Attention, rootkit
Michel MARTIN
je ne sais pas si ce forum est le meilleur pour ce sujet, mais je
voudrai dénoncer un rootkit présent sur un logiciel que je trouvais
intéressant, WebMediaPlayer. Logiciel qui présente quelques centaines de
radio locales sur Internet. Dommage!
Après son installation, j'ai eu une alarme de Zone Alarm qui demandait
l'autorisation de passer, avec un logiciel dont le nom est aléatoire
(suite de consonnes, peu de voyelles) suivi du fatidique .EXE
Refusé, il y a eu plusieurs tentatives avortées. Inquiet de ce remue
ménage, j'ai installé Avastr Anti-rootkit qui me l'a trouvé (bien sûr,
il est invisible, même si on demande à voir tous les fichiers extensions
comprises). Tout désinstallé, je n'avais plus rien.
Voulant en avoir le coeur net, j'ai réinstallé ce logiciel (car j'en
avais installé 2 ou 3 le même jour), et le rootkit est réaparu.
J'en ai donc eu la certitude que c'était bien lui.
Attention, lors de la désinstallation, il réclame à corps et a cri le
branchement sur Internet, sinon il refuse de se désinstaller. ... sauf
si on clique plusieurs fois sur le bouton "reéssayer" . Accès refusé sur
le Net, désinstallation un peu à la cosaque. Puis passage de Ccleaner.
Et de plusieurs anti-spywares. et vérification finale par Avast
anti-rootkit.
Je ne sais pas s'il existe un site pour dénoncer ces saletés, ce serait
une bonne chose.
Ha, le programme de désinstallation s'appelle AU_.exe, qui est dans un
des fichiers temp du dossier Documents and settings/propriétaire/Local
settings/~nsu.tmp.
Le rootkit (invisible, sauf pour un anti-rootkit) est dans le dossier
Documents and settings/propriétaire/Local settings/Application data.
Amicalement, Michel
--
http://martin.michel47.free.fr/
Fabien LE LEZ
>je ne sais pas si ce forum est le meilleur pour ce sujet, mais je
>voudrai dénoncer un rootkit présent sur un logiciel que je trouvais
>intéressant, WebMediaPlayer.
Ah ben oui, faut pas installer sur son PC n'importe quelle cochonnerie
téléchargée sur Internet. De même, il est déconseiller de manger
quelque chose qui traîne par terre dans la rue.
En plus, en cherchant "WebMediaPlayer" dans Google, le deuxième lien
indique "WebMediaPlayer is a backdoor application that allows remote
access to the computer".
>(bien sûr,
>il est invisible, même si on demande à voir tous les fichiers extensions
>comprises).
Même en décochant le bug "Masquer les fichiers protégés du système
d'exploitation" ?
>Voulant en avoir le coeur net, j'ai réinstallé ce logiciel (car j'en
>avais installé 2 ou 3 le même jour), et le rootkit est réaparu.
J'espère que tu es bien conscient que ton PC est maintenant compromis,
et que tu dois réinstaller le système.
Michel MARTIN
<news:938nh3pd8s8tms6pq...@4ax.com>:
> On 21 Oct 2007 18:41:08 GMT, Michel MARTIN <martin....@free.fr>:
>
>>je ne sais pas si ce forum est le meilleur pour ce sujet, mais je
>>voudrai dénoncer un rootkit présent sur un logiciel que je trouvais
>>intéressant, WebMediaPlayer.
>
> Ah ben oui, faut pas installer sur son PC n'importe quelle cochonnerie
> téléchargée sur Internet. De même, il est déconseiller de manger
> quelque chose qui traîne par terre dans la rue.
Le problème est que j'ai dû, peut-être et comme beaucoup d'autres,
confondre le Web Mediaplayer (présenté par Clubic, et apparement
correct, avec le WebMediaPlayer apparement d'origine russe, et qui cause
problème.
>
> En plus, en cherchant "WebMediaPlayer" dans Google, le deuxième lien
> indique "WebMediaPlayer is a backdoor application that allows remote
> access to the computer".
C'est vrai que je n'ai pas cherché sur google s'il lui était donné une
mauvaise note AVANT son installation. Je me rappelle que ce logiciel
avait été donné sur un forum de discussion, mais je ne me rappelle plus
lequel (je recherche ...). J'ai bien passé un anti-virus et un
anti-spyware AVANT d'installer, mais je n'avais pas pensé à
l'anti-rootkit. Heureusement que je regarde bien toutes les alarmes de
Zone Alarm. C'est lui qui m'a alerté qu'un fichier voulait aller voir
ailleurs!!! ET là, j'ai dis: STOP. Heureusement.
>
>>(bien sûr,
>>il est invisible, même si on demande à voir tous les fichiers extensions
>>comprises).
>
> Même en décochant le bug "Masquer les fichiers protégés du système
> d'exploitation" ?
OUI, tout est coché ou décoché suivant le cas, pour que je puisse
contrôler TOUS les fichiers, y compris les extensions LNK (même si ce
n'est pas très beau, en particulier sur le bureau).
>
>>Voulant en avoir le coeur net, j'ai réinstallé ce logiciel (car j'en
>>avais installé 2 ou 3 le même jour), et le rootkit est réaparu.
>
> J'espère que tu es bien conscient que ton PC est maintenant compromis,
> et que tu dois réinstaller le système.
Oulala, tu me fais peur. D'après toi, tous les passages de logiciels de
sécurité ne sont pas suffisants? Tous me répondent qu'il n'y a rien (y
compris Secuser.com, ou plutôt Trend Micro, avec son AV en ligne).
Je viens encore, par sécurité, de (re)passer CCleaner, et toutes les
listes présentées ont été vérifiées au peigne fin, il ne reste
absolument aucune trace de quelque chose de bizarre.
Alors, que penser?
Ewa (siostra Ani) N.
>> J'espère que tu es bien conscient que ton PC est maintenant compromis,
>> et que tu dois réinstaller le système.
> Oulala, tu me fais peur. D'après toi, tous les passages de logiciels de
> sécurité ne sont pas suffisants? Tous me répondent qu'il n'y a rien (y
> compris Secuser.com, ou plutôt Trend Micro, avec son AV en ligne).
> Je viens encore, par sécurité, de (re)passer CCleaner, et toutes les
> listes présentées ont été vérifiées au peigne fin, il ne reste
> absolument aucune trace de quelque chose de bizarre.
> Alors, que penser?
> Amicalement, Michel
C'est bien à ton honneur, tout ce que tu as fait déjà. Seulement
personne ne sait ce que fait précisément un rootkit donné.
Autant réinstaller.
--
Niesz
http://www.krolestwa.com
Ludovic
>
>C'est bien à ton honneur, tout ce que tu as fait déjà. Seulement
>personne ne sait ce que fait précisément un rootkit donné.
>
>Autant réinstaller.
>
Bof, pour ma part, je fais cela :
http://inforadio.free.fr/nettoy.htm
puis
http://inforadio.free.fr/protect-virus.htm
Les collègues ne s'en plaignent pas.
Maintenant, si tu as du temps à perdre...
On n'arrête pas le progrès : Maintenant,
on ne te donne plus de réponse sur les
newsgroups, on te dit carrément de faire
un format c: ...
LoL...
Cordialement,
Ludovic.
mpg
> Maintenant, si tu as du temps à perdre...
>
machine propre, et vouloir faire confiance à une machine compromise pour se
tester elle-même. Dans l'absolu c'est pour le moins douteux de faire
confiance à une machine qui se prétend saine une fois qu'elle ne l'a pas
toujours été...
> On n'arrête pas le progrès : Maintenant,
> on ne te donne plus de réponse sur les
> newsgroups, on te dit carrément de faire
> un format c: ...
>
Il me semble que c'est justement une réponse, non ?
> LoL...
>
Mdr : on est dans la hiérarchie francophone ;-p
Manuel.
Fabien LE LEZ
>on te dit carrément de faire
>un format c: ...
Qué "format c:" ? On réinstalle un backup de son OS, ça prend cinq à
dix minutes.
Fabien LE LEZ
>Le problème est que j'ai dû, peut-être et comme beaucoup d'autres,
>confondre le Web Mediaplayer (présenté par Clubic, et apparement
>correct, avec le WebMediaPlayer apparement d'origine russe, et qui cause
>problème.
Tu noteras que sur la page de Clubic, ils indiquent le problème.
Et franchement, je conseille à l'éditeur du logiciel sans rootkit de
changer immédiatement le nom du logiciel. Diffuser un logiciel qui a
un nom de malware (quelle que soit l'antériorité), c'est pas bon du
tout.
>Oulala, tu me fais peur. D'après toi, tous les passages de logiciels de
>sécurité ne sont pas suffisants? Tous me répondent qu'il n'y a rien
Le rootkit en question a très bien pu modifier le système, pour qu'il
masque une partie des fichiers. Il est donc possible qu'il soit
toujours en partie là ; comme tes logiciels de sécurité tournent sur
l'OS en question, ils ne voient rien non plus.
À partir du moment où un malware a été exécuté sur un PC, on ne peut
plus faire confiance au système d'exploitation.
Ludovic
>
>Qué "format c:" ? On réinstalle un backup de son OS, ça prend cinq à
>dix minutes.
>
Là c'est mieux... Enfin... La majorité des gens ayant un backup d'origine,
ils ne verront pas trop la différence...
Maintenant voici ce que je viens de lire :
"même si vous n'avez jamais entendu parler de ce terme. Les rootkits, valeur
montante du hacking, développés initialement sous Unix, s'attaquent aujourd'hui
à Windows. Plus retors que les autres menaces, les rootkits présentent la
particularité d'être capables de se cacher ou de cacher d'autres programmes, de
masquer des clés de registre ou des connexions réseau. Un antispyware ne pourra
pas les détecter. Télécharger Seem (seem.about.free.fr) et le lancer
directement, sans installation. C'est la section SSDT (System Service Descriptor
Table) qui nous intéresse. Elle dresse la liste des appels système du noyau :
une ligne colorée en rouge est le signe d'une anomalie, éventuellement d'un
crochetage mis en place par un rootkit, c'est-à-dire le détournement d'un appel
système vers un exécutable malicieux. Cet exécutable, s'il existe, réside dans
le répertoire indiqué par Seem. Un clic droit sur la ligne suspecte vous permet
de faire une recherche sur Google afin d'en savoir plus et de faire le
nécessaire. Eventuellement, supprimer l'intrus, redémarrer et vérifier une
nouvelle fois."
http://www.indexel.net/1_6_4797__3_/2/12/1/Securite___reprendre_le_controle_de_son_PC.htm
Il ne parle pas de "format c:" (vu que certains n'ont pas de "Ghost"...).
Si tu as des sources Fabien, cela m'intéresse (Si cela peut faire gagner
du temps sur Google...).
A priori, il y a d'autres pistes :
http://www.google.fr/search?hl=fr&q=supprimer+un+rootkit+de+son+pc&btnG=Recherche+Google&meta=
Bref ne pas se précipiter trop vite vers le backup d'origine...
Cordialement,
Ludovic.
Fabien LE LEZ
>Télécharger Seem (seem.about.free.fr) et le lancer
>directement, sans installation. C'est la section SSDT (System Service Descriptor
>Table) qui nous intéresse.
Il suffit maintenant à l'auteur du rootkit d'intercepter les appels de
Seem au système, pour lui faire croire que tout va bien.
Par contre, en démarrant sur un live CD (Linux, Bart PE, etc.), il est
(en théorie au moins) possible d'analyser l'OS qui se trouve sur
disque dur. (Bien évidemment, il faut graver le CD en question sur un
PC sain.)
Mais bon, réinstaller le système est, de loin, la solution la plus
simple et la plus fiable.
>http://www.indexel.net/1_6_4797__3_/2/12/1/Securite___reprendre_le_controle_de_son_PC.htm
>Il ne parle pas de "format c:"
Ben non, cet article parle de ce qu'il faut faire pour éviter
d'attraper une cochonnerie, et, dans le pire des cas, la détecter le
plus vite possible. Il n'indique à peu près rien sur la réparation
proprement dite.
>(vu que certains n'ont pas de "Ghost"...).
C'est triste à dire, mais personne ne semble comprendre l'utilité des
backups avant d'avoir perdu des données. Il ne reste plus qu'à
réinstaller l'OS à la dure, sans oublier, une fois que c'est fait, de
faire un backup -- pour la prochaine fois.
Il n'y a même pas d'objection financière, puisque Partimage est
gratuit.
Fabien LE LEZ
>Bref ne pas se précipiter trop vite vers le backup d'origine...
Accessoirement, rappelons que dès qu'une cochonnerie est détectée sur
un PC, il faut débrancher le câble réseau (pour éviter la propagation)
et, autant que possible, éteindre le PC (pour éviter la corruption des
données).
Fabien LE LEZ
>> LoL...
>>
>Mdr : on est dans la hiérarchie francophone ;-p
Bof... Y'a bien longtemps que "lol" a perdu sa valeur d'acronyme.
C'est plutôt un signe de ponctuation, qui a l'avantage d'en dire long
sur son utilisateur.
Kurieux
> Le 21 Oct 2007 19:00:41 GMT, Fabien LE LEZ a écrit dans
> <news:938nh3pd8s8tms6pq...@4ax.com>:
>
>> On 21 Oct 2007 18:41:08 GMT, Michel MARTIN <martin....@free.fr>:
>>
>>> je ne sais pas si ce forum est le meilleur pour ce sujet, mais je
>>> voudrai dénoncer un rootkit présent sur un logiciel que je trouvais
>>> intéressant, WebMediaPlayer.
>> Ah ben oui, faut pas installer sur son PC n'importe quelle cochonnerie
>> téléchargée sur Internet. De même, il est déconseiller de manger
>> quelque chose qui traîne par terre dans la rue.
C'est étrange, qu'utilistes-tu comme antivirus. Je pose la question car
mon pôvre antivirus gratuit (avast !) detecte le malware au
téléchargement ;o))
>
> Oulala, tu me fais peur. D'après toi, tous les passages de logiciels de
> sécurité ne sont pas suffisants? Tous me répondent qu'il n'y a rien (y
> compris Secuser.com, ou plutôt Trend Micro, avec son AV en ligne).
> Je viens encore, par sécurité, de (re)passer CCleaner, et toutes les
> listes présentées ont été vérifiées au peigne fin, il ne reste
> absolument aucune trace de quelque chose de bizarre.
> Alors, que penser?
> Amicalement, Michel
http://www.sophos.fr/products/free-tools/sophos-anti-rootkit.html ?
Sinon il y avait RootkitRevealer de Sysinternals, mais depuis qu'ils ont
été repris par Microsoft, mon favori ne fonctionne plus, mais une
recherche donne par exemple ceci :
www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/35293.html
A essayer avanr le "format C:" qui doit rester AMHA la dernière solution !!!
Fabien LE LEZ
>A essayer avanr le "format C:" qui doit rester AMHA la dernière solution !!!
Tu peux tourner le problème dans tous les sens, et abuser des points
d'exclamation autant que tu veux, mais le problème de base reste le
même : à partir du moment où un système a été compromis, tu n'as aucun
moyen d'être certain qu'il est redevenu sain.
Par ailleurs, réinstaller Windows en utilisant une image (Partimage,
Ghost, etc.) prend quelques minutes, et le réinstaller à la dure, avec
les logiciels utiles, prend une heure ou deux. Je suis prêt à parier
que les diverses tentatives de nettoyage (y compris la recherche de
documentation à jour, si elle existe) prend bien plus longtemps, pour
un résultat non garanti.
(Ajoutons à cela que Windows a tendance à s'"encrasser" à l'usage, et
qu'une réinstallation ne peut qu'améliorer la stabilité et la
réactivité du système.)
Kurieux
> On 22 Oct 2007 09:00:20 GMT, Kurieux :
>
>> A essayer avanr le "format C:" qui doit rester AMHA la dernière solution !!!
>
> Tu peux tourner le problème dans tous les sens, et abuser des points
> d'exclamation autant que tu veux, mais le problème de base reste le
> même : à partir du moment où un système a été compromis, tu n'as aucun
> moyen d'être certain qu'il est redevenu sain.
J'abuse des points d'exclamation quand je vois sur ce forum des conseils
dignes des hotlines informatiques de la grande distribution (faut-il
préciser que ce n'est pas du tout un compliment ?)
Et tourner le problème dans tous les sens c'est plutôt plus intelligent
que de commencer par le formatage du disque
Si tu avais lu complétement mon post et consulté les liens tu aurais vu,
par exemple, que RootkitRevealer "permet de detecter les différences
entre la réalité de votre système et l'API (ce que Windows voit)"
Et si les divers anti-rootkit n'arrivent pas à nettoyer le système il
existe encore la commande SFC /scannow à lancer à partir du CD d'XP, à
préferer à format c:
>
> Par ailleurs, réinstaller Windows en utilisant une image (Partimage,
> Ghost, etc.) prend quelques minutes,
une image
> et le réinstaller à la dure, avec
> les logiciels utiles, prend une heure ou deux. Je suis prêt à parier
> que les diverses tentatives de nettoyage (y compris la recherche de
> documentation à jour, si elle existe) prend bien plus longtemps, pour
> un résultat non garanti.
dépends du PC, de la disponibilté des pilotes, de la compétence du
reinstalleur, du temps de sauvegarde des documents perso, etc...
Et je repète que le "format c:" est la dernière solution !!!!!! - et oui
j'abuse ;o)) -
Eric Masson
> D'ou tu sors ça ?
Euh, de ce que pensent pas mal de personnes bossant (et payées pour,
c'est dingue non ?) dans le secteur de la sécurité informatique, par
exemple.
> Et tourner le problème dans tous les sens c'est plutôt plus intelligent
> que de commencer par le formatage du disque
Ah ?
Perdre du temps à tenter de nettoyer un système alors qu'il n'y a aucune
garantie que le dit système soit clean à la fin des opérations est
intelligent, c'est un concept intéressant.
> Et si les divers anti-rootkit n'arrivent pas à nettoyer le système il
> existe encore la commande SFC /scannow à lancer à partir du CD d'XP, à
> préferer à format c:
Mouarf, la seule chose que fasse sfc, c'est valider que les fichiers
système ne sont pas corrompus, pour détecter une injection de code dans
un processus lors de son exécution, c'est certainement d'une efficacité
absolue...
> Et je repète que le "format c:" est la dernière solution !!!!!!
La touche ! du clavier est bloquée.
--
Pourriez vous me dire comment réaliser un fichier autoexecutable ou
plus presisement le fichier .exe que l'on met dedans !
-+- T in Guide du Neuneu Usenet : autoexécution de neuneu -+-
Eric Razny
>> Tu peux tourner le problème dans tous les sens, et abuser des points
>> d'exclamation autant que tu veux, mais le problème de base reste le
>> même : à partir du moment où un système a été compromis, tu n'as aucun
>> moyen d'être certain qu'il est redevenu sain.
> D'ou tu sors ça ?
Problablement d'une certaine pratique de la sécurité. Fabien est un
"vieux" lecteur de ce forum et apparement il a de la mémoire.
> J'abuse des points d'exclamation quand je vois sur ce forum des conseils
> dignes des hotlines informatiques de la grande distribution (faut-il
> préciser que ce n'est pas du tout un compliment ?)
Dans le n'importe quoi on y arrive.
> Et tourner le problème dans tous les sens c'est plutôt plus intelligent
> que de commencer par le formatage du disque
Quand on connait déjà les procédures à suivre ET le pourquoi de ces
procédures on peut s'épargner pas mal de temps à entamer des actions
dont le résultat sera incertain.
> Si tu avais lu complétement mon post et consulté les liens tu aurais vu,
> par exemple, que RootkitRevealer "permet de detecter les différences
> entre la réalité de votre système et l'API (ce que Windows voit)"
> Et si les divers anti-rootkit n'arrivent pas à nettoyer le système il
> existe encore la commande SFC /scannow à lancer à partir du CD d'XP, à
> préferer à format c:
Sur un système corrompu aucun outil ne peut prétendre être infaïble.
Maintenant en bootant à partir d'un système sain on peut effectivement
comparer les binaires. Malheureusement je ne crois pas qu'il existe de
référent à un MS-Windows en utilisation réelle[1], c'est à dire avec
différent logiciels installés, outre ceux d'origine. Pire, sous
wouinwouin des modifs subtiles de la BdR peuvent conduire à des
faiblesses exploitables[1]. Et je ne parles même pas de tous les Ocx et
autres active-x troué installés à droite ou à gauche.
> Et je repète que le "format c:" est la dernière solution !!!!!! - et oui
> j'abuse ;o)) -
Oui effectivement tu abuse.
Pour ta culture :
http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-002/index.html
Jette un oeil au chapitre 6, en particulier le 6.1
Amha la seule raison pour "réparer un système troué" sans réinstaller
est l'obligation de devoir continuer à faire tourner des systèmes
critiques, en attendant de pouvoir proprement faire une réinstall bien
sur.
Donc, en ce qui me concerne, non seulement tu donnes "des conseils dignes
des hotlines informatiques de la grande distribution (faut-il préciser
que ce n'est pas du tout un compliment ?)" mais en plus tu ne prends même
pas soin de seulement imaginer que tes connaissances sont imparfaites. Et
je peux t'assurer qu'en sécurité, vu ce que tu annonces, elles le sont.
Eric.
[1] Et c'est la que de toute façon "SFC /scannow" peut se rhabiller.
Kurieux
> Kurieux <adresse-...@nospam.invalid> writes:
>
>> D'ou tu sors ça ?
>
> Euh, de ce que pensent pas mal de personnes bossant (et payées pour,
> c'est dingue non ?) dans le secteur de la sécurité informatique, par
> exemple.
depuis 17 ans (et depuis environ 7 ans la part des interventions
concernant la sécurité augmente jusqu'à occuper 50%) je dis qu'il existe
des outils (j'en ai cité dans mon premier post) qui le permettent.
Maintenant si tu veux discuter prouves moi que ce n'est pas le cas avec
d'autres arguments que "je l'ai dit alors c'est vrai"
>> Et tourner le problème dans tous les sens c'est plutôt plus intelligent
>> que de commencer par le formatage du disque
>
> Ah ?
comparaisons, d'analyser, de faire des synthèses, de prendre des
décisions réfléchies. Du temps de mes débuts on citait cet axiome :
"Think before, code later".
>
> Perdre du temps à tenter de nettoyer un système alors qu'il n'y a aucune
> garantie que le dit système soit clean à la fin des opérations est
> intelligent, c'est un concept intéressant.
>
>> Et si les divers anti-rootkit n'arrivent pas à nettoyer le système il
>> existe encore la commande SFC /scannow à lancer à partir du CD d'XP, à
>> préferer à format c:
>
> Mouarf, la seule chose que fasse sfc, c'est valider que les fichiers
> système ne sont pas corrompus, pour détecter une injection de code dans
> un processus lors de son exécution, c'est certainement d'une efficacité
> absolue...
>
l'achat d'un autre PC, on sait jamais, un rootkit aurait pu infecté le BIOS
Et puis le conseiller ainsi, sans s'assurer que les documents perso ont
été sauvegardé c'est un peu -comment dirai-je- cavalier
>> Et je repète que le "format c:" est la dernière solution !!!!!!
>
> La touche ! du clavier est bloquée.
: le "format c:" est la dernière solution !!!!!!!!!!!!!!!!!!!!! - c'est
tellement facile, tiens j'en rajoute - !!!!!!!!!!!!!!!!!!!!!!!!!!! ;o))
Kurieux
> Le Mon, 22 Oct 2007 11:51:52 +0000, Kurieux a écrit :
>
>>> Tu peux tourner le problème dans tous les sens, et abuser des points
>>> d'exclamation autant que tu veux, mais le problème de base reste le
>>> même : à partir du moment où un système a été compromis, tu n'as aucun
>>> moyen d'être certain qu'il est redevenu sain.
>> D'ou tu sors ça ?
>
> Problablement d'une certaine pratique de la sécurité. Fabien est un
> "vieux" lecteur de ce forum et apparement il a de la mémoire.
>
>> J'abuse des points d'exclamation quand je vois sur ce forum des conseils
>> dignes des hotlines informatiques de la grande distribution (faut-il
>> préciser que ce n'est pas du tout un compliment ?)
>
> Dans le n'importe quoi on y arrive.
hotline ont fait appel à mes services alors qu'ils étaient encore en
période de garantie
>
>> Et tourner le problème dans tous les sens c'est plutôt plus intelligent
>> que de commencer par le formatage du disque
>
> Quand on connait déjà les procédures à suivre ET le pourquoi de ces
> procédures on peut s'épargner pas mal de temps à entamer des actions
> dont le résultat sera incertain.
problème, mais de donner le conseil fatal : formattes et réinstalles,
sans être sur place pour savoir si les sauvegardes ont été faites.
>
>> Si tu avais lu complétement mon post et consulté les liens tu aurais vu,
>> par exemple, que RootkitRevealer "permet de detecter les différences
>> entre la réalité de votre système et l'API (ce que Windows voit)"
>> Et si les divers anti-rootkit n'arrivent pas à nettoyer le système il
>> existe encore la commande SFC /scannow à lancer à partir du CD d'XP, à
>> préferer à format c:
>
> Sur un système corrompu aucun outil ne peut prétendre être infaïble.
> des hotlines informatiques de la grande distribution (faut-il préciser
> que ce n'est pas du tout un compliment ?)"
>
> comparer les binaires. Malheureusement je ne crois pas qu'il existe de
> référent à un MS-Windows en utilisation réelle[1], c'est à dire avec
> différent logiciels installés, outre ceux d'origine. Pire, sous
> wouinwouin des modifs subtiles de la BdR peuvent conduire à des
> faiblesses exploitables[1]. Et je ne parles même pas de tous les Ocx et
> autres active-x troué installés à droite ou à gauche.
>
>
>> Et je repète que le "format c:" est la dernière solution !!!!!! - et oui
>> j'abuse ;o)) -
>
> Oui effectivement tu abuse.
> Pour ta culture :
> http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-002/index.html
> Jette un oeil au chapitre 6, en particulier le 6.1
dossier de marques-pages, même si je n'avai pas pris connaissances de ce
document.
j'y ai aussi lu le chapitre 5 Comment analyser l'intrusion a posteriori
? Cela serait donc possible ? :o))
>
> Amha la seule raison pour "réparer un système troué" sans réinstaller
> est l'obligation de devoir continuer à faire tourner des systèmes
> critiques, en attendant de pouvoir proprement faire une réinstall bien
> sur.
>
> Donc, en ce qui me concerne, non seulement tu donnes "des conseils dignes
> des hotlines informatiques de la grande distribution (faut-il préciser
> que ce n'est pas du tout un compliment ?)" mais en plus tu ne prends même
> pas soin de seulement imaginer que tes connaissances sont imparfaites. Et
> je peux t'assurer qu'en sécurité, vu ce que tu annonces, elles le sont.
>
> Eric.
Mes connaissances sont le résultat d'études informatiques confrontées à
la réalité du terrain. Ce qui me permet (l'experience du terrain) compte
tenu du contenu post initial, de trouver très cavalier de conseiller de
but en blanc le "format c:". Il faudrait d'abord s'assurer que le rooque
les sauvegardes des documents ont été faites, que les médias d'instal.
sont disponibles, que le posteur est suffisement compétent, etc...
J'imagine bien que dans une optique de rapidité d'intervention
-rentabilité oblige- c'est la solution facile. Encore une fois ma
formation et mon expérience m'ont enseignée à réfléchir avant d'agir et
à ne pas lacher "l'affaire facilement". Mes clients apprécient, le
bouche à oreille fonctionnant à plein
>
> [1] Et c'est la que de toute façon "SFC /scannow" peut se rhabiller.
infection du BIOS.
j'oubliai : !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Eric Razny
> Maintenant si tu veux discuter prouves moi que ce n'est pas le cas avec
> d'autres arguments que "je l'ai dit alors c'est vrai"
http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-002/index.html
uniquement pour commencer.
> "Think before, code later".
Celle la tu devrais te l'appliquer avant de répondre sans t'être
informé d'avantage :
http://support.microsoft.com/kb/328691
Tient, amusant, vers le bas du document, pondu par MS :
"Après avoir terminé ces étapes, nous vous recommandons d'utiliser un
antivirus disposant des définitions du virus les plus récentes pour
détecter et supprimer le cheval de Troie MIRC. Ensuite, formatez et
réinstallez le serveur dès que vous le pourrez. Nous recommandons cette
mesure parce que le serveur a été compromis."
Relis bien les deux dernières phrases...
Pour infos je bosse peu avec Windows et il ne m'a fallu que quelques
minutes pour trouver ce document. Remise en cause... (voir plus bas)
>> Mouarf, la seule chose que fasse sfc, c'est valider que les fichiers
>> système ne sont pas corrompus, pour détecter une injection de code dans
>> un processus lors de son exécution, c'est certainement d'une efficacité
>> absolue...
>>
> Evidemment "format c:" c'est efficace.
Pas seulement efficace. La seule solution sure (et encore, pas "format c:"
mais ce que ça suggère : nettoyage du MBR, "repartitionnage" et
formatage avant réinstall.
> Et puis le conseiller ainsi, sans s'assurer que les documents perso ont
> été sauvegardé c'est un peu -comment dirai-je- cavalier
Fabien a déjà répondu à ça, en bas du post :
<99eoh359khj3s703p...@4ax.com>
Sans compter que faire un backup de ses données c'est le b-a ba.
>>> Et je repète que le "format c:" est la dernière solution !!!!!!
Si c'est dans le sens dernière partie de la solution (sauvegarde des
données, "réparation" de l'intrusion pour un système critique ET
réinstall dès que possible alors oui.
Enfin une dernière remarque :
Jette un oeil dans les archives et des "Et moi qui suis professionnel de
l'info depuis 28 ans" on en a déjà eu quelques un. Et généralement
ceux qui s'avancent avec ce genre d'argument le font parce qu'ils en
manquent, d'argument. Dans ce métier la moindre des choses est la remise
en cause régulière de ses compétances.
Avant de te répondre j'ai vérifié que les quelques outils que tu
proposes ne suffisent pas à garantir l'intégrité du système.
Bref je te suggère, avant de remettre ton age vénérable en avant :
http://www.paroles.net/chansons/22466.htm
http://www.paroles.net/chansons/17866.htm
Comme j'ai l'habitude de le dire[1], je ne me suis jamais fait trouer, *à
ma connaissance*. Tu vois la nuance?
Eric
[1]pourvu que ça dure!
Nicolas George
> Pas seulement efficace. La seule solution sure (et encore, pas "format c:"
> mais ce que ça suggère : nettoyage du MBR, "repartitionnage" et
> formatage avant réinstall.
Ça ne suffit pas : rien ne garantit que le BIOS n'a pas été reflashé.
Fred
> Sans compter que faire un backup de ses données c'est le b-a ba.
Données peut étre, réinstaller les applis çà prend plus de temps en
général (licences toussa toussa)
Et puis réinstaller à partir d'une image, quelle garantie que l'image
est propre... Vaste programme.
Eric Razny
>> http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-002/index.html
>> Jette un oeil au chapitre 6, en particulier le 6.1
> Il y a bien longtemps que le CERTA est, avec bien d'autres, dans mon
> dossier de marques-pages, même si je n'avai pas pris connaissances de ce
> document.
> j'y ai aussi lu le chapitre 5 Comment analyser l'intrusion a posteriori
> ? Cela serait donc possible ? :o))
Tu ne lis que les têtes de chapitre? :)
Oui c'est possible, backup du disk avant reformattage.
Ca ne veux pas dire qu'il ne faut pas réinstaller...
> Ben ça me permet de gagner ma vie à la satisfaction des clients
> Mes connaissances sont le résultat d'études informatiques confrontées à
> la réalité du terrain. Ce qui me permet (l'experience du terrain) compte
> tenu du contenu post initial, de trouver très cavalier de conseiller de
> but en blanc le "format c:". Il faudrait d'abord s'assurer que le rooque
> les sauvegardes des documents ont été faites, que les médias d'instal.
> sont disponibles, que le posteur est suffisement compétent, etc...
Et ça ne te viens pas une seconde à l'idée que les autres intervenant
sur ce forum puissent avoir une "compétance sur le terrain", voire que
pour certains la sécu informatique est leur métier? Un problème d'égo,
ça va les chevilles?
> J'imagine bien que dans une optique de rapidité d'intervention
> -rentabilité oblige- c'est la solution facile.
Grrr pour la dernière fois ce n'est pas la solution facile. C'est la
seule que je connais dont la fiabilité est prouvée.
>Encore une fois ma
> formation et mon expérience m'ont enseignée à réfléchir avant d'agir et
> à ne pas lacher "l'affaire facilement". Mes clients apprécient, le
> bouche à oreille fonctionnant à plein
Merci je n'ai pas de problème de bouche à oreille. Si je voulais être
méchant je dirais que de toute façon ça ne prouve pas grand chose, une
personne malintentionnée pouvant facilement satisfaire des clients
ignorant sans pour autant faire un boulot propre : reste 15mn devant
certains vendeurs de supermarché tu verras comment un client dans son
droit repart la queue basse (sic) persuadé d'avoir fait une connerie.
Eric Razny
Je suis d'accord sur le fond, même si je n'ai jamais eu de retour sur ces
cas.
J'ajoute donc volontier : reflasher le bios d'origine.
Eric Razny
> Données peut étre, réinstaller les applis çà prend plus de temps en
> général (licences toussa toussa)
> Et puis réinstaller à partir d'une image, quelle garantie que l'image
> est propre... Vaste programme.
C'est clair.
Ca suppose de disposer d'une source "propre". Mais si on veut être
malicieux il me semble qu'il y a déjà eu des cas de CDs officiels de
programmes qui étaient vérolés.
Néanmoins ça ne change pas le fait que récupérer d'un rootkit sans
réinstall est une pratique très risquée.
Eric Masson
> Et moi qui suis professionnel de l'info depuis 28 ans, qui bosse sur PC
> depuis 17 ans (et depuis environ 7 ans la part des interventions
> concernant la sécurité augmente jusqu'à occuper 50%) je dis qu'il existe
> des outils (j'en ai cité dans mon premier post) qui le permettent.
Et un concours de bite, un...
> Maintenant si tu veux discuter prouves moi que ce n'est pas le cas
> avec d'autres arguments que "je l'ai dit alors c'est vrai"
Pour un "professionnel de l'informatique", tu as un problème de
documentation, il existe une revue bimestrielle tout à fait intéressante
qui s'appelle MISC, dans laquelle, entre autres sujets intéressants sont
disséquées les différentes techniques d'attaque d'un windows.
Ce qui invalide complètement ton analyse est qu'il est tout à fait
possible d'infecter un poste sans en laisser aucune trace que ce soit
dans les filesystems (pour les références, tu commences/complètes ta
collection, mais comme je suis dans un bon jour, fais une recherche sur
bluepill)
> oui tu sais le cerveau, c'est un outil qui permet de faire des
> comparaisons, d'analyser, de faire des synthèses, de prendre des
> décisions réfléchies.
Un des trucs que l'on m'a appris lors de ma scolarité (assez lointaine
maintenant) est qu'il est impossible d'arriver à un résultat valide en
partant d'hypothèses fausses.
--
MC> Le Nono de base est fourni sans l'option second degré.
apres la lecture de la reponse de Nono ! a ton post je me demande tout
simplement si il existe une version de base du Nono ! avec cerveau :))
-+- F in GNU : Neurone de tous les neuneux, unis toi -+-
Paul Gaborit
Eric Razny <new...@razny.net> écrivait (wrote):
> Grrr pour la dernière fois ce n'est pas la solution facile. C'est la
> seule que je connais dont la fiabilité est prouvée.
Si, après la réinstallation du BIOS, le reformatage du disque et la
réinstallation du système et des applications, vous réinstallez les
données sauvegardées, la non corruption du système n'est plus
garantie. Ces données sauvegardées sont peut-être déjà corrompues. La
frontière entre données et applications (et système) n'est pas
complètement définie/étanche.
Votre solution est juste un peu plus fiable que l'utilisation des
programmes de nettoyage cités précédemment...
--
Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
th
>> on te dit carrément de faire
>> un format c: ...
>
> Qué "format c:" ? On réinstalle un backup de son OS, ça prend cinq à
> dix minutes.
Dans la mesure où on a pas de backup, c'est peut-être moins utile pour
un rootkit user-mode qui n'a pas été installé depuis un compte
administrateur ?
--
Thierry
Paul Gaborit
>> Et puis réinstaller à partir d'une image, quelle garantie que l'image
>> est propre... Vaste programme.
>
> C'est clair.
> Ca suppose de disposer d'une source "propre". Mais si on veut être
> malicieux il me semble qu'il y a déjà eu des cas de CDs officiels de
> programmes qui étaient vérolés.
Il y a aussi des processeurs(*) qui contiennent leur propre rootkit.
Ah ? Vous n'en avez jamais entendu parler ? Mais qu'est-ce qui vous
garantit que ça n'existe pas ?
> Néanmoins ça ne change pas le fait que récupérer d'un rootkit sans
> réinstall est une pratique très risquée.
C'est risqué. Mais ça peut suffire dans de nombreux cas. Comme
d'habitude, il faut estimer le risque.
Si la machine ne présente a priori pas d'intérêt pour une attaque qui
la viserait spécifiquement, on peut estimer qu'il y a de grande chance
que l'exploit soit un standard ou qu'il ait utilisé une faille connue.
Les progammes de nettoyage pourront donc en corriger les effets, au
moins, le détecteront... Pour beaucoup de monde (un usage de
particulier par exemple), cette précaution suffira. Et on peut éviter
le reformatage et la réinstallation.
Évidemment sur un serveur d'entreprise ou autre machine critique, le
risque n'est pas le même... Les mesures de sécurité non plus. Mais il
n'y a pas de risque zéro.
(*) on peut remplacer le mot 'processeur' par ce qu'on veut : carte
graphique, carte réseau, graveur, etc. Enfin tout ce qui est
matériel...
Pascal Hambourg
Eric Razny a écrit :
> Le Mon, 22 Oct 2007 14:05:08 +0000, Nicolas George a écrit :
>
>>Eric Razny wrote :
>>
>>>Pas seulement efficace. La seule solution sure (et encore, pas "format c:"
>>>mais ce que ça suggère : nettoyage du MBR, "repartitionnage" et
>>>formatage avant réinstall.
>>
>>Ça ne suffit pas : rien ne garantit que le BIOS n'a pas été reflashé.
>
> Je suis d'accord sur le fond, même si je n'ai jamais eu de retour sur ces
> cas. J'ajoute donc volontier : reflasher le bios d'origine.
Pas suffisant, car d'une façon ou d'une autre le programme de flashage
est exécuté à partir du BIOS potentiellement compromis. Ce serait comme
lancer une réinstallation à partir de l'OS compromis. En toute rigueur
il faudrait donc remplacer la puce de mémoire Flash contenant le BIOS ou
l'extraire et la reprogrammer avec un programmateur d'EPROM, à
l'extérieur de la machine. Si elle est soudée, ça craint.
Il y a bien eu des cartes mère avec un cavalier qui autorisait ou
empêchait physiquement l'effacement/écriture de la mémoire Flash du BIOS
mais je n'en ai pas vues depuis un moment, je ne sais pas si ça existe
encore.
Christian
> On 22 Oct 2007 05:18:15 GMT, Ludovic <Lud...@F5PBG.Brest>:
au CERTA, ils préconisent de *ne pas* éteindre le PC (§3.1)
http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-002/index.html
--
Christian
Eric Razny
> C'est risqué.
Merci de le reconnaitre enfin.
> Mais ça peut suffire dans de nombreux cas. Comme
> d'habitude, il faut estimer le risque.
Et on en revient à ce qu'a dit Fabien au début (la boucle est bouclée) :
puisque ça ne prend pas plus de temps de tout réinstaller que de
chercher à droite et à gauche comme se débarrasser de la salopperie
sans garantie d'y parvenir autant utiliser directement la procédure la
plus sure (ou la moins risquée c'est selon) : reinstaller.
> Si la machine ne présente a priori pas d'intérêt pour une attaque qui
> la viserait spécifiquement, on peut estimer qu'il y a de grande chance
> que l'exploit soit un standard ou qu'il ait utilisé une faille connue.
Sauf que la plupart bot semblent visiblement s'être constitués
progressivement et pas seulement à partir de faille connue.
Cherche un truc type criminalisation des exploits et tu verras que le PC
de Mme Michu n'interresse pas que le script-kiddy qui veut épater ses
potes (s'il en a :) ).
> Les progammes de nettoyage pourront donc en corriger les effets, au
> moins, le détecteront...
Sur ce point tu n'as pas tort, un AV a détecté une bonne part de
MS-Windows comme étant un virus ;)
> Pour beaucoup de monde (un usage de
> particulier par exemple), cette précaution suffira. Et on peut éviter
> le reformatage et la réinstallation.
Bien non, voir plus haut.
> Évidemment sur un serveur d'entreprise ou autre machine critique, le
> risque n'est pas le même...
Disons qu'il y a un risque supplémentaire que la machine soit vraiment
ciblée.
> Les mesures de sécurité non plus. Mais il
> n'y a pas de risque zéro.
Entierement d'accord. Il y a encore des macro-virus ciblant des documents
(les "données à restaurer" peuvent être offensives comme l'a fait
remarquer Paul Gaborit) et autres joyeusetés mais ce n'est pas parce que
le risque zéro n'existe pas qu'il ne faut pas prendre les meilleures
mesures disponibles.
Par contre je ne suis pas d'accord avec lui sur son "Votre solution est
juste un peu plus fiable que l'utilisation des programmes de nettoyage
cités précédemment..." pour au moins deux raisons :
a) Il y a des chances que les antivirus récent reconnaissent le virus
dans le document et/ou que l'appli soit patchée contre le problème.
b) Une réinstall *propre, dans l'état de l'art* *implique* que l'OS soit
à jour *et* que la faille ayant permis la compromission soit patchée.
Donc le même contenu offensif n'aura pas le même effet. Par contre je ne
parle pas de l'horrible habitude de faire tourner la machine sous admin,
un gars de chez Mickey ayant reconnu qu'il est difficile de faire
autrement sous XP. Il n'en demeure pas moins que c'est une connerie (qui
a dit mauvais OS, changer d'OS?)
Eric
Nina Popravka
>b) Une réinstall *propre, dans l'état de l'art* *implique* que l'OS soit
>à jour *et* que la faille ayant permis la compromission soit patchée.
Souvent impossible. On ne peut pas patcher l'interface chaise/clavier.
:-)
--
Nina
Eric Razny
>>b) Une réinstall *propre, dans l'état de l'art* *implique* que l'OS soit
>>à jour *et* que la faille ayant permis la compromission soit patchée.
>
> Souvent impossible. On ne peut pas patcher l'interface chaise/clavier.
> :-)
Même en la reformattant? ;)
Ceci dit tu n'as pas tort, j'ai déjà vu des réinstall de Windows sur
une machine accessible directement (connectée à un modem, ADSL ou pas)
du net[1]. Corruption avant même le chargement du premier patch. A ne
plus savoir si ça doit faire rire ou énerver.
Eric
[1] Ca n'empêche pas les gens d'oublier que le lan aussi peut être
offensif.
Ludovic
>
>Ça ne suffit pas : rien ne garantit que le BIOS n'a pas été reflashé.
>
...voire même que le disque dur ne soit plus le même !!!!! MdR...
J'aime bien les réponses de Kurieux. Moi non plus je ne suis
pas pour la réinstallation systématique. Le "GHOST", je le conçois,
je fais d'ailleurs des images hebdomadaires.
Maintenant, nous lisons beaucoup de choses alarmistes sur le net.
Il est vrai que l'on peut maintenant flasher les BIOS (Vous n'avez
vraiment pas de chance si le rootkit a le programme de votre carte
mère... mais pourquoi pas après tout).
Sinon concernant les pros, croyez-vous vraiment que ce sont les
meilleurs qui font leur beurre dans ce domaine ..? Non, ce sont
les plus malins... Bref, il faut savoir se vendre...
Enfin, pour revenir au sujet qui m'intrigue, j'aimerais bien des
cas concrêts de rootkits avérés "très méchants". Si cela peut faire
gagner du temps sur Google...
Merci,
Cordialement,
Ludovic.
Eric Razny
> Il est vrai que l'on peut maintenant flasher les BIOS (Vous n'avez
> vraiment pas de chance si le rootkit a le programme de votre carte
> mère... mais pourquoi pas après tout).
La probabilité est effectivement (amha) très faible, mais formellement
Nicolas George n'a pas tort. C'est pour ça que je joue le jeu.
> Sinon concernant les pros, croyez-vous vraiment que ce sont les
> meilleurs qui font leur beurre dans ce domaine ..? Non, ce sont
> les plus malins... Bref, il faut savoir se vendre...
Reprenons ce raisonnement : qui a le plus a gagner? celui qui dit de
reformatter (le client peut même le faire seul) ou celui qui va vendre
plein d'utilitaires pour tenter de déverminer à postériori?
Conclusions?
> Enfin, pour revenir au sujet qui m'intrigue, j'aimerais bien des
> cas concrêts de rootkits avérés "très méchants". Si cela peut faire
> gagner du temps sur Google...
Je laisse le soin à ceux qui ont plus d'habitude que moi sous Windows (et
ce n'est pas dur :) )
Fabien LE LEZ
>au CERTA, ils préconisent de *ne pas* éteindre le PC (§3.1)
>http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-002/index.html
Disons que je me plaçais dans le cas d'une machine personnelle (ce qui
me semblait être le cas de l'op).
Généralisons donc : si une machine est compromise, il faut l'empêcher
d'accéder aux données. Si les données sont sur une autre machine
(typiquement, un serveur sur le LAN), c'est simple, déconnecter le
réseau suffit.
Si les données sont sur le PC lui-même, je ne vois pas ce qu'on peut
faire d'autre qu'éteindre la machine.
Note par ailleurs que le conseil de ne pas éteindre la machine ne vaut
que si on veut vérifier qu'elle est bien compromise, ou si on veut
analyser finement le problème (pour, éventuellement, porter plainte).
Si on est sûr qu'elle est compromise et qu'on veut juste la remettre
en état le plus vite possible, l'éteindre (puis réinstaller l'OS) ne
gêne en rien.
Fabien LE LEZ
>J'aime bien les réponses de Kurieux. Moi non plus je ne suis
>pas pour la réinstallation systématique. Le "GHOST", je le conçois,
>je fais d'ailleurs des images hebdomadaires.
Si tu as un backup de ton système, le réinstaller ne prend que
quelques minutes. C'est donc une méthode rapide et efficace pour
résoudre un sacré paquet de problèmes.
Il peut y avoir d'autres méthodes, moins systématiques, basées sur une
analyse du problème, mais ces méthodes sont généralement moins rapides
et/ou moins efficaces.
Si la machine considérée est un PC de test, et que tu veux essayer de
comprendre le problème, très bien.
Mais si la machine est une machine de production, et qu'elle doit
fonctionner à nouveau dès que possible, une méthode rapide et sûre est
à préférer.
DePassage
> On 21 Oct 2007 21:45:31 GMT, "Ewa (siostra Ani) N." <ni...@yahoo.com> wrote:
>
>> C'est bien à ton honneur, tout ce que tu as fait déjà. Seulement
>> personne ne sait ce que fait précisément un rootkit donné.
>>
>> Autant réinstaller.
>>
>
> Bof, pour ma part, je fais cela :
> http://inforadio.free.fr/nettoy.htm
> puis
> http://inforadio.free.fr/protect-virus.htm
>
> Les collègues ne s'en plaignent pas.
> Maintenant, si tu as du temps à perdre...
Il parle de Clubic où il était spécifié de faire attention avec le site
russe et il l'a téléchargé quand meme.
Pourquoi lirait-il des reccomandations ?
Il fait partie de cette catégorie d'utilisateurs (les 3/4) où la (sa)
sécurité repose sur les moyens de défense installés, à savoir l'antivirus.
Ensuite tu reccomandes Avast, SAUF qu'Avast ne détecte pas le trojan et
le Navipromo et ce depuis des mois concernant ce programme homonyme de
Web Media Player (c'est ce que tu conseilles d'utiliser dans ta page
pleine d'erreurs)pour une simple raison :
Les infections changent toutes les semaines voire plusieurs fois par
semaine (4 fois la dernière semaine d'aout)pour Web Media Player
Un jour Avast ne va rien détecter, le jour suivant il va en détecter une
sur les deux et le surlendemain rien du tout.
Et je répête, il y a 2 types d'infection avec 2 buts différents dans ce
faux programme.
Du reste je n'ai vu AVAST détecter une infection que 3 fois en 6 mois
pour web media player
> On n'arrête pas le progrès : Maintenant,
> on ne te donne plus de réponse sur les
> newsgroups, on te dit carrément de faire
> un format c: ...
Le problème c'est qu'il a détecté une seule menace dans ce fichier alors
qu'il y en a 2 avec des buts différents.
Le format C: est la solution extreme néanmoins mais de facilité :-)
Thierry B.
> Enfin, pour revenir au sujet qui m'intrigue, j'aimerais bien des
> cas concrêts de rootkits avérés "très méchants". Si cela peut faire
> gagner du temps sur Google...
Le cas du rootkit Sony, par exemple. Pas "très méchant" en lui-même,
mais une excellente plate-forme technique pour d'autres machins
opportunistes.
--
Donc chez VU, on avait mis en place un système de boîtier très design,
qui permettait aux actionnaires de voter en appuyant au choix sur un
des trois boutons disponibles (oui, non, n'a pas compris la question).
Nina Popravka
>> Souvent impossible. On ne peut pas patcher l'interface chaise/clavier.
>> :-)
>Même en la reformattant? ;)
Nous saurons si l'OP est reformatté si il prend la bonne habitude
d'envoyer ses téléchargements se faire voir chez virustotal avant de
les exécuter...
>Ceci dit tu n'as pas tort, j'ai déjà vu des réinstall de Windows sur
>une machine accessible directement (connectée à un modem, ADSL ou pas)
>du net[1]. Corruption avant même le chargement du premier patch. A ne
>plus savoir si ça doit faire rire ou énerver.
Ca m'est arrivé une fois avec Blaster ou assimilé, j'avais éclaté de
rire :-)))))
--
Nina
Kevin Denis
>>au CERTA, ils préconisent de *ne pas* éteindre le PC (§3.1)
>>http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-002/index.html
>
> d'accéder aux données. Si les données sont sur une autre machine
> (typiquement, un serveur sur le LAN), c'est simple, déconnecter le
> réseau suffit.
> Si les données sont sur le PC lui-même, je ne vois pas ce qu'on peut
> faire d'autre qu'éteindre la machine.
>
sous peine de se faire reinfecter par le meme vecteur.
Quand tu as la reponse, tu peux corriger (cad reinstaller) et
remettre la machine on-line.
Dans le cas de l'OP, l'analyse est faite et l'infection est survenue
suite a l'installation de webmediaplayer.
> Note par ailleurs que le conseil de ne pas éteindre la machine ne vaut
> que si on veut vérifier qu'elle est bien compromise, ou si on veut
> analyser finement le problème (pour, éventuellement, porter plainte).
Pas seulement, cela est utile pour ne pas se faire reinfecter par
la meme cause.
> Si on est sûr qu'elle est compromise et qu'on veut juste la remettre
> en état le plus vite possible, l'éteindre (puis réinstaller l'OS) ne
> gêne en rien.
Et sans analyse, on est donc condamne a se faire reinfecter.
Donc si on est sur qu'une machine est compromise, on l'isole afin
qu'elle ne puisse plus nuire. On l'etudie in vivo, car l'analyse
post mortem pourrait ne rien donner, et on cherche la cause initiale
de l'infection.
Une fois qu'on a trouve, on _reinstalle_, on empeche la reinfection, et
on repasse online (voir le doc du CERT qui detaille bien les etapes).
--
Kevin
Riquer Vincent
> Le Mon, 22 Oct 2007 11:51:52 +0000, Kurieux a écrit :
>> Si tu avais lu complétement mon post et consulté les liens tu aurais vu,
>> par exemple, que RootkitRevealer "permet de detecter les différences
>> entre la réalité de votre système et l'API (ce que Windows voit)"
>> Et si les divers anti-rootkit n'arrivent pas à nettoyer le système il
>> existe encore la commande SFC /scannow à lancer à partir du CD d'XP, à
>> préferer à format c:
> Sur un système corrompu aucun outil ne peut prétendre être infaïble.
>
> Maintenant en bootant à partir d'un système sain on peut effectivement
> comparer les binaires. Malheureusement je ne crois pas qu'il existe de
> référent à un MS-Windows en utilisation réelle[1], c'est à dire avec
> différent logiciels installés, outre ceux d'origine. Pire, sous
Ultimate Boot CD for Windows :
1/ télécharger ubcd4win
2/ mettre un CD d'install original (parce que
http://le_piratage.saimal.fr - puis on sait jamais ce qui aurait pu être
rajouté dans cette iso pirate) d'un win XP dans le lecteur
3/ faire générer l'iso par ubcd4win
4/ Graver l'iso
5/ booter dessus
et là, on a un windows sain, en read-only, muni de plein d'outils
d'analyse / réparation, avec quelques antivirus, et autres outils de
sécurité, un reseteur de mot de passe administrateur, testdisk pour si
on a supprimé une partition, etc etc... Ultimate j'vous dit :)
En plus, pour peu qu'on lise la doc, on peut rajouter d'autres outils au
liceCD, ce qui permet aussi de mettre à jour les base
d'Anti-{virus,trojan,backdoor,spyware}
Eric Razny
> Ultimate Boot CD for Windows :
> 1/ télécharger ubcd4win
> 2/ mettre un CD d'install original (parce que
> http://le_piratage.saimal.fr - puis on sait jamais ce qui aurait pu être
> rajouté dans cette iso pirate) d'un win XP dans le lecteur
> 3/ faire générer l'iso par ubcd4win
> 4/ Graver l'iso
> 5/ booter dessus
>
> et là, on a un windows sain,
Et a jour de tout ses patchs? Parce que si on veut comparer des binaires
il va bien falloir ça, à moins que MS ne produise des SHA2 de tous ses
fichier?
> en read-only, muni de plein d'outils
> d'analyse / réparation, avec quelques antivirus, et autres outils de
> sécurité, un reseteur de mot de passe administrateur, testdisk pour si
> on a supprimé une partition, etc etc... Ultimate j'vous dit :)
Oui. Donc on vérifie les virus connus *par ces outils*. Vas voir les
nombreux posts sur fr.comp.securite.virus (ou une recharche web) à propos
de machin détecte merdouille1&2 mais pas merdouille3 ou alienX alors que
bidule détecte même alien5 mais pas les merdouilles.
> En plus, pour peu qu'on lise la doc, on peut rajouter d'autres outils au
> liceCD, ce qui permet aussi de mettre à jour les base
> d'Anti-{virus,trojan,backdoor,spyware}
Qui par constructions peuvent laisser passer des salopperies.
Admettons que tu arrives a vérifier tous les binaires d'une install clean
MS et à jour de ses patch (et j'aimerais déjà avoir une évalution du
temps pris pour faire ça), tu n'as toujours pas les éléments pour
comparer les binaires des produits installés ensuites (on va supposer que
le gus a les CD d'install non vérolés, si ce n'est légaux :-/ )
Et ca ne réponds pas non plus à ma remarque sur la BdR (et plus
particulièrement les interactions entre les différentes entrées). Et
ça tu peux t'y prendre comme tu veux, ça prendra moins de temps de
réinstaller qu'espérer avoir une BdR clean *et* fonctionnelle (parce que
la restauration à il y a 6 mois qui massacre tout ce n'est pas top).
Bref ton CD me semble précieux pour du dépannage (je pense que c'est
déjà arrivé à pas mal de gens de faire mumuse avec SAM pour avoir un
accès en force, et pour des motifs légitimes -j'ai déjà vu des salles
infos avec le bios qui permet de booter sur CD, sans password, game over
:) -) Il peut aussi être interressant pour une analyse post-mortem, mais
je ne vois pas en quoi il évite une réinstall.
Enfin la réinstall a un effet secondaire interressant, il pare au
"vieillissement de Windows" (c'est l'effet bien connu de ralentissement
progressif du système au long de sa vie, particulièrement si elle est
ponctuée assez fréquement d'installation-desinstallation de soft) ;)
Ludovic
>Ensuite tu reccomandes Avast
>
Non, tu n'as donc pas compris ce qui est écrit sur la page...
Mais ce n'est pas une nouveauté...
Cordialement,
Ludovic.
Ludovic
>Vas voir les nombreux posts sur fr.comp.securite.virus (ou une recharche web) à propos
>de machin détecte merdouille1&2 mais pas merdouille3 ou alienX alors que
>bidule détecte même alien5 mais pas les merdouilles.
Toutes les désinfections ratées que j'ai pu lire sur ce forum
l'ont été suite à :
- non désactivation de la restauration de Windows ;
- non utilisation du mode sans échec de base.
Je n'ai eu qu'une fois à reformater un PC infecté : Un collègue
avait eu un virus qui lui avait vérollé tous les .exe de son PC...
Le reste du temps, un bon nettoyage et hop, c'est reparti.
Bref, formatage, bof...
Cordialement,
Ludovic.
DePassage
>> Ensuite tu reccomandes Avast
>>
>
> Non, tu n'as donc pas compris ce qui est écrit sur la page...
> Mais ce n'est pas une nouveauté...
Si si j'ai lu et je te fais un copier coller car tu n'as pas répondu aux
points cités :
Tu dis :
- Utiliser un firewall : INDISPENSABLE
et tu proposes d'utiliser un firewall alternatif. Mais tu ne dis pas
"Pourquoi ?".
Tu dis qu'il ne faut pas utiliser 2 firewall, mais tu proposes
d'utiliser le firewall du routeur. Tu ne dis pas non plus si il faut
garder un firewall logiciel (sur le PC), et si oui, ou non, "Pourquoi ?"
- Utiliser un antivirus, bien sûr... et tu cites AVAST
"il ne vous manque plus qu'un antivirus "efficace", si possible, pas le
plus connu,"
Ben désolé, AVAST est Trop connu et comporte sufisamment de lacunes pour
être exploité. Et là je parle de "lacunes", pas de "failles"...
-Ne plus utiliser INTERNET EXPLORER
Et tu dis "En effet, IE (Internet Explorer) est autorisé à se connecter
à Internet via le firewall"
Ah bon ? Et pas Firefox ?? :-)
Tu préconises Firefox, et plus loin je lis .. "C'est un TRES BON
REMPLACANT d' Internet Explorer, à condition de ne pas récupérer les
divers plug-in inutiles (notamment ceux de type ActiveX...)...
Ah.. je ne savais pas qu'il y avait des plug-in de type ActiveX sous
firefox. C'est nouveau.
Il y a un plug-in du nom de IE Tab, qui fourni à Firefox l'intégralité
du moteur de rendu de Microsoft (mais ce n'est pas un plug-in de type
"active X) et un autre qui installe un plug-in qui ne fait QUE prendre
en charge le media player. Et.. C'est tout (du moins à ma connaissance,
ce qui n'est pas infaillible) Seul le premier est vraiment dangereux
Tu dis :
Décocher les coches "Activer Javascript" et "Activer Java" lors de surf
sur des pages "très dangereuses". et utiliser "NoScript"
Bien, alors autant surfer avec Lynx en mode texte parce que cela te
prive de 99% des sites à usage familial
Parce que les surf sur des pages "très dangereuses" sont à définir, et
les plus dangereuses, tu ne les verras meme pas avec ce qui existe comme
moyen d'infection actuellement
-Ne plus utiliser Outlook Express
et tu dis "En fait, certains virus se moquent du fait que Outlook
Express interdise l'ouverture des pièces jointes."
Parce que la faille est simplement là ???
Plus loin tu dis que tu es satisfait de "The bat" parce qu'il n'execute
pas les pièces jointes"
Donc il n'existe aucune faille à exploiter dans l'affichage d'un mail ?
Je zappe le reste du "pro" qui passe outre le scan de ses messages par
Zone alarm car il "fait confiance à sa tete"...
>
>> J'attend toujours ta conclusion du test
>>
>
> Vous les avez eu... Je ne vais pas me répéter sans cesse...
Ben non... Tu n'as pas été bien loin
Dans ta page tu dis
"Testez votre antivirus : http://securite-informatique.info/virus/eicar/"
Il faut donc télécharger Eicar et l'EXCUTER
Moi je te dis de tester la meme chose sur
http://www.web-mediaplayer.com/
Cela consiste à télécharger et excuter. Sois logique dans ton raisonnement.
Ton test a consisté à "J'ai cliqué sur http://www.web-mediaplayer.com/
et si je clique sur "télécharger", il ne se passe strictement rien..."
Ben si.. tu es un utilisateur lambda, rassuré par le professionalisme de
la page web affichée et tu le veux ce programme.
Ewa (siostra Ani) N.
>> Vous les avez eu... Je ne vais pas me répéter sans cesse...
> Ben non... Tu n'as pas été bien loin
En effet, Ludovic ne fait que nous répéter url (toujours le même) de
sa page (toujours la même).
Et tant pis si le monde évolue.
Ewcia
--
Niesz
http://www.krolestwa.com
Ludovic
> En effet, Ludovic ne fait que nous répéter url (toujours le même) de
> sa page (toujours la même).
> Et tant pis si le monde évolue.
Mais non, la page évolue... Encore faut-il y aller pour le savoir...
Franchement, si vous avez du temps à perdre à réaliser les mêmes
réponses jour après jour, c'est votre affaire. Moi je préfère mettre
à jour ma façon de me protéger afin que les collègues en profitent.
Personnellement, je n'ai pas de temps à perdre à répondre à notre
ami "De passage" qui fait même du copier-coller de ses réponses
maintenant...
De toute façon, des satyres de personnes qui n'ont rien d'autre
à donner que des liens Google, bof...
Au revoir...
Cordialement,
Ludovic.
DePassage
> On 23 Oct 2007 22:19:55 GMT, "Ewa (siostra Ani) N." <ni...@yahoo.com> wrote:
>
>> En effet, Ludovic ne fait que nous répéter url (toujours le même) de
>> sa page (toujours la même).
>> Et tant pis si le monde évolue.
>
> Mais non, la page évolue... Encore faut-il y aller pour le savoir...
> Personnellement, je n'ai pas de temps à perdre à répondre à notre
> ami "De passage" qui fait même du copier-coller de ses réponses
> maintenant...
Et bien en tant qu'utilisateur lambda de l'informatique, je me pose des
questions sur cette page censée m'aider et qui évolue, et tu n'y réponds
pas (ou alors tu n'as pas les réponses ?)
> De toute façon, des satyres de personnes qui n'ont rien d'autre
> à donner que des liens Google, bof...
C'est vrai que tu n'oseras jamais remplacer ton lien de test EICAR
par http://www.web-mediaplayer.com/ :-)
Ou alors tu en veux un autre ? (il y en a 30 0000 du meme genre)
Un site web vérolé peut etre ??
Kurieux
>
> C'est vrai que tu n'oseras jamais remplacer ton lien de test EICAR
> par http://www.web-mediaplayer.com/ :-)
>
Au demeurant il y a assez peu des antivirus utilisés par virustotal.com
qui détecte la bestiole : http://cjoint.com/?kyknswtWMg
> Ou alors tu en veux un autre ? (il y en a 30 0000 du meme genre)
> Un site web vérolé peut etre ??
Bien volontier, c'est toujours utile de tester ses outils
Merci d'avance
Denis Cil
> Bonjour
> Au demeurant il y a assez peu des antivirus utilisés par virustotal.com
> qui détecte la bestiole : http://cjoint.com/?kyknswtWMg
L'executable est patché à la volée par le fort justement nommé patch.php :
http://www.web-mediaplayer.com/*patch.php*?file=/var/www/www.web-
mediaplayer.com/
C'est juste un peu plus simplement compliqué.
<http://cjoint.com/?kynGyrrsl2>
--
Denis
Ludovic
>
>C'est vrai que tu n'oseras jamais remplacer ton lien de test EICAR
>par http://www.web-mediaplayer.com/ :-)
>
Il ne se passe strictement rien lorsque tu fais "télécharger sur
la page en question en utilisant Noscript que je l'indique justement
sur http://inforadio.free.fr/protect-virus.htm ...
On ne base pas sa sécurité informatique sur l'antivirus seulement.
Ainsi, ce que j'indique, c'est que même avec AVAST, je n'ai toujours
pas de virus sur les nombreuses configs que je configure ou reconfigure
ainsi.
Au revoir...
Ludovic.
DePassage
> DePassage a écrit :
>>
>> C'est vrai que tu n'oseras jamais remplacer ton lien de test EICAR
>> par http://www.web-mediaplayer.com/ :-)
>>
> Bonjour
> Au demeurant il y a assez peu des antivirus utilisés par virustotal.com
> qui détecte la bestiole : http://cjoint.com/?kyknswtWMg
Virustotal ne fonctionne qu'avec les bases de définitions de virus (En
heuristique il en est autrement)
Néanmoins c'est un bon indicateur concernant la réactivité des éditeurs.
>> Ou alors tu en veux un autre ? (il y en a 30 0000 du meme genre)
>> Un site web vérolé peut etre ??
> Bien volontier, c'est toujours utile de tester ses outils
> Merci d'avance
Tsss tsss :-)
Si j'ai mis en avant ce site, c'est qu'il revient régulièrement sur les
forums depuis des mois parce que des gens se font infecter avec en
téléchargeant le programme.
C'est connu, et cela permet de mettre en avant le type d'infection
possible par un programme que l'utilisateur lambda pense être sain,
puisqu'apparaissant (le site) sur le premier lien google
De plus c'est surligné en jaune de plus, pouvant laisser à penser que
puisqu'il s'agit d'un site commercial il ne peut y avoir aucun problème
Concernant les autres sources elles apparaissent et disparaissent au fil
du temps et ce n'est pas dans un forum public que ca doit être divulgué.
On ne sait qui est qui et l'usage qu'il peut en être fait.
Si tu veux tester et aider contacte par ex les responsables de
Zebulon.fr il y a un forum privé pour cela. Suffit d'être admis.
DePassage
En plus le code change régulièrement, la signature n'est pas la même, et
parfois on peut voir sur virustotal qu'aucun programme ne détecte quoi
que ce soit
Roland Garcia
> DePassage a écrit :
>>
>> C'est vrai que tu n'oseras jamais remplacer ton lien de test EICAR
>> par http://www.web-mediaplayer.com/ :-)
>>
> Bonjour
> Au demeurant il y a assez peu des antivirus utilisés par virustotal.com
> qui détecte la bestiole : http://cjoint.com/?kyknswtWMg
Certes, mais il est où le malware là dedans ?
--
Roland Garcia
Roland Garcia
> DePassage a écrit :
>>
>> C'est vrai que tu n'oseras jamais remplacer ton lien de test EICAR
>> par http://www.web-mediaplayer.com/ :-)
> Au demeurant il y a assez peu des antivirus utilisés par virustotal.com
> qui détecte la bestiole : http://cjoint.com/?kyknswtWMg
A part les fausses alarmes heuristiques de eSafe et Sophos, Panda qui
détecte que Webmediaplayer est bien Webmediaplayer (c'est pour le taux
de détection ?), et deux autres qui y voient un adware, où est le vrai
malware ?
>> Ou alors tu en veux un autre ? (il y en a 30 0000 du meme genre)
>> Un site web vérolé peut etre ??
> Bien volontier, c'est toujours utile de tester ses outils
> Merci d'avance
--
Roland Garcia
Michel MARTIN
<news:471d9543$0$21150$7a62...@news.club-internet.fr>:
> Ludovic a écrit :
>> On 21 Oct 2007 21:45:31 GMT, "Ewa (siostra Ani) N." <ni...@yahoo.com> wrote:
>>
>>> C'est bien à ton honneur, tout ce que tu as fait déjà. Seulement
>>> personne ne sait ce que fait précisément un rootkit donné.
>>>
>>> Autant réinstaller.
>>>
>>
>> Bof, pour ma part, je fais cela :
>> http://inforadio.free.fr/nettoy.htm
>> puis
>> http://inforadio.free.fr/protect-virus.htm
>>
>> Les collègues ne s'en plaignent pas.
>> Maintenant, si tu as du temps à perdre...
>
> Il parle de Clubic où il était spécifié de faire attention avec le site
> russe et il l'a téléchargé quand meme.
Moi, j'ai parlé de Clubic, mais ce n'est pas Clubic qui met en place un
programme à télécharger et qui met en garde les visiteurs.
J'ai dit que j'allais sur Clubic, et que j'ai du confondre, comme
d'autres, entre les deux programmes préconisés de-ci, de-la, et portant
le même nom, mais dont l'un est "correct", et l'autre d'origine douteuse
(russe, parait-il). Ce dernier n'a certainement pas été téléchargé chez
Clubic. Sinon, sa réputation (s'il en a une) en prendrait un coup.
C'est plus tard, (en cherchant des Freeplayers, en fait) que je suis
tombé sur plusieurs sites qui présentaient ce "soi-disant" même
programme, et j'ai mal choisi!!
> Pourquoi lirait-il des reccomandations ?
Je les lis toujours, lorsqu'il y en a, et qu'elles sont compréhensibles.
>
> Il fait partie de cette catégorie d'utilisateurs (les 3/4) où la (sa)
> sécurité repose sur les moyens de défense installés, à savoir l'antivirus.
>
> Ensuite tu reccomandes Avast, SAUF qu'Avast ne détecte pas le trojan et
> le Navipromo et ce depuis des mois concernant ce programme homonyme de
> Web Media Player (c'est ce que tu conseilles d'utiliser dans ta page
> pleine d'erreurs)pour une simple raison :
Hé oui, à lire les divers forums, on ne sait plus quel est le "bon"
anti-virus, et quels sont les mauvais. Tout le monde a une liste, mais
personne n'a la même.
J'ai changé il y a peu de temps en quittant Norton AV. Mais ai-je bien
fait en prenant Avast AV (qui me semble plus lent à vérifier les
messages entrant)?
Maintenant, en prenant la suite complète: AV, A-spyware, A-rootkit,
peut-être ...
>
> Les infections changent toutes les semaines voire plusieurs fois par
> semaine (4 fois la dernière semaine d'aout)pour Web Media Player
> Un jour Avast ne va rien détecter, le jour suivant il va en détecter une
> sur les deux et le surlendemain rien du tout.
> Et je répête, il y a 2 types d'infection avec 2 buts différents dans ce
> faux programme.
>
> Du reste je n'ai vu AVAST détecter une infection que 3 fois en 6 mois
> pour web media player
>
>> On n'arrête pas le progrès : Maintenant,
>> on ne te donne plus de réponse sur les
>> newsgroups, on te dit carrément de faire
>> un format c: ...
>
> Le problème c'est qu'il a détecté une seule menace dans ce fichier alors
> qu'il y en a 2 avec des buts différents.
>
> Le format C: est la solution extreme néanmoins mais de facilité :-)
Amicalement, Michel
--
http://martin.michel47.free.fr/
Roland Garcia
> Maintenant, en prenant la suite complète: AV, A-spyware, A-rootkit,
> peut-être ...
Avec tous vos machins vous n'allez plus dormir...
J'ai installé l'autre jour un anti-spyware soi-disant réputé, mais
certainement pour détecter n'importe quoi, exemple parmi tant d'autres:
une URL vers "y'a des zazous" :(
--
Roland Garcia
DePassage
> Kurieux a écrit :
>> DePassage a écrit :
>>>
>>> C'est vrai que tu n'oseras jamais remplacer ton lien de test EICAR
>>> par http://www.web-mediaplayer.com/ :-)
>
>> Au demeurant il y a assez peu des antivirus utilisés par
>> virustotal.com qui détecte la bestiole : http://cjoint.com/?kyknswtWMg
>
> A part les fausses alarmes heuristiques de eSafe et Sophos, Panda qui
> détecte que Webmediaplayer est bien Webmediaplayer (c'est pour le taux
> de détection ?), et deux autres qui y voient un adware, où est le vrai
> malware ?
Ben déja tu as un joli Adware Magic Control et Adware NaviPromo,
parfois l'un, parfois les deux, mais tu peux le passer tous les jours
sur virustotal tu n'auras jamais la meme version :-)
Par ex pour le Navipromo j'ai compté 27 variantes entre mi-aout et début
septembre et les résultats bien sur différaient sur virustotal
Heu.. pourquoi tu demandes cela ? Un problème avec KAV ? :-)
DePassage
Tu n'as toujours pas compris.
Je sais très bien qu'avec No Script il ne se passera rien, mais pour ces
genres de site, 99% des gens ayant No Script, activeront le script PARCE
QU'ILS LE VEULENT CE PROGRAMME et que le seul moyen de télécharger c'est
d'activer un script (c'est le meme problème du reste sur nombre de sites
dont les plus connus comme E-Bay etc où tu es obligé d'activer certains
scripts.)
No Script a ses limites et je doute que la plupart des gens, meme en
l'ayant installé, savent exactement à quoi correspondent les scripts
bloqués.
Mais ca le jour où tu le comprendras...
Roland Garcia
Non, là à priori je trouve normal que les antivirus ne détectent rien.
--
Roland Garcia
Nina Popravka
wrote:
>A part les fausses alarmes heuristiques de eSafe
Il est très marrant, esafe, j'ai l'impression que par principe il
trouve à peu près tout fichier suspect :-)))))
--
Nina
DePassage
> Le 23 Oct 2007 06:31:44 GMT, DePassage a écrit dans
> <news:471d9543$0$21150$7a62...@news.club-internet.fr>:
>
>> Ludovic a écrit :
>>> On 21 Oct 2007 21:45:31 GMT, "Ewa (siostra Ani) N." <ni...@yahoo.com> wrote:
>> Il parle de Clubic où il était spécifié de faire attention avec le site
>> russe et il l'a téléchargé quand meme.
> Moi, j'ai parlé de Clubic, mais ce n'est pas Clubic qui met en place un
> programme à télécharger et qui met en garde les visiteurs.
Sur la page de Clubic, si on lit les appréciations, il est bien spécifié
plusieurs fois le problème avec le site Russe
> J'ai dit que j'allais sur Clubic, et que j'ai du confondre, comme
> d'autres, entre les deux programmes préconisés de-ci, de-la, et portant
> le même nom, mais dont l'un est "correct", et l'autre d'origine douteuse
> (russe, parait-il). Ce dernier n'a certainement pas été téléchargé chez
> Clubic. Sinon, sa réputation (s'il en a une) en prendrait un coup.
Certains programmes choisis par Clubic comportent des spywares, mais
soit l'admin le précise, soit les utilisateurs l'indiquent.
Mais il n'y a pas effectivement de programmes avec des Adwares, trojans etc
> C'est plus tard, (en cherchant des Freeplayers, en fait) que je suis
> tombé sur plusieurs sites qui présentaient ce "soi-disant" même
> programme, et j'ai mal choisi!!
De toutes les facons meme avec google les gens peuvent se tromper car il
apparait en premier
>> Ensuite tu reccomandes Avast, SAUF qu'Avast ne détecte pas le trojan et
>> le Navipromo et ce depuis des mois concernant ce programme homonyme de
>> Web Media Player (c'est ce que tu conseilles d'utiliser dans ta page
>> pleine d'erreurs)pour une simple raison :
> Hé oui, à lire les divers forums, on ne sait plus quel est le "bon"
> anti-virus, et quels sont les mauvais. Tout le monde a une liste, mais
> personne n'a la même.
Tout a fait :-)
> J'ai changé il y a peu de temps en quittant Norton AV. Mais ai-je bien
> fait en prenant Avast AV (qui me semble plus lent à vérifier les
> messages entrant)?
Et bien fait quelques recherches sur le net concernant AVAST ou les
forums de sites où cela parle d'infections. La plupart ont AVAST.
> Maintenant, en prenant la suite complète: AV, A-spyware, A-rootkit,
> peut-être ...
Avoir un arsenal ca peut rassurer, mais ce n'est qu'un complément de ce
qui se trouve entre la chaise et le clavier ; TOI
Le gros problème des gens qui pensent avoit TOUT sécurisé, c'est qu'ils
ne font plus confiance qu'à ce qu'ils ont installé et adopte des
comportements parfois dangereux.
En plus de cela l'imagination des "inventeurs" de virus, pièges etc fait
qu'ils ont toujours une petite longueur d'avance sur les défenses
installées et qu'on peut se faire véroler meme sur un site considéré
comme sain. (j'ai eu un ex sur un forum Yahoo il y a quelques mois où il
suffisait de lire la page HTML du forum pour se faire infecter)
On peut parler aussi des programmes qui comportent des failles et que
les utilisateurs oublient de mettre à jour (quand c'est possible de le
faire)
Bref c'est la jungle :-)
DePassage
> DePassage a écrit :
>>
>> Heu.. pourquoi tu demandes cela ? Un problème avec KAV ? :-)
>
> Non, là à priori je trouve normal que les antivirus ne détectent rien.
Ben pas moi dans la mesure où les nouvelles versions des éditeurs
mettent en avant la détection spyware et autres machins ware, analyse
HTTP, scripts etc etc
C'est fini le temps de l'antivirus qui n'avait que cette fonction.
Maintenant ils sont obligés de déborder sur d'autres fonctionnalités.
Le problème c'est qu'ils le font mal.
J.B.
Mais comment fais-tu ?
--
J.Bratières
Roland Garcia
Je trouve qu'au contraire la tendance (surtout les anti-spywares) est de
détecter n'importe quoi, à croire que ça fait vendre.
Quant à l'adware changeant mais récurrent de Webmediaplayer ça
ressemblerait plutôt à une guéguerre entre l'éditeur qui essaye de caser
son adware (après tout y'a bien des gens qui aiment la pub, voire TF1)
et les éditeurs qui le détectent quand ils estiment que certains
critères ne sont pas respectés.
--
Roland Garcia
DePassage
> DePassage a écrit :
>> Roland Garcia a écrit :
>>> DePassage a écrit :
>>
>>>>
>>>> Heu.. pourquoi tu demandes cela ? Un problème avec KAV ? :-)
>>>
>>> Non, là à priori je trouve normal que les antivirus ne détectent rien.
>>
>> Ben pas moi dans la mesure où les nouvelles versions des éditeurs
>> mettent en avant la détection spyware et autres machins ware, analyse
>> HTTP, scripts etc etc
>>
>> C'est fini le temps de l'antivirus qui n'avait que cette fonction.
>> Maintenant ils sont obligés de déborder sur d'autres fonctionnalités.
>> Le problème c'est qu'ils le font mal.
>
> Je trouve qu'au contraire la tendance (surtout les anti-spywares) est de
> détecter n'importe quoi, à croire que ça fait vendre.
Ah tu trouves ?
Pour ma part Spysweeper est l'un de ceux qui ne fait pas trop dans la
détection de faux positifs ou de fausses alertes type MRU, au contraire
d'un Spyware Doctor (PC TOOLS)et autres
Le seul problème qui est à déterminer est de savoir jusqu'à quel niveau
il peut détecter et quels sont les accords passés avec certains éditeurs
pour ne pas se prendre de procès.
Ensuite reste les rootkits ou programmes gouvernementaux (à l'instar du
fameux Magic Lantern dont le FBI avait demandé à certains éditeurs
d'anti-virus de ne pas le détecter. Mais ca c'est une autre histoire :-)
M'enfin tout cela rassure le quidam, la vérité est ailleurs :-)
> Quant à l'adware changeant mais récurrent de Webmediaplayer ça
> ressemblerait plutôt à une guéguerre entre l'éditeur qui essaye de caser
> son adware (après tout y'a bien des gens qui aiment la pub, voire TF1)
> et les éditeurs qui le détectent quand ils estiment que certains
> critères ne sont pas respectés.
Navipromo n'a jamais été considéré comme un "ami"
Tout ce qu'il peut balancer comme pub par la suite, c'est lié aux
réseaux maffieux. Pas étonnant du reste que les bases arrières en Russie
diffusent les programmes.
Du reste Web Media Player, n'est que l'un de ces faux programmes mis en
avant pour attirer les distraits, naifs, et ceux qui cliquent sur tout
ce qui bougent. Il y en a d'autres.
Roland Garcia
> Pour ma part Spysweeper est l'un de ceux qui ne fait pas trop dans la
> détection de faux positifs ou de fausses alertes type MRU, au contraire
> d'un Spyware Doctor (PC TOOLS)...
Tiens, c'est celui-là que j'ai essayé ;)
--
Roland Garcia
Roland Garcia
> Pour ma part Spysweeper est l'un de ceux qui ne fait pas trop dans la
> détection de faux positifs ou de fausses alertes type MRU, au contraire
> d'un *Spyware Doctor*....
DePassage
Tout s'explique :-)
En plus pour attirer le chaland, mais je ne sais ce qu'il en est
actuellement, il couinait pour des choses insignifiantes sans donner de
détails, et pour s'en débarrasser il fallait bien sûr l'acheter. La
version disponible n'effectuant qu'un scan
Par contre, avantage, c'est que sa désactivation était réelle (aucun
résident), pas comme ses confrères dont (et toujours) spysweeper, où la
mise à jour du moteur ne permet plus maintenant la désactivation du
service lancé (c'est une sécurité mais bon...)
th
> Quant à l'adware changeant mais récurrent de Webmediaplayer ça
> ressemblerait plutôt à une guéguerre entre l'éditeur qui essaye de caser
> son adware (après tout y'a bien des gens qui aiment la pub, voire TF1)
> et les éditeurs qui le détectent quand ils estiment que certains
> critères ne sont pas respectés.
Tout ceci n'est pas si facile à comprendre:
Dans cette discussion, le machin NaviPromo semble considéré tantôt comme
simple adware utilisant des techniques de rootkit pour se cacher, tantôt
comme un rootkit compromettant suffisamment un ordi pour nécessiter une
réinstallation complète du système.
La première hypothèse, qui justifierait une absence de détection par la
plupart des antivirus, suppose que l'on sait assez précisément ce que
fait navipromo : il enverrais des pub, sans autre action néfaste, et
n'est qu'un peu plus difficile à virer qu'un adware plus classique. Dans
ce cas, une réinstallation du système semble superflu.
Pour la seconde hypothèse, le système est considéré comme compromis par
un rootkit. Dans ce cas, me semble t-il, les antivirus n'ont pas
d'excuse à ne pas détecter. Et la réinstallation du système semble utile
voir nécessaire.
Alors quid ?
DePassage
> Pour la seconde hypothèse, le système est considéré comme compromis par
> un rootkit. Dans ce cas, me semble t-il, les antivirus n'ont pas
> d'excuse à ne pas détecter. Et la réinstallation du système semble utile
> voir nécessaire.
navipromo est relativement facile à nettoyer en passant en mode sans
échec, mais jusqu'à quand ? (mais il y a des outils spécifiques)
Sinon il y a plusieurs types de rootkit, et des logiciels comme SEEM,
GMER etc permettent d'afficher les détournements de la SSDT (bien qu'un
rootkit évolué arrive à ne pas modifier la SSDT ou carrément la patche)
Mais là aussi ca dépasse la compréhension de l'utilisateur lambda, et
c'est là qu'interviennent les éditeurs d'anti-virus, car c'est sur eux
que comptent les gens.
Du reste je trouve inadmissible que la plupart des produits ne soient
pas fonctionnels en mode sans échec ou ne permettent pas un démarrage de
l'ordi sur un CD pour décontamination
Le rootkit navipromo/magic control est relativement basique et est quand
meme connu depuis presque 2 ans.
Kurieux
> th a écrit :
>
>
> navipromo est relativement facile à nettoyer en passant en mode sans
> échec, mais jusqu'à quand ? (mais il y a des outils spécifiques)
[Mode troll on] donc inutile de formatter ?!!!!!!!!!!!! [Mode troll off]
>
> Sinon il y a plusieurs types de rootkit, et des logiciels comme SEEM,
> GMER etc permettent d'afficher les détournements de la SSDT (bien qu'un
> rootkit évolué arrive à ne pas modifier la SSDT ou carrément la patche)
> Mais là aussi ca dépasse la compréhension de l'utilisateur lambda, et
> c'est là qu'interviennent les éditeurs d'anti-virus, car c'est sur eux
> que comptent les gens.
> Du reste je trouve inadmissible que la plupart des produits ne soient
> pas fonctionnels en mode sans échec ou ne permettent pas un démarrage de
> l'ordi sur un CD pour décontamination
BitDefender propose gratuitement un LiveCD basée sur Knoppix :
LinuxDefender_Live! téléchargeable là :
ftp://ftp.iasi.roedu.net/mirrors/ftp.bitdefender.com/pub/Live/
> Le rootkit navipromo/magic control est relativement basique et est quand
> meme connu depuis presque 2 ans.
Bonne journée
DePassage
> DePassage a écrit :
>> th a écrit :
>>
>> navipromo est relativement facile à nettoyer en passant en mode sans
>> échec, mais jusqu'à quand ? (mais il y a des outils spécifiques)
>
> [Mode troll on] donc inutile de formatter ?!!!!!!!!!!!! [Mode troll off]
Pour cet ex précis il est inutile de formater.
>> Du reste je trouve inadmissible que la plupart des produits ne soient
>> pas fonctionnels en mode sans échec ou ne permettent pas un démarrage
>> de l'ordi sur un CD pour décontamination
> BitDefender propose gratuitement un LiveCD basée sur Knoppix :
> LinuxDefender_Live! téléchargeable là :
> ftp://ftp.iasi.roedu.net/mirrors/ftp.bitdefender.com/pub/Live/
Tsss tsss :-)
Autant citer la source en premier qui permet d'aller sur le site de son
choix, ou de télécharger soit en http, FTP, ou Torrent :-)
http://www.bitdefender.com/site/LinuxDefender-Mirrors.html
Sinon je doute que la plupart des gens connaissent le lien que tu
préconises et peuvent s'en méfier (reflexe de base pour le téléchargement)
Az Sam
471ee551$0$21142$7a62...@news.club-
>
> C'est vrai que tu n'oseras jamais remplacer ton lien de test EICAR
> par http://www.web-mediaplayer.com/ :-)
pourquoi, je ne vois pas le pb, chez moi la page ne s'affiche meme pas, le
site "a un pb" me dit IE .
Je dois pas avoir le meme hosts. :-)
--
Cordialement,
Az Sam.
DePassage
Je pense que tu as du faire une mise à jour récente soit de
spywareblaster, soit de Spybot, ou tout autre programme de gestion host
avec listes (comme celle du B.I.S.S. par ex)
J'ai le site egalement dans mon host (ce qui ne m'arrange pas :-)
Ludovic
>
>Tu n'as toujours pas compris.
>
Non, c'est toi qui ne comprend pas que je donne ma méthode
pour être tranquille... Après les gens adoptent ou n'adopte pas...
Ce que j'indique, c'est quelque soit l'antivirus, si tu ne fais confiance
qu'à lui, tu peux finir par te faire avoir. Alors si je propose d'opter pour
un antivirus gratuit, c'est juste pour éviter de perdre de l'argent inutilement.
Ma page ne se résume bien évidemment pas à cela...
D'ailleurs, un article parmi d'autres :
http://www.lesnouvelles.net/articles/chiffres/899-panda-etude-antivirus-infection.html
>
> Mais ca le jour où tu le comprendras...
>
C'est en effet ce que je pourrais dire en lisant tes propos...
Cordialement,
Ludovic.
http://inforadio.free.fr
Ludovic
>>
>>> Vas voir les nombreux posts sur fr.comp.securite.virus (ou une
>>> recharche web) à propos
>>> de machin détecte merdouille1&2 mais pas merdouille3 ou alienX alors que
>>> bidule détecte même alien5 mais pas les merdouilles.
>>
>> Toutes les désinfections ratées que j'ai pu lire sur ce forum
>> l'ont été suite à :
>> - non désactivation de la restauration de Windows ;
>> - non utilisation du mode sans échec de base.
>>
>> Je n'ai eu qu'une fois à reformater un PC infecté : Un collègue
>> avait eu un virus qui lui avait vérollé tous les .exe de son PC...
>>
>> Le reste du temps, un bon nettoyage et hop, c'est reparti.
>> Bref, formatage, bof...
>>
>> Cordialement,
>> Ludovic.
>
>Mais comment fais-tu ?
>
Je te laisse chercher la bonne rubrique...
Cordialement,
Ludovic
Roland Garcia
Il n'y a là aucun rootkit !!!!
C'est un machin genre mediaplayer qui crée le répertoire: C:\Program
Files\WebMediaPlayer contenant l'exécutable WebMediaPlayer.exe et celui
de désinstallation uninst.exe
Plus discutable, ce logiciel a tendance à verrouiller l'utilisateur
lambda:
http://www.web-mediaplayer.com/privacy.htm
http://www.pc-on-internet.com/uninstall.php
en installant à son insu et dans le répertoire caché (mais que si on le
veut bien):
C:\Documents and Settings\*****\Local Settings\Application
Data\wfoxfpxhqy.exe
lancé par la clé:
HKCU\..\Run: [wfoxfpxhqy] c:\documents and settings\roland\local
settings\application data\wfoxfpxhqy.exe wfoxfpxhqy
le processus est parfaitement visible dans le gestionnaire des tâches
Windows et peut se tuer normalement. Cet exécutable se connecte à:
inetnum: 87.242.90.128 - 87.242.90.159
netname: FAVORIT-MASTER
descr: Favorit
country: RU
admin-c: AZ1583-RIPE
tech-c: AZ1583-RIPE
notify: ***@masterhost.ru
mnt-by: MASTERHOST-MNT
status: ASSIGNED PA
changed: *******@masterhost.ru 20060227
source: RIPE
person: Alexey Zvinchuk
address: Favorit
address: 9, Ascheulov pereulok
address: 107045, Moscow, Russia
e-mail: ***********@mail.ru
phone: +7 921 344 42 89
notify: ***@masterhost.ru
nic-hdl: AZ1583-RIPE
changed: *******@masterhost.ru 20060227
source: RIPE
Le problème est que la désinstallation forcée uninst.exe laisse
wfoxfpxhqy.exe en place, mais on peut la terminer facilement en tuant le
processus puis en effaçant l'EXE et sa référence dans la BDR.
L'aspect peu transparent ci-dessus fait que les éditeurs d'antivirus le
mettent régulièrement dans leur base, ici KAV:
cheval de Troie Trojan-Dropper.Win32.Agent.cjm
webmediaplayer_setup.exe//PE_Patch.UPX//UPX
indiquant que le programme procède à l'insu de l'utilisateur (trojan)
à l'installation (dropper) d'un logiciel publicitaire (adware):
logiciel publicitaire not-a-virus:AdWare.Win32.NaviPromo.bv
webmediaplayer_setup.exe//PE_Patch.UPX//UPX//EXE-file//stream//data0006//PE_Patch.UPX//UPX
--
Roland Garcia
th
[...]
>> Alors quid ?
>
> Il n'y a là aucun rootkit !!!!
>
> C'est un machin genre mediaplayer qui crée le répertoire: C:\Program
> Files\WebMediaPlayer contenant l'exécutable WebMediaPlayer.exe et celui
> de désinstallation uninst.exe
>
> Plus discutable, ce logiciel a tendance à verrouiller l'utilisateur
> lambda:
> http://www.web-mediaplayer.com/privacy.htm
> http://www.pc-on-internet.com/uninstall.php
>
> en installant à son insu et dans le répertoire caché (mais que si on le
> veut bien):
> C:\Documents and Settings\*****\Local Settings\Application
> Data\wfoxfpxhqy.exe
J'ai eu en effet ce fichier suite à l'installation de sudoplanet
( www.sudoplanet.com/fullpage5/?grpid=59&tag_id=154 - ATTENTION MALWARE)
L'installation a été faite par un utilisateur connecté comme simple
utilisateur (donc pas de droit administrateur).
L'exécutable était invisible en allant dans le dossier correspondant
depuis ce même compte utilisateur.
Il devenait visible depuis le compte administrateur (manip faite
plusieurs fois sur l'un et l'autre compte parce que ça n'étonnait).
Les options "afficher les dossiers caché" et "afficher les fichiers
systèmes" sont pourtant activées pour les deux comptes !
J'en ai déduit que le machin était effectivement capable de se cacher
par des procédés qui ressemblent bien aux techniques de rootkit.
Je me suis dit aussi que c'était une bonne idée de ne pas utiliser le
compte admin quand ce n'est pas nécessaire.
Eric Razny
>> Je suis d'accord sur le fond, même si je n'ai jamais eu de retour sur ces
>> cas. J'ajoute donc volontier : reflasher le bios d'origine.
>
> Pas suffisant, car d'une façon ou d'une autre le programme de flashage
> est exécuté à partir du BIOS potentiellement compromis. Ce serait comme
> lancer une réinstallation à partir de l'OS compromis. En toute rigueur
> il faudrait donc remplacer la puce de mémoire Flash contenant le BIOS ou
> l'extraire et la reprogrammer avec un programmateur d'EPROM, à
> l'extérieur de la machine. Si elle est soudée, ça craint.
Sur les cartes mères que j'avais avec cette fonction il y avait un
cavalier pour revenir au BIOS d'origine (plus cher mais plus rassurant au
cas où tu merde au flashage).
> Il y a bien eu des cartes mère avec un cavalier qui autorisait ou
> empêchait physiquement l'effacement/écriture de la mémoire Flash du BIOS
> mais je n'en ai pas vues depuis un moment, je ne sais pas si ça existe
> encore.
Je ne sais pas, mais dans le cas des BIOS flashables actuels, j'imagine
qu'il y a un "flash-loader" non modifiable. A priori (si c'est fait
proprement ;) ) ce n'est pas le BIOS uploadé qui permet de reflasher mais
cette petite zone -ça doit aussi permettre de reflasher en cas de
merdouille en cours d'opétation, sans avoir besoin de l'ancienne solution
plus chère). Il me semble que c'est ça sur mon Qtek, j'espère qu'il y a
au moins l'équivalent sur les cartes mères.
Bon j'ai des trucs à vérifier la dessus moi!