Ver fantôme (AutoIt)

Le
CriCri
Salut la DDASS

Je me retrouve face à un ordi avec un chtit prog à priori pas mal:
'CapShift' de '1 hour Software de Skrommel' * ; écrit comme un script
'AutoHotKey'.

Seulement l'antivirus AVG y repère 'Worm/AutoIt.BUC' - mais je ne trouve
aucune description de ce ver nulle part (y compris sur le site d'AVG).

J'ai bien trouvé d'autres espèces et flaveurs de vers 'AutoIt' (miam
miam), mais aucun symptôme décrit pour eux n'existe sur l'ordi
incriminé, qui ne montre aucun signe de dysfonctionnement non plus.

Alors: à vôt' avis - vrai ver frétillant, ou fausse alerte?

Amicalement
CriCri

* http://www.donationcoder.com/Software/Skrommel/index.html#CAPshift

--
bitwyse [PGP KeyID 0xA79C8F2C]
Les conseils - c'est ce qu'on demande quand on connaît déjà la réponse
mais aurait préféré ne pas la savoir.
http://www.le-maquis.net
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
CriCri
Le #16359921
Salut Bernard

bsch a écrit :

Tu as demandé à virustotal je présume ? http://www.virustotal.com/fr/




Non, je ne connaissais pas. Merci, j'ai marqué la page.
(J'ai une dizaine de liens vers les encyclopédies de chaque éditeur
d'antivirus, mais c'est plus pratique.)

Il m'a rapporté 14 malwares (dont 8 sensiblement les mêmes - des
variantes de 'Trojan-Spy.Win32.Agent.cvv').
Mais chaque fois que je lis le descriptif: ce qu'il fait etc, soit ça
n'a pas été fait, soit c'est parfaitement normal!

Çui-là aussi n'est pas mal : (ouvre le fichier dans un bac à sable et
l'analyse) http://www.threatexpert.com/submit.aspx



Celui-là trouve 'TROJ_AGENT.APDC' - il crée un process et un mutex et
installe un hook pour le clavier (touusa est normal, compte tenu de sa
fonction).

http://www.cwsandbox.org/?page=submit&action=verify



Celui-là me signale 'Trojan.Spy-30279' - mais
- File changes: il n'a ouvert que son propre '.ini'
- Registry changes: il n'a fait que lire quelques valeurs
- Network acivity: néant.

--------
Enfin globalement je pense que c'est le hook sur le clavier qui les fait
croire à un malware, alors que c'est nécessaire à son fonctionnement et
il ne fait rien de répréhensible avec.

Enfin, je l'ai installé sur mon propre ordi en traquant ce qui se passe:
soit rien du tout. Et s'il essayait de transmettre ce que je tape, mon
pare-feu le bloquerait et m'avertirait.

Je crois donc que c'est une fausse alerte.

Amicalement
CriCri

--
bitwyse [PGP KeyID 0xA79C8F2C]
Les conseils - c'est ce qu'on demande quand on connaît déjà la réponse
mais aurait préféré ne pas la savoir.
http://www.le-maquis.net
_Dine & Clau_
Le #16361621
CriCri news:487f8d35$0$852$:

Salut la DDASS


Salut aussi

Corrélativement, ....

Copie d'écran lorsque j'ai passé l'avg grisoft ver 7.5.524 virus base
270.5.1/1259

http://picasaweb.google.fr/Claude.Claudine/Documents02/photo#52243349
46550058242

Il s'agit d'une réponse positive de AVG antivirus pour un fichier de
comptabilité.

TROJAN GENERIC

- vrai ver frétillant, ou fausse alerte?

Comme tu le dis !

Je n'ai trouvé aucune information sur ce sujet.

Merci d'avance pour votre réponse.
__
CB
C&C
_Dine & Clau_
Le #16362571
"_Dine & Clau_" news:48809638$0$2853$:

CriCri news:487f8d35$0$852$:


---------------- Résultat de virus total --------------ON
Résultat: 0/33 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 2.


Bottom of Form 1
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.7.17.0 2008.07.18 -
AntiVir 7.8.1.11 2008.07.18 -
Authentium 5.1.0.4 2008.07.18 -
Avast 4.8.1195.0 2008.07.18 -
AVG 8.0.0.130 2008.07.18 -
BitDefender 7.2 2008.07.18 -
CAT-QuickHeal 9.50 2008.07.17 -
ClamAV 0.93.1 2008.07.18 -
DrWeb 4.44.0.09170 2008.07.18 -
eSafe 7.0.17.0 2008.07.17 -
eTrust-Vet 31.6.5965 2008.07.18 -
Ewido 4.0 2008.07.18 -
F-Prot 4.4.4.56 2008.07.18 -
F-Secure 7.60.13501.0 2008.07.18 -
Fortinet 3.14.0.0 2008.07.18 -
GData 2.0.7306.1023 2008.07.18 -
Ikarus T3.1.1.34.0 2008.07.18 -
Kaspersky 7.0.0.125 2008.07.18 -
McAfee 5341 2008.07.18 -
Microsoft 1.3704 2008.07.18 -
NOD32v2 3279 2008.07.18 -
Norman 5.80.02 2008.07.18 -
Panda 9.0.0.4 2008.07.17 -
Prevx1 V2 2008.07.18 -
Rising 20.53.42.00 2008.07.18 -
Sophos 4.31.0 2008.07.18 -
Sunbelt 3.1.1536.1 2008.07.17 -
Symantec 10 2008.07.18 -
TheHacker 6.2.96.381 2008.07.16 -
TrendMicro 8.700.0.1004 2008.07.18 -
VBA32 3.12.8.0 2008.07.17 -
VirusBuster 4.5.11.0 2008.07.18 -
Webwasher-Gateway 6.6.2 2008.07.18 -

Information additionnelle
File size: 365671 bytes
MD5...: bd945411fa179803eeedfc7426c66e2e
SHA1..: 41800ddce0abdb617c4eb661f3118f307f7f1fdc
SHA256: 5f40e73713fa8611c123597337aee2476ac6ef353af718c791fe12bd20bc8873
SHA512: ded438260c6009044aff4362048273d25673b27419c95179f1c9b8c81fe16114
fd08af613c6eab8db4734df97b788251f84144b5670d9e17700d22a6b69fbcb8
PEiD..: -
PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x401873 timedatestamp.....:
0x436c0d5a (Sat Nov 05 01:39:38 2005) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd
virsiz rawdsiz ntrpy md5 .text 0x1000 0xbba 0xc00 6.11 a9e3c489cf6313c6db49f77eb10fbba7 .rdata
0x2000 0x5b6 0x600 4.61 adc803db213b32e9ecd367864a8b88aa .data 0x3000 0x47c 0x200 0.12
55743481aebf44ec95e86d5d2a35f255 .rsrc 0x4000 0x4528 0x4600 4.03
8dd3de526b062b40c8523bc2ed7caa6b ( 4 imports ) > MSVCR71.dll: __p__commode,
__p__fmode, __set_app_type, _adjust_fdiv, __dllonexit, _onexit, _controlfp, __setusermatherr,
_initterm, __getmainargs, _amsg_exit, _acmdln, exit, _cexit, _ismbblead, _XcptFilter, _exit, _c_exit,
_mbschr, _mbsicmp, _access, _mbsrchr, isspace, _splitpath, _except_handler3, _makepath >
KERNEL32.dll: GetModuleHandleA, GetModuleFileNameA, FreeLibrary, GetProcAddress,
GetSystemDirectoryA, lstrcatA, GetCurrentDirectoryA, LoadLibraryA, lstrcpyA, _lopen, _lclose,
_llseek, _lread, GetStartupInfoA > USER32.dll: MessageBoxA, LoadStringA, wsprintfA >
ADVAPI32.dll: RegQueryValueA, RegOpenKeyA, RegCloseKey ( 0 exports )
---------------- Résultat de virus total ----------------------------------------------OFF

C'est donc un faux positif donné par AVG grisoft.

J'ai bon ?

A +
__
CB
C&C
CriCri
Le #16362751
Salut

_Dine & Clau_ a écrit :

C'est donc un faux positif donné par AVG grisoft.

J'ai bon ?



On dirait...

En ce qui concerne mon fichier 'CapsShift', pour être doublement sûr
j'ai récupéré la source que j'ai étudié attentivement (RAS); downloadé
le compilateur AutoHotKey et l'ai compilé, puis j'ai re-soumis le nouvel
'.exe' à Virus Total - avec à peu près les même faux positifs.

Il y a donc un problème avec les signatures - un peu partout et non
seulement chez Grisoft.
A propos, c'est bien AVG (Free Edition) que j'installe sur tous les
ordis qui sortent de chez moi - je l'ai toujours trouvé fiable et efficace.

Amicalement
CriCri

--
bitwyse [PGP KeyID 0xA79C8F2C]
Les conseils - c'est ce qu'on demande quand on connaît déjà la réponse
mais aurait préféré ne pas la savoir.
http://www.le-maquis.net
_Dine & Clau_
Le #16362881
CriCri news:4880adff$0$924$:


J'ai bon ?





On dirait...



En ce qui concerne mon fichier 'CapsShift', pour être doublement
sûr j'ai récupéré la source que j'ai étudié attentivement (RAS);
downloadé le compilateur AutoHotKey et l'ai compilé, puis j'ai
re-soumis le nouvel '.exe' à Virus Total - avec à peu près les
même faux positifs.



C'est bien dommage toussa...
Mais, d'autres éléments me disaient aussi qu'il devait s'agir d'un
faux positif :

1 - La date de découverte 03/2008
2 - La stabilité de mon pc depuis ce temps ...(soit 4 mois jusqu'à ce
jour)
3 - Le fait peut-être que le fichier *.exe provient d'une
programmation en cobol (*.cob) soit très ancienne et que les virus
n'ont tendance qu'à affecter les nouveautés (histoire de concurrence
sourde et méchante ...)

Il y a donc un problème avec les signatures - un peu partout et
non seulement chez Grisoft.
A propos, c'est bien AVG (Free Edition) que j'installe sur tous
les ordis qui sortent de chez moi - je l'ai toujours trouvé
fiable et efficace.


Merci !

Amicalement


Amitiés
__
CB
C&C
CriCri
Le #16371781
CriCri a écrit :

En ce qui concerne mon fichier 'CapsShift', pour être doublement sûr
j'ai récupéré la source que j'ai étudié attentivement (RAS);
downloadé le compilateur AutoHotKey et l'ai compilé, puis j'ai
re-soumis le nouvel '.exe' à Virus Total - avec à peu près les même
faux positifs.



Ça m'a donné aussi l'occasion de remodeler son fonctionnement à ma façon :-)

Mais le plus intéressant est que j'ai aussi réduit le programme à
presque rien du tout (juste l'initialisation); puis je l'ai compilé avec
le compilateur 'AutoHotKey'.
Et voilà: ça donne toujours des résultats positifs chez VirusTotal.

Donc AMHA il n'y a que deux conclusions possibles:
1. le compilateur 'AutoHotKey' crée lui-même des vers.
Ça me paraît peu probable, et en tout cas même s'ils existent ils ne
font strictement rien.
2. les moteurs d'analyse voient des nains partout.
Puisque ce système de développement de par sa nature installe sans doute
presque systématiquement un hook sur le clavier, ils crient au loup sans
chercher plus loin (ça suffit...).

Voilà: méfiez-vous donc des résultats des tests anti-virus.
Perso je suis très content d'avoir ce 'ver' très pratique sur mes ordis.

Amicalement
CriCri

--
bitwyse [PGP KeyID 0xA79C8F2C]
Les conseils - c'est ce qu'on demande quand on connaît déjà la réponse
mais aurait préféré ne pas la savoir.
http://www.le-maquis.net
CriCri
Le #16375701
Toutes mes excuses (à vous et aux auteurs de ces systèmes de
macros/développement rapide):
je me suis rendu compte après coup que j'ai intitulé machinalement ce
fil "AutoIt" alors qu'il s'agit bien de 'AutoHotKey'.

Ne connaissant auparavant ni l'un ni l'autre, je n'ai pas fait la
différence.

--
bitwyse [PGP KeyID 0xA79C8F2C]
Les conseils - c'est ce qu'on demande quand on connaît déjà la réponse
mais aurait préféré ne pas la savoir.
http://www.le-maquis.
Publicité
Poster une réponse
Anonyme