Pour une solution qui se veut fiable à 100%, je trouve étonnant qu'aucune
version de test de soit disponible ou téléchargeable, :-(((
Quelqu'un pourrait t'il me donner un feed back sur ce logiciel (performance,
...)
Merci.
Virus Bulletin.
Roland Garcia
merci
"Roland Garcia" <roland...@worldnet.fr> a écrit dans le message news:
3B3CE6A7...@worldnet.fr...
> oui moi aussi je serai intéressé par un comparatif...
> nous pourrions avoir une adresse précise...
>
> >
> > Virus Bulletin.
> >
Malheureusement non, le contenu de Virus Bulletin n'est pas disponible sur le
Web et le contenu est protégé par un copyright.
NickFitzgerald auteur des tests les avait commentés sur alt.comp.virus
Roland Garcia
> Pour mémoire, je rappelle qu'un comparatif passera bientôt dans Pirates.
> En résumé : Viguard génère pas mal de fausses alertes mais bloque
> effectivement tous les virus, connus ou inconnus, au niveau du client
> mail. Les fausses alertes sont la résultante de son moteur d'analyse
> mais l'utilisateur n'est jamais pris par défaut. Un utilisateur qui suit
> scrupuleusement les conseils et avertissements de Viguard n'a pas de
> risque de se voir infecté.
Si un utilisateur suit scrupuleusement les conseils généralement donnés il
ne sera pas infecté même sans antivirus. Dans ce cas le mérite n'en revient
pas à l'antivirus.
N'importe quel antivirus est infaillible avec un raisonnement pareil.
> Avec un paramétrage administrateur en entreprise, je n'ai constaté à ce
> jour aucun risque d'infection possible sur les 4 familles de virus
> connus (boot, exécutable, macros et vers).
On le croira le jour ou Virus Bulletin le dira ce qui n'a pas l'air du tout
d'être le cas. Ce n'est quand même pas bien compliqué, il suffit de
présenter la dernière mouture à Virus Bulletin puis de publier son avis!
Il y a également les tests des universités de Hambourg et de Magdbourg.
Tout le monde peut vérifier les performances des autres antivirus, pour
Viguard rien, même pas de rapport des tests effectués par ce ou ces labos,
dont Virus Bulletin.
Quand à vos tests vous avez selon les critères de ces mêmes labos, et
appliqués à tous les autres antivirus, démontré qu'il est infectable par des
virus dans la Wild List, ce n'est pas moi qui le dit c'est vous.
> Le tout avec un nombre
> extrèmement réduit de MAJ (une poignée par an, contre 365 pour les AV à
> scanner, ce qui est très lourd à gérer en entreprise). Roland a les
> détails et ils paraitront comme promis dans Pirates (numéro à déterminer
> avec le rédacteur en chef).
Les mises à jour sur un réseau sont entièrement automatiques et personne n'a
à s'en occuper.
Roland Garcia
>
> > Avec un paramétrage administrateur en entreprise, je n'ai constaté à ce
> > jour aucun risque d'infection possible sur les 4 familles de virus
> > connus (boot, exécutable, macros et vers).
>
> On le croira le jour ou Virus Bulletin le dira ce qui n'a pas l'air du tout
> d'être le cas. Ce n'est quand même pas bien compliqué, il suffit de
J'attend toujours le lien (précis) sur Virus Bulletin disant le
contraire.
Et en l'occurrence, je te mets au défi de trouver un virus (pas un
trojan) qui passe cette première barrière avec MdP administrateur. Pour
l'heure, tu ne m'en as pas trouvé un seul... Qu'on soit bien d'accord :
la version concernée est la 9+ (actuellement dispo, datée de janvier
2001)
> présenter la dernière mouture à Virus Bulletin puis de publier son avis!
Contacts ?
> Il y a également les tests des universités de Hambourg et de Magdbourg.
> Tout le monde peut vérifier les performances des autres antivirus, pour
> Viguard rien, même pas de rapport des tests effectués par ce ou ces labos,
> dont Virus Bulletin.
Parce qu'ils ne l'ont pas testé. Seront publiés les résultats de mes
tests (qui valent ce qu'ils valent, mais qui ont le mérite d'exister et
d'être argumentés par des faits précis, ce qui n'est pas le cas de tout
le monde).
> Quand à vos tests vous avez selon les critères de ces mêmes labos, et
> appliqués à tous les autres antivirus, démontré qu'il est infectable par des
> virus dans la Wild List, ce n'est pas moi qui le dit c'est vous.
As-tu bien lu le tableau ? Ce n'est pas ce que j'y vois. Surtout depuis
que j'ai vérifié la véracité des infections avec un vérificateur
d'intégrité et que je n'en ai pas constaté.
>
> > Le tout avec un nombre
> > extrèmement réduit de MAJ (une poignée par an, contre 365 pour les AV à
> > scanner, ce qui est très lourd à gérer en entreprise). Roland a les
> > détails et ils paraitront comme promis dans Pirates (numéro à déterminer
> > avec le rédacteur en chef).
>
> Les mises à jour sur un réseau sont entièrement automatiques et personne n'a
> à s'en occuper.
A part que ça surcharge beaucoup et inutilement la bande passante du
réseau. Ce n'est pas moi qui le dit mais un administrateur réseau d'une
école de commerce du nord de la France, avec plusieurs centaines de
postes et les MAJ automatisées. Ca a un coût, il s'en plaint beaucoup et
j'imagine que ce doit être le cas de nombreux administrateurs. Le
problème est encore pire avec les utilisateurs distants, qui se
connectent au réseau local en dial-up et qui ne sont pas MAJ
systématiquement !
>Seul "problème" : des fichiers parfaitement sains sont signalés comme
>potentiellement dangereux. Mais l'important n'est-il pas de bloqué toute
>source de problème potentiel ? Plutôt que de laisser passer des
>problèmes non détectés pour des raisons X ou Y ?
Pour quelqu'un qui y connait peu/rien en info, une fausse alerte,
c'est beaucoup de problèmes : des fichiers peut-être effacés, un coup
de téléphone en urgence au p'tit frère qui s'y connait et qui
conseille de formater le disque, et j'en passe ...
>Exemple concret : j'ai reçu plusieurs Magistr d'utilisateurs soit disant
>protégés par NAV et McAfee.
Ils n'avaient pas leur AV à jour, ou leur AV est pourri, ou il n'était
pas actif. N'importe quel AV normalement constitué est censé arrêter
Magistr.
>> On le croira le jour ou Virus Bulletin le dira ce qui n'a pas l'air du tout
>> d'être le cas. Ce n'est quand même pas bien compliqué, il suffit de
>J'attend toujours le lien (précis) sur Virus Bulletin disant le
>contraire.
Il me semble que Roland a déja expliqué pourquoi vous n'aurez pas de
lien vers le passge précis ou le VB parle de Viguard ...
C'est tout simplement parceque les articles du VB ne sont dispo que
sous forme papier (grosso modo). Demandez à votre intendant d'acheter
les numéros qui vont bien et tout ira bien ...
>> Les mises à jour sur un réseau sont entièrement automatiques et personne n'a
>> à s'en occuper.
>A part que ça surcharge beaucoup et inutilement la bande passante du
>réseau. Ce n'est pas moi qui le dit mais un administrateur réseau d'une
>école de commerce du nord de la France, avec plusieurs centaines de
>postes et les MAJ automatisées. Ca a un coût, il s'en plaint beaucoup et
>j'imagine que ce doit être le cas de nombreux administrateurs. Le
>problème est encore pire avec les utilisateurs distants, qui se
>connectent au réseau local en dial-up et qui ne sont pas MAJ
>systématiquement !
Evidemment, n'importe quel système mis en oeuvre par un incompétent
posera des problèmes ! Le schéma est simple :
- un serveur centrale télécharge les maj (pull) ou bien elles lui sont
envoyés par la compagnie de l'AV elle-même (push)
- les clients vérifie les dates de maj et les récupère si le besoin se
fait sentir
Mais _JAMAIS_ les clients ne doivent télécharger eux-mêmes les maj
(par économie de bande-passante) ni non plus initier de connexion au
Net (dial-up RTC/Numéris par exemple).
Simple bon sens ...
Nicob
>
> >Exemple concret : j'ai reçu plusieurs Magistr d'utilisateurs soit disant
> >protégés par NAV et McAfee.
>
> Ils n'avaient pas leur AV à jour, ou leur AV est pourri, ou il n'était
> pas actif. N'importe quel AV normalement constitué est censé arrêter
> Magistr.
Pas à jour. Mais c'est précisément le problème des AV à signatures. La
plupart des infections ont lieu sur des postes protégés par des AV à
scanner non mis à jour. Ces produits induisent chez l'utilisateur une
fausse impression d'être protégé. C'est pour celà qu'à mon sens, un
produit hermétique au niveau de la sauvegarde des pièces jointes est
plus utile, même s'il bloque des fichiers sains, qu'un AV trop souvent
obsolète.
>
> >> On le croira le jour ou Virus Bulletin le dira ce qui n'a pas l'air du tout
> >> d'être le cas. Ce n'est quand même pas bien compliqué, il suffit de
> >J'attend toujours le lien (précis) sur Virus Bulletin disant le
> >contraire.
>
> Il me semble que Roland a déja expliqué pourquoi vous n'aurez pas de
> lien vers le passge précis ou le VB parle de Viguard ...
> C'est tout simplement parceque les articles du VB ne sont dispo que
> sous forme papier (grosso modo). Demandez à votre intendant d'acheter
> les numéros qui vont bien et tout ira bien ...
Roland doit les avoir s'il les connaît. Il peut les forwarder ou faire
un copier-coller ? Et si j'ai bien suivi la chose, il ne me semble pas
que Virus Bulletin ait testé la version 9. Mais je peux me tromper.
>
> >> Les mises à jour sur un réseau sont entièrement automatiques et personne n'a
> >> à s'en occuper.
> >A part que ça surcharge beaucoup et inutilement la bande passante du
> >réseau. Ce n'est pas moi qui le dit mais un administrateur réseau d'une
> >école de commerce du nord de la France, avec plusieurs centaines de
> >postes et les MAJ automatisées. Ca a un coût, il s'en plaint beaucoup et
> >j'imagine que ce doit être le cas de nombreux administrateurs. Le
> >problème est encore pire avec les utilisateurs distants, qui se
> >connectent au réseau local en dial-up et qui ne sont pas MAJ
> >systématiquement !
>
> Evidemment, n'importe quel système mis en oeuvre par un incompétent
> posera des problèmes ! Le schéma est simple :
Je ne pense pas qu'il soit incompétent, mais bon...
> - un serveur centrale télécharge les maj (pull) ou bien elles lui sont
> envoyés par la compagnie de l'AV elle-même (push)
Oui
> - les clients vérifie les dates de maj et les récupère si le besoin se
> fait sentir
> Mais _JAMAIS_ les clients ne doivent télécharger eux-mêmes les maj
> (par économie de bande-passante) ni non plus initier de connexion au
> Net (dial-up RTC/Numéris par exemple).
Non. Les clients reçoivent automatiquement à partir du serveur et chaque
jour la nouvelle MAJ. Je ne connais pas la topologie du réseau mais le
gars se plaint de la surcharge de bande passante précisément au moment
de la MAJ. Le logiciel est NAV.
Quand aux clients, ils ne téléchargent pas eux même. Ce sont les
logiciels de gestion de remote access et de gestion de parc qui gèrent
ça. Imagine un commercial qui envoie un reporting chaque soir de ses
ventes. Au moment de la connexion, le serveur détermine qu'il faut
mettre à jour les signatures. Il envoie le fichier : coût en temps et
donc en argent. Imagine maintenant que le gars se connecte un soir,
récupère sa MAJ, se connecte le matin, récupère du mail et pas de MAJ,
ne se connecte pas les jours suivants et exécute une pièce jointe
contenant un virus non détecté par la dernière MAJ : infection !
C'est le problème de base des MAJ quotidiennes. Lourdes à gérer et peu
efficace car, quelle que soit leur régularité, elles laissent une
fenêtre de tir pour des attaques de virus non reconnus. D'un point de
vue sécurité, c'est très génant. D'un point de vue bon sens aussi ;-)
>> Il me semble que Roland a déja expliqué pourquoi vous n'aurez pas de
>> lien vers le passge précis ou le VB parle de Viguard ...
>> C'est tout simplement parceque les articles du VB ne sont dispo que
>> sous forme papier (grosso modo). Demandez à votre intendant d'acheter
>> les numéros qui vont bien et tout ira bien ...
>Roland doit les avoir s'il les connaît. Il peut les forwarder ou faire
>un copier-coller ?
Pas possible ...
Problème de copyright ...
Nicob
PS : OK pour ton explication du commercial nomade qui récupére un mail
infecté un jour, et lance la pièce jointe un autre jour, alors
qu'entre temps, le virus aura été découvert et inclus dans les
signatures qu'il n'a pas à jour. Mais bon, c'est loin d'être le cas le
plus courant ...
Un AV au niveau du serveur de mails est ce qui peut être de plus
efficace pour ce type de problèmes.
> > On le croira le jour ou Virus Bulletin le dira ce qui n'a pas l'air du tout
> > d'être le cas. Ce n'est quand même pas bien compliqué, il suffit de
> J'attend toujours le lien (précis) sur Virus Bulletin disant le
> contraire.
Puisque vous insistez et à votre demande expresse, voici au moins la position
publique de celui qui a testé:
http://groups.google.com/groups?q=fitzgerald+tegam&hl=fr&safe=off&btnG=Recherche+Google&meta=site%3Dgroups
> Et en l'occurrence, je te mets au défi de trouver un virus (pas un
> trojan) qui passe cette première barrière avec MdP administrateur. Pour
> l'heure, tu ne m'en as pas trouvé un seul... Qu'on soit bien d'accord :
> la version concernée est la 9+ (actuellement dispo, datée de janvier
> 2001)
Pas plus tard que ce matin, un administrateur utilisant Viguard depuis des années,
équipé des toutes dernières versions, et envoyant un ver connu, heureusement pour
lui filtré ensuite par un antivirus de messagerie. Vu le lieu d'origine de
l'infection, j'espère que vous ne vous sentirez pas obligé d'insister ici.
Roland Garcia
CYRIL
"Nicob" <use...@nicob.net> a écrit dans le message news:
3b407594...@News.CIS.DFN.DE...
>
> Nicob
>
> PS : OK pour ton explication du commercial nomade qui récupére un mail
> infecté un jour, et lance la pièce jointe un autre jour, alors
> qu'entre temps, le virus aura été découvert et inclus dans les
> signatures qu'il n'a pas à jour. Mais bon, c'est loin d'être le cas le
> plus courant ...
> Un AV au niveau du serveur de mails est ce qui peut être de plus
> efficace pour ce type de problèmes.
La preuve : j'ai reçu un mail infecté par Magistr à partir d'un boîte
avec un AV au niveau du serveur de mails. De plus, tous les virus reçus
depuis qq temps viennent de boîtes soit disant protégées. Mon expérience
a donc plutôt tendance à montrer que, quelle que soit la fréquence de
MAJ, les AV à signatures sont des portes entrouvertes pour les virus et
ne sont pas, quels qu'ils soient, la panacée. Pas plus que Viguard
d'ailleurs. Le mieux reste de combiner les deux (voir l'article qui
passera dans Pirates pour plus de détails)
Je ne sais pas comment tu te débrouilles mais je n'ai aucun problème de
ce genre depuis plusieurs années (8 et 9+Net) que j'utilise ce produit.
Et même sur plusieurs machines (bureau sous W98, maison sous W2K, beau
père sous W2K, beau frère sous WME et père sous W95). A mon sens, c'est
ta config qui pose un problème. S'il y avait vraiment un problème majeur
de stabilité engendré par Viguard, ça se saurait. A tout le moins, je
m'en serai déjà rendu compte ! Pour que ton expérience soit valable, il
faudrait que tu réinstalles entièrement ta machine, avec dans l'ordre
Windows puis Viguard puis les autres programmes.
Mais ça n'empêche pas que mettre 2 AV (Viguard puis un scanner) n'est
pas plus mal.
Et sur le fait de découvrir des virus dans des EXE sains, ce n'est pas
ça : il te signale juste que l'EXE présenté pose un risque de sécurité.
Ce n'est pas pareil. Si tu estimes qu'il est sain, tu le valides. C'est
tout.
> Et sur le fait de découvrir des virus dans des EXE sains, ce n'est pas
> ça : il te signale juste que l'EXE présenté pose un risque de sécurité.
> Ce n'est pas pareil. Si tu estimes qu'il est sain, tu le valides. C'est
> tout.
Bien sûr toute secrétaire a un désassembleur et les compétences nécessaires
pour juger s'il s'agit d'un code viral ou non :-)
Roland Garcia
>La preuve : j'ai reçu un mail infecté par Magistr à partir d'un boîte
>avec un AV au niveau du serveur de mails.
Hum ...
Faudra quand même m'expliquer comment est-ce possible ....
Pitêtre qu'ils ne filtraient que les mails entrants, ou que leur
dernière MAJ date de 1999. Ce qui est sûr, c'est qu'une install bien
faite et à jour des MAJ ne laisse pas passer Magistr.
Ton exemple me semble foireux. Faudrait avoir plus de détail sur leur
conf pour voir si c'est eux qui ont merdé ou si c'est l'AV qui est en
cause. A mon avis, soit ils ont un produit pourri, soit ils ne savent
pas s'en servir ...
Nicob
>Et sur le fait de découvrir des virus dans des EXE sains, ce n'est pas
>ça : il te signale juste que l'EXE présenté pose un risque de sécurité.
>Ce n'est pas pareil. Si tu estimes qu'il est sain, tu le valides. C'est
>tout.
Comment doit-être faite l'estimation ?
Il me semble en effet gênant de compter sur l'utilisateur pour dire
quel fichier est "sain". Moi qui croyais que c'était justement le
boulot de l'AV ....
Nicob
function scanne_fichier() {
lit_fichier(); // Pour faire comme si...
alert("Attention ! Ce fichier pose un risque de sécurité ! Désinfecter
O/N ?");
if (reponse == "oui") {
lourder_fichier();
envoyer_MTX_par_mail (); // Tiens, prends ça !
}
ferme_fichier();
}
François Pirsch
P.S. : ce mail n'est pas sérieux. Toute ressemblance avec un logiciel
pourri du commerce serait purement fortuite, ou presque.
> Je viens de trouver le code source de VIGUARD !
>
> function scanne_fichier() {
> lit_fichier(); // Pour faire comme si...
> alert("Attention ! Ce fichier pose un risque de sécurité ! Désinfecter
> O/N ?");
> if (reponse == "oui") {
> lourder_fichier();
> envoyer_MTX_par_mail (); // Tiens, prends ça !
> }
> ferme_fichier();
> }
>
> François Pirsch
>
> P.S. : ce mail n'est pas sérieux. Toute ressemblance avec un logiciel
> pourri du commerce serait purement fortuite, ou presque.
Envoyer_MTX_par_mail (); est une fonction désuête, si mes sources sont
fiables je te conseillerais plutôt Navidad.b maintenant, tu as peut-être les
mêmes et sont elles crédibles ????????
Roland
PS : ce mail n'est pas plus sérieux. Toute ressemblance avec des
désinformateurs qui n'auraient jamais eu Viguard 9 entre les mains mais
qui le jugeraient malgré tout serait purement fortuite, ou presque.
>
> Ton exemple me semble foireux. Faudrait avoir plus de détail sur leur
> conf pour voir si c'est eux qui ont merdé ou si c'est l'AV qui est en
> cause. A mon avis, soit ils ont un produit pourri, soit ils ne savent
> pas s'en servir ...
C'est pas foireux : c'est caractéristique des problèmes potentiels
engendrés par des AV à signature : la moindre faille dans la MAJ et
c'est une porte ouverte aux virus. Quand j'en reçois, je demande
systématiquement le nom de l'AV et la fréquence de MAJ. C'est pas bien
brillant (mis en cause : NAV, McAfee, etc.)... Prendre un AV à scanner,
c'est prendre le problème des AV par le mauvais bout.
J'ai gardé les mails d'explication des vérolés pour les ceusses qui les
veulent...
Faites en autant de vos côtés et vous serez étonnés !
>A priori, défaillance au niveau des MAJ. Un risque à prendre quand on
>choisit les AV à signatures.
Pareil pour un firewall ou un serveur web ou Viguard.
Si on l'installe et qu'on le laisse tourner tout seul, on aura
forcément des problèmes et souvent très vite. La sécurité est
quelquechose _à faire_. On ne peut dire "je suis sécurisé". On peut
dire "Aujourd'hui, et étant donné mes compétences, je m'estime
sécurisé par rapport aux dangers possibles", mais pas plus ...
Et c'est pareil pour les AV ...
Un script qui fait la MAJ automatiquement, c'est 10 minutes de boulot.
Le réseau dont je m'oocupe a _toujours_ ces MAJ à jour. Je suis
parano, et mon patron aime ça :)
Et j'ai très très très peu de fausses alertes ....
Je crois que je serai plus emmerdé si je n'avais pas les MAJ à faire
mais que je devais répondre en speed aux problèmatiques de type
"Viguard dit que j'ai un virus, HAAAAAA !" posées par le rédac chef
qui ne comprend rien aux virus (ni aux ordinateurs d'ailleurs) ...
Nicob
> C'est pas foireux : c'est caractéristique des problèmes potentiels
> engendrés par des AV à signature : la moindre faille dans la MAJ et
> c'est une porte ouverte aux virus. Quand j'en reçois, je demande
> systématiquement le nom de l'AV et la fréquence de MAJ. C'est pas bien
> brillant (mis en cause : NAV, McAfee, etc.)... Prendre un AV à scanner,
> c'est prendre le problème des AV par le mauvais bout.
Mais enfin même Viguard a des signatures même s'il ne veulent pas l'avouer.
Relisez l'article de Nick Fitzgerald. Le fait qu'une signature soit
générique ne change rien à l'affaire et ils sont obligés de mettre à jour
comme tout le monde.
Ce que vous dites plus haut s'applique aussi à Viguard.
Roland Garcia
>
> Et c'est pareil pour les AV ...
> Un script qui fait la MAJ automatiquement, c'est 10 minutes de boulot.
Oui, mais à multiplier par autant de jours et de Ko (voire de Mo). Donc,
beaucoup plus de temps et d'argent que ça n'y parait pour l'entreprise.
> Le réseau dont je m'oocupe a _toujours_ ces MAJ à jour. Je suis
> parano, et mon patron aime ça :)
Bien vu !
>
> Et j'ai très très très peu de fausses alertes ....
Et des passages entre les mailles du filet ?
>
> Je crois que je serai plus emmerdé si je n'avais pas les MAJ à faire
> mais que je devais répondre en speed aux problèmatiques de type
> "Viguard dit que j'ai un virus, HAAAAAA !" posées par le rédac chef
> qui ne comprend rien aux virus (ni aux ordinateurs d'ailleurs) ...
Viguard ne dit pas qu'il y a un virus, Viguard dit que c'est
potentiellement dangereux. Ce n'est pas pareil.
Et si c'est AVP qui dit qu'il y a le virus machin, ça lui fait une belle
jambe, au RC qui ne comprend rien aux virus ni aux ordinateurs ;-)
> Ce que vous dites plus haut s'applique aussi à Viguard.
Ben non.
> Viguard ne dit pas qu'il y a un virus, Viguard dit que c'est
> potentiellement dangereux. Ce n'est pas pareil.
> Et si c'est AVP qui dit qu'il y a le virus machin, ça lui fait une belle
> jambe, au RC qui ne comprend rien aux virus ni aux ordinateurs ;-)
Celle là je l'encadre.
Roland Garcia
> Non : Viguard ne travaille pas sur des signatures. Il n'y a aucune
> signature dans le produit. Ou alors, prouve le moi en me donnant le code
> source ;-)
Et bien vous allez nous expliquer comment il marche, même à Lourdes il n'ont
jamais vu ça.
Roland Garcia
>Nicob a écrit :
>> Un script qui fait la MAJ automatiquement, c'est 10 minutes de boulot.
>Oui, mais à multiplier par autant de jours et de Ko (voire de Mo). Donc,
>beaucoup plus de temps et d'argent que ça n'y parait pour l'entreprise.
Parlons peu, parlons bien, parlons chiffres :
Quand je dis 10 minutes, c'est 10 minutes *en tout*, pas par jour !!
J'écris le programme une seule fois, je le met en cron, et hop, toutes
les nuits, il récupère la MAJ.
Disons entre 500 et 700 Ko par MAJ, avec MAJ toutes les nuits, ca fait
600*365/1024=213 Mo par an, soit presque rien, même pas ce que
downloadent certains en MP3 dans la journée ...
>> Et j'ai très très très peu de fausses alertes ....
>Et des passages entre les mailles du filet ?
Encore des chiffres ?
Fausses alertes : zéro (je ne compte les eicar.com de test, of course)
Passage à travers (c'est-à-dire virus reconnu seulement après une MAJ
des signatures) : zéro
>Viguard ne dit pas qu'il y a un virus, Viguard dit que c'est
>potentiellement dangereux. Ce n'est pas pareil.
>Et si c'est AVP qui dit qu'il y a le virus machin, ça lui fait une belle
>jambe, au RC qui ne comprend rien aux virus ni aux ordinateurs ;-)
Ben justement, pour cette personne, le message signifie la même chose,
c'est-à-dire : "Allo Houston, on a un problème !!!"
Donc moins il y a de fausses alertes, mieux je me porte ...
Nicob
> Non : Viguard ne travaille pas sur des signatures.
Il n'a pas d'emulateur, que je sache. Il travaille donc avec des
signatures. Permettant d'identifier de maniere exacte ou
approximative, mais ce sont des signatures.
> Il n'y a aucune
> signature dans le produit. Ou alors, prouve le moi en me donnant le code
> source ;-)
Il ne faut pas lancer des idees comme ca. Quelqu'un qui habite loin de
la France (moi), qui sait comment proteger son identite pour poster de
l'information (moi), qui connait un peu l'assembleur (moi), qui a une
ou deux notions de reversing (moi), qui a un peu de temps de libre
(pas moi, quoique) et qui a Viguard 9 (pas moi, mais si quelqu'un qui
a suffisamment de bande passante veut me l'envoyer, qu'il me contacte
par mail), pourrait verifier facilement.
--
Guillermito
http://www.guillermito.net
>si quelqu'un qui a suffisamment de bande passante veut me
>l'envoyer, qu'il me contacte par mail
Le défi est lancé ...
Qui va le relever ?
Nicob
>> Non : Viguard ne travaille pas sur des signatures.
et un peu plus loin dans le même message :
>> Il n'y a aucune signature dans le produit.
et un peu plus loin dans un autre message
(Message-ID:<3B405BD7...@distributique.fr>):
>D'après Viguard, sont détectés comme virus
>des fichiers dont l'exécution amène certaines fonctions, comme
>l'ouverture de ports, l'écriture sur disque, etc.
Ce qui ne ressemble évidemment pas à des signatures :)
Et en plus, il n'a pas l'impression de se contredire et/ou de nous
prendre pour des idiots ....
Nicob
Une version d'évaluation serait pas mal sur leur site, tout le monde
fait ça (enfin les simples mortels)
Roland Garcia
> J'écris le programme une seule fois, je le met en cron, et hop, toutes
> les nuits, il récupère la MAJ.
> Disons entre 500 et 700 Ko par MAJ, avec MAJ toutes les nuits, ca fait
> 600*365/1024=213 Mo par an, soit presque rien, même pas ce que
> downloadent certains en MP3 dans la journée ...
Ca a un coût, le téléchargement, pour une entreprise.
Et puis ça a un coût aussi en bande passante sur l'entreprise.
1000 postes * 500 ko = 500 Mo/jour distribués sur les postes de
l'entreprise.
Je te ferai grâce des calculs par an...
>
> >> Et j'ai très très très peu de fausses alertes ....
> >Et des passages entre les mailles du filet ?
>
> Encore des chiffres ?
> Fausses alertes : zéro (je ne compte les eicar.com de test, of course)
> Passage à travers (c'est-à-dire virus reconnu seulement après une MAJ
> des signatures) : zéro
C'est que tu fais bien ton travail. Tant mieux pour ton employeur mais
je peux t'assurer que c'est rare de nos jours... Et n'empêche que, d'un
point de vue chiffres, la MAJ quotidienne reste lourde à gérer.
>
> >Viguard ne dit pas qu'il y a un virus, Viguard dit que c'est
> >potentiellement dangereux. Ce n'est pas pareil.
> >Et si c'est AVP qui dit qu'il y a le virus machin, ça lui fait une belle
> >jambe, au RC qui ne comprend rien aux virus ni aux ordinateurs ;-)
>
> Ben justement, pour cette personne, le message signifie la même chose,
> c'est-à-dire : "Allo Houston, on a un problème !!!"
> Donc moins il y a de fausses alertes, mieux je me porte ...
C'est effectivement là que peut blesser le bât de Viguard. On est bien
d'accord.
Mais je pense que ce doit être gérable : quand tu mets Windows NT sur un
poste client avec des autorisations minimales, l'utilisateur ne peut pas
faire grand chose. S'il tente de télécharger qqch et que son PC (son AV)
lui dit "c'est dangereux. Interdit", je ne pense pas qu'il viendra te
voir. Il se dira "merde : je suis fliqué".
C'est uniquement dans les (rares) cas où un fichier réellement utile est
considéré comme dangereux et bloqué que ce posera le problème de la
fausse alerte. Et là encore, s'il s'agit de qqch de récurrent, ça peut
se paramétrer pour ne pas bloquer à chaque fois.
> >D'après Viguard, sont détectés comme virus
> >des fichiers dont l'exécution amène certaines fonctions, comme
> >l'ouverture de ports, l'écriture sur disque, etc.
>
> Ce qui ne ressemble évidemment pas à des signatures :)
> Et en plus, il n'a pas l'impression de se contredire et/ou de nous
> prendre pour des idiots ....
Ca fait donc trois (pour le moment) idiots ici plus un autre (Nick
Fitzgerald) ailleurs.
Marlyne n'a encore rien dit.
Roland Garcia
> Mais franchement, je ne croirais cette histoire de signatures que quand
> j'en aurai la preuve par 9.
Et comment expliquez vous qu'il détecte certains virus sans qu'on exécute les
fichiers? CQFD
Roland Garcia
>Quand à moi, comme je le disais, ma déontologie m'interdit de fournir
>les Viguard prêtés.
Mais pas de demander des photocopies du Virus Bulletin, qui est
protégé par copyright, c'est ça ?
Nicob
>> J'écris le programme une seule fois, je le met en cron, et hop, toutes
>> les nuits, il récupère la MAJ.
>> Disons entre 500 et 700 Ko par MAJ, avec MAJ toutes les nuits, ca fait
>> 600*365/1024=213 Mo par an, soit presque rien, même pas ce que
>> downloadent certains en MP3 dans la journée ...
>Ca a un coût, le téléchargement, pour une entreprise.
M'en fous, j'suis en LS ....
Pour les autres, 220 Mo par an, c'est *ridiculement peu*
>Et puis ça a un coût aussi en bande passante sur l'entreprise.
>1000 postes * 500 ko = 500 Mo/jour distribués sur les postes de
>l'entreprise.
Bah, nous, on ne travaille que 18H par jour, il reste donc 6H où le
réseau est dispo pour les backups/maj des antivirus/etc ...
>C'est que tu fais bien ton travail. Tant mieux pour ton employeur mais
>je peux t'assurer que c'est rare de nos jours..
Bouge pas, je vais demander une augmentation :)
Nicob
> On ne se comprend pas bien : ce ne sont pas des signatures mais une
> analyse comportementale.
> Qu'on soit bien d'accord sur le terme signature : suite d'octets
> caractéristiques d'un virus permettant de l'identifier. Certainement pas
> une suite d'octets caractéristiques d'un comportement générique. Sinon,
> il y aurait bien plus de fausses alertes et ce serait de l'heuristique
> pur.
Si c'est de l'heuristique pur (quand le fichier n'a pas encore été exécuté),
plus un "behavior blocker" (quand il est en cours d'exécution), plus un
analyseur d'intégrité (quand il a été exécuté).
Tout ça date d'avant 1990 et est utilisé par de nombreux autres, les
signatures précises en moins.
Roland Garcia
> Pour les autres, 220 Mo par an, c'est *ridiculement peu*
>
> >Et puis ça a un coût aussi en bande passante sur l'entreprise.
> >1000 postes * 500 ko = 500 Mo/jour distribués sur les postes de
> >l'entreprise.
Soit 180 Go par an...
>
> Bah, nous, on ne travaille que 18H par jour, il reste donc 6H où le
> réseau est dispo pour les backups/maj des antivirus/etc ...
Non, sérieusement : si ça ne génait pas, les grands comptes ne s'en
plaindraient pas. Non ?
>
> >C'est que tu fais bien ton travail. Tant mieux pour ton employeur mais
> >je peux t'assurer que c'est rare de nos jours..
>
> Bouge pas, je vais demander une augmentation :)
Vite, avant que ton boss ne parte ;-)
> Roland Garcia a écrit :
> >
> > Alain Godet a écrit :
> >
> > > Mais franchement, je ne croirais cette histoire de signatures que quand
> > > j'en aurai la preuve par 9.
> >
> > Et comment expliquez vous qu'il détecte certains virus sans qu'on exécute les
> > fichiers? CQFD
> Pas CQFD : il analyse a priori certaines portions du code du fichier
> (ouverture de ports, modification du disque, etc.), sans l'exécuter.
Ce sont donc des signatures, heuristiques, simplifiées, rustiques, appellez ça
comme vous voudrez.
> n'y a pas besoin de signatures de virus pour ça.
Pas de signature de virus précis, mais des signatures simplifiées avec le manque de
détection et les fausses alarmes qui en découlent.
Roland Garcia
>> M'en fous, j'suis en LS ....
>La LS, ça a aussi un coût.
Pas au débit, en tout cas pas pour nous ...
>> Pour les autres, 220 Mo par an, c'est *ridiculement peu*
>>
>> >Et puis ça a un coût aussi en bande passante sur l'entreprise.
>> >1000 postes * 500 ko = 500 Mo/jour distribués sur les postes de
>> >l'entreprise.
>Soit 180 Go par an...
Bof, en LAN, c'est pas énorme ....
>> Bah, nous, on ne travaille que 18H par jour, il reste donc 6H où le
>> réseau est dispo pour les backups/maj des antivirus/etc ...
>Non, sérieusement : si ça ne génait pas, les grands comptes ne s'en
>plaindraient pas. Non ?
Pitêtre qu'ils bossent tous 24H par jour ...
A part ça, je ne vois pas ...
>> >C'est que tu fais bien ton travail. Tant mieux pour ton employeur mais
>> >je peux t'assurer que c'est rare de nos jours..
>>
>> Bouge pas, je vais demander une augmentation :)
>Vite, avant que ton boss ne parte ;-)
Non non, il vient d'arriver ...
On fait en quelque sorte des "horaires décalés" :)
Nicob
> > Tout ça date d'avant 1990 et est utilisé par de nombreux autres, les
> > signatures précises en moins.
> Je ne serais pas aussi catégorique. Un AV d'avant 1990 n'arrêterait pas
> tout ce que Viguard arrête aujourd'hui.
Et Viguard 1991 également.
> Il doit y avoir autre chose mais comme je ne suis pas dans le secret des
> dieux, je ne m'avancerai pas trop.
> Tiens, en parlant de secret des dieux, Roland, il en est où, AVP 4 qui
> devait sortir au premier trimestre ? On attend toujours...
Moi aussi mais comme ça fait des années qu'ils disent ça :-)
De toute façon cette version ne changera pas grand chose, la nouvelle version 3.6
en est proche.
Roland Garcia
"Alain Godet" <alg...@distributique.fr> a écrit > PS : ce mail n'est pas
plus sérieux. Toute ressemblance avec des
> désinformateurs qui n'auraient jamais eu Viguard 9 entre les mains mais
> qui le jugeraient malgré tout serait purement fortuite, ou presque.
Alors que moi je l'ai essayé:il est GÉNIAL!!!!!
Bon faut que je vous laisse car depuis 3 jours j'ai une espèce de spirale
sur mon PC
J'sais pas de quoi ca vient....
amicalement
christian
:)
> Salut François !
> Ca faisait quelque temps que je n'avais pas eu de tes nouvelles !
> Je ne vois sur ta page toujours aucun test de Viguard ?
Peut-être qu'il a envie de passer des vacances tranquilles?
Roland Garcia
> Donc, tu dis tout ça sans savoir.
Je ne vais pas payer 700 balles pour m'amuser avec un logiciel dont je
soupconne la nullité. Ne pas offrir de version démo, c'est peut-etre
une stratégie de marketing, mais quand on parle de sécurité
informatique, ca ne tient pas une minute face au besoin de tester le
logiciel de maniere indépendante.
> Guillermito : cherche un peu en warez, ça doit se trouver, Viguard 9.
Ca y est, je l'ai.
--
Guillermito
http://www.guillermito.net
> > Bah, nous, on ne travaille que 18H par jour, il reste donc 6H où le
> > réseau est dispo pour les backups/maj des antivirus/etc ...
> Non, sérieusement : si ça ne génait pas, les grands comptes ne s'en
> plaindraient pas. Non ?
Ca en gène pas mal effectivement d'autant plus que je leur dis de faire une
mise à jour quotidienne.
Désolé mais je n'ai rien d'autre comme solution de rechange à l'horizon.
Roland Garcia
Moi j'ai tapé warez viguard directement dans Google et surprise je tombe
directement sur le N° 35 de Sécurité Informatique Juin 2001 du CNRS que je
n'ai pas encore lu.
Roland Garcia
>
> > Il doit y avoir autre chose mais comme je ne suis pas dans le secret des
> > dieux, je ne m'avancerai pas trop.
> > Tiens, en parlant de secret des dieux, Roland, il en est où, AVP 4 qui
> > devait sortir au premier trimestre ? On attend toujours...
>
> Moi aussi mais comme ça fait des années qu'ils disent ça :-)
> De toute façon cette version ne changera pas grand chose, la nouvelle version 3.6
> en est proche.
Ce n'était pas ce que tu disait il y a quelques mois...
>
> > Guillermito : cherche un peu en warez, ça doit se trouver, Viguard 9.
>
> Ca y est, je l'ai.
Peux-tu me donner en priver la date des fichiers, pour que je vérifie
que ce n'est pas une version beta ? J'ai la liste des 5 versions
commercialisées. Ensuite, fais ton petit désassemblage et explique nous
ce que tu as trouvé...
> > > Je ne serais pas aussi catégorique. Un AV d'avant 1990 n'arrêterait pas
> > > tout ce que Viguard arrête aujourd'hui.
> >
> > Et Viguard 1991 également.
> C'est rigolo tes énigmes. Mais si tu n'es pas plus clair, les lecteurs
> ne comprendront pas...
Ce n'est pas dur à comprendre, les concepts n'ont pas changé depuis la fin des années
80 mais les produits ont évolués en fonction des OS et des virus.
Comment voulez vous qu'un antivirus de l'époque reconnaisse un script actuel? pareil
pour viguard de l'époque.
> > Moi aussi mais comme ça fait des années qu'ils disent ça :-)
> > De toute façon cette version ne changera pas grand chose, la nouvelle version 3.6
> > en est proche.
> Ce n'était pas ce que tu disait il y a quelques mois...
D'après le peu d'info que j'ai, il s'agira d'un antivirus portable donc entièrement
modulaire, les modules seront intégrés en fonction de l'OS. C'est pratiquement le cas
avec la version 3.6 qui a tous ses modules intégrés dans Control Center. L'interface
graphique sera donc elle aussi portable ce qui explique sa forme actuelle et le fait
que les utilisateurs sont très surpris ou déroutés au début. Dans les modules on trouve
de tout y compris des modules entièrement génériques, comme vous les aimez.
Tout est là et vous en saurez autant que moi:
http://www.viruslist.com/eng/default.asp?tnews=3&nview=1;id=727
Roland Garcia
> Tout est là et vous en saurez autant que moi:
Plutôt là:
http://www.kaspersky.com/news.asp?tnews=0&nview=1&id=116&page=8
Roland Garcia
J'y ai surtout vu que l'on y conseille maintenant les firewalls
personnels, j'espère que j'y suis un peu pour quelque chose.
Le bulletin du CNRS n'est pas un comparatif mais des conseils généraux
destinés aux administrateurs. N'y voyez pas ce qui ne peut pas être.
Rassurez vous, si j'écris un bulletin complet sur les virus, ce ne sera
que de la technique et en aucun cas un comparatif. J'ai par contre des
chiffres tout à fait scientifiques sur les taux de détection et de
protection obtenus avec les différentes méthodes antivirales.
Roland Garcia
> Ah oui, aussi, Viguard n'empeche pas l'execution d'un petit loop en
> assembleur 16 bits qui ecrase les secteurs du disque dur avec
> l'interruption 13h.
Sans blague, t'as lancé ça sur ta propre bécanne ? T'es ouf ?
Tu te croyais protégé, peut-être ;)
François
doti on evaluer l'efficacite d'un antivirus a la taille de son stand a
infosec ?
dans ce cas viguard est un excellent produit vu qu'ils etaient a
l'entree du salon juste derriere trend micro et devant baltimore, quel
beau stand bleu qu'elle affluence...
c est jsute pour detendre car cela semble a la bataille rangee parfois
?
Fred - bonne nuit :=)
On ne va pas se laisser impressionner par un seul virus qui écrase le
disque, on en est plus là.
Par contre tester Viguard sur 2000 virus par exemple, je ne suis pas du
tout volontaire car ça va être long. C'est ça leur force.
Roland Garcia
> Roland Garcia a écrit :
>> Pas de signature de virus précis, mais des signatures simplifiées avec le manque de
>> détection et les fausses alarmes qui en découlent.
>
> Youpi : Roland a réinventé le mot Signature. On l'applaudit bien fort.
> Maintenant, il va nous montrer qu'AVP n'utilise pas de signatures parce
> que ce n'est pas sa technologie et qu'il n'a pas besoin de MAJ. LOL !
Rappel : signature = suite d'octets statiques, éventuellement avec des
jokers, des trous et autres fioritures.
Il y a des signatures pour détecter des virus précis, des signatures
pour reconnaître des formats de fichiers, des signatures pour localiser
du code particulier (on pourrait dire "signatures comportementales").
Bref, un programme d'analyse utilise soit l'émulation (analyse
dynamique) soit les signatures (analyse statique), il n'y a absolument
rien d'autre. Que ce soit pour ViGuard ou pour qui que ce soit.
Or, comme toute personne qui se cultive un peu en sécurité informatique
sait que les 2 méthodes ont des failles inhérentes inévitables, tout bon
anti-virus intègre les deux à la fois. En général, on utilise + les
signatures statiques, parce que c'est nettement plus rapide, et aussi
parce que c'est encore le plus fiable.
Et pour conclure à propos des signatures de ViGuard y a pas photo : s'il
n'y a pas émulation, il y a recherche de signatures. Si j'ai bien suivi
ce que dit Alain Godet, ce sont des signatures génériques de
comportements, qui n'ont pas besoin d'être remises à jour très souvent.
Le problème, c'est que cette technologie, toute seule, ça casse pas des
briques. C'est hyper facile à contourner, à moins que l'anti-virus ne
tilte sur tous les fichiers. Ce que confirment les tests de Guillermito,
pour l'instant. De toute façon, il n'y a même pas besoin de tester,
c'est dit, redit, prouvé et revérifié depuis des années. Par les gens
sérieux.
François
--
Site anti-virus :
http://aspirine.fr.fm
Casse-tête logiques pour tous et exos de maths pour le collège :
http://zero.9online.fr
Remarque au passage que Guillermitto ne met pas 3 semaines pour trouver
qu'il est infectable comme tout le monde, puis faire son petit rapport.
Roland Garcia
> Le problème, c'est que cette technologie, toute seule, ça casse pas des
> briques. C'est hyper facile à contourner, à moins que l'anti-virus ne
> tilte sur tous les fichiers. Ce que confirment les tests de Guillermito,
> pour l'instant. De toute façon, il n'y a même pas besoin de tester,
> c'est dit, redit, prouvé et revérifié depuis des années. Par les gens
> sérieux.
c'est dit, redit, prouvé et revérifié depuis des années .................et chiffré!
Roland Garcia
>Guillermito a écrit :
>> Je ne vais pas payer 700 balles pour m'amuser avec un logiciel dont je
>> soupconne la nullité. Ne pas offrir de version démo, c'est peut-etre
>> une stratégie de marketing, mais quand on parle de sécurité
>> informatique, ca ne tient pas une minute face au besoin de tester le
>> logiciel de maniere indépendante.
>Idem pour Office de Microsoft. Mais beaucoup de gens l'achètent quand
>même ;-)
Pas pareil du tout ....
Microsoft a le monopole sur les logiciels tournant sous Windows et
utilisant les formats *.xls, *.doc, *.ppt !
Donc certaines boîtes sont obligés d'acheter Office à cause de ça, je
ne vois pas ce qui pourrait *forcer* une boîte à acheter tel ou tel
AV.
Nicob
je me permets de répondre, vu qu'il y a quelques phrase de moi dans ce
que tu as cité :
On Wed, 04 Jul 2001 01:58:47 +0200, Zypred <zyp...@eurenet.net> wrote:
>>Disons entre 500 et 700 Ko par MAJ, avec MAJ toutes les nuits,
>
>par curiosite c est quoi comme av pour avoir une taille si importante
>de maj
Là, en l'occurrence, c'est des maj InnoculateIt.
>>>Viguard ne dit pas qu'il y a un virus, Viguard dit que c'est
>>>potentiellement dangereux. Ce n'est pas pareil.
>>>Et si c'est AVP qui dit qu'il y a le virus machin, ça lui fait une belle
>>>jambe, au RC qui ne comprend rien aux virus ni aux ordinateurs ;-)
>
>question kesako un rc ? un responsable informatique ? ou ?
RC = Rédac'Chef = Rédacteur en Chef
Employé modèle, mais avec une légère tendance à avoir plein de copains
qui envoient les EXE à tout bout de champ. De plus, il adore cliquer
dessus ...
Nicob
> Le problème, c'est que cette technologie, toute seule, ça casse pas des
> briques. C'est hyper facile à contourner, à moins que l'anti-virus ne
> tilte sur tous les fichiers. Ce que confirment les tests de Guillermito,
> pour l'instant. De toute façon, il n'y a même pas besoin de tester,
> c'est dit, redit, prouvé et revérifié depuis des années. Par les gens
> sérieux.
C'est reparti pour un tour, sur le site de Viguard il y a un commentaire sur un article de
Windows News de fin juin,
(des gens que je ne connais absolument pas).
Il n'arrête pas entre autres Pretty Park (très vieux) mais une fois de plus les testeurs
sont nuls et la version testée pas la bonne :-(
http://www.tegam.fr/winnews.shtm
Roland Garcia
> > > Et sur le fait de découvrir des virus dans des EXE sains, ce n'est
pas
> > > ça : il te signale juste que l'EXE présenté pose un risque de
sécurité.
> > > Ce n'est pas pareil. Si tu estimes qu'il est sain, tu le valides.
C'est
> > > tout.
> > Bien sûr toute secrétaire a un désassembleur et les compétences
nécessaires
> > pour juger s'il s'agit d'un code viral ou non :-)
> On ne lui demande pas de juger. On fait en sorte que son PC ne soit
pas
> infecté et qu'elle n'envoie pas de virus. Et ça marche. Si tu
> connaissais un minimum les préoccupations d'un administrateur réseau,
tu
> ne dirais pas le contraire.
Et si vous connaissiez un minimum les secrétaires et la réalité des
entreprises, vous ne diriez pas ça non plus. Une personne qui quitte son
poste de travail toutes les 1/2heures parce que son AV fait une alerte à
un danger potentiel, qui se rend au service informatique pour aller
demander, déran,ge quelqu'un, qui se déplace, etc etc
Et encore, je vous épargne le côté stress de l'employé(e) qui arrive en
se rongeant les ongles, se disant qu'il/elle risque de se faire virer
parce qu'il/elle a reçu un message de sa/son petit(e) ami(e) et
qu'il/elle a un message qui lui dit "warning warning warning êtes vous
bien sûr de vouloir ouvrir machinchose.exe"...
Amha il n'existe pas de plus mauvaise solution que la paranoïa dans des
cadres de PME, sur le plan de la productivité de l'entreprise. Même avec
quelque chose comme 500 postes, nous n'imaginerions même pas utiliser ce
genre d'AV à cause de la panique que cela pourrait créer chez les
utilisateurs... Et en 5 ans nous avons dû fermer 2 fois notre serveur
pendant 1 à 2h à cause de risques d'infections virales.
Il est bien plus intelligent de risquer une infection à l'année qui
bloque un/des poste(s) quelques heures au grand maximum, plutôt que de
perdre du temps tout au long de l'année à gérer l'aspect humain de la
chose.
Cordialement,
Baptiste
> > Viguard ne dit pas qu'il y a un virus, Viguard dit que c'est
> > potentiellement dangereux. Ce n'est pas pareil.
> Celle là je l'encadre.
Merci je n'avais pas vu :-)
Donc, nouvelle révélation : viguard fait double emploi avec outlook
express :)))
[pleins de choses bien vraies]
>Il est bien plus intelligent de risquer une infection à l'année qui
>bloque un/des poste(s) quelques heures au grand maximum, plutôt que de
>perdre du temps tout au long de l'année à gérer l'aspect humain de la
>chose.
De plus, une bonne partie de la pub pour Viguard parle du virus "I
Love You" et de sa détection sans maj de signatures par cet AV.
OK, ce virus a fait des dégats
OK, des boîtes ont vu leur Intranet complètement saturé par ce truc
Mais bon, un admin *qui fait bien son boulot* n'est pas isolé, loin de
là. Il a des contacts et des sources d'infos partout dans le monde,
plus réactives que n'importe quel éditeur d'AV. Ces sources sont des
mailing-lists, des sites web, d'autres admin, Usenet, etc ...
Et dans les *minutes* qui suivent la détection du virus, des filtres
sont dispo pour les serveurs de mails (un pour PostFix, un pour
Sendmail, un pour Qmail, que sais-je encore)
Donc, IMHO, des gens comme moi sont vulnérables à ce type de virus
tant que qu'ils n'ont ni nouvelle signature ni filtre. C'est-à-dire
quelques minutes/heures seulement !!!!
Par exemple, sous Postfix :
Dans le fichier /etc/postfix/header_checks, rajouter :
/^Subject: ILOVEYOU/ REJECT
et dans le fichier de conf, pour activer la vérif des headers :
header_checks = regexp:/etc/postfix/header_checks
Et voilà, protégé du virus, en 2 lignes de commandes :)
(cf. http://www.cert.org/advisories/CA-2000-04.html pour les autres
types de serveurs de mails)
Nicob
> C'est reparti pour un tour, sur le site de Viguard il y a un commentaire sur un article de
> Windows News de fin juin,
> (des gens que je ne connais absolument pas).
Menteur, Roland, chuis sûr que tu les as rincés pour qu'ils écrivent des
méchancetés sur
l'AntiVirus-Eud'-La-Mort-Qui-Fait-De-L'-Ombre-Aux-Puissants ;)
> Il n'arrête pas entre autres Pretty Park (très vieux) mais une fois de plus les testeurs
> sont nuls et la version testée pas la bonne :-(
Ils n'ont pas fait la mise à jour ? :) Ben moi qui croyais que...
Tu oublies de dire que la technologie de ViGuard est tellement unique,
originale, et complexe qu'il faut un protocole spécial pour tester ce
logiciel. Et ça, c'est pas donné à tout le monde.
Déjà que Tegam ne fournit de version d'évaluation qu'aux journalistes,
car c'est eux les experts vraiment compétents en tests d'anti-virus,
mais bientôt ils vont aussi organiser des formations pour faire les
tests correctement.
> Dans le fichier /etc/postfix/header_checks, rajouter :
> /^Subject: ILOVEYOU/ REJECT
>
> et dans le fichier de conf, pour activer la vérif des headers :
> header_checks = regexp:/etc/postfix/header_checks
>
> Et voilà, protégé du virus, en 2 lignes de commandes :)
Et par-dessus le marché, les employés qui voudraient s'envoyer des
messages d'amour au lieu de faire leur boulot, y sont coincés aussi.
Accessoirement, certains messages d'appels au secours pour ce virus sont
bloqués aussi.
Faut penser à enlever le filtre au bout de quelques jours, sinon ça
pourrait en énerver certains.
A quand les anti-virus à mise à jour en temps réel ?
> Par exemple, sous Postfix :
>
> Dans le fichier /etc/postfix/header_checks, rajouter :
> /^Subject: ILOVEYOU/ REJECT
>
> et dans le fichier de conf, pour activer la vérif des headers :
> header_checks = regexp:/etc/postfix/header_checks
>
> Et voilà, protégé du virus, en 2 lignes de commandes :)
Comme mes collaborateurs ne savent même pas ce qu'est un VBS, certains font
de la CAO et d'autres tapent des rapports, j'avais associé VBS à Notepad.
Encore mieux que "sans mise à jour" c'est "sans antivirus du tout".
Roland Garcia
> Tu oublies de dire que la technologie de ViGuard est tellement unique,
> originale, et complexe qu'il faut un protocole spécial pour tester ce
> logiciel. Et ça, c'est pas donné à tout le monde.
Sur leur site il parlent toujours des "vrais experts", qu'ils nous donnent des noms je ne
demande pas mieux que de m'instruire.
Roland Garcia
> Sur leur site il parlent toujours des "vrais experts", qu'ils nous donnent des noms je ne
> demande pas mieux que de m'instruire.
La famille Dotan
La famille Netiv
+La famille Godet ?
François
>Faut penser à enlever le filtre au bout de quelques jours, sinon ça
>pourrait en énerver certains.
Evidemment !
C'est une mesure d'urgence permettant d'attendre sans trop de
problèmes la nouvelle version des signatures ...
Nicob
> La famille Netiv
On les avait oubliés ceux là, je rappelle que ce sont eux qui ont inventé l' antivirus tout
générique dont Viguard est issu ( Alain Godet rectifiera si je me trompe).
Comme expert je mettrais plutôt Vesselin Bontchev qui l'avait testé à l'université de
Hambourg
(c'est dommage qu'il n'y soit plus car le niveau baisse dangereusement).
L'analyse est très volumineuse, à cause des très nombreux bugs et trous de sécurité, prends ta
respiration:
http://www.claws-and-paws.com/virus/papers/invircib.shtml
Quelques extraits:
Pub du produit:
"Regardless that the author of InVircible often claims that
"scanners are dead and should be replaced by generic anti-virus
methods".........Les scanners classiques sont morts et doivent être remplacés par la méthode
générique :-((((
Test de la partie scanner Invircible:
Sur 5 789 virus dans 21 986 échantillons le taux de détection est de 6% des virus et 11% des
échantillons.
Le gros de la conclusion était qu'au lieu de dénigrer les concurrents ils feraient mieux
d'améliorer très sérieusement leur produit.
Question subsidiaire, peut-on se passer des mises à jour et détecter 100% des virus:
impossible!
http://www.claws-and-paws.com/virus/index.shtml#invircible
Pour ceux qui veulent savoir comment un virus a bien été intercepté ou désinfecté:
http://www.claws-and-paws.com/virus/papers/iv4.shtml
Roland Garcia
> Comme expert je mettrais plutôt Vesselin Bontchev qui l'avait testé
> à l'université de Hambourg (c'est dommage qu'il n'y soit plus car le
> niveau baisse dangereusement).
> L'analyse est très volumineuse, à cause des très nombreux bugs et
> trous de sécurité, prends ta respiration:
> http://www.claws-and-paws.com/virus/papers/invircib.shtml
Il paraît que Invircible a été beaucoup amélioré et que cette
analyse était mal faite. Cela a été confirmé par des experts
dont je ne me rappelle pas des noms.
Cependant, ce n'est pas pour ça que j'irai m'installer Invircible.
> Roland Garcia wrote:
>
> > Comme expert je mettrais plutôt Vesselin Bontchev qui l'avait testé
> > à l'université de Hambourg (c'est dommage qu'il n'y soit plus car le
> > niveau baisse dangereusement).
> > L'analyse est très volumineuse, à cause des très nombreux bugs et
> > trous de sécurité, prends ta respiration:
> > http://www.claws-and-paws.com/virus/papers/invircib.shtml
>
> Il paraît que Invircible a été beaucoup amélioré et que cette
> analyse était mal faite. Cela a été confirmé par des experts
> dont je ne me rappelle pas des noms.
C'est vrai qu'il a été très amélioré et il est considéré par beaucoup comme
le meilleur de sa catégorie.
> Cependant, ce n'est pas pour ça que j'irai m'installer Invircible.
Moi non plus mais ceux qui sont intéressés peuvent le trouver là:
http://www.invircible.com/ Il y a au moins une version d'évaluation.
Roland Garcia
> Comme expert je mettrais plutôt Vesselin Bontchev qui l'avait testé
> à l'université de Hambourg
> (c'est dommage qu'il n'y soit plus car le niveau baisse dangereusement).
Le niveau baisse? C'est-à-dire?
>
> Bon, j'essaie de rester objectif. Ahem. Si je peux. Rapidement, parce
> que je commence a avoir sommeil.
>
> Au moment de l'installation, il scanne le disque pour chercher les
> programmes dangereux. Curieux: il ne trouve rien, alors que j'ai plein
> de virus qui trainent dans tous les coins. Ah mais oui! Il ne scanne
> pas les archives. Pourtant, les zips, c'est quand meme repandu comme
> format.
Bien vu. De mon côté, avec ZipMagic, il scanne aussi les Zip. Mais c'est
une remarque intéressante.
>
> Aaaah! Une alerte! Dommage, c'est un programme que j'ai code moi-meme,
> un des tres rares de mon disque dur dont je suis *absolument certain*
> qu'il ne contient pas de code malsain. C'est peut-etre qu'il a ete
> compresse avec UPX. Oui mais d'autres compresses pareil n'alertent
> pas. Bon.
Pas code malsain. Code potentiellement dangereux. Peut être que ça vient
effectivement de la compression UPX. Je n'en sais rien. Ca peut être une
ouverture de port ? Une écriture directe sur disque ?
>
> Voila. Il a scanne mon disque. Dezippons quelques virus avec le
> moniteur resident qui fonctionne. De temps en temps, il alerte, et me
> demande d'effacer le virus. Dans la majorite des cas, non seulement il
> n'alerte pas, mais en plus, il certifie les virus automatiquement!
Comment ça ? Tu peux expliciter ?
> Tout le monde peut telecharger le magazine de codeurs 29A#5 et tester,
> une minorite de virus est reconnue. J'en avait une trentaine sur mon
> disque, generalement recents ou inconnus (versions betas, projets
> oublies, etc...), il a alerte sur une dizaine.
>
> Ah oui, aussi, Viguard n'empeche pas l'execution d'un petit loop en
> assembleur 16 bits qui ecrase les secteurs du disque dur avec
> l'interruption 13h.
Trojan. Pas virus. Est-ce que un AV à scanner quelconque l'arrête ? Je
doute...
Je vais creuser.
>
> Une ou deux manips rapides avec FileMon montrent qu'a chaque acces a
> un programme executable, il regarde son petit fichier de certification
> dans le repertoire (au format inconnu, mais si j'ai le temps je vais
> lui passer un coup de brosse a reversing), mais apparemment n'accede
> pas a un fichier centralise de signatures. Ca doit etre integre au
> programme principal, je suppose.
Tout à fait. Pour limiter les sources uniques d'attaque. Normal.
>
> Voila voila.
Du bon travail s'il en est.
Bravo Guillermito.
>
> Alain Godet nous disait:
>
> > Si tu estimes qu'il est sain, tu le valides. C'est tout.
>
> Alain, vraiment. Le but d'un programme de securite informatique est
> justement d'eviter a l'utilisateur d'estimer un danger potentiel, et
> de limiter ses choix au maximum. L'estimation du danger, c'est le
> logiciel qui doit la faire.
Avec le mode administrateur, il ne donne aucun choix à l'utilisateur.
Celui-ci ne peux que placer en quarantaine un fichier réputé dangereux
reçu par le net. Pour ceux qui sont sur le disque dur, tes remarques
sont intéressantes. Manque de bol, j'ai rendu mon papier il y a
plusieurs semaines déjà. Si tu m'avais répondu à l'époque, on aurait pu
intégrer tout ça, plutôt que le vent de Roland...
> > Aaaah! Une alerte! Dommage, c'est un programme que j'ai code moi-meme,
> > un des tres rares de mon disque dur dont je suis *absolument certain*
> > qu'il ne contient pas de code malsain. C'est peut-etre qu'il a ete
> > compresse avec UPX. Oui mais d'autres compresses pareil n'alertent
> > pas. Bon.
> Pas code malsain. Code potentiellement dangereux. Peut être que ça
> vient effectivement de la compression UPX. Je n'en sais rien. Ca peut
> être une ouverture de port ? Une écriture directe sur disque ?
UPX qui ouvre un port? Alors là, ou je vous ai mal compris, ou alors,
... bon, ça ne fait rien. ;-)
> > Ah oui, aussi, Viguard n'empeche pas l'execution d'un petit loop en
> > assembleur 16 bits qui ecrase les secteurs du disque dur avec
> > l'interruption 13h.
> Trojan. Pas virus.
Qu'est-ce que ça peut faire? Il y a bien des virus qui se servent
de l'interruption 13h pour faire des bêtises. Ne pas alerter quand
il trouve une routine 13h pouvant causer des dégâts parce que ça
ressemble plus à un cheval de Troie qu'à un virus, c'est gros.
> Est-ce que un AV à scanner quelconque l'arrête ?
Ça dépend...
Depuis que Vesselin Bontchev est parti, les tests sont maintenant dirigés de
loin par Klaus Brunnstein mais faits par des étudiants.
Bien évidemment les éditeurs ont obtenu quelques échantillons et
malheureusement ont trouvé beaucoup de jokes ou autres gadgets,
des utilitaires de compression etc...dans les tests de virus et trojans.
De plus les antivirus ne sont même pas bien configurés, ils oublient parfois
de cocher l'option archives pour tester dans les archives.
Le summum a été atteint avec l'exclusion de Sophos pour des motifs
complètement futiles qui ne regardaient en rien les tests.
http://www.sophos.com/companyinfo/news/hamburg.html
Eset n'a pas cru bon participer au dernier test, je suppose que tout ça est
lié mais je vais leur demander.
Le climat est au beau fixe.
Roland Garcia
> Guillermito a écrit :
> >
> > Premiers essais avec mon Viguard9-Pro-de-chez-Mr-Warez.
> Dont tu ne m'as pas donné la date d'origine, donc je ne peux pas savoir
> s'il s'agit d'une beta ou d'une version commercialisée.
> N'empêche que la suite est intéressante. Au moins, avec Guillermito, il
> y a de l'analyse et du contenu sur du test réel. Pas chez Roland. Mais
> passons...
>
> >
> > Voila voila.
> Du bon travail s'il en est.
> Bravo Guillermito.
>
Zut c'est pas juste!
Guillermito démontre que Viguard laisse passer un grand nombre de virus et
en plus il est félicité.
Roland Garcia
> Alain Godet wrote:
> > > Ah oui, aussi, Viguard n'empeche pas l'execution d'un petit loop en
> > > assembleur 16 bits qui ecrase les secteurs du disque dur avec
> > > l'interruption 13h.
> > Trojan. Pas virus.
>
> Qu'est-ce que ça peut faire? Il y a bien des virus qui se servent
> de l'interruption 13h pour faire des bêtises. Ne pas alerter quand
> il trouve une routine 13h pouvant causer des dégâts parce que ça
> ressemble plus à un cheval de Troie qu'à un virus, c'est gros.
Ce n'est pas pour rien que j'avais choisi Trojan.DelIosys
Quelques lignes de code pour remplir les registres, une seule instruction 21h
qui va chercher dans la racine le fichier IO.sys (marqué en clair en fin du
code) et qui l'écrase.
On ne peut pas faire plus simple et plus mortel comme comportement.
Ce que ne sait pas Alain Godet c'est que les instructions 13h et 21h sont
utilisées indifféremment pas les fichiers DOS, les virus et les trojans
destructeurs.
S'il ne voit pas ces trojans il ne voit pas les virus.
Roland Garcia
> Pour ceux qui sont sur le disque dur, tes remarques
> sont intéressantes. Manque de bol, j'ai rendu mon papier il y a
> plusieurs semaines déjà. Si tu m'avais répondu à l'époque, on aurait pu
> intégrer tout ça, plutôt que le vent de Roland...
En conclusion puique vous êtes tous les deux d'accord, sur trente virus
Viguard n'en voit que dix. Je pensais beaucoup plus mais puisque vous le
dites.
Roland Garcia
Guillermito a écrit :
>
> Premiers essais avec mon Viguard9-Pro-de-chez-Mr-Warez.
Version ?
>
> Bon, j'essaie de rester objectif. Ahem. Si je peux. Rapidement, parce
> que je commence a avoir sommeil.
Première chose : dans la doc, il est écrit que Viguard se conçoit comme
protection par avance, pas par défaut. C'est à dire qu'il faut
l'installer juste après l'OS sur un disque réputé clean. Il constitue
théoriquement alors un mur protégeant le contenu du disque. Il n'a pas
été conçu pour protéger des fichiers dangereux déjà à l'intérieur du
mur. Ce qui semble être le cas de ton expérience et qui explique
certains résultats.
>
> Au moment de l'installation, il scanne le disque pour chercher les
> programmes dangereux. Curieux: il ne trouve rien, alors que j'ai plein
> de virus qui trainent dans tous les coins. Ah mais oui! Il ne scanne
> pas les archives. Pourtant, les zips, c'est quand meme repandu comme
> format.
Il ne scanne pas. Il valide le contenu du disque. Dans l'hypothèse si
dessus, il n'y a pas de virus. C'est pour marquer les fichiers comme bon
et vérifier sur leur contenu est modifié par un virus. Ce qui explique
qu'il ne "voit" pas les virus à ce moment là. Quant aux Zip,
effectivement. Mais comme je disais précédemment, sur mon PC avec
ZipMagic, je n'ai pas ton soucis...
>
> Aaaah! Une alerte! Dommage, c'est un programme que j'ai code moi-meme,
> un des tres rares de mon disque dur dont je suis *absolument certain*
> qu'il ne contient pas de code malsain. C'est peut-etre qu'il a ete
> compresse avec UPX. Oui mais d'autres compresses pareil n'alertent
> pas. Bon.
Intéressant et à suivre. J'ai déjà expliqué plusieurs fois l'origine
d'alertes au moment de la vérification (détection de comportements
potentiellement dangereux). Je ne suis pas le développeur et serait bien
en mal d'expliquer plus en détail ceci, mais bon. Par ailleurs, et c'est
à creuser, il semblerait qu'il y ait une espèce de scanner dans le
logiciel mais je n'en sais pas plus. Je vais interviewer le développeur
pour mieux comprendre ce qu'il entend par "scanner".
>
> Voila. Il a scanne mon disque. Dezippons quelques virus avec le
> moniteur resident qui fonctionne. De temps en temps, il alerte, et me
> demande d'effacer le virus. Dans la majorite des cas, non seulement il
> n'alerte pas, mais en plus, il certifie les virus automatiquement!
Même chose qu'au dessus. Est-ce-que sur les "virus" certifiés, il laisse
faire l'exécution ?
> Tout le monde peut telecharger le magazine de codeurs 29A#5 et tester,
> une minorite de virus est reconnue. J'en avait une trentaine sur mon
> disque, generalement recents ou inconnus (versions betas, projets
> oublies, etc...), il a alerte sur une dizaine.
Est-ce-qu'AVP aurait tilté sur les mêmes ? Ou n'importe quel AV à
scanner ?
>
> Ah oui, aussi, Viguard n'empeche pas l'execution d'un petit loop en
> assembleur 16 bits qui ecrase les secteurs du disque dur avec
> l'interruption 13h.
Trojan. Je ne relancerai pas le débat là dessus sinon on n'en sortira
pas.
Je renvoie vers les AV à scanner : quel serait leur attitude ?
>
> Une ou deux manips rapides avec FileMon montrent qu'a chaque acces a
> un programme executable, il regarde son petit fichier de certification
> dans le repertoire (au format inconnu, mais si j'ai le temps je vais
> lui passer un coup de brosse a reversing), mais apparemment n'accede
> pas a un fichier centralise de signatures. Ca doit etre integre au
> programme principal, je suppose.
A bientôt pour la suite...
> Oui. Mais en novembre dernier, comment faisais-tu pour en savoir autant
> alors qu'il n'y avait rien de publié ?
Facile, je l'ai lu comme tout le monde un mois avant (le 3 octobre 2000)
sur l'URL que je viens de donner :-)
Roland Garcia
>
> c est jsute pour detendre car cela semble a la bataille rangee parfois
> ?
Toi aussi tu as remarqué...