Comment baiser ViGuard, premiere lecon.

124 views
Skip to first unread message

Guillermito

unread,
Jul 6, 2001, 4:22:04 AM7/6/01
to
La suite de mes aventures avec Viguard 9 Pro.

Profiter de l'*énorme* trou de securité suivant:

La base de données contenant la liste des programmes qui se lancent au
boot (par le registre, autoexec.bat, system.ini, etc...) est en ASCII
non crypté dans le fichier "c:\windows\vistart.ini". Les programmes
qui ont ete enlevés du boot par Viguard et/ou l'utilisateur sont, de
meme, dans le fichier c:\windows\viundo.ini. On peut manipuler ces
fichiers sans probleme, Viguard ne les surveille pas. Il suffit de les
effacer, et on peut alors lancer n'importe quel programme au boot
suivant.

Possibilités infinies. Quelques exemples, du plus simple au plus
complexe:

- effacer ces fichiers, et mettre un virus ou trojan qui n'est pas
detecté par Viguard dans le registre ou l'autoexec.bat, de facon a ce
qu'il soit lancé au prochain boot.

- effacer ces fichiers, puis enlever la clef dans le registre qui
lance le moniteur résident de Viguard (SdLoad32.exe) au boot. Au
prochain boot, on a alors un systeme absolument sans protection.
Méthode ultra-simple, qui ne demande aucune connaissance en
progammation, aucun test, et qui laisse le systeme completement
ouvert.

- pour les programmeurs qui ont envie de s'amuser: effacer ces
fichiers, puis renommer SDLoad32.exe, le remplacer par un loader qui
va lancer le moniteur résident de Viguard, et le patcher en mémoire.
Par exemple, dans l'unique routine de lecture de fichier (appel de
l'API windows ReadFile), il suffit de forcer SDLoad a ne lire qu'un
seul octet a chaque fois (il lit generalement le header d'un
executable d'un seul coup, puis des blocs de 4096 octets), en
remplacant un "push eax" par un "push 1". Ca marche tres bien pour le
scanner de Viguard (SDMain32.exe), que j'ai patché en memoire avec
SoftIce. Il ouvre tous les fichiers, scanne le systeme de maniere
apparemment normale, mais forcément ne détecte plus rien.

Je n'ai pas trop le temps, mais j'ai reperé d'autres failles de
securite grossieres, par exemple:

- les fichiers "sensibles" dont Viguard fait une copie par defaut
(wsock32.dll, explorer.exe, kernel32.dll) sont compressés, renommés
(0.bkx, 1.bkx, 2.bkx) puis stockés dans le sous-répertoire
"\ViRepair". Ils ne sont protegés d'aucune maniere. On peut les
effacer sans probleme. Le plus amusant/consternant étant ceci: si ces
fichiers ne sont plus présents, au prochain lancement de Viguard, ils
sont recréés sans meme un avertissement a l'utilisateur. Si ces
fichiers ont été infectés ou modifiés entre-temps, on se retrouve donc
avec des backups supposés "propres" qui ne le sont pas. Vérifié avec
une infection de wsock32.dll par le ver Happy99. Viguard "restaure" un
wsock32.dll manquant avec une version infectée.

- Les fichiers de "certification" des programmes, présents dans chaque
repertoire du disque dur, ont l'attribut "caché", mais c'est leur
seule protection. Ces fichiers contiennent sans doute, mais je n'ai
pas vraiment cherché a connaitre leur format, une somme de controle,
et des informations pouvant servir a restaurer un fichier en cas de
modification simple (appending infector sans doute - mais certainement
pas dans le cas d'un infecteur un brin complexe comme un cavity
infector, un virus hautement polymorphe ou un virus utilisant une
technique d'Entry Point Obscuring). Une attaque de base est tout
simplement de les effacer. Ils seront recréés automatiquement et
"certifieront" des programmes infectés. Attaque archi-classique contre
les verificateurs d'integrité, soulignée par V. Bontchev il y a des
années dans son analyse d'Invircible [1], dont Viguard est issu [2].

A bientot pour de nouvelles aventures.

--
Guillermito, L0rD-0f-W4r3Z

[1] http://www.claws-and-paws.com/virus/papers/invircib.shtml
"This is probably the easiest, silliest, and the most often used
attack against integrity checkers. It consists of simply locating
and deleting the database(s) where the anti-virus program stores the
checksums of the protected objects. Many integrity checkers that
suffer from a bad design will fail to notice anything unusual and
will simply re-create the database(s) of checksums - this time of
the already infected files." [V. Bontchev]

[2]
"Tegam represented us in France until terminated. Plagiarizing our
product was one of the reasons for terminating Tegam's
distributorship" [Zvi Netiv, alt.comp.virus, 16 nov. 1999]

Roland Garcia

unread,
Jul 6, 2001, 4:39:40 AM7/6/01
to
Guillermito a écrit :

> Une attaque de base est tout
> simplement de les effacer. Ils seront recréés automatiquement et
> "certifieront" des programmes infectés. Attaque archi-classique contre
> les verificateurs d'integrité, soulignée par V. Bontchev il y a des
> années dans son analyse d'Invircible [1], dont Viguard est issu [2].
>
> A bientot pour de nouvelles aventures.
>

> [2]
> "Tegam represented us in France until terminated. Plagiarizing our
> product was one of the reasons for terminating Tegam's
> distributorship" [Zvi Netiv, alt.comp.virus, 16 nov. 1999]

Je me souviens parfaitement de cette intervention de Zvi Netiv dans la
foulée de celle de Nick Fitzgerald.
Autre chose sans rapport, qu'est devenu le "nouveau virus" de Zombie dont
le source faisait 900 kb ?

Roland Garcia


Roland Garcia

unread,
Jul 6, 2001, 4:52:25 AM7/6/01
to
Guillermito a écrit :

> La suite de mes aventures avec Viguard 9 Pro.
>

> - Les fichiers de "certification" des programmes, présents dans chaque
> repertoire du disque dur, ont l'attribut "caché", mais c'est leur
> seule protection. Ces fichiers contiennent sans doute, mais je n'ai
> pas vraiment cherché a connaitre leur format, une somme de controle,
> et des informations pouvant servir a restaurer un fichier en cas de
> modification simple (appending infector sans doute - mais certainement
> pas dans le cas d'un infecteur un brin complexe comme un cavity
> infector, un virus hautement polymorphe ou un virus utilisant une
> technique d'Entry Point Obscuring).

Justement j'avais expliqué à Alain Godet ce problème de l'EPO, explication
qu'il considère comme étant du vent:

J'infecte avec MTX et juste avant que le contrôleur d'intégrité ne
désinfecte je constate que:

Changed files: 69
New files: 3

New value -
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run -
SystemBackup
Changed files:
C:\WINDOWS\SYSTEM\WSOCK32.DLL - size 44878 (19-07-2000 00:31:32)
Change Size - 3918 bytes
** CRC has changed
**** ALERT **** File has changed but date and time remain the same ****
Possible virus infection ****
** Size has changed
C:\WINDOWS\HWINFO.EXE - size 124028 (05-05-1999 22:22:00)
Change Size - 9340 bytes
** CRC has changed
**** ALERT **** File has changed but date and time remain the same ****
Possible virus infection ****
** Size has changed
C:\WINDOWS\MPLAYER.EXE - size 169074 (05-05-1999 22:22:00)
Change Size - 9330 bytes
** CRC has changed
**** ALERT **** File has changed but date and time remain the same ****
Possible virus infection ****
C:\WINDOWS\CLSPACK.EXE - size 66660 (05-05-1999 22:22:00)
Change Size - 9316 bytes
** CRC has changed
**** ALERT **** File has changed but date and time remain the same ****
Possible virus infection ****
New files:
C:\WINDOWS\IE_PACK.EXE - size 18483 (28-10-2000 19:30:18)
C:\WINDOWS\WIN32.DLL - size 18483 (28-10-2000 19:30:18)
C:\WINDOWS\MTX_.EXE - size 6144 (28-10-2000 19:30:18)

J'ai volontairement raccourci le log.
Il y a donc 68 fichiers augmentés de 9.3 Ko représentant le code du virus.

Wsock32.dll est bien infecté (c'est la routine utilisée par le ver)
On trouve trois nouveaux fichiers: IE_PACK.EXE (le ver), WIN32.DLL
et MTX_.EXE (La backdoor).

Je passe ensuite à la phase désinfection par Viguard et je vois:

Changed files: 69
New files: 3
Changed files:
C:\WINDOWS\SYSTEM\WSOCK32.DLL - size 44878 (19-07-2000 00:31:32)
Change Size - 3918 bytes
** CRC has changed
**** ALERT **** File has changed but date and time remain the same ****
Possible virus infection ****
** Size has changed
C:\WINDOWS\HWINFO.EXE - size 114688 (28-10-2000 19:45:40)
Change Size - 0 bytes
** CRC has changed
** Time and Date were changed
C:\WINDOWS\MPLAYER.EXE - size 159744 (28-10-2000 19:45:48)
Change Size - 0 bytes
** CRC has changed
** Time and Date were changed
C:\WINDOWS\CLSPACK.EXE - size 66660 (28-10-2000 19:45:48)
Change Size - 9316 bytes
** CRC has changed
** Size has changed
** Time and Date were changed
New files:
C:\WINDOWS\IE_PACK.EXE - size 18483 (28-10-2000 19:30:18)
C:\WINDOWS\WIN32.DLL - size 18483 (28-10-2000 19:30:18)
C:\WINDOWS\MTX_.EXE - size 6144 (28-10-2000 19:30:18)

Je constate donc que la "désinfection" n'a rien changé pour ce qui
concerne le ver et la backdoor.
Pour ce qui est des virus, un certain nombre n'ont même pas été
désinfectés alors qu'il dit que si :-(
Pour ceux qui le sont on constate que le CRC a changé mais le virus a
complètement disparu.
Si on analyse le code on s'aperçoit que le virus a bien été enlevé mais
l'instruction de jump non, ce qui explique le changement de CRC. Ces
fichiers ne sont plus réparables ni fonctionnels alors que ceux qui n'ont
pas été touchés le sont toujours par le scanner de signature.
Moralité il aurait mieux fait de ne rien toucher.

Roland Garcia

Roland Garcia

unread,
Jul 6, 2001, 6:15:47 AM7/6/01
to
Guillermito a écrit :

> La suite de mes aventures avec Viguard 9 Pro.
>
> Profiter de l'*énorme* trou de securité suivant:
>
> La base de données contenant la liste des programmes qui se lancent au
> boot (par le registre, autoexec.bat, system.ini, etc...) est en ASCII
> non crypté dans le fichier "c:\windows\vistart.ini". Les programmes
> qui ont ete enlevés du boot par Viguard et/ou l'utilisateur sont, de
> meme, dans le fichier c:\windows\viundo.ini. On peut manipuler ces
> fichiers sans probleme, Viguard ne les surveille pas. Il suffit de les
> effacer, et on peut alors lancer n'importe quel programme au boot
> suivant.

etc etc...........

A ce stade de "non protection" on n'a même plus envie de rire surtout pour
un produit dit de "sécurité.
Les responsables informatiques qui utilisent ce produit feraient mieux
d'exiger en urgence de sérieux rectificatifs.

Roland Garcia

Alain Godet

unread,
Jul 6, 2001, 7:57:26 AM7/6/01
to
Une seule réponse à Roland pour l'instant, qui balaie tout ce que tu
peux dire dans ce mail :
tu as fait tes tests sur Viguard 8, pas 9. Donc, non significatif. Comme
la plupart de tes interventions sur Viguard qui ne sont basées sur aucun
test, contrairement à Guillermito.

Par contre, l'intervention de ce dernier est plus intéressante. Je vais
me renseigner de mon côté.
N'empêche que dans l'absolu, à ce jour, un virus qui s'attaquerait à
Viguard n'existe pas. Même si cette faille de sécurité, si c'en est une,
mérite qu'on y prêt attention.
Concernant les autres interventions depuis hier 18h00, je m'en occuperai
plus tard...

Roland Garcia a écrit :

Roland Garcia

unread,
Jul 6, 2001, 8:23:16 AM7/6/01
to
Alain Godet a écrit :

> Une seule réponse à Roland pour l'instant, qui balaie tout ce que tu
> peux dire dans ce mail :
> tu as fait tes tests sur Viguard 8, pas 9. Donc, non significatif. Comme
> la plupart de tes interventions sur Viguard qui ne sont basées sur aucun
> test, contrairement à Guillermito.

A votre place je me cacherais.

> Par contre, l'intervention de ce dernier est plus intéressante. Je vais
> me renseigner de mon côté.

Faites la vérif vous même puisque vous avez la version.

> N'empêche que dans l'absolu, à ce jour, un virus qui s'attaquerait à
> Viguard n'existe pas.

Ca n'intéresse aucun codeur de virus. Par contre ça pourrait intéresser un
pirate dans un cas bien précis.
Je n'ose imaginer le scénario :-)


> Même si cette faille de sécurité, si c'en est une,
> mérite qu'on y prêt attention.
> Concernant les autres interventions depuis hier 18h00, je m'en occuperai
> plus tard...

Si c'est pour dire toujours les mêmes choses ce n'est pas la peine.

Roland Garcia

Baptiste Soto

unread,
Jul 6, 2001, 9:53:58 AM7/6/01
to
"Alain Godet" <alg...@wanadoo.fr> a écrit dans le message news:

> Concernant les autres interventions depuis hier 18h00, je m'en
occuperai
> plus tard...

Seriez-vous donc ici pour "défendre" Viguard... surprenante objectivité
de la presse !


Frederic Bonroy

unread,
Jul 6, 2001, 11:54:58 AM7/6/01
to
Alain Godet wrote:

> Concernant les autres interventions depuis hier 18h00, je m'en occuperai
> plus tard...

Au fait, cette routine utilisant l'interruption 13h, qu'est-ce qu'il
en dit, le Viguard?


Frederic Bonroy

unread,
Jul 6, 2001, 11:59:06 AM7/6/01
to
Roland Garcia wrote:

> A ce stade de "non protection" on n'a même plus envie de rire surtout pour
> un produit dit de "sécurité.
> Les responsables informatiques qui utilisent ce produit feraient mieux
> d'exiger en urgence de sérieux rectificatifs.

Oui, c'est marrant - si vraiment ce type d'antivirus était LA solution
contre tous les problèmes de virus, alors tout le monde l'utiliserait
depuis longtemps.
Or ces logiciels ne sont pas très répandus par rapport aux antivirus
ordinaires, et pour cause...

Alain Godet

unread,
Jul 6, 2001, 2:25:04 PM7/6/01
to
Je ne suis pas là pour défendre Viguard. L'as-tu lu dans ce post ? Non.
J'ai dis que j'allais me renseigner pour comprendre cette faille (même
pas pour la nier, si elle pose un véritable problème de sécurité, ce qui
n'est pas impossible).
En fait, je suis là pour empêcher Roland de raconter n'importe quoi sur
un produit qu'il ne connait pas puisqu'il ne l'a jamais eu entre les
mains. Je me situe plus près de Guillermito que de Roland. Le premier se
donne les moyens de son expertise. Pas le second qui, qui plus est,
tente par des moyens indignes (intimidation auprès de mon employeur
entre autres, et ça, ça ne tiens pas de la conversation privée) de faire
taire toute tentative d'objection à ses propos non vérifiés. C'est tout.
A ce sujet, je tiens à la disposition de ceux qui veulent les voir ses
mails à mes supérieurs...
Quand à Roland, une fois de plus, il élude le fond de mon intervention :
il n'a jamais testé Viguard 9 et se permet de le juger sans le
connaître. Aucun expert digne de ce nom ne se permettrait une telle
attitude. Il n'est donc pas et ne sera jamais un expert des virus et
antivirus, ce qu'il veut faire croire ici. Il est tout juste un amateur
éclairé d'AVP.
Que Roland se cantonne aux domaines qu'il connait (AVP, donc), et tout
ira pour le mieux...

Roland Garcia

unread,
Jul 6, 2001, 2:54:40 PM7/6/01
to
Alain Godet a écrit :

> Je ne suis pas là pour défendre Viguard. L'as-tu lu dans ce post ? Non.
> J'ai dis que j'allais me renseigner pour comprendre cette faille (même
> pas pour la nier, si elle pose un véritable problème de sécurité, ce qui
> n'est pas impossible).
> En fait, je suis là pour empêcher Roland de raconter n'importe quoi sur
> un produit qu'il ne connait pas puisqu'il ne l'a jamais eu entre les
> mains.

Attendez, Guillermito dit qu'il a infecté la version 9 avec Happy 99, vous
rigolez ou quoi?
Ma version date de octobre 2000 et que je sache j'avais désaoûlé du
réveillon de 99!


> Je me situe plus près de Guillermito que de Roland. Le premier se
> donne les moyens de son expertise.

Justement je m'en réfère aux expertises de Guillermito qui m'ont l'air
sensées.

> Pas le second qui, qui plus est,
> tente par des moyens indignes (intimidation auprès de mon employeur
> entre autres, et ça, ça ne tiens pas de la conversation privée) de faire
> taire toute tentative d'objection à ses propos non vérifiés. C'est tout.
> A ce sujet, je tiens à la disposition de ceux qui veulent les voir ses
> mails à mes supérieurs...

Vous signez Distributique et de là bas portez atteinte à ma vie privée
etc....
C'est normal que je vienne me plaindre .

>
> Quand à Roland, une fois de plus, il élude le fond de mon intervention :
> il n'a jamais testé Viguard 9 et se permet de le juger sans le
> connaître. Aucun expert digne de ce nom ne se permettrait une telle
> attitude. Il n'est donc pas et ne sera jamais un expert des virus et
> antivirus, ce qu'il veut faire croire ici. Il est tout juste un amateur
> éclairé d'AVP.
> Que Roland se cantonne aux domaines qu'il connait (AVP, donc), et tout
> ira pour le mieux...

Tout à fait d'accord, pour Viguard l'expert c'est Guillermito.

Roland Garcia


Roland Garcia

unread,
Jul 6, 2001, 4:49:04 PM7/6/01
to
Alain Godet a écrit :

> En fait, je suis là pour empêcher Roland de raconter n'importe quoi sur
> un produit qu'il ne connait pas puisqu'il ne l'a jamais eu entre les
> mains. Je me situe plus près de Guillermito que de Roland.

Je ne vois pas ce que Guillermito pourrait dire de différent de ce que je
peux dire,
mais puisque vous avez des atomes crochus avec lui.........c'est peut-être
plus simple.

Roland Garcia

Guillermito

unread,
Jul 6, 2001, 10:16:58 PM7/6/01
to
guill...@pipo.com (moi-meme, donc) wrotait ce matin:

> - Les fichiers de "certification" des programmes, présents dans chaque
> repertoire du disque dur, ont l'attribut "caché", mais c'est leur
> seule protection. Ces fichiers contiennent sans doute, mais je n'ai
> pas vraiment cherché a connaitre leur format, une somme de controle,
> et des informations pouvant servir a restaurer un fichier en cas de
> modification simple (appending infector sans doute - mais certainement
> pas dans le cas d'un infecteur un brin complexe comme un cavity
> infector, un virus hautement polymorphe ou un virus utilisant une
> technique d'Entry Point Obscuring).

[rapidement et de memoire, mon portable est a la maison]

J'avais deviné a peu pres correctement. J'ai décrypté ces fichiers qui
s'appellent par défaut "certify.bvd". Ils sont cryptés par XOR avec
une clef fixe de 35 octets, qui se répete sur toute la longueur du
fichier. Je coderai sans doute un petit programme pour les décrypter
facilement, si ca intéresse les gens. Leur structure est relativement
simple. Globalement, je sais maintenant ce que Viguard stocke comme
information sur chaque programme pour aider a la restauration (pour
les éxecutables PE, les seuls que j'ai testé). Il y a encore un ou
deux champs dans ce fichier que je n'ai pas eu le temps d'analyser
mais ils contiennent:

- le nom long Win95, le nom court DOS, la taille du programme et autre
trucs de base. Je n'ai pas détecté de date / time, ni d'attributs du
fichier (ie je change ca sur mon fichier test, et le "certify.bvd" est
exactement le meme que le controle).

- le header PE en *entier* (file header, optional header, sections
headers), qui commence donc avec "PE", jusqu'a la fin du dernier
header de section. Ce qui explique que leurs "certify.dvd" sont longs
et pleins de zéros. Ca pourrait se compresser facilement, d'autant
qu'ils ont une fonction de compression dans une de leurs dll.

- quelque chose qui ressemble de loin a une somme de controle
soustractive sur un double word. Je m'explique: si on remplace par
exemple un "push 5" (opcode 6A05) par "push 6" (opcode 6A06), cette
somme de controle diminue d'un bit. Si on remplace par "push 7", ca
diminue de 2 bits. Il faut que j'analyse l'algorithme exact qui sert a
calculer ca, mais a vue de nez, ca ressemble a du "on prend tous les
octets du programme et on les soustrait les uns apres les autres".
Vraiment amateur. En terme de détection de changement dans un
programme, c'est le niveau zéro. Il faudra qu'ils se documentent sur
les algorithmes de CRC, tres rapides, voire meme de hash
cryptographique, beaucoup plus lents (pour ceux qui ne connaissent
pas, si on change un seul bit dans un programme, le CRC ou le hash du
programme modifié est *completement* different). Avec la protection de
Viguard, il est trivial, si l'on change quelque chose dans un
programme, de "compenser" de maniere a ce que leur somme de controle
ne change pas. Pour un bete CRC, c'est tres complexe (voir Hybris).
Curieusement, Invircible faisait la meme erreur, sauf que leur somme
de controle etait additive [1]

- les 18 premiers octets de la section de code executable. Roland et
moi avions donc raison. Il suffit qu'un virus modifie un peu plus que
les 18 premiers octets du code (ou modifie ailleurs) pour que, a
priori, Viguard ne soit pas capable de restaurer l'executable. A vue
de nez, conserver la taille du fichier, le PE header, et les 18
premiers octets, est une stratégie de base qui ne permet que de
réparer les dégats commis par des virus tres simples, appending
infectors, de plus en plus rares sous Windows. Ce que Roland a
apparemment montré avec MTX.

Voila voila. Encore pas mal de choses a tester et analyser, mais je
dirais que pour le moment, Viguard ressemble a du travail d'amateur.
Pas du tout relié a la sécurité du produit, je peux aussi leur
expliquer comment faire pour afficher des fenetres irrégulieres sous
windows, sans que la fenetre rectangulaire apparaisse en premier, ce
qui est affreux (l'esthétique, c'est important, merde!). Le .wav qui
annonce, d'une douce voix féminine, a chaque fois qu'on charge le
moniteur résident "Votre ordinateur est protégé contre les virus",
c'est un peu ridicule. Je vais le changer pour quelque chose de plus
marrant.

Ce sera tout pour aujourd'hui. Je me casse a New-York pour voir Manu
Chao en concert a Central Park demain, alors je vous laisse vous
étriper a propos de Viguard :)

--
Guillermito.


[1] http://www.claws-and-paws.com/virus/papers/invircib.shtml
"That is, the words from offset 0x20 to 0x1020 of the file are
simply added together. First of all, this checksum algorithm is
astonishingly insecure from the cryptographic point of view. It
would be trivial for a virus to infect the file without modifying
its checksum. [...] Second, an "add-them-together" checksum is
much less likely to detect random corruptions than, say, a CRC."
(Vesselin Bontchev encore).

Guillermito

unread,
Jul 6, 2001, 10:36:37 PM7/6/01
to
Roland Garcia :

> Autre chose sans rapport, qu'est devenu le "nouveau virus" de Zombie dont
> le source faisait 900 kb ?

Je l'ai quelque part, avec sa source. C'est le "uber-virus",
ultra-complexe, un genre de Zhengxi puissance 10. Meme avec la source,
il est quasiment impossible a analyser (pour moi), surtout avec les
commentaires en russe :)

Je ne sais pas s'il l'a envoyé aux anti-virus, ou s'il l'a laché dans
la nature. Z0mbie est une machine a coder, genre Vecna. Son dernier
programme est un ... IRC zombie, pour lancer des attaques DDOS par
exemple. Il s'amuse aussi avec les anti-virus russes, DrWeb et AVP.

La derniere fois que j'ai discuté avec lui, il était un brin fébrile a
propos de la police russe, qui apparemment aimerait bien lui mettre la
main dessus.

--
Guillermito.

Guillermito

unread,
Jul 6, 2001, 11:02:47 PM7/6/01
to
Alain Godet :

> N'empêche que dans l'absolu, à ce jour, un virus qui s'attaquerait à
> Viguard n'existe pas.

Viguard, en dehors de la France, n'est pas tres utilisé. De plus, les
codeurs de virus francais ne sont pas tres nombreux, et de toute
maniere ils n'utilisent pas Viguard.

Conceptuellement, écrire un virus qui cible directement un seul
anti-virus est une tache facile, a la portée de tout le monde. Ca a
déja été fait pour des anti-virus beaucoup plus complexes, comme AVP,
F-Prot, TBAV, NOD32, etc... La difficulté étant d'écrire un virus qui
s'attaque a plusieurs anti-virus.

Dans mon post précédent, j'ai exposé une stratégie ultra-simple
(effacer deux fichier, puis enlever une clef du registre) pour
éliminer Viguard d'un ordinateur au prochain boot. C'est tellement
trivial, et faisable dans n'importe quel langage ou script, que je ne
perdrai les pas cinq minutes nécessaires a programmer ca en
assembleur.

A ce propos, j'ai envoye un email au developpeur de Viguard pour lui
dire de jeter un oeil sur fr.comp.securite.virus. En espérant qu'ils
renforcent un peu la sécurité de leur produit pour les prochaines
versions.

Mais, vous savez, un oeil un peu exercé et habitué au discours
marketing - a mille lieues de la réalité - dans le domaine de la
sécurité informatique, meme sans tester le produit, peut souvent
corréler (négativement, cela va de soit) la qualité d'un produit aux
affirmations extraordinaires utilisées pour le vendre. Il suffit de
jeter un oeil sur le site web de Tegam, par exemple (mais ce ne sont
pas les seuls), pour partir avec un a priori tres négatif sur leur
produit, qui peut se tester techniquement par la suite. Pour rire, je
dirais meme que la qualite d'un produit est souvent inversement
proportionnelle au nombre de points d'exclamation sur un site web. Le
site de Tegam en contient des dizaines.

Un ou deux exemples tires de leur site web:

"A l'installation ViGUARD vérifie et nettoie les éléments malveillants
du disque dur."

C'est faux.

"ViGUARD+Net n'a pas besoin de connaître chaque virus spécifiquement
pour le détecter et l'arrêter. Si on sait reconnaître ce code, on
détecte tous les virus !"

C'est faux.

"Le seul à arrêter tous les virus sans mises à jour de signatures !"

C'est faux.

etc...

Ce qui me fait un peu rire jaune, c'est qu'un journal comme le Virus
Informatique est censé, justement, se moquer de ce genre
d'affirmations, pour d'autres produits, dire la vérité sans se baser
sur les communiqués de presse des marketroides. Et, avec votre
article, ils vont défendre Viguard.

Enfin. Ca va pas m'empecher de dormir.

--
Guillermito.

Guillermito

unread,
Jul 6, 2001, 11:08:06 PM7/6/01
to
Roland Garcia :

> Attendez, Guillermito dit qu'il a infecté la version 9 avec Happy 99, vous
> rigolez ou quoi?

Pour etre précis, Viguard a détecté l'ajout de la clef dans le
registre quand wsock32.dll était bloqué, au moment d'éteindre
l'ordinateur. C'est ca qui m'a poussé a chercher ou il cachait cette
information (les programmes qui se lancent au boot).

Une chose est sure, c'est que Viguard fonctionne tres bien et ne
detecte rien avec Happy99 installé.

--
Guillermito.

chrestia

unread,
Jul 7, 2001, 12:03:38 AM7/7/01
to
C'est Viguard qui va baiser vos windows avant, ne parler pas sans connaitre
Vous voulez Viguard??? www.fullsoft.org
et pour répondre aux poltrons des posts en dessous sachez que Viguard ne
bronche pas devant Bo2k et NetBus
expérience,expérience...
Now à quand 1 petit concours d'intrusion entre amis Hein Mister
Godet, ou vous comprendrez que le + important est vous mème personnelement
FIRST et un firewall,
et autres scan , sniff, non pas des produits commerciaux(pléonasme)
toujours à la traine et ne sachant + quoi inventer pour attirer le
gogo.
D'ou la dif entre hackers et crackers, moi aussi à 15 ans j'étais 1 vandale
now je préfere le silence et la subtilité.
"Guillermito" <guill...@pipo.com> a écrit dans le message news:
1ed8586c.01070...@posting.google.com...

Roland Garcia

unread,
Jul 7, 2001, 3:15:27 AM7/7/01
to
Guillermito a écrit :

> Roland Garcia :
>
> > Autre chose sans rapport, qu'est devenu le "nouveau virus" de Zombie dont
> > le source faisait 900 kb ?
>
> Je l'ai quelque part, avec sa source. C'est le "uber-virus",
> ultra-complexe, un genre de Zhengxi puissance 10. Meme avec la source,
> il est quasiment impossible a analyser (pour moi), surtout avec les
> commentaires en russe :)
>
> Je ne sais pas s'il l'a envoyé aux anti-virus, ou s'il l'a laché dans
> la nature. Z0mbie est une machine a coder, genre Vecna. Son dernier
> programme est un ... IRC zombie, pour lancer des attaques DDOS par
> exemple. Il s'amuse aussi avec les anti-virus russes, DrWeb et AVP.
>

Je l'avais expliqué ici, on peut fabriquer des leurres détectés par AVP et DrWeb
comme étant des virus.

> La derniere fois que j'ai discuté avec lui, il était un brin fébrile a
> propos de la police russe, qui apparemment aimerait bien lui mettre la
> main dessus.

Pas possible :-)

Roland Garcia


Frederic Bonroy

unread,
Jul 7, 2001, 6:54:13 AM7/7/01
to
Guillermito wrote:

> La suite de mes aventures avec Viguard 9 Pro.
> [...]

J'ai été capable de lancer un petit virus .com à moi très simple sans
que Viguard ne dise un mot. Pourtant Viguard est censé contrôler ces
fichiers aussi?

D'ailleurs ce virus est crypté et change de clé à chaque fois qu'il
est executé, ce qui modifie donc les fichiers infectés. Mais ça
n'empêche pas Viguard de le recertifier à chaque fois que je lui
demande de vérifier ce répertoire.

Bien sûr il se peut que je me suis simplement mal servi du logiciel,
mais si c'est le cas, ça ne fait pas remonter Viguard dans mon estime
parce qu'il en suivrait qu'il ne possède pas d'interface intuitive. ;-)

Eric Chapuzot

unread,
Jul 7, 2001, 10:05:55 PM7/7/01
to
je comprends pourquoi maintenant tu as pris mes leurres à virus pour des
leurres à anti-virus... chez moi en tout dernier recours, j'ai un ordinateur
où je suis certain qu'un virus ne s'y trouve pas pour le moment, c'est un
amstrad cpc252, il est éteint, il marche sur disquette, y a pas de bios à
flasher que je sache et pas de disque dur... l'ennui, c'est que depuis le
temps que je ne m'en sers plus, rien ne me garanti plus que je ne tombe pas
sur une disquette vérolée pour le démarage... mais tant que ca démarre ces
bestiaux, c'est le bonheur... ensuite un ptit dos et un tit turbo-pascal et
y'en a encore pour des heures de satisfaction garanties... et sincere, 80%
du boulot est pareil
"Roland Garcia" <roland...@worldnet.fr> a écrit dans le message news:
3B46B70F...@worldnet.fr...

Roland Garcia

unread,
Jul 8, 2001, 4:21:24 AM7/8/01
to
Eric Chapuzot a écrit :

> je comprends pourquoi maintenant tu as pris mes leurres à virus pour des
> leurres à anti-virus...

Subseven comme leurre à virus!!!!!
En tout cas ce ne sera pas un leurre pour les gamins de douze ans qui viendront
visiter votre PC.
On voit de tout, certains s'installent même des virus :-(

Roland Garcia

Eric Chapuzot

unread,
Jul 8, 2001, 6:05:41 AM7/8/01
to
pour les gif, je crois que je n'aurais aucune peine à expliquer qu'une fille
nue avec les lolos à l'air n'est pas spécialement une aide au travail (ou un
chippendale pour ces demoiselles) enfin pour moi ca devient de @ du joindre
de outlook qui commence à etre hypnotique et me faire baver...

Quant à un antivirus qui pour être seulement à moitié efficace devrait
mettre deux jours pour faire le tour de tous les disques durs avant de
commencer la journée, c'est pas la peine non plus, à fortiori deux ou trois

Pi, t'as raison de le jouer big mélange entre les leurres, les nouveautés,
les noms qui correspondent pas aux références... ca aide

"Roland Garcia" <roland...@worldnet.fr> a écrit dans le message news:

3B481804...@worldnet.fr...

spam --@hotmail.com christian

unread,
Jul 8, 2001, 2:58:44 PM7/8/01
to

> pour les gif, je crois que je n'aurais aucune >peine à expliquer qu'une
fille
> nue avec les lolos à l'air n'est pas >spécialement une aide au travail (ou
un
> chippendale pour ces demoiselles) enfin >pour moi ca devient de @ du
joindre
> de outlook qui commence à etre >hypnotique et me faire baver...
>
> Quant à un antivirus qui pour être >seulement à moitié efficace devrait
> mettre deux jours pour faire le tour de tous >les disques durs avant de
> commencer la journée, c'est pas la peine >non plus, à fortiori deux ou
trois
>
> Pi, t'as raison de le jouer big mélange >entre les leurres, les
nouveautés,
> les noms qui correspondent pas aux >références... ca aide


Tu fumes quoi ?
ca a l'air d'être de la bonne...

christian


Olivier Aichelbaum

unread,
Jul 8, 2001, 5:32:59 PM7/8/01
to
> Ce qui me fait un peu rire jaune, c'est qu'un journal comme le Virus
> Informatique est censé, justement, se moquer de ce genre
> d'affirmations, pour d'autres produits, dire la vérité sans se baser
> sur les communiqués de presse des marketroides. Et, avec votre
> article, ils vont défendre Viguard.

sans rentrer dans la polemique, comment peux tu te prononcer
sur un article qui n'a pas ete encore publie ? merci de nous
laisser deja le temps de terminer l'enquete et de blinder les
infos...
a+
--
[ACBM] Olivier Aichelbaum Pirates Mag' / Pocket
14/30, rue de Mantes Le Virus Informatique
F-92 700 Colombes Les Puces Informatiques
Tel (Fax) : -1 47 81 04 45 (03 72) http://www.acbm.com

Olivier Aichelbaum

unread,
Jul 8, 2001, 6:46:25 PM7/8/01
to

une question indispensable concernant le protocole :
quelle est la version de Viguard utilisee pour ce test ?
la beta des betatesteurs ou la version du commerce destinee
aux clients ? (on peut savoir en fonction de la date du soft)
merci !

Roland Garcia

unread,
Jul 8, 2001, 7:06:27 PM7/8/01
to
Olivier Aichelbaum a écrit :

> > Ce qui me fait un peu rire jaune, c'est qu'un journal comme le Virus
> > Informatique est censé, justement, se moquer de ce genre
> > d'affirmations, pour d'autres produits, dire la vérité sans se baser
> > sur les communiqués de presse des marketroides. Et, avec votre
> > article, ils vont défendre Viguard.
>
> sans rentrer dans la polemique, comment peux tu te prononcer
> sur un article qui n'a pas ete encore publie ? merci de nous
> laisser deja le temps de terminer l'enquete et de blinder les
> infos...

Le problème pour vous arrivé à ce stade va être de trouver quelqu'un de
suffisamment compétent pour dejà comprendre ce que dit ou va dire
Guillermito et éventuellement prendre la suite car on n'en est qu'à un
stade technique encore élémentaire.
J'ai bien quelques noms à vous proposer, Benny, Bumblebee, Vecna, Zombie,
Duke, Black Jack, Griyo et j'en oublie.
Vous pouvez les faire intervenir, ils ont des emails comme tout le monde.
Ca va faire une super pub au "Pirate Informatique", un antivirus testé par
les grands codeurs de ce monde. Je vais être le premier à l'acheter car là
je suis sûr d'apprendre quelque chose.

Roland Garcia


Roland Garcia

unread,
Jul 8, 2001, 7:26:19 PM7/8/01
to
Roland Garcia a écrit :

> Vous pouvez les faire intervenir, ils ont des emails comme tout le monde.
> Ca va faire une super pub au "Pirate Informatique", un antivirus testé par
> les grands codeurs de ce monde. Je vais être le premier à l'acheter car là
> je suis sûr d'apprendre quelque chose.
>
> Roland Garcia

Remarquez que ça c'est vu, une colle sous forme de concours posée par Zombie
et à I.Danilov (Dr.Web) et à V.Bogdanov (AVP).

Competition results.

Nobody emulated IDIV correctly.

subroutines: total programmed correct incorrect
bogdanov 6 6 3 3
danilov 6 5 2 3

Bof :-)

Roland Garcia

Olivier Aichelbaum

unread,
Jul 8, 2001, 7:55:11 PM7/8/01
to
> Le problème pour vous arrivé à ce stade va être de trouver quelqu'un de
> suffisamment compétent pour dejà comprendre ce que dit ou va dire
> Guillermito et éventuellement prendre la suite car on n'en est qu'à un
> stade technique encore élémentaire.

on attend juste que Guillermito - ou un autre - nous parle de la
premiere
protection : celle contre la duplication des virus en amont (car tout
le concept reposerait sur elle)


> J'ai bien quelques noms à vous proposer, Benny, Bumblebee, Vecna,
> Zombie, Duke, Black Jack, Griyo et j'en oublie.
> Vous pouvez les faire intervenir, ils ont des emails comme tout le monde.

pas la peine de les deranger pour si peu : on vous a sous la main,
il suffit que vous nous disiez comment vous avez outrepasse la
protection de Viguard (9 *non* beta) et quel virus a pu se propager
sans alerte. Apres tout notre article parle de vous et votre decouverte
surtout (donner des details sera le seul moyen de vous eviter un proces
en diffamation lorsque Tegam le lira)


> Ca va faire une super pub au "Pirate Informatique", un antivirus testé par

"Pirates MAG", vous vouliez dire.

salutations,

Roland Garcia

unread,
Jul 9, 2001, 5:03:46 AM7/9/01
to
Olivier Aichelbaum a écrit :

> on attend juste que Guillermito - ou un autre - nous parle de la
> premiere
> protection : celle contre la duplication des virus en amont (car tout
> le concept reposerait sur elle)

On pourrait aussi débrancher le modem et la protection contre les vers serait
totale :-)
Et bien il suffit de faire une expérience en double aveugle, 10 vers courants
plus dix fichiers sains, exe Flash, écrans de veille etc, envoyés par courrier.
On prend un utilisateur lambda et on lui demande de discerner avec Viguard les
10 virus des 10 fichiers sains, on compare le résultat avec quelqu'un qui n' a
pas d'antivirus.
C'est la seule méthode scientifique reconnue, avec un scanner les résultats
seront plus que probants.

> pas la peine de les deranger pour si peu : on vous a sous la main,
> il suffit que vous nous disiez comment vous avez outrepasse la
> protection de Viguard (9 *non* beta) et quel virus a pu se propager
> sans alerte. Apres tout notre article parle de vous et votre decouverte
> surtout (donner des details sera le seul moyen de vous eviter un proces
> en diffamation lorsque Tegam le lira)

Je ne suis pas engagé par ce que vous écrivez, que je vous donne des détails ou
pas.

Roland Garcia


Roland Garcia

unread,
Jul 9, 2001, 5:21:35 AM7/9/01
to
Olivier Aichelbaum a écrit :

> on attend juste que Guillermito - ou un autre - nous parle de la
> premiere
> protection : celle contre la duplication des virus en amont (car tout
> le concept reposerait sur elle)

La meilleure réponse vient de Tegam lui même: http://www.tegam.fr/winnews.shtm
"Les virus, les chevaux de Troie et les vers sont des programmes, et ne sont
dangereux qu'à l'utilisation, et non pas lors du transfert comme l'article tente
de le faire croire". Il convient donc de ne pas regarder le vecteur d'infection,
messagerie, ftp, IRC, mais de cliquer sur le virus directement ce que tout
testeur fait dans les labos reconnus.

Roland Garcia

Olivier Aichelbaum

unread,
Jul 9, 2001, 5:29:13 AM7/9/01
to
> > on attend juste que Guillermito - ou un autre - nous parle de la
> > premiere
> > protection : celle contre la duplication des virus en amont (car tout
> > le concept reposerait sur elle)
>
> On pourrait aussi débrancher le modem et la protection contre les vers serait
> totale :-)

pour l'instant, j'ai bien pose une question sur la propagation des
*virus*
(et pas les vers car pour les vers c'est d'autres personnes de la redac
qui s'en chargent)


> > pas la peine de les deranger pour si peu : on vous a sous la main,
> > il suffit que vous nous disiez comment vous avez outrepasse la
> > protection de Viguard (9 *non* beta) et quel virus a pu se propager
> > sans alerte. Apres tout notre article parle de vous et votre decouverte
> > surtout (donner des details sera le seul moyen de vous eviter un proces
> > en diffamation lorsque Tegam le lira)
>
> Je ne suis pas engagé par ce que vous écrivez, que je vous donne des détails ou
> pas.

nous allons reprendre *vos* affirmations *publiques* a titre de
citations conformement a la loi (liens vers les archives de ce forum,
info parue sur Secusys, etc.). Le seul moyen d'eviter la diffamation
sera de prouver ces affirmations a la justice.
C'est la procedure legale habituelle en matiere de presse, je n'y suis
pour rien, ce n'est pas moi qui ait cree la loi...

cordialement,

Nicob

unread,
Jul 9, 2001, 5:24:10 AM7/9/01
to
On 6 Jul 2001 19:16:58 -0700, guill...@pipo.com (Guillermito)
wrote:

[snip]


>- quelque chose qui ressemble de loin a une somme de controle
>soustractive sur un double word.

[snip]


>En terme de détection de changement dans un
>programme, c'est le niveau zéro. Il faudra qu'ils se documentent sur
>les algorithmes de CRC, tres rapides, voire meme de hash
>cryptographique, beaucoup plus lents (pour ceux qui ne connaissent
>pas, si on change un seul bit dans un programme, le CRC ou le hash du
>programme modifié est *completement* different). Avec la protection de
>Viguard, il est trivial, si l'on change quelque chose dans un
>programme, de "compenser" de maniere a ce que leur somme de controle
>ne change pas. Pour un bete CRC, c'est tres complexe (voir Hybris).
>Curieusement, Invircible faisait la meme erreur, sauf que leur somme
>de controle etait additive [1]

[snip]

Humm ... même pour moi qui n'y connait rien en virus, ça fait
effectivement un peu léger comme contrôle d'intégrité :)

C'est dingue que des tonnes de softs (contrôleur d'intégrité spécial
virus, logiciels de type Tripwire, firewall perso ZA, systèmes de
package pour SUN) utilisent les techniques "normales" (à l'heure
actuelle) de création de fingerprint d'un fichier (hash
cryptographique) et qu'un des meilleurs AV au monde (ici, une pointe
d'ironie a été inséréee, si le décrypteur adapté n'est pas incorporé
au message reçu .... et ben tant pis pour vous) se contente d'une
cuisine maison vraiment affligeante par sa médiocrité.

Ils feraient mieux de ne pas chercher à réinventer la roue et
d'utiliser des routines connues et en plus déja codées !
Ils y gagneraient en sécurité et en temps de dévloppement.

Nicob
Note : Guillermito, tu devrais demander à Tegam des sous pour
"consulting en développement sécurisé", t'en penses quoi ?

Olivier Aichelbaum

unread,
Jul 9, 2001, 5:38:14 AM7/9/01
to
> > on attend juste que Guillermito - ou un autre - nous parle de la
> > premiere
> > protection : celle contre la duplication des virus en amont (car tout
> > le concept reposerait sur elle)
>
> La meilleure réponse vient de Tegam lui même: http://www.tegam.fr/winnews.shtm
> "Les virus, les chevaux de Troie et les vers sont des programmes, et ne sont
> dangereux qu'à l'utilisation, et non pas lors du transfert comme l'article tente

j'attends bien les commentaires de l'analyse technique de Viguard
par Guillermito (ou un autre specialiste de haut niveau) sur
l'utilisation - comprendre execution du code viral - et non
du transfert - simple copie de fichiers, sans execution.

Guillermito nous a propose une analyse technique de haut vol,
profitons en ! nous reviendrons vers le discours marketing
ensuite, forts de son etude...
a+

Roland Garcia

unread,
Jul 9, 2001, 6:06:42 AM7/9/01
to
Olivier Aichelbaum a écrit :

> pour l'instant, j'ai bien pose une question sur la propagation des
> *virus*
> (et pas les vers car pour les vers c'est d'autres personnes de la redac
> qui s'en chargent)

Pour les virus la réponse est évidente et ils n'ont pas attendu Internet pour
exister, disquettes, CD, serveurs etc....
Cas célèbres récents de diffusion de virus: Microsoft, HP. (Au cas où on dirait que
ça n'existe pas).
Magistr étant d'ailleurs un vrai virus peut se transmettre pas disquette ou CD et
doit être testé comme tel.

> nous allons reprendre *vos* affirmations *publiques* a titre de
> citations conformement a la loi (liens vers les archives de ce forum,
> info parue sur Secusys, etc.). Le seul moyen d'eviter la diffamation
> sera de prouver ces affirmations a la justice.

Dans ce cas vous n'ajoutez rien de nouveau à la soi-disante diffamation et là
j'attends toujours, la diffamation suppose mensonge.

Roland Garcia


Roland Garcia

unread,
Jul 9, 2001, 6:12:22 AM7/9/01
to
Olivier Aichelbaum a écrit :

> j'attends bien les commentaires de l'analyse technique de Viguard
> par Guillermito (ou un autre specialiste de haut niveau) sur
> l'utilisation - comprendre execution du code viral - et non
> du transfert - simple copie de fichiers, sans execution.

Là on commence à parler le même langage, vérifiez simplement la bonne version de
Guillermito, si vous voulez des virus qui infectent et des explications, on va vous en
fournir.

Roland Garcia


Olivier Aichelbaum

unread,
Jul 9, 2001, 6:05:40 AM7/9/01
to
> Pour les virus la réponse est évidente et ils n'ont pas attendu Internet pour
> exister, disquettes, CD, serveurs etc....
> Cas célèbres récents de diffusion de virus: Microsoft, HP. (Au cas où on dirait que
> ça n'existe pas).
> Magistr étant d'ailleurs un vrai virus peut se transmettre pas disquette ou CD et
> doit être testé comme tel.

???

je ne comprends pas pourquoi vous parlez de ca maintenant...

on parlait de l'analyse technique par Guillermito du module de
protection
de Viguard (9 *non* beta) contre la propagation des virus, qu'on attend
tous avec impatience.
laissons lui le temps de se remettre de son concert a New York ! ;)

salutations,

Olivier Aichelbaum

unread,
Jul 9, 2001, 6:11:30 AM7/9/01
to
> Là on commence à parler le même langage, vérifiez simplement la bonne version de
> Guillermito, si vous voulez des virus qui infectent et des explications, on va vous en
> fournir.

enfin, ca fait des mois que j'attends ca !

donnez nous enfin des noms de **virus** qui contaminent un systeme
protege prealablement par Viguard **9 non beta**. on refait les tests
devant huissier (pres de chez vous si vous voulez y assister), ainsi
on aura une preuve en beton !

merci d'avance !

Baptiste Soto

unread,
Jul 9, 2001, 6:28:02 AM7/9/01
to
"Olivier Aichelbaum" <ac...@acbm.com> a écrit dans le message news:

> donnez nous enfin des noms de **virus** qui contaminent un systeme
> protege prealablement par Viguard **9 non beta**. on refait les tests
> devant huissier (pres de chez vous si vous voulez y assister), ainsi
> on aura une preuve en beton !

Sans vouloir rentrer dans une quelconque polémique, pourquoi ne
cherchez-vous pas à effectuer des tests sur les vers *aussi*. Après
tout, ils sont tout autant nuisibles que les virus ! A moins que Viguard
ne soit conçu pour ne lutter *que* contre les virus et non contre les
vers, auquel cas ça serait plus clair.

Et au passage, je ne vois pas l'intérêt d'une procédure huissier à un
instant t, sachant que que la procédure ne serait judicieuse que si elle
était effectuée très régulièrement, vu la prolifération des nuisibles...
M'enfin.

Cordialement,

Baptiste


Roland Garcia

unread,
Jul 9, 2001, 6:45:19 AM7/9/01
to
Olivier Aichelbaum a écrit :

> > Là on commence à parler le même langage, vérifiez simplement la bonne version de
> > Guillermito, si vous voulez des virus qui infectent et des explications, on va vous en
> > fournir.
>
> enfin, ca fait des mois que j'attends ca !
>
> donnez nous enfin des noms de **virus** qui contaminent un systeme
> protege prealablement par Viguard **9 non beta**. on refait les tests
> devant huissier (pres de chez vous si vous voulez y assister), ainsi
> on aura une preuve en beton !

Essayez déjà Magistr et Win32.HIV qui sont des vrais virus.
Win32.HIV n'infecte que les fichiers du même répertoire, essayez donc dans
c:\windows\system.

Roland Garcia

Olivier Aichelbaum

unread,
Jul 9, 2001, 6:53:40 AM7/9/01
to
> Sans vouloir rentrer dans une quelconque polémique, pourquoi ne
> cherchez-vous pas à effectuer des tests sur les vers *aussi*. Après

je repete : on a partage l'article, je ne participe qu'a la partie
virus. d'autres personnes s'occupent de l'article pour les parties
vers et trojans.


> Et au passage, je ne vois pas l'intérêt d'une procédure huissier à un
> instant t, sachant que que la procédure ne serait judicieuse que si elle
> était effectuée très régulièrement, vu la prolifération des nuisibles...
> M'enfin.

le test devant huissier permet d'eviter un proces en diffamation
si on dit que le virus X en particulier passe l'antivirus Y et que
l'editeur pretend le contraire concernant X en particulier.
bien sur si un seul virus passe, d'autres passeront forcement.
alors deja on serait heureux d'avoir un virus qui passe !
a+

Jean-Francois BILLAUD

unread,
Jul 9, 2001, 7:06:22 AM7/9/01
to
Olivier Aichelbaum wrote:

> bien sur si un seul virus passe, d'autres passeront forcement.
> alors deja on serait heureux d'avoir un virus qui passe !

Vous avez déjà entendu parler de Fred Cohen ?

JFB

--
Notre sélection de logiciels libres :
http://www.interpc.fr/mapage/billaud/selectll.htm

Olivier Aichelbaum

unread,
Jul 9, 2001, 7:17:38 AM7/9/01
to
> > donnez nous enfin des noms de **virus** qui contaminent un systeme
> > protege prealablement par Viguard **9 non beta**. on refait les tests
> > devant huissier (pres de chez vous si vous voulez y assister), ainsi
> > on aura une preuve en beton !
>
> Essayez déją Magistr et Win32.HIV qui sont des vrais virus.

je vous ai demande un **virus** (cf ci dessus) et vous me repondez
par un ver (Magistr est un ver a ma connaissance...)

ne m'occupant que de la partie "virus" de notre enquete, je cherche
un **virus** qui passe Viguard (mes confreres qui s'occupent de la
partie "vers" de l'article feront le test avec Magistr bien sur).

salutations,

Roland Garcia

unread,
Jul 9, 2001, 8:06:10 AM7/9/01
to
Olivier Aichelbaum a écrit :

> je vous ai demande un **virus** (cf ci dessus) et vous me repondez
> par un ver (Magistr est un ver a ma connaissance...)
>
> ne m'occupant que de la partie "virus" de notre enquete, je cherche
> un **virus** qui passe Viguard (mes confreres qui s'occupent de la
> partie "vers" de l'article feront le test avec Magistr bien sur).

Non c'est un virus et il correspond parfaitement à la définition. Les
fichiers infectés peuvent à leur tour infecter d'autres PC.
La peuve: accessoirement il envoie un des fichiers infectés, mais les mêmes
peuvent très bien être transmis sur disquette comme l'ont fait tous les virus

avant 99.
La fonction de ver est simplement un plus.

Roland Garcia

Roland Garcia

unread,
Jul 9, 2001, 8:13:01 AM7/9/01
to
Roland Garcia a écrit :

> Non c'est un virus et il correspond parfaitement à la définition. Les
> fichiers infectés peuvent à leur tour infecter d'autres PC.
> La peuve: accessoirement il envoie un des fichiers infectés, mais les mêmes
> peuvent très bien être transmis sur disquette comme l'ont fait tous les virus
> avant 99.
> La fonction de ver est simplement un plus.

Regardez vous même chez NAI: W32/Magistr@MM is a combination of a files infector
virus and e-mail worm.

et Symantec: W32.Magistr.24876@mm is a virus that has email worm capability. .

Alors qu'est ce qu'il donne Magistr sur la dernière version?

Roland Garcia


Olivier Aichelbaum

unread,
Jul 9, 2001, 8:08:35 AM7/9/01
to
Roland Garcia wrote:
>
> > ne m'occupant que de la partie "virus" de notre enquete, je cherche
> > un **virus** qui passe Viguard (mes confreres qui s'occupent de la
> > partie "vers" de l'article feront le test avec Magistr bien sur).
>
> Non c'est un virus et il correspond parfaitement à la définition. Les
> fichiers infectés peuvent à leur tour infecter d'autres PC.

les editeurs d'antivirus ont tous un avis different sur le sujet.
peu importe, que ce soit un ver et/ou un virus, j'avais dit ci
dessus qu'il serait teste par notre equipe, et c'est la seule chose
qui compte.

a bientot pour les resultats !

Roland Garcia

unread,
Jul 9, 2001, 8:27:16 AM7/9/01
to
Olivier Aichelbaum a écrit :

> > Non c'est un virus et il correspond parfaitement à la définition. Les
> > fichiers infectés peuvent à leur tour infecter d'autres PC.
>
> les editeurs d'antivirus ont tous un avis different sur le sujet.
> peu importe, que ce soit un ver et/ou un virus, j'avais dit ci
> dessus qu'il serait teste par notre equipe, et c'est la seule chose
> qui compte.

Impossible qu'un éditeur quelconque dise un truc pareil, c'est bien un
virus.

> a bientot pour les resultats !

D'après les tests de Alain Godet le PC est bien infecté. Techniquement la
désinfection par un contrôleur d'intégrité est totalement impossible et on
peut vous expliquer pourquoi.
Vérifiez bien que c'est un virus:
http://www.sophos.fr/virusinfo/analyses/w32mag.html
et qu'il est plutôt répandu:
http://www.sophos.fr/pressoffice/pressrel/20010705topten.html

Il faut être précis sur ce forum :-)

Roland Garcia


Olivier Aichelbaum

unread,
Jul 9, 2001, 8:38:42 AM7/9/01
to

> Impossible qu'un éditeur quelconque dise un truc pareil, c'est bien un
> virus.

j'ai pas trop de temps a perdre a discuter vocabulaire donc,
si vous voulez, oui c'est un virus avec des bouts de vers dedans.
je prefere qu'on passe notre temps a refaire votre experience
de contamination...


> D'après les tests de Alain Godet le PC est bien infecté.

ce sont les tests de Alain Godet, c'est a lui de s'exprimer la dessus


> Techniquement la
> désinfection par un contrôleur d'intégrité est totalement impossible et on
> peut vous expliquer pourquoi.

pour l'instant, comme je l'ai dit dans mes posts precedents,
nous nous interessons uniquement au module de detection
chaque chose en son temps...


> Il faut être précis sur ce forum :-)

c'est ce qu'on vous demande depuis le debut :
cf toutes les questions d'Alain Godet restees sans reponse...

a bientot,

Roland Garcia

unread,
Jul 9, 2001, 8:53:51 AM7/9/01
to
Olivier Aichelbaum a écrit :

> > Il faut être précis sur ce forum :-)
>
> c'est ce qu'on vous demande depuis le debut :
> cf toutes les questions d'Alain Godet restees sans reponse...

J'ai toujours été très précis. Je peux même vous dire que sans fausse alarme,
AVP 8, Norton 2100 et Viguard 14 seront très facilement infectables.
Alors pour la version 8, 8+, ou 9 beta machin c'est pareil, même sans regarder.

Roland Garcia

Olivier Aichelbaum

unread,
Jul 9, 2001, 8:56:51 AM7/9/01
to
Roland Garcia wrote:
> J'ai toujours été très précis. Je peux même vous dire que sans fausse alarme,
> AVP 8, Norton 2100 et Viguard 14 seront très facilement infectables.
> Alors pour la version 8, 8+, ou 9 beta machin c'est pareil, même sans regarder.

bah si, regardons justement ! et la 9 commercialisee tant qu'a faire,
on est la pour ca...
a+

Roland Garcia

unread,
Jul 9, 2001, 9:25:13 AM7/9/01
to
Jean-Francois BILLAUD a écrit :

> Olivier Aichelbaum wrote:
>
> > bien sur si un seul virus passe, d'autres passeront forcement.
> > alors deja on serait heureux d'avoir un virus qui passe !
>
> Vous avez déjà entendu parler de Fred Cohen ?

Oui c'est celui qui a démontré mathématiquement en 1984 que votre
Viguard 9 actuel est très facilement infectable.

Roland Garcia

Roland Garcia

unread,
Jul 9, 2001, 9:30:49 AM7/9/01
to
Olivier Aichelbaum a écrit :

> Roland Garcia wrote:
> > J'ai toujours été très précis. Je peux même vous dire que sans fausse alarme,
> > AVP 8, Norton 2100 et Viguard 14 seront très facilement infectables.
> > Alors pour la version 8, 8+, ou 9 beta machin c'est pareil, même sans regarder.
>
> bah si, regardons justement ! et la 9 commercialisee tant qu'a faire,
> on est la pour ca...

Ca fait plusieurs mois qu'on en parle ici et toujours aucune infection en vue, Fred
Cohen va trouver ça louche.

Roland Garcia

Frederic Bonroy

unread,
Jul 9, 2001, 10:48:59 AM7/9/01
to
Olivier Aichelbaum wrote:

> je vous ai demande un **virus** (cf ci dessus) et vous me repondez
> par un ver (Magistr est un ver a ma connaissance...)
>
> ne m'occupant que de la partie "virus" de notre enquete, je cherche
> un **virus** qui passe Viguard (mes confreres qui s'occupent de la
> partie "vers" de l'article feront le test avec Magistr bien sur).

C'est très simple, cherchez un simple virus .com sur Internet,
lancez le sur un ordinateur soi disant "protégé" par Viguard et vous
verrez peut-être la surprise tant attendue. Il n'y a besoin ni de
spécialistes ni d'huissier pour ça, le test est effectué en 30 secondes.
Si vous vous procurez une bestiole qui n'infecte que les fichiers dans
le répertoire courant, même pas besoin de faire le ménage après.

Roland Garcia

unread,
Jul 9, 2001, 11:04:03 AM7/9/01
to
Frederic Bonroy a écrit :

> Si vous vous procurez une bestiole qui n'infecte que les fichiers dans
> le répertoire courant, même pas besoin de faire le ménage après.

Je lui est procuré spécialement Win32.HIV pour cet usage. Evidemment si le
laissent sur une disquette vide ;-)

Roland Garcia

Alain Godet

unread,
Jul 9, 2001, 12:34:06 PM7/9/01
to
Roland Garcia a écrit :

>
> Olivier Aichelbaum a écrit :
>
> > > Non c'est un virus et il correspond parfaitement à la définition. Les
> > > fichiers infectés peuvent à leur tour infecter d'autres PC.
> >
> > les editeurs d'antivirus ont tous un avis different sur le sujet.
> > peu importe, que ce soit un ver et/ou un virus, j'avais dit ci
> > dessus qu'il serait teste par notre equipe, et c'est la seule chose
> > qui compte.
>
> Impossible qu'un éditeur quelconque dise un truc pareil, c'est bien un
> virus.
>
> > a bientot pour les resultats !
>
> D'après les tests de Alain Godet le PC est bien infecté. Techniquement la
> désinfection par un contrôleur d'intégrité est totalement impossible et on
> peut vous expliquer pourquoi.
Je m'inscris en faux : Après reboot sur disquette clean et contrôle
d'intégrité, aucune trace d'infection. Plus précisément, après un temps
aléatoire, à chaque tentative de modification de fichier, Viguard 9,
daté de janvier 2001 (dernière version sortie avant Magistr) signale une
tentative d'infection et la bloque. Contrairement à ce que tu me fais
dire, il n'y a pas d'infection.
Maintenant, explique moi pourquoi le contrôle d'intégrité est impossible
alors qu'il y a un mois, tu me demandais de vérifier mes résultats avec
un contrôleur ?

Olivier Aichelbaum

unread,
Jul 9, 2001, 12:59:11 PM7/9/01
to

> C'est très simple, cherchez un simple virus .com sur Internet,
> lancez le sur un ordinateur soi disant "protégé" par Viguard et vous

nous avons fait le test avec plusieurs .com, Viguard les detecte
tous avant infection du systeme. pouvez vous me donner le nom d'un
virus .com en particulier qui passe outre la protection ?
merci d'avance !


> verrez peut-être la surprise tant attendue. Il n'y a besoin ni de
> spécialistes ni d'huissier pour ça, le test est effectué en 30 secondes.

je suis desole mais, en matiere de presse, le controle d'un huissier
est indispensable lors de la publication d'un tel article. c'est la
procedure.

cordialement,

Roland Garcia

unread,
Jul 9, 2001, 1:09:57 PM7/9/01
to
Alain Godet a écrit :

> Maintenant, explique moi pourquoi le contrôle d'intégrité est impossible
> alors qu'il y a un mois, tu me demandais de vérifier mes résultats avec
> un contrôleur ?

Parce que les choses sont plus compliquées que ça et que ça ne s'improvise pas.
Quand je vais chez mon médecin pour une grippe je ne lui demande pas de me
déballer ses septs ans de cours.
Je n'ai plus le temps de répondre aux questions de vulgarisation, si encore vous
écoutiez.

Roland Garcia

Alain Godet

unread,
Jul 9, 2001, 12:36:36 PM7/9/01
to
Roland Garcia a écrit :
Voir mon mail d'au dessus :
AUCUNE infection (attention : ce n'était pas forcément le cas avec des
versions plus anciennes).
Mais la dernière version de Viguard, apparue avant Magistr, bloque les
tentatives d'infection du virus et empêche la propagation du mail. CQFD.

Alain Godet

unread,
Jul 9, 2001, 12:37:32 PM7/9/01
to
Je l'ai testé dans la racine du PC (sur laquelle il y a plusieurs EXE et
COM, comme chacun le sais). Mis à part la création de PRESS.XML, la
vérification d'intégrité ne montre aucune infection.

Roland Garcia a écrit :

Frederic Bonroy

unread,
Jul 9, 2001, 1:05:57 PM7/9/01
to
Olivier Aichelbaum wrote:

> nous avons fait le test avec plusieurs .com, Viguard les detecte
> tous avant infection du systeme.

Quel genre de .com? Avez vous essayé des virus .com cryptés ou
polymorphes, enfin assez sophistiqués?

> pouvez vous me donner le nom d'un virus .com en particulier qui
> passe outre la protection ?

Malheureusement non. :-)

Frederic Bonroy

unread,
Jul 9, 2001, 1:08:55 PM7/9/01
to
J'ai écrit:

> Malheureusement non. :-)

Si: voyez 3B46EA55...@yahoo.fr

Olivier Aichelbaum

unread,
Jul 9, 2001, 1:12:23 PM7/9/01
to

pardon ?

Frederic Bonroy

unread,
Jul 9, 2001, 1:16:22 PM7/9/01
to
Olivier Aichelbaum wrote:

> > Si: voyez 3B46EA55...@yahoo.fr
>
> pardon ?

Voyez mon message de Samedi dernier, 12:54

c8f

unread,
Jul 9, 2001, 1:42:20 PM7/9/01