Nous sommes le Ven 29 Mars, 2024 00:48
Supprimer les cookies

Page 1 sur 21, 2 SuivantVirus ou pas Virus ?

Image Image Forum dédié à notre projet de clé USB nomade libre sous Windows

Mar 04 Nov, 2008 13:59

bonjours a tous je suis nouveau sur ce forum.

actuellement je suis en formation de technicien en assistance informatique ( maintenance , réseaux , sécurité ect.. )

je vien de telecharger la framakey 1.8.1 et je l'es analysé avec a-squared free 3.5 et voila le rapport :

Version - a-squared Free 3.5
Dernière mise à jour : 04/11/2008 12:09:56

Paramètres des balayages :

Éléments : Mémoire, Traces, Cookies, C:\, L:\, V:\
Balaye dans les archives : Marche
Analyse heuristique : Marche
Balaye dans les ADS : Marche

Début du balayage : 04/11/2008 12:10:10


C:\Documents and Settings\Thierry Mahut\Bureau\Framakey\Apps\PortablePaintNET\PortablePaint.NET.exe Objets détectés : Trojan.Win32.Agent.ho!A2


Analysé

Fichiers : 282425
Traces : 572454
Cookies : 5
Processus : 28

Objets trouvés

Fichiers : 1
Traces : 0
Cookies : 0
Processus : 0
Clés de Registre : 0

Fin du balayage : 04/11/2008 13:44:48
Temps du balayage : 1:34:38


virus or ou faux positif ? bref.. a vous de me dire :)
pioo

Messages : 2

Mar 04 Nov, 2008 14:25

pioo a écrit:C:\Documents and Settings\Thierry Mahut\Bureau\Framakey\Apps\PortablePaintNET\PortablePaint.NET.exe Objets détectés : Trojan.Win32.Agent.ho!A2



Ton chasseur de malwares est à la rue. Même sans utiliser la Framakey je peux te dire que 'PortablePaint.NET.exe est un logiciel de dessin dans le style de Paint.

Et voilà pour ton anti-virus.

Tu peux en essayer un tas ici sans trop te déranger, (mettre les applications portables dedans une à une si tu veux) tu verras que chaque anti-virus donne une réponse différente (des fois aucune) et un nom de trojan/malware/agent.virus etc... différent dans la plupart des cas.

Si tu veux apprendre des choses qui te soient utiles en matière de recherche sur les malwares tu pourrais visiter le site malekal.com, il y a beaucoup de docs à lire (et un forum dédié).

/me n'utilise quasi que GNU/Linux alors les malwares... khuff khuff ! :D
LinuxVillage - http://linuxvillage.org
Site d'entraide d'utilisateurs GNU/Linux
Mélodie

Messages : 4555
Géo : France

Mar 04 Nov, 2008 14:48

je connais très bien le site de malekal ne t'inquiète pas.

je connais très bien le logiciels paint.net aussi et cela me parait quand même bizarre car a-squared m'a quand même détecter quelque malwares que d'autre comme antivir ou malwarebyte ne détecte pas et pourtant le malware est bien présent dans le registres et même quand je le supprime manuellement il revient continuellement et seule a-squared ma permis de le supprimer définitivement ;)

je ne dit pas que j'ai trouver un virus dans framakey hein , je veux juste savoir pourquoi un anti-malware me le détecte en me le signalant comme trojan.

pour ce qui est de linux j'utilise Ubuntu et je me met doucement a debian , j'ai un pote sysadmin sous linux pour m'aider donc coter linux j'avoue les malware = 0

je vais quand même faire confiance a malwarebyte car il ne me détecte pas de trojan donc je vais en rester la avec paint et me dire que ce n'es rien ;)
pioo

Messages : 2

Mar 04 Nov, 2008 15:38

pioo a écrit:bonjours a tous je suis nouveau sur ce forum.
virus or ou faux positif ? bref.. a vous de me dire :)

Bonjour,

faux positif soit dû à autohotkey soit à nsis. Petit à petit, les antivirus et anti malware se mettent à jour (Avast, Trend Micro, Mac Afee, voyaient des trojan ici ou là) et la situation s'éclaircit.

a-squared free 3.5 finira par améliorer sa base, comme le font les autres.

Cordialement.
Parti sans laisser d'adresse, ne pas faire suivre
elrik

Messages : 1211

Sam 08 Nov, 2008 15:30

J'ai bien peur que la Framakey dernière version soit pourrie: Le logiciel de McAfee a carrément détruit le système d'éjection de la clé (troyen identifié).

Par acquis de conscience, j'ai passé l'installateur de la clé au scanner d'Avast. Le verdict est sans appel avec deux malwares identifiés:
Win32:Fabot
Win32:Trojan-gen

Je suis un fan inconditionnel du libre, mais pas des troyens et autres crasses.

Il me semble que les développeurs de la Framakey feraient bien de s'exprimer sur ce sujet, au lieu de faire semblant de rien. Il en va de la crédibilité du projet...
yvesgxnk

Messages : 1

Sam 08 Nov, 2008 16:56

yvesgxnk a écrit:Je suis un fan inconditionnel du libre, mais pas des troyens et autres crasses.
Il me semble que les développeurs de la Framakey feraient bien de s'exprimer sur ce sujet, au lieu de faire semblant de rien. Il en va de la crédibilité du projet...

Il me semble que tu pourrais parcourir ce forum pour chercher si, des fois, les développeurs de la framakey n'aurait pas déjà, donné la réponse à ta question. Pour un fan inconditionnel du libre, il est curieux que tu ne connaisses pas les règles qui régissent un forum :
viewtopic.php?f=18&t=224
et notamment :
Pensez à faire une recherche avant de poster votre message, peut-être que le sujet de votre message a déjà été exposé par un autre membre des forums.


Voici néanmoins, pour t'aider, quelques-uns des posts qui évoquent ton problème (je te laisse chercher les autres) :

viewtopic.php?t=29846&start=75
viewtopic.php?t=30017

Cordialement.
Parti sans laisser d'adresse, ne pas faire suivre
elrik

Messages : 1211

Dim 09 Nov, 2008 07:38

Bonjour,

Une nouveauté avec avast ... Win32:Fabot [Trj]
Mais ce qui m'étonne d'abord, c'est que c'est pour Gimp : "1.8.0\Apps\GIMPPortable\App\gimp\lib\gimp\2.0\plug-ins\video.exe" ; Et surtout que le même dans la 1.8.1 ne donne aucune alerte...
Totoche

Messages : 398
Géo : Drôme / Ardèche

Dim 09 Nov, 2008 15:45

Bonjour,

mélodie m'a demandé de regarder le fichier.
Avant de regarder le fichier, je peux vous dire que ce sont des faux positif, pour les raisons suivantes :
- Les auteurs de malwares ont autre chose à faire que repacker des installeurs pour infecter les internautes.
- Si c'était un PC d'un dev qui avait été infecté et qui avait laissé un malware sur le soft, le malware aurait été plutôt du type PE infecteur (un infecteur d'exécutable) - un "vrai" virus dans le sens du therme et non un Trojan.

Les auteurs malwares ont plutôt tendance à hacker le site WEB et y insérer un code malicieux pour que lorsque l'on visite le site, vous soyez infecté.

Bon sinon, le scan virus total :

Fichier PortablePaint.NET.exe reçu le 2008.02.21 12:08:42 (CET)
Situation actuelle: terminé
Résultat: 6/32 (18.75%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - Trojan.Runner.b
ClamAV - - Trojan.Dropper-3446
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - Trojan:W32/Agent.EDP
FileAdvisor - - -
Fortinet - - -
Ikarus - - Win32.SuspectCrc
Kaspersky - - -
McAfee - - -
Microsoft - - Trojan:Win32/VNCKill.A
NOD32v2 - - -
Norman - - -
Panda - - Suspicious file
Prevx1 - - -
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - -
Information additionnelle
MD5: 71949560c1ce1d5fb716fd604de61fc9
SHA1: c0bc7d0211b244d214273226e50901b6151c9259


Ce sont pour la pluspart des détections génériques (voir def http://www.avg.com/fr.72), donc pas de signature qui reconnaît un malware connu.
Il y a donc plus de chances de faux positif, sachant que certains antivirus sont plus sensibles que d'autres.

Un dropper est un malware qui "droppe" (installe si vous voulez) l'infection sur le système....
Voila ce qui se passe quand on exécute rtablePaint.NET.exe

Parent process:
Path: C:\Documents and Settings\Malekal_morte\Desktop\PortablePaint.NET.exe
PID: 424
Information: PortablePaint.NET run's Paint.NET from removable drive (Joshua Consulting for FramaKey/FramaSoft)
Child process:
Path: C:\WINDOWS\system32\cmd.exe
Information: Windows Command Processor (Microsoft Corporation)
Command line:cmd.exe /c C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\bt7063.bat


PortablePaint créé et lance un fichier batch, son contenu :
PortablePaint.NETregedit /ea backup\origine.reg HKEY_CURRENT_USER\Software\Paint.NET
regedit /s PortablePaint.NETCode\Paint.NETDEL.REG
regedit /s userprofile\Paint.NET.reg
:start
start /w Paint.NET\PaintDotNet.exe %1 %2 %3 %4 %5 %6 %7 %8 %9
regedit /ea userprofile\new.reg HKEY_CURRENT_USER\Software\Paint.NET
copy userprofile\new.reg userprofile\Paint.NET.reg
del userprofile\new.reg
regedit /s PortablePaint.NETCode\Paint.NETDEL.REG
regedit /s backup\origine.reg
del backup\origine.reg


Le batch sert à inscrire des clefs dans le registre Windows qui ne sont pas dangereuses.


Maintenant, je vous montre un dropper malicieux (je dis pas qu'il fonctionne tous comme ça, c'est un exemple).

Donc il drop sa "merde" :

Process:
Path: C:\Documents and Settings\Malekal_morte\Desktop\load.exe
PID: 1364
Registry Group: System Critical
Object:
Registry key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Registry value: AppInit_DLLs
New value:
Type: REG_SZ
Value: C:\WINDOWS\system32\mms2wp2wp.dll
Previous value:
Type: REG_SZ
Value: C:\WINDOWS\system32\mms0oz0oz.dll


puis lance aussi un batch via cmd :

Parent process:
Path: C:\Documents and Settings\Malekal_morte\Desktop\load.exe
PID: 1448
Child process:
Path: C:\WINDOWS\system32\cmd.exe
Information: Windows Command Processor (Microsoft Corporation)
Command line:cmd /c color.bat



contenu du batch :

:Label1
del "C:\Documents and Settings\Malekal_morte\Desktop\load.exe"
if Exist "C:\Documents and Settings\Malekal_morte\Desktop\load.exe" goto Label1
del color.bat


En gros, le batch sert à supprimer le dropper une fois l'infection installée afin de ne pas laisser de trace sur le système (genre que les AV ne le récup pas pour analyse etc.. parfois y a des URL etc.. dans le cas d'un Trojan-Downloader, ça peux être interressant, bref).

Tout ça pour dire les droppers utilisent bcp cmd/shell et batch, le fait que Paint empacte un batch (en plus en UPX), ben les AV sensibles n'aiment pas.

Les dev peuvent envoyer le fichier aux vendors pour que ce soit corriger mais possible que si l'exe ou le batch soient modifiés, ça revienne.


Sinon autre remarque, Avast! et McAfee à jeter ^^
Projet Anti-Malwares : http://www.malekal.com/ProjetAntiMalwares.php
Malekal_morte

Messages : 2

Dim 09 Nov, 2008 16:19

Merci Malekal,
Nous aurons désormais les bons arguments face aux personnes inquiètes devant les messages des Anti-Virus. :)

Mélodie, "newbie framasoft" depuis Juin 2004.
LinuxVillage - http://linuxvillage.org
Site d'entraide d'utilisateurs GNU/Linux
Mélodie

Messages : 4555
Géo : France

Dim 09 Nov, 2008 17:12

haha dsl, je savais pas que tu avais ce nick ici :)

dernière chose, en cas de doute sur un fichier, vous avez ces sandbox :
http://www.threatexpert.com/
http://anubis.iseclab.org/index.php?action=home

Cela fait tourner les fichiers sur une VM et génère un rapport avec les modifications effectuées par le fichier.
Cela permet donc de voir ce que le fichier fait, donc potentiellement voir si c'est un malware, moyennent bien sûr de savoir lire le rapport (donc avoir un minimum de connaissance de Windows). M'enfin je pense que ça peux aider.
Projet Anti-Malwares : http://www.malekal.com/ProjetAntiMalwares.php
Malekal_morte

Messages : 2

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit