Comment ça pas d'admin ? ACL sur url.dll

Le
Gloops
Bonjour tout le monde,

J'ai lancé l'anti-rootkit de Spyware Search and Destroy v. 2, et assez =

rapidement il me signale sur le fichier url.dll, dans le répertoire
système :
"No admin in ACL".

Il me dirait que j'ai trop d'admins, et que ce n'est pas raisonnable,
bon ça OK, mais le contraire

Ah non en regardant les détails je vois que ça signifie qu'il n'y a r=
ien
de précisé pour ce fichier concernant l'accès des administrateurs. =
A
priori ça ne me choque pas, tout le monde a le droit de tenter d'ouvrir=

une url si le pare-feu ne l'en empêche pas, non ?
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Az Sam
Le #25087962
"Gloops" news:kb4b7o$dai$
Bonjour tout le monde,

J'ai lancé l'anti-rootkit de Spyware Search and Destroy v. 2, et assez
rapidement il me signale sur le fichier url.dll, dans le répertoire
système :
"No admin in ACL".

Il me dirait que j'ai trop d'admins, et que ce n'est pas raisonnable,
bon ça OK, mais le contraire ...

Ah non en regardant les détails je vois que ça signifie qu'il n'y a rien
de précisé pour ce fichier concernant l'accès des administrateurs. A
priori ça ne me choque pas, tout le monde a le droit de tenter d'ouvrir
une url si le pare-feu ne l'en empêche pas, non ?

-----------------------------------------------------------------

c'est une invasion de mouches islandaises ou de bêtes a bon dieu
colombiennes sans doute.
Surtout avec "spyware S&D"....

--
Cordialement,
Az Sam.
Th.A.C
Le #25088252
Le 22/12/2012 14:05, Gloops a écrit :
J'ai lancé l'anti-rootkit de Spyware Search and Destroy v. 2, et assez
rapidement il me signale sur le fichier url.dll, dans le répertoire
système :
"No admin in ACL".

Il me dirait que j'ai trop d'admins, et que ce n'est pas raisonnable,
bon ça OK, mais le contraire ...

Ah non en regardant les détails je vois que ça signifie qu'il n'y a rien
de précisé pour ce fichier concernant l'accès des administrateurs. A
priori ça ne me choque pas, tout le monde a le droit de tenter d'ouvrir
une url si le pare-feu ne l'en empêche pas, non ?




chez moi (XP), c'est
- administrateurs + system en control total
- utilisateurs + utilisateurs avec pouvoir en lecture+lecture/exécution

tu peux comparer avec d'autres fichiers du même dossier comme urlmon.dll

ca ne devrais pas gêner le fonctionnement de ta machine (tu l'aurais
déja remarqué j'espère :-) )

ca pourrai (à confirmer) être une forme de protection du fichier pour
éviter qu'un programme le modifie à ton insu si tu es en admin/
Regarde dans les différents programmes liés à la sécurité que tu as
passé si l'un d'eux n'aurait pas cette option???

ou au contraire les restes d'une infection mal/pas nettoyée....


Thierry
Gloops
Le #25089482
Th.A.C a écrit, le 26/12/2012 11:55 :
Le 22/12/2012 14:05, Gloops a écrit :
> J'ai lancé l'anti-rootkit de Spyware Search and Destroy v. 2, et a ssez
> rapidement il me signale sur le fichier url.dll, dans le répertoir e
> système :
> "No admin in ACL".

chez moi (XP), c'est
- administrateurs + system en control total
- utilisateurs + utilisateurs avec pouvoir en lecture+lecture/exécuti on

tu peux comparer avec d'autres fichiers du même dossier comme urlmon. dll

ca ne devrais pas gêner le fonctionnement de ta machine (tu l'aurais
déja remarqué j'espère :-) )

ca pourrai (à confirmer) être une forme de protection du fichier po ur
éviter qu'un programme le modifie à ton insu si tu es en admin/
Regarde dans les différents programmes liés à la sécurité que tu as
passé si l'un d'eux n'aurait pas cette option???

ou au contraire les restes d'une infection mal/pas nettoyée....


Thierry




Ah, tu veux dire que les mêmes droits que sur la DLL s'appliquent aux
URL ? ça ne se devine pas, ça ...

Naïvement, j'aurais dit que les fichiers d'extension url peuvent
effectivement faire l'objet de modifications à restreindre, mais que la
DLL, sauf virus, ne doit être modifiée que par le développeur, sur sa
machine, et à déployer sous sa responsabilité. S'agit-il d'un autre type
de DLL ?







Sinon c'est vrai qu'à en croire Online Armor, cette machine n'est pas
franchement nette, et l'était encore moins avant le passage de SSD et
l'installation de Microsoft Security Essentials.
En fait, pendant un temps j'ai remplacé Online Armor par le pare-feu
Windows, donc je n'ai pas suivi précisément ce qui se passait dans ce tte
période. Mais à la reprise d'Online Armor il n'y avait plus de
"keyloggers", alors que j'en avais dans des programmes que j'avais écri t
sans aucune utilisation du clavier.

Le lendemain un programme était concerné, le surlendemain quatre. Pas
les mêmes qu'avant.

En tout cas si j'arrive à nettoyer tout ça ce ne sera pas grâce à
"Better Business Bureau", dont l'activité principale semble être de
diffuser des virus par rafales de cinq, dont un qui laisse Avast
indifférent jusque là, mais que Microsoft Security Essentials signale
comme s'appelant PWS:Win32/Fareit.

Description : Ce programme est dangereux et capture les mots de passe
des utilisateurs.

J'encourage les gens qui souhaitent une machine opérationnelle à
détruire tout ce qui vient du domaine bbb.org.


Sauf quand un plaisantin s'amuse à détruire dans le dossier brouillon
d'un compte IMAP un mail que vous vous apprêtez à envoyer trente
secondes après l'y avoir placé, vous ne voyez rien, tout a un aspect
normal. L'alerte a été donnée par Online Armor, grâce à la fonc tion HIPS
de son "gardien des programmes".
Gloops
Le #25090172
Gloops a écrit, le 27/12/2012 02:40 :
Sinon c'est vrai qu'à en croire Online Armor, cette machine n'est pas
franchement nette, et l'était encore moins avant le passage de SSD et
l'installation de Microsoft Security Essentials.



On dirait que ce dernier veille au grain, car depuis j'ai vidé la liste
des keyloggers de Online Armor et redémarré, et le redémarrage n'a été
agrémenté d'aucun message d'alerte. Ce qui au passage confirme bien q ue
ce qui a déclenché l'alerte ne fait pas partie des logiciels tels que
conçus par leurs auteurs.


Pourtant, je ne crois pas cliquer sur tout ce qui bouge, Thunderbird
n'ouvre pas par défaut les pièces jointes ... Mais à force d'arrose r, il
finit par transpirer une goutte.

D'où l'intérêt des fonctions HIPS : deux ans de sueurs froides, mai s à
force de chercher on finit par trouver un antivirus qui connaît
l'infection en question.

Et alors un message à l'attention des concepteurs d'antivirus : quand o n
reçoit des salves répétitives de virus sur un compte mail, ça peu t
rendre service de pouvoir consulter les champs des mails concernés, ne
serait-ce que pour ajouter des filtres sur le serveur mail, juste un
cran en amont. ça libère d'autant les ressources de la machine client e.

Étant donné que l'élément pertinent peut se trouver dans le corps du
mail, peut-être bien que le plus simple est de ne détruire que la piè ce
jointe, et agrémenter le mail d'un drapeau.
Th.A.C
Le #25090412
Le 27/12/2012 02:40, Gloops a écrit :


Ah, tu veux dire que les mêmes droits que sur la DLL s'appliquent aux
URL ? ça ne se devine pas, ça ...



heu, non non, je voulais juste dire que c'est une forme _possible_ de
protection sur le fichier url.dll qui empêcherait _peut-être_ un virus
pas trop intelligent de toucher à ce fichier.

Par exemple, si je ne laisse que les droits lecture/exécution et que le
propriétaire du fichier est 'system', tu ne devrais pas pouvoir
effacer/modifier le fichier sans te l'approprier, même si tu es
administrateur.

Et a l'inverse, c'est aussi un des moyens qu'un virus pourrait employer
pour t'empêcher de restaurer manuellement cette dll


Attention, je ne dis pas que c'est ca, mais que ca pourrait l'être

Naïvement, j'aurais dit que les fichiers d'extension url peuvent
effectivement faire l'objet de modifications à restreindre, mais que la
DLL, sauf virus, ne doit être modifiée que par le développeur, sur sa
machine, et à déployer sous sa responsabilité. S'agit-il d'un autre type
de DLL ?




je parlai de modification sur les droits d'accès du fichier, pas de
modification de son contenu. :-)

Thierry
Gloops
Le #25090802
Th.A.C a écrit, le 27/12/2012 13:44 :
je parlai de modification sur les droits d'accès du fichier, pas de
modification de son contenu. :-)

Thierry



Ah, c'est vrai que ce sont les administrateurs qui peuvent appliquer les
mises à jour, il faut bien un moyen, pour ça.

C'est vrai qu'une fois dit comme ça ça devient évident ...
Publicité
Poster une réponse
Anonyme