
Az Sam.
Sylvain SF
>
> D�sol� pour la pi�ce jointe provenant du copier coller page VirusTotal.
> Je ne pensais pas qu'on pouvait mettre une pi�ce jointe dans la hi�rarchie
> fr.
>
> pas de rejet automatique ??
le serveur ne peut rejeter que des �l�ments identifiables, ceci
est le cas pour un post multi-part o� les pi�ces jointes seraient
explicitement tagg�s (par un encodage et un d�limitateur).
regardez le source de votre post, vous comprendrez que les
�l�ments ne pouvaient pas �tre d�tect�s ici.
cette pr�sence est aussi le fait de OE qui encode comme un goret,
entre les .dat et ces images inlin�es, aucun standard n'est
respect�.
Sylvain.
Eric Demeester
ecrivait (wrote) :
Bonjour,
> Cela pose quand m�me une question , un code malicieux pourrait-il �tre
> transmis via un news-group ??
A priori, oui, et particuli�rement dans les groupes qui acceptent les
binaires.
Notez au passage que si j'ai vu qu'il y avait une pi�ce jointe � votre
message initial, mon logiciel s'est content� de me dire qu'elle
existait, mais ne l'a pas t�l�charg�e, me laissant le soin de le faire
si je souhaitais la visualiser.
--
Eric
Acetonik
"Sylvain SF" <syl...@boiteaspam.info> a �crit dans le message de news:
4a436bee$0$17780$ba4a...@news.orange.fr...
> Acetonik a �crit :
>>
>> D�sol� pour la pi�ce jointe provenant du copier coller page VirusTotal.
>> Je ne pensais pas qu'on pouvait mettre une pi�ce jointe dans la
>> hi�rarchie fr.
>>
>> pas de rejet automatique ??
>
> le serveur ne peut rejeter que des �l�ments identifiables, ceci
> est le cas pour un post multi-part o� les pi�ces jointes seraient
> explicitement tagg�s (par un encodage et un d�limitateur).
> regardez le source de votre post, vous comprendrez que les
> �l�ments ne pouvaient pas �tre d�tect�s ici.
Il y a pourtant une partie
begin 666 compress-icon.png
...
end
> cette pr�sence est aussi le fait de OE qui encode comme un goret,
> entre les .dat et ces images inlin�es, aucun standard n'est
> respect�.
Ce n'est peut etre pas le standard attendu , mais il n'est pas exceptionnel
sinon B$.G$. n'en serait pas l� .
--
Ace
Eric Demeester
(wrote) :
Bonjour,
> "Eric Demeester" >
> > Les pi�ces jointes de petite taille sont parfois accept�es par les
> > serveurs, mais ce n'est pas une raison pour en envoyer...
>
> tiens donc... je ne savais pas, docile que je suis de ne jamais tente d'en
> mettre sur les newsgroups..
Et tu fais bien car les chances qu'elles soient rejet�es sont non
n�gligeables. En fait �a d�pend beaucoup des serveurs et de leur
configuration.
> ca date de quand ?
� ma connaissance, �a a toujours �t� le cas et �a d�pend de la fa�on
dont les serveurs de news sont configur�s.
Les personnes qui voient les pi�ces jointes d'Acetonik utilisent des
serveurs de news qui soit acceptent syst�matiquement tout ce qui leur
est envoy�, soit estiment que les pi�ces jointes sont � la fois de
petite taille et inoffensives.
Pour revenir en th�me ici, les serveurs NNTP sp�cialis�s dans les
binaires donnant acc�s � la hi�rachie alt.binaries (Giganews par
exemple) peuvent propager des virus et autres cochonneries.
--
Eric
Eric Demeester
ecrivait (wrote) :
Bonjour,
> le serveur ne peut rejeter que des �l�ments identifiables, ceci
> est le cas pour un post multi-part o� les pi�ces jointes seraient
> explicitement tagg�s (par un encodage et un d�limitateur).
> regardez le source de votre post, vous comprendrez que les
> �l�ments ne pouvaient pas �tre d�tect�s ici.
>
> cette pr�sence est aussi le fait de OE qui encode comme un goret,
> entre les .dat et ces images inlin�es, aucun standard n'est
> respect�.
Voila, pile-poil.
--
Eric
Acetonik
"Acetonik" <acet...@wanadoo.invalid> a �crit dans le message de news:
4a43703b$0$17072
Je n'avais pas joint d'image cette fois, juste le texte (sans tiret) :
b-e-g-i-n 6-6-6 c-o-m-p-r-e-s-s- i-c-o-n . p-n-g
...
e-n-d
et une pi�ce jointe a �t� cr��e trop nul OE.
D�sol�
--
Ace
Acetonik
"Acetonik" <acet...@wanadoo.invalid> a �crit dans le message de news:
Pour en revenir � la question initiale:
Trojan ou non dans fs98pat1.exe ??
Az Sam
> Et tu fais bien car les chances qu'elles soient rejet�es sont non
> n�gligeables. En fait �a d�pend beaucoup des serveurs et de leur
> configuration.
notes que j'ai bien du essayer ou meme le faire par erreur a mes debuts (1998 ?)
:-)
> � ma connaissance, �a a toujours �t� le cas et �a d�pend de la fa�on
> dont les serveurs de news sont configur�s.
>
> Les personnes qui voient les pi�ces jointes d'Acetonik utilisent des
> serveurs de news qui soit acceptent syst�matiquement tout ce qui leur
> est envoy�, soit estiment que les pi�ces jointes sont � la fois de
> petite taille et inoffensives.
lui il publie par Orange, moi je recupere par Free,
> Pour revenir en th�me ici, les serveurs NNTP sp�cialis�s dans les
> binaires donnant acc�s � la hi�rachie alt.binaries (Giganews par
> exemple) peuvent propager des virus et autres cochonneries.
oui mais la on est sur par sur un binaire. on sur la hieracrhie fr.*.
Il me semblait que des RFC etaient appliqu�es par les admin.
c'ets peut etre l� que ca a chang� ;-)
--
Cordialement,
Az Sam.
Acetonik
Bjr,
Je r�itere ma question toujours sans r�ponse , si une ame charuitable veut
bien me r�pondre:
Trouvez-vous aussi un Trojan dans le fichier fs98pat1.exe que l'on
t�l�charge ici
http://support.microsoft.com/kb/178710/fr
en effectuant une analyse sur Virustotal ?
Merci par avance,
--
Ace
Jacquouille la Fripouille
Tu as tapotᅵ sur ton clavier le message suivant <news:4a4f8b2b$0$17747$ba4a...@news.orange.fr> :
> Bjr,
>
> Je rï¿œitere ma question toujours sans rï¿œponse , si une ame charuitable veut
> bien me rï¿œpondre:
>
> Trouvez-vous aussi un Trojan dans le fichier fs98pat1.exe que l'on
> tï¿œlï¿œcharge ici
> http://support.microsoft.com/kb/178710/fr
> en effectuant une analyse sur Virustotal ?
>
> Merci par avance,
Norton AV ne rï¿œagit pas.
La source est ultra sï¿œre : Microsoft Support.
C'est une vieille rustine pour un vieux jeu (98) ...
--
Jacquouille la Fripouille
Pï¿œrigord, meitat chen, meitat porc.
Acetonik
"Jacquouille la Fripouille" <jacqu...@orangina.fr.invalid> a �crit dans
le message de news: 4a4f8f98$0$12618$ba4a...@news.orange.fr...
> *Bonjour Acetonik*
> Tu as tapot� sur ton clavier le message suivant
> <news:4a4f8b2b$0$17747$ba4a...@news.orange.fr> :
>
>> Bjr,
>>
>> Je r�itere ma question toujours sans r�ponse , si une ame charuitable
>> veut
>> bien me r�pondre:
>>
>> Trouvez-vous aussi un Trojan dans le fichier fs98pat1.exe que l'on
>> http://support.microsoft.com/kb/178710/fr
>> en effectuant une analyse sur Virustotal ?
>>
>> Merci par avance,
>
oui, mais pour moi d'autres AV r�agissent sur
https://www.virustotal.com/fr/
Avez vous la meme chose???
Cordialement
--
Ace
Jo Kerr
> "Jacquouille la Fripouille" <jacqu...@orangina.fr.invalid> a ï¿œcrit dans le
>> *Bonjour Acetonik*
>> <news:4a4f8b2b$0$17747$ba4a...@news.orange.fr> :
>>
>>> Bjr,
>>>
>>> Je rï¿œitere ma question toujours sans rï¿œponse , si une ame charuitable veut
>>> bien me rï¿œpondre:
>>>
>>> Trouvez-vous aussi un Trojan dans le fichier fs98pat1.exe que l'on
>>> http://support.microsoft.com/kb/178710/fr
>>> en effectuant une analyse sur Virustotal ?
>>>
>>> Merci par avance,
>>
> oui, mais pour moi d'autres AV rï¿œagissent sur
Oui, 2 sur 32. On peut partir du principe qu'il s'agit de faux
positifs.
--
In gold we trust (c)
Acetonik
"Jo Kerr" <jo....@jo.invalid> a �crit dans le message de news:
mn.253c7d97e...@cappucino.com...
> Acetonik a formul� la demande :
>> "Jacquouille la Fripouille" <jacqu...@orangina.fr.invalid> a �crit
>>> *Bonjour Acetonik*
>>> <news:4a4f8b2b$0$17747$ba4a...@news.orange.fr> :
>>>
>>>> Bjr,
>>>>
>>>> Je r�itere ma question toujours sans r�ponse , si une ame charuitable
>>>> veut
>>>> bien me r�pondre:
>>>>
>>>> Trouvez-vous aussi un Trojan dans le fichier fs98pat1.exe que l'on
>>>> http://support.microsoft.com/kb/178710/fr
>>>> en effectuant une analyse sur Virustotal ?
>>>>
>>>> Merci par avance,
>>>
>> oui, mais pour moi d'autres AV r�agissent sur
>> https://www.virustotal.com/fr/
>> Avez vous la meme chose???
>>
>> Cordialement
>
> Oui, 2 sur 32. On peut partir du principe qu'il s'agit de faux positifs.
Merci beaucoup ,
La source �tait bien s�r fiable a priori ( en tous cas il faut l'esp�rer
!!), mais je me demandais si une infection ne se transmettait pas dans mon
systeme juste apr�s le t�l�chargement . Les r�sultats �tant identiques pour
vous , j'opte aussi pour de faux positifs.
Cordialement
--
Ace
Yves Lambert
> je me demandais si une infection ne se transmettait pas dans mon
> systeme juste aprï¿œs le tï¿œlï¿œchargement
Microsoft ne sait pas signer un fichier ?
--
Les vices entrent dans la composition des vertus comme les poisons
entrent dans la composition des remï¿œdes. La prudence les assemble et
les tempï¿œre, et elle s'en sert utilement contre les maux de la vie.
-+- Franï¿œois de La Rochefoucauld (1613-1680), Maximes 182 -+-