Nous sommes le Jeu 28 Mars, 2024 23:54
Supprimer les cookies

Trojan dans Framabird et Framafox !!!!!

Support et Développement des applications web portables

Mar 05 Nov, 2013 20:39

Analyse par VIRUS TOTAL !

- RemoteAdmin/Win32.WinVNC.gen

- Trojan/Agent.jdyv

- TrojanDownloader.AutoIt


Voici une capture du résultat d'analyse: imageshack.us/photo/my-images/571/89ax.jpg

...rien que ça !


Les versions Thunderbirds et Firefox portables ASR de chez PortableApps.com de souffre pas de ces nuisances.

Comment expliquez vous un tel malaise, ...et si oui, à quoi ça sert ?


Cordialement...
poisskai

Messages : 1

Mer 06 Nov, 2013 17:14

Bonjour,

C'est parce que je rêve de contrôler tous les ordis du monde, Mouaaaaahaaaahhaaa :evil:

Ou, plus sérieusement, c'est parce qu'il s'agit (encore) de faux positifs détectés sur une archive zip par 4 antivirus différents qui trouvent d'ailleurs 4 virus différents et je peux même expliquer le Trojan AutoIt.

À la différence des versions de PA.c, les lanceurs Framakey ne sont pas en NSIS mais en AutoHotkey depuis .. euh, ben un bout de temps maintenant. Or AutoHotkey est lui-même basé sur AutoIt (enfin y'a longtemps aussi) mais est libre au contraire de ce dernier. De plus, pour gagner de la place, les exécutables des lanceurs sont compressés avec upx. Des petits malins s'étant amusés à créer des "virus" avec AutoIt, certains éditeurs d'anitvirus ne s'emm****nt pas et déclare tout script AutoIt comme étant un virus potentiel (ben oui quand on a pas envie de faire son boulot on clame que c'est l'autre qui déconne). Pour le même genre de raison, les exécutables compressés par UPX (là encore un logiciel libre) déclenchent régulièrement les analyse heuristique des antivirus.

Un peu de lecture pour confirmer mes propos :
https://duckduckgo.com/?q=autoit+false+positive
https://duckduckgo.com/?q=autohotkey+false+positive
https://duckduckgo.com/?q=upx+false+positive
Même recherche en français (faux positif) :
https://duckduckgo.com/?q=autoit+faux+positif
https://duckduckgo.com/?q=autohotkey+faux+positif
https://duckduckgo.com/?q=upx+faux+positif

Autrement dit, y'a pas de malaise. Maintenant si vous voulez faire une recherche un poil plus poussée, vous pouvez soumettre à virustotal les exécutables et dll qui sont dans l'archive (et non l'archive au complet), il ne m'étonnerait pas que le lanceur Frama***Portable déclenche qq antivirus parmi les moins connus (les plus connus ont corrigé le tir suite à de nombreuses remontées d'utilisateurs et développeurs).
Ensuite, vous pouvez décompresser les même exécutables et dll avec upx (lien en fin de message) et les repasser à virustotal. Il y aura moins de faux positifs mais certains antivirus détecteront encore des méchants AutoIt :x

Un peu de "technique" :
Framabird et Framafox sont des versions "rebrandées" (ouh, quel affreux mot), c'est à dire modifiées pour ne plus faire référence à Firefox et Thunderbird ainsi qu'à leurs icones pour respecter la "Mozilla Trademark policy". Concrètement, on ne va pas jusqu'à recompiler à partir des sources, le choix s'est porté vers un rebranding logiciel. En gros, on change ou on outrepasse des textes dans l'interface graphique, on modifie les icônes et on supprime les références à Mozilla dans les dll, c'est le boulot de l'utilitaire /Other/tools/Rebranding.exe.
Une partie du rebranding est faite à l'aide d'une extension rebranding.jar, les icones, ProductInfo et VersionInfo sont changées par le script AutoHotkey compilé qu'est Rebranding.exe sans faire appel à autre chose que de l'ahk. Des diffs et patchs binaires sont ensuite créés pour pouvoir revenir à la version originale des exécutables et dll. Tous les fichiers modifiés (ou les patchs) sont stockés dans l'archive /Other/Tools/FramaBKUp.7z.
il suffit donc de consulter cette archive pour savoir ce qui est modifié par rapport à la version d'origine.

Et comme on fait du libre, les sources sont incluses (cf /Other/Source).

Toujours pas convaincu ?
Il vous reste la possibilité de vous refaire votre propre version de Framabird/fox. Tous les fichiers modifiés sont dans le dossier /Other/Source, vous pouvez donc vous assurer que je n'ai pas mis de Trojan dedans.
Ensuite vous téléchargez les outils de base (ou le Pack de portabilisation dispo sur le site Framakey) :
http://www.autohotkey.com/ pour le compilateur des scripts
http://upx.sourceforge.net/ pour le compresseur d'exécutable
la version en ligne de commande de 7-zip : http://downloads.sourceforge.net/sevenzip/7za920.zip
http://sites.inka.de/tesla/f_others.html#bsdiff pour bsdiff et bspatch les utilitaires pour les diff et patchs binaires
Vous aurez alors tout ce qu'il faut pour faire un poisskaifox ou un poisskaibird ;)

Et au passage, si vous trouver comment résoudre mes 2 problèmes actuels avec Framafox/bird que sotn les mises à jour et le multi-instances, ça m'intéresse énormément :lol:

C'est bon, j'ai répondu à la question ?


EDIT :
Comme annoncé ci-dessus, le lanceur fait bien couiner 2 antivirus => https://www.virustotal.com/fr/file/af5f ... 383754443/

EDIT2 : pour la petite histoire, j'ai déjà réussi à créer un "virus" en modifiant l'icone du bloc-notes de Windows ! Depuis je suis toujours sceptiques sur les résultats d'analyse des antivirus :mrgreen:
fat115

Avatar de l’utilisateur
Messages : 930
Géo : Ardèche ... du nord

Jeu 07 Nov, 2013 19:29

:evil: Moi aussi je ne demande qu'à contrôler le monde :lol:

Très bonne explication fat115 !
Marnic

Avatar de l’utilisateur
Messages : 1724
Géo : Prémian (34 hérault)

Jeu 07 Nov, 2013 19:31

fat115 a écrit:
EDIT2 : pour la petite histoire, j'ai déjà réussi à créer un "virus" en modifiant l'icone du bloc-notes de Windows ! Depuis je suis toujours sceptiques sur les résultats d'analyse des antivirus :mrgreen:


Surtout les résultats d'analyses heuristiques.
Marnic

Avatar de l’utilisateur
Messages : 1724
Géo : Prémian (34 hérault)

Sam 16 Nov, 2013 12:23

@fat115

J'ai perdu le log de " poisskai " alors je m'appelle maintenant " Hipocamp "

Super Merci fat115 du fond des abysses pour cette généreuse réponse qui dépasse la simple référence ! :)
Je retourne buller sous ma roche... mdr

Désolé je ne peux pas t'aider pour les MAJ de Firefox je ne connais pas...

A + et bon courage ;)
Dernière édition par Marnic le Sam 16 Nov, 2013 13:50, édité 1 fois au total.
Raison: @Hipocamp : j'ai supprimé ton message en double
Hipocamp

Messages : 1

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit