Kaspersky, McAfee et Sobig.E
Le
Frederic Bonroy
Bon, voilà. J'ai un Sobig.E ici qui n'est pas détecté par AVPDOS32
et les fichiers de définitions d'hier, indiquant 69390 fiches. Par
contre l'antivirus en ligne de l'est y trouve un I-Worm.Sobig.gen
(pourquoi pas I-Worm.Sobig.e?) et mon copain F-Prot voit Sobig.E aussi.
Alors j'ai envoyé ce fichier à Kaspersky qui me dit que chez lui,
AVPDOS32 et la version Win32 trouvent bien Sobig.E et qu'il faut que
je mette mon AVP à jour.
Ah bon. J'avais pourtant précisé qu'il est déjà à jour.
Alors que fais-je? Je prends une autre copie de Sobig.E que j'ai reçue:
même résultat.
Mon AVP serait-il mal configuré? Impossible car il détecte tout dans ma
collection de virus. Quelqu'un a une idée?
Attendez, c'est pas fini:
McAfee pour DOS avec moteur 4240 et le DAT 4237 (25 juin) me dit:
Found virus or variant W32/Sobig !!!
WebImmune (appartenant à McAfee) par contre me dit w32/sobig.e@mm.
Pourquoi l'un sait qu'il s'agit de la variante E, et l'autre non?
Attendez, c'est toujours pas fini:
J'ai une bête du joli nom de Steph.A qui est un ver qui se propage
entre autres via Kazaa. Il est identifié par tout le monde, sauf
McAfee qui m'affiche un "Found virus or variant New P2P Worm !!!"
C'est drôle car ici encore WebImmune me donne son vrai nom:
w32/browney.a.worm
W32/Browney.A.worm correspond à Steph.A, là n'est pas le problème;
je me demande simplement ce que signifient ces différences de
détection. Pourtant ma copie de McAfee est à jour (et Browney/Steph
est connu depuis fin janvier déjà).
et les fichiers de définitions d'hier, indiquant 69390 fiches. Par
contre l'antivirus en ligne de l'est y trouve un I-Worm.Sobig.gen
(pourquoi pas I-Worm.Sobig.e?) et mon copain F-Prot voit Sobig.E aussi.
Alors j'ai envoyé ce fichier à Kaspersky qui me dit que chez lui,
AVPDOS32 et la version Win32 trouvent bien Sobig.E et qu'il faut que
je mette mon AVP à jour.
Ah bon. J'avais pourtant précisé qu'il est déjà à jour.
Alors que fais-je? Je prends une autre copie de Sobig.E que j'ai reçue:
même résultat.
Mon AVP serait-il mal configuré? Impossible car il détecte tout dans ma
collection de virus. Quelqu'un a une idée?
Attendez, c'est pas fini:
McAfee pour DOS avec moteur 4240 et le DAT 4237 (25 juin) me dit:
Found virus or variant W32/Sobig !!!
WebImmune (appartenant à McAfee) par contre me dit w32/sobig.e@mm.
Pourquoi l'un sait qu'il s'agit de la variante E, et l'autre non?
Attendez, c'est toujours pas fini:
J'ai une bête du joli nom de Steph.A qui est un ver qui se propage
entre autres via Kazaa. Il est identifié par tout le monde, sauf
McAfee qui m'affiche un "Found virus or variant New P2P Worm !!!"
C'est drôle car ici encore WebImmune me donne son vrai nom:
w32/browney.a.worm
W32/Browney.A.worm correspond à Steph.A, là n'est pas le problème;
je me demande simplement ce que signifient ces différences de
détection. Pourtant ma copie de McAfee est à jour (et Browney/Steph
est connu depuis fin janvier déjà).
Poser une question
Frederic Bonroy:
Note au passage que AVPDOS32 n'est plus supporté et qu'il donne
parfois des identifications complétement fausses. Je remarque ça de
plus en plus en ce moment, si bien que je ne l'utilise presque plus.
Parce qu'ils ont dû se pencher sérieusement sur la question et essayer
de trouver une signature générique qui détecterait les prochaines
varaintes? :-
Mouais, si ça se trouve ils l'ont pas scanné avec avpdos. Tu peux m'en
envoyer une copie, je vous départagerai ;-)
Ton avp=avpdos, n'est ce pas?
C'est pas mal :-) Ça suffit comme identification, non?
Par contre, je lis là:
The 4273 DAT files will support 4.1.60 engine users and detected this
variant as W32/
Ta version DOS n'est pas encore à jour car le virus à été ajouté à
leur bases le 25-06. Je suppose que les màj pour la version dos sont
moins fréquentes.
Il semble que les deux variantes soient très proches. Il suffit que
WebImmune utilise les bases normales et pas les bases DOS...
Probablement encore un pb de bases et de moteur. La version dos de
McAfee est-elle encore supportée? Mon AVPDOS32 me fait ce genre de
trucs très régulièrement.
--
joke0
Frederic Bonroy:
Bon, c'est Frédéric qui a raison. Avpdos32 ne le détecte pas. Donc, il
ne faut pas faire une confiance aveugle à cette AV (lire posts
précédents). Le mieux est de le garder uniquement sur disquettes de
dépannage voire carrément de s'en débarasser...
--
joke0
Frederic Bonroy:
Ils sont déjà au courant, je cite:
Ça sent pas bon tout ça... :((
--
joke0
j'ai écrit:
Rectification: Ce passage est valable pour avpdos32 3.0 build 133.
D'après une copie d'écran de E.Kaspersky, il semble qu'il y ait une
version 134 qui elle marche correctement. Sûrement une évolution qui
n'a pas été mise sur le marché, puisque on ne la trouve nulle part.
Frédéric devrait bientôt donner la réponse de E.K sur ce sujet.
Enfin, je tiens à préciser que ceux qui veulent continuer à utiliser
cette version DOS peuvent se procurer une version 135 probablement
hackée de la version 134...
Bien évidemment, pas la peine de ma contacter pour savoir où la
trouver :-)
--
joke0
joke0:
Scan par avpdos 3.0.134/135: même résultat que avp3.5
Cette version détecte aussi Sobig.e (en I-Worm.Sobig.gen)
--
joke0