Ce que peuvent apporter des LUDO dans un forum

Le
DePassage
Cela peut s'appliquer à fr.comp.securité.virus, si plusieurs personnes
de type LUDO, ayant des connaissances parcellaires, certaines des
conseils qu'elles prodiguent peuvent arriver à faire faire dans un
forum, et ce avec une analyse Hijack utilisée avec un ZHP
(du reste la version ZHP Helpeur n'est juste là que pour confirmer ce
qui a été détecté de visu et n'est pas LA solution pour déterminer une
infection bien au contraire)


http://www.commentcamarche.net/forum/affich-11390216-au-secours-virus-intelligent

Pourtant la réponse était simple :


Virus.Win32.Sality.aa
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Az Sam
Le #20325921
"DePassage" hao15h$q66$


http://www.commentcamarche.net/forum/affich-11390216-au-secours-virus-intelligent

Pourtant la réponse était simple :


Virus.Win32.Sality.aa





Tiens dans ce thread on trouve encore un Faux positif de Avira.
http://www.avg.com/fr-fr/52.ndi-67769

Par quoi va t on, le remplacer cet Antivir ?


--
Cordialement,
Az Sam.
DePassage
Le #20327071
Az Sam wrote:
"DePassage" news: hao15h$q66$


http://www.commentcamarche.net/forum/affich-11390216-au-secours-virus-intelligent


Pourtant la réponse était simple :


Virus.Win32.Sality.aa





Tiens dans ce thread on trouve encore un Faux positif de Avira.
http://www.avg.com/fr-fr/52.ndi-67769



Oui, mais peut etre cela vient il du fait que ce prog cherche à
communiquer avec un site externe (AVG par ex à des fins statistiques)
J'ai la flemme de lancer WireShark pour m'en assurer

Je l'ai envoyé à Avira pour qu'il soit mis en liste blanche

Par quoi va t on, le remplacer cet Antivir ?





Bah il faut faire le ratio entre l'efficacité relative du moindre
emmerdement et les alertes concernant les faux positifs

Le premier reflexe face à une alerte de l'AV c'est de jeter un oeil via
un moteur de recherche pour savoir ce qu'il en est

Le problème c'est que la plupart des gens ne savent pas régler leur
antivirus (la recherche de rootkit au démarrage est rarement cochée) que
ceux qui s'orientent sur les cracks, ou téléchargent n'importe où et
n'importe quoi, ne tiennent pas leur PC à jour etc mettent les réglages
à fond de l'AV d'où les alertes à répetitions sur le moindre script ou
fichier

De plus un AV ne protégeant pas de la connerie humaine, et sachant que
les 99% d'efficacité (en étant optimiste) d'un AV, laissent la voie
libre pour les 1500 infections nouvelles par jour du 1% restant, il y a
plus de chances d'attraper une infection en téléchargeant "une
nouveauté" que de la voir s'afficher en tant que "faux positif"

Là, la personne infectée avait un spybot résident (tea timer) qui a pu
entrer en conflit avec un AV installé disposant d'un bouclier temps
réel, n'avait pas Antivir contrairement à ses dires, s'est surement fait
infecter parce qu'elle fait du P2P, et ce qu'elle récupère est surement
balancé sur un disque externe (fichiers copiés avec SuperCopier)sans
compter qu'il a du récupérer quelques infections au passages en allant
sur le site MyPlayCity.com fournisseurs de spyware et malware comme
nombre de sites de "jeux gratuits" (il avait récupéré un jeu d'arcade)

Lorsque l'on regarde les affiliations, elles sont toujours les memes :

http://moe.mabul.org/up/moe/2009/10/10/img-1122470l6yt.jpg

Une partie des progs "sensibles" n'étaient pas à jour (Adobe Reader par ex))

Enfin bref, pour en revenir au thread initial, je doute que LUDO aurait
pu s'en sortir pour une infection somme toute basique sur ce type de
cas, avec son lien magique, sur lequel il faut "tout appliquer" et team
viewer.
Az Sam
Le #20327461
"DePassage" hapkvm$iap$


Oui, mais peut etre cela vient il du fait que ce prog cherche à communiquer
avec un site externe (AVG par ex à des fins statistiques)



donc un nettoyeur et spyware ?

Je l'ai envoyé à Avira pour qu'il soit mis en liste blanche



ce fichier serait tout nouveau ?


Bah il faut faire le ratio entre l'efficacité relative du moindre emmerdement
et les alertes concernant les faux positifs



Je peux le comprendre pour des choses recentes mais pas là...


Le premier reflexe face à une alerte de l'AV c'est de jeter un oeil via un
moteur de recherche pour savoir ce qu'il en est



pas un truc serieux de helpeur ca. ;-)
un moteur de recherche ne donne que les pseudos sites de collecte qui te
proposent surtou un scna en ligne pour t'infecter.
Les reste c'ets des forums avec des threads inutiles.


Le problème c'est que la plupart des gens ne savent pas régler leur antivirus
(la recherche de rootkit au démarrage est rarement cochée) que ceux qui
s'orientent sur les cracks, ou téléchargent n'importe où et n'importe quoi, ne
tiennent pas leur PC à jour etc mettent les réglages à fond de l'AV d'où les
alertes à répetitions sur le moindre script ou fichier



digression. Là ce n'est pas le cas.


De plus un AV ne protégeant pas de la connerie humaine, et sachant que les 99%
d'efficacité (en étant optimiste) d'un AV, laissent la voie libre pour les
1500 infections nouvelles par jour du 1% restant, il y a plus de chances
d'attraper une infection en téléchargeant "une nouveauté" que de la voir
s'afficher en tant que "faux positif"



le probleme c'ets que entre les nouveautes dangeureuses sans alertes et les
alertes sur des vieux trucs pris de source apparement fiables et censées
nettoyer justement on ne voit plus trop comment faire confiance a quoi ou qui
que ce soit...
quand Antivir continue de balancer des HTML/Infected.WebPage.Gen. a chaque pub
inscrustee par script dans le moindre site, ca craint.. Encore hier chez une
cliente on cherchait des PC elligibles Windows 7, boom, son Antivir (sur mon
conseil) nous a crié dessus. Moi connaissant cette sale habitude de Antivir je
ne me suis pas formalise, mais elle, seulke devant son PC, elle faisait quoi ?
Non c'est pas serieux, vraiment pas.


Enfin bref, pour en revenir au thread initial, je doute que LUDO aurait pu
s'en sortir pour une infection somme toute basique sur ce type de cas, avec
son lien magique, sur lequel il faut "tout appliquer" et team viewer.



ressasser les memes choses ne font pas avance le schimillibilik et fait perdre
bcp de temps je trouve. c'ets un peu comme les medias TV, on parle des memes
futilite eternellement pour ne pas parler du reste. De ce point de vue, aussi
malade soit il, certains de ses reproches sont fondés.



--
Cordialement,
Az Sam.
DePassage
Le #20327831
Az Sam wrote:
"DePassage" news: hapkvm$iap$


Oui, mais peut etre cela vient il du fait que ce prog cherche à
communiquer avec un site externe (AVG par ex à des fins statistiques)



donc un nettoyeur et spyware ?




C'est juste une supposition


Je l'ai envoyé à Avira pour qu'il soit mis en liste blanche



ce fichier serait tout nouveau ?



Non mais un changement de signature, ou du programme lui meme (tout en
conservant le meme nom) peut affoler l'heuristique

C'est dommage car il fonctionnait bien l'heuristique au tout début

Maintenant ceux qui le maitrisent le mieux sont Bitdefender (du moins
pour les faux positifs)


Bah il faut faire le ratio entre l'efficacité relative du moindre
emmerdement et les alertes concernant les faux positifs



Je peux le comprendre pour des choses recentes mais pas là...



J'attend la réponse d'Avira

Mais tu sais, meme si ils ne se débrouillent pas mal globalement, je
trouve que leur labo a un comportement bizarre.

Il y a 15 jours je leur ai envoyé une nouvelle infection (une vraie), et
ils ont mis 2 jours pour trouver la parade et l'incorporer dans la base
On peut relativiser en se disant que les autres AV n'avaient rien vu (du
moins si j'en crois ce que Virus Total racontait)mais bon...


Le premier reflexe face à une alerte de l'AV c'est de jeter un oeil
via un moteur de recherche pour savoir ce qu'il en est



pas un truc serieux de helpeur ca. ;-)



Non, mais c'est ce que je conseille autour de moi tout comme pour les
messages reçus qu'on soupçonnne d'etre un "hoax"
En cas de doute on vérifie avant d'embeter tout le monde

Il est vrai qu'il faut faire le ménage dans les réponses mais si
l'infection est connue ou si il s'agit d'un faux positif, cela
apparaitra rapidement.

Néanmoins ce n'est pas la solution ultime, mais permet une approche
et peut aider à confirmer une suspicion

un moteur de recherche ne donne que les pseudos sites de collecte qui te
proposent surtou un scna en ligne pour t'infecter.
Les reste c'ets des forums avec des threads inutiles.



Ben utilise un meta moteur
Google de par son fonctionnement ne donne pas contrairement à ce que
l'on croit la "bonne réponse" mais celle dont le lien est le plus visité

Par ex tu tapes "antivirus gratuit" et la première réponse sera AVAST



De plus un AV ne protégeant pas de la connerie humaine, et sachant que
les 99% d'efficacité (en étant optimiste) d'un AV, laissent la voie
libre pour les 1500 infections nouvelles par jour du 1% restant, il y
a plus de chances d'attraper une infection en téléchargeant "une
nouveauté" que de la voir s'afficher en tant que "faux positif"



le probleme c'ets que entre les nouveautes dangeureuses sans alertes et
les alertes sur des vieux trucs pris de source apparement fiables et
censées nettoyer justement on ne voit plus trop comment faire confiance
a quoi ou qui que ce soit...



Et oui ce n'est pas une science exacte...

quand Antivir continue de balancer des HTML/Infected.WebPage.Gen. a
chaque pub inscrustee par script dans le moindre site, ca craint..
Encore hier chez une cliente on cherchait des PC elligibles Windows 7,
boom, son Antivir (sur mon conseil) nous a crié dessus. Moi connaissant
cette sale habitude de Antivir je ne me suis pas formalise, mais elle,
seulke devant son PC, elle faisait quoi ?
Non c'est pas serieux, vraiment pas.



C'est là tout le problème des systèmes de protection

Meme problème du reste avec un firewall autre que celui de windows (un
Comodo ou Online armor peut se révéler une source d'inquiétudes aux vues
des multiples alertes, stresser, sans compter qu'une mauvaise réponse
peut mettre à mal la sécu du PC)

Il est vrai que cela ne fait pas sérieux concernant Avira, mais il faut
reconnaitre que ce prog n'est connu que d'une tranche de la population
plus au fait des infections, et que pour le grand public on ne trouve
dans les étals que les suites connues (Norton, etc)

Néanmoins j'installe ou fait installer de l'Avira autour de moi


Enfin bref, pour en revenir au thread initial, je doute que LUDO
aurait pu s'en sortir pour une infection somme toute basique sur ce
type de cas, avec son lien magique, sur lequel il faut "tout
appliquer" et team viewer.



ressasser les memes choses ne font pas avance le schimillibilik et fait
perdre bcp de temps je trouve. c'ets un peu comme les medias TV, on
parle des memes futilite eternellement pour ne pas parler du reste. De
ce point de vue, aussi malade soit il, certains de ses reproches sont
fondés.



Qu'il n'y a pas de solution ultime ? Oui
Que le gratuit peut etre aussi efficace que du payant ? Oui (dans
certaines limites)

Pour le reste... voir sa "page" :-)
Az Sam
Le #20328191
"DePassage" 3bc62$4ad07138$57586be6$

Mais tu sais, meme si ils ne se débrouillent pas mal globalement, je trouve
que leur labo a un comportement bizarre.

Il y a 15 jours je leur ai envoyé une nouvelle infection (une vraie), et ils
ont mis 2 jours pour trouver la parade et l'incorporer dans la base
On peut relativiser en se disant que les autres AV n'avaient rien vu (du moins
si j'en crois ce que Virus Total racontait mais bon...






Il est vrai qu'il faut faire le ménage dans les réponses mais si l'infection
est connue ou si il s'agit d'un faux positif, cela apparaitra rapidement.



mouais.. dépend du moteur et de la recherche. voir tes propres mots sur Google
ci dessous :-)


Google de par son fonctionnement ne donne pas contrairement à ce que l'on
croit la "bonne réponse" mais celle dont le lien est le plus visité




Et oui ce n'est pas une science exacte...



je crois que Antivir va audela, et ca dure depuis trop longtemps pour etre un
simple effet collateral. Surtout quand , comme tu le dis, les autres font
mieux.*


Il est vrai que cela ne fait pas sérieux concernant Avira, mais il faut
reconnaitre que ce prog n'est connu que d'une tranche de la population plus au
fait des infections, et que pour le grand public on ne trouve dans les étals
que les suites connues (Norton, etc)



Je ne comprend pas l'argument. Ne pas etre present sur les etales devrait nous
rendre comprehensif de ses imperfections laissées sans correction ?


Néanmoins j'installe ou fait installer de l'Avira autour de moi



moi je suis moins insistant depuis 6 mois deja. C'est con a dire mais les gens
preferent etre rassurés par les on-dits, ils minimisent alors leurs soucis quand
il surviennent et utilisent finalement leur PC avec moins d'apprehension. Sans
fondement, mais reel.
Avant avec Avira je pouvais faire confiance en 1 produit qui n'alerterait pas a
tout va pour conduire à une reponse "c'est rien, juste un Faux positrf, ignorez
votre protection"
L'autre solution est de reduire l'heuristique, mais ce ne me convient pas comme
demarche.
Nod32 et Trend Micro semblent reprendre l'avantage.
http://fr.trendmicro.com/fr/products/sb/worry-free-business-security/download/index.php?productID5
pour obtenir un code d'evaluation.
le seul ennui avec ses produits americains c'est qu'ils traitent les mises a
jour pour la France en dernier :-(


Qu'il n'y a pas de solution ultime ? Oui
Que le gratuit peut etre aussi efficace que du payant ? Oui (dans certaines
limites)



non. Que les vraies infos pertinentes et utiles ne sont pas partagées ni
discutees.


--
Cordialement,
Az Sam.
DePassage
Le #20331901
Az Sam wrote:
"DePassage" news: 3bc62$4ad07138$57586be6$


Et oui ce n'est pas une science exacte...



je crois que Antivir va audela, et ca dure depuis trop longtemps pour
etre un simple effet collateral. Surtout quand , comme tu le dis, les
autres font mieux.*



En fait ils détectent moins de faux positifs, mais est-ce que
l'heuristique est à la hauteur ?

Je prenais comme ex bitdefender, car globalement il est nettement au
dessus d'Avira concernant les faux positifs (il est rare qu'il en
détecte) mais concernant les infections nouvelles il est un peu en
dessous d'Avira (meme si parfois il détecte des infections qu'Avira ne
voit pas)

Je n'ai pas assez de recul pour l'instant avec la nouvelle mouture de
bitdefender (parce que pour juger de l'efficacité d'un AV cela se fait
dans le temps)



Il est vrai que cela ne fait pas sérieux concernant Avira, mais il
faut reconnaitre que ce prog n'est connu que d'une tranche de la
population plus au fait des infections, et que pour le grand public on
ne trouve dans les étals que les suites connues (Norton, etc)



Je ne comprend pas l'argument. Ne pas etre present sur les etales
devrait nous rendre comprehensif de ses imperfections laissées sans
correction ?



Non

Je mettais juste en avant qu'Avira était trop "susceptible" par ex sur
les scripts des pages web, et que son usage maintenant le destinait à un
"public averti"

Le grand public se dirigera plutot sur des suites moins alarmistes, meme
si moins efficaces (on ne trouve pas Avira sur les étals de toutes les
façons)

Et il n'est pas question d'etre plus compréhensif envers Avira


Néanmoins j'installe ou fait installer de l'Avira autour de moi



moi je suis moins insistant depuis 6 mois deja. C'est con a dire mais
les gens preferent etre rassurés par les on-dits, ils minimisent alors
leurs soucis quand il surviennent et utilisent finalement leur PC avec
moins d'apprehension. Sans fondement, mais reel.
Avant avec Avira je pouvais faire confiance en 1 produit qui
n'alerterait pas a tout va pour conduire à une reponse "c'est rien,
juste un Faux positrf, ignorez votre protection"
L'autre solution est de reduire l'heuristique, mais ce ne me convient
pas comme demarche



Oui, surtout que ce qui faisait force d'Avira il y a quelques temps
c'était justement ses capacités à détecter les nouvelles menaces non
incluses dans la base de données virales
Il le fait toujours mais la contrepartie est des plus pénibles


Nod32 et Trend Micro semblent reprendre l'avantage.
http://fr.trendmicro.com/fr/products/sb/worry-free-business-security/download/index.php?productID5

pour obtenir un code d'evaluation.
le seul ennui avec ses produits americains c'est qu'ils traitent les
mises a jour pour la France en dernier :-(



Un peu génant surtout si cela touche des parties majeures du moteur...


Qu'il n'y a pas de solution ultime ? Oui
Que le gratuit peut etre aussi efficace que du payant ? Oui (dans
certaines limites)



non. Que les vraies infos pertinentes et utiles ne sont pas partagées ni
discutees.



Du genre ?

Tiens en passant :

http://www.adobe.com/support/security/bulletins/apsb09-15.html

5 jours pour combler la faille...
Ludo
Le #20334551
C'est bien, je constate que je t'ai piqué au vif...

:)))

Tissu d'âneries, tes proses verbeuses qui
ne méritent que ces quelques lignes de ma
part.

Le temps, c'est de l'argent.

Tu dois être désoeuvré ou sans famille, LoL...
DePassage
Le #20335221
Ludo wrote:
C'est bien, je constate que je t'ai piqué au vif...




C'est surtout que tu es dangereux, et il faut que les gens le sachent


:)))

Tissu d'âneries, tes proses verbeuses qui
ne méritent que ces quelques lignes de ma
part.



Normal tu ne peux rien en dire, ca te dépasse


Le temps, c'est de l'argent.



Décidemment... pour quelqu'un qui gagne bien sa vie, ces prestations à
coup de skype te sont vraiment nécessaires


Tu dois être désoeuvré ou sans famille, LoL...



Même pas :-) C'est con hein ?
Ludo
Le #20335761
>
C'est surtout que tu es dangereux, et il faut que les gens le sachent




Mais bien sûr...
Je suis "dangereux" pour ceux qui veulent jouer
aux gourous en informatique... Je fais tomber le
mythe...

:)))


Décidemment... pour quelqu'un qui gagne bien sa vie, ces prestations à
coup de skype te sont vraiment nécessaires




Pas de bol, je n'ai jamais fait payer personne...
De surcroît, tous ceux qui sont passés par moi
et qui continuent à le faire sont très satisfaits...

Bref, contente-toi de "donner des conseils"...
Ils sont parfois utiles bien que tu te complaises
plus dans la diffamation.
DePassage
Le #20339181
Az Sam wrote:
"DePassage" news: hapkvm$iap$


Oui, mais peut etre cela vient il du fait que ce prog cherche à
communiquer avec un site externe (AVG par ex à des fins statistiques)



donc un nettoyeur et spyware ?

Je l'ai envoyé à Avira pour qu'il soit mis en liste blanche



ce fichier serait tout nouveau ?






J'ai eu la réponse d'AVIRA :

Filename Result
rmslt.exe FALSE POSITIVE

The file 'rmslt.exe' has been determined to be 'FALSE POSITIVE'. In
particular this means that this file is not malicious but a false alarm.
Detection will not be removed due to the fact that the file contains
unencrypted malicious patterns. This is an indicator that a legitimate
detection or removal program did not encrypt parts that are used to
identify malicious content. Please contact the manufacturer of this file.

Alternatively you can see the analysis result here:
http://analysis.avira.com/samples/details.php?uniqueid=kq4QkBytzOsA9FhUIJFYsypHAQfxnDIt&incidentid80633
Publicité
Poster une réponse
Anonyme