Je me retrouve face à un ordi avec un chtit prog à priori pas mal:
'CapShift' de '1 hour Software de Skrommel' * ; écrit comme un script
'AutoHotKey'.
Seulement l'antivirus AVG y repère 'Worm/AutoIt.BUC' - mais je ne trouve
aucune description de ce ver nulle part (y compris sur le site d'AVG).
J'ai bien trouvé d'autres espèces et flaveurs de vers 'AutoIt' (miam
miam), mais aucun symptôme décrit pour eux n'existe sur l'ordi
incriminé, qui ne montre aucun signe de dysfonctionnement non plus.
Alors: à vôt' avis - vrai ver frétillant, ou fausse alerte?
--
bitwyse [PGP KeyID 0xA79C8F2C]
Les conseils - c'est ce qu'on demande quand on connaît déjà la réponse
mais aurait préféré ne pas la savoir.
http://www.le-maquis.net
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
CriCri
Salut Bernard
bsch a écrit :
Tu as demandé à virustotal je présume ? http://www.virustotal.com/fr/
Non, je ne connaissais pas. Merci, j'ai marqué la page. (J'ai une dizaine de liens vers les encyclopédies de chaque éditeur d'antivirus, mais c'est plus pratique.)
Il m'a rapporté 14 malwares (dont 8 sensiblement les mêmes - des variantes de 'Trojan-Spy.Win32.Agent.cvv'). Mais chaque fois que je lis le descriptif: ce qu'il fait etc, soit ça n'a pas été fait, soit c'est parfaitement normal!
Çui-là aussi n'est pas mal : (ouvre le fichier dans un bac à sable et l'analyse) http://www.threatexpert.com/submit.aspx
Celui-là trouve 'TROJ_AGENT.APDC' - il crée un process et un mutex et installe un hook pour le clavier (touusa est normal, compte tenu de sa fonction).
Celui-là me signale 'Trojan.Spy-30279' - mais - File changes: il n'a ouvert que son propre '.ini' - Registry changes: il n'a fait que lire quelques valeurs - Network acivity: néant.
-------- Enfin globalement je pense que c'est le hook sur le clavier qui les fait croire à un malware, alors que c'est nécessaire à son fonctionnement et il ne fait rien de répréhensible avec.
Enfin, je l'ai installé sur mon propre ordi en traquant ce qui se passe: soit rien du tout. Et s'il essayait de transmettre ce que je tape, mon pare-feu le bloquerait et m'avertirait.
Je crois donc que c'est une fausse alerte.
Amicalement CriCri
-- bitwyse [PGP KeyID 0xA79C8F2C] Les conseils - c'est ce qu'on demande quand on connaît déjà la réponse mais aurait préféré ne pas la savoir. http://www.le-maquis.net
Salut Bernard
bsch a écrit :
Tu as demandé à virustotal je présume ? http://www.virustotal.com/fr/
Non, je ne connaissais pas. Merci, j'ai marqué la page.
(J'ai une dizaine de liens vers les encyclopédies de chaque éditeur
d'antivirus, mais c'est plus pratique.)
Il m'a rapporté 14 malwares (dont 8 sensiblement les mêmes - des
variantes de 'Trojan-Spy.Win32.Agent.cvv').
Mais chaque fois que je lis le descriptif: ce qu'il fait etc, soit ça
n'a pas été fait, soit c'est parfaitement normal!
Çui-là aussi n'est pas mal : (ouvre le fichier dans un bac à sable et
l'analyse) http://www.threatexpert.com/submit.aspx
Celui-là trouve 'TROJ_AGENT.APDC' - il crée un process et un mutex et
installe un hook pour le clavier (touusa est normal, compte tenu de sa
fonction).
Celui-là me signale 'Trojan.Spy-30279' - mais
- File changes: il n'a ouvert que son propre '.ini'
- Registry changes: il n'a fait que lire quelques valeurs
- Network acivity: néant.
--------
Enfin globalement je pense que c'est le hook sur le clavier qui les fait
croire à un malware, alors que c'est nécessaire à son fonctionnement et
il ne fait rien de répréhensible avec.
Enfin, je l'ai installé sur mon propre ordi en traquant ce qui se passe:
soit rien du tout. Et s'il essayait de transmettre ce que je tape, mon
pare-feu le bloquerait et m'avertirait.
Je crois donc que c'est une fausse alerte.
Amicalement
CriCri
--
bitwyse [PGP KeyID 0xA79C8F2C]
Les conseils - c'est ce qu'on demande quand on connaît déjà la réponse
mais aurait préféré ne pas la savoir.
http://www.le-maquis.net
Tu as demandé à virustotal je présume ? http://www.virustotal.com/fr/
Non, je ne connaissais pas. Merci, j'ai marqué la page. (J'ai une dizaine de liens vers les encyclopédies de chaque éditeur d'antivirus, mais c'est plus pratique.)
Il m'a rapporté 14 malwares (dont 8 sensiblement les mêmes - des variantes de 'Trojan-Spy.Win32.Agent.cvv'). Mais chaque fois que je lis le descriptif: ce qu'il fait etc, soit ça n'a pas été fait, soit c'est parfaitement normal!
Çui-là aussi n'est pas mal : (ouvre le fichier dans un bac à sable et l'analyse) http://www.threatexpert.com/submit.aspx
Celui-là trouve 'TROJ_AGENT.APDC' - il crée un process et un mutex et installe un hook pour le clavier (touusa est normal, compte tenu de sa fonction).
Celui-là me signale 'Trojan.Spy-30279' - mais - File changes: il n'a ouvert que son propre '.ini' - Registry changes: il n'a fait que lire quelques valeurs - Network acivity: néant.
-------- Enfin globalement je pense que c'est le hook sur le clavier qui les fait croire à un malware, alors que c'est nécessaire à son fonctionnement et il ne fait rien de répréhensible avec.
Enfin, je l'ai installé sur mon propre ordi en traquant ce qui se passe: soit rien du tout. Et s'il essayait de transmettre ce que je tape, mon pare-feu le bloquerait et m'avertirait.
Je crois donc que c'est une fausse alerte.
Amicalement CriCri
-- bitwyse [PGP KeyID 0xA79C8F2C] Les conseils - c'est ce qu'on demande quand on connaît déjà la réponse mais aurait préféré ne pas la savoir. http://www.le-maquis.net
_Dine & Clau_
CriCri écrivit dans news:487f8d35$0$852$:
Salut la DDASS
Salut aussi
Corrélativement, ....
Copie d'écran lorsque j'ai passé l'avg grisoft ver 7.5.524 virus base 270.5.1/1259
Il s'agit d'une réponse positive de AVG antivirus pour un fichier de comptabilité.
TROJAN GENERIC
- vrai ver frétillant, ou fausse alerte?
Comme tu le dis !
Je n'ai trouvé aucune information sur ce sujet.
Merci d'avance pour votre réponse. __ CB C&C
_Dine & Clau_
"_Dine & Clau_" écrivit dans news:48809638$0$2853$:
CriCri écrivit dans news:487f8d35$0$852$:
---------------- Résultat de virus total --------------ON Résultat: 0/33 (0%) en train de charger les informations du serveur... Votre fichier est dans la file d'attente, en position: 2.
"_Dine & Clau_" <claude.claudine@gmail.com> écrivit dans
news:48809638$0$2853$ba620e4c@news.skynet.be:
CriCri <bitwyse@leTIRETmaquis.net> écrivit dans
news:487f8d35$0$852$ba4acef3@news.orange.fr:
---------------- Résultat de virus total --------------ON
Résultat: 0/33 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 2.
"_Dine & Clau_" écrivit dans news:48809638$0$2853$:
CriCri écrivit dans news:487f8d35$0$852$:
---------------- Résultat de virus total --------------ON Résultat: 0/33 (0%) en train de charger les informations du serveur... Votre fichier est dans la file d'attente, en position: 2.
En ce qui concerne mon fichier 'CapsShift', pour être doublement sûr j'ai récupéré la source que j'ai étudié attentivement (RAS); downloadé le compilateur AutoHotKey et l'ai compilé, puis j'ai re-soumis le nouvel '.exe' à Virus Total - avec à peu près les même faux positifs.
Il y a donc un problème avec les signatures - un peu partout et non seulement chez Grisoft. A propos, c'est bien AVG (Free Edition) que j'installe sur tous les ordis qui sortent de chez moi - je l'ai toujours trouvé fiable et efficace.
Amicalement CriCri
-- bitwyse [PGP KeyID 0xA79C8F2C] Les conseils - c'est ce qu'on demande quand on connaît déjà la réponse mais aurait préféré ne pas la savoir. http://www.le-maquis.net
Salut
_Dine & Clau_ a écrit :
C'est donc un faux positif donné par AVG grisoft.
J'ai bon ?
On dirait...
En ce qui concerne mon fichier 'CapsShift', pour être doublement sûr
j'ai récupéré la source que j'ai étudié attentivement (RAS); downloadé
le compilateur AutoHotKey et l'ai compilé, puis j'ai re-soumis le nouvel
'.exe' à Virus Total - avec à peu près les même faux positifs.
Il y a donc un problème avec les signatures - un peu partout et non
seulement chez Grisoft.
A propos, c'est bien AVG (Free Edition) que j'installe sur tous les
ordis qui sortent de chez moi - je l'ai toujours trouvé fiable et efficace.
Amicalement
CriCri
--
bitwyse [PGP KeyID 0xA79C8F2C]
Les conseils - c'est ce qu'on demande quand on connaît déjà la réponse
mais aurait préféré ne pas la savoir.
http://www.le-maquis.net
En ce qui concerne mon fichier 'CapsShift', pour être doublement sûr j'ai récupéré la source que j'ai étudié attentivement (RAS); downloadé le compilateur AutoHotKey et l'ai compilé, puis j'ai re-soumis le nouvel '.exe' à Virus Total - avec à peu près les même faux positifs.
Il y a donc un problème avec les signatures - un peu partout et non seulement chez Grisoft. A propos, c'est bien AVG (Free Edition) que j'installe sur tous les ordis qui sortent de chez moi - je l'ai toujours trouvé fiable et efficace.
Amicalement CriCri
-- bitwyse [PGP KeyID 0xA79C8F2C] Les conseils - c'est ce qu'on demande quand on connaît déjà la réponse mais aurait préféré ne pas la savoir. http://www.le-maquis.net
_Dine & Clau_
CriCri écrivit dans news:4880adff$0$924$:
J'ai bon ?
On dirait...
En ce qui concerne mon fichier 'CapsShift', pour être doublement sûr j'ai récupéré la source que j'ai étudié attentivement (RAS); downloadé le compilateur AutoHotKey et l'ai compilé, puis j'ai re-soumis le nouvel '.exe' à Virus Total - avec à peu près les même faux positifs.
C'est bien dommage toussa... Mais, d'autres éléments me disaient aussi qu'il devait s'agir d'un faux positif :
1 - La date de découverte 03/2008 2 - La stabilité de mon pc depuis ce temps ...(soit 4 mois jusqu'à ce jour) 3 - Le fait peut-être que le fichier *.exe provient d'une programmation en cobol (*.cob) soit très ancienne et que les virus n'ont tendance qu'à affecter les nouveautés (histoire de concurrence sourde et méchante ...)
Il y a donc un problème avec les signatures - un peu partout et non seulement chez Grisoft. A propos, c'est bien AVG (Free Edition) que j'installe sur tous les ordis qui sortent de chez moi - je l'ai toujours trouvé fiable et efficace.
Merci !
Amicalement
Amitiés __ CB C&C
CriCri <bitwyse@leTIRETmaquis.net> écrivit dans
news:4880adff$0$924$ba4acef3@news.orange.fr:
J'ai bon ?
On dirait...
En ce qui concerne mon fichier 'CapsShift', pour être doublement
sûr j'ai récupéré la source que j'ai étudié attentivement (RAS);
downloadé le compilateur AutoHotKey et l'ai compilé, puis j'ai
re-soumis le nouvel '.exe' à Virus Total - avec à peu près les
même faux positifs.
C'est bien dommage toussa...
Mais, d'autres éléments me disaient aussi qu'il devait s'agir d'un
faux positif :
1 - La date de découverte 03/2008
2 - La stabilité de mon pc depuis ce temps ...(soit 4 mois jusqu'à ce
jour)
3 - Le fait peut-être que le fichier *.exe provient d'une
programmation en cobol (*.cob) soit très ancienne et que les virus
n'ont tendance qu'à affecter les nouveautés (histoire de concurrence
sourde et méchante ...)
Il y a donc un problème avec les signatures - un peu partout et
non seulement chez Grisoft.
A propos, c'est bien AVG (Free Edition) que j'installe sur tous
les ordis qui sortent de chez moi - je l'ai toujours trouvé
fiable et efficace.
En ce qui concerne mon fichier 'CapsShift', pour être doublement sûr j'ai récupéré la source que j'ai étudié attentivement (RAS); downloadé le compilateur AutoHotKey et l'ai compilé, puis j'ai re-soumis le nouvel '.exe' à Virus Total - avec à peu près les même faux positifs.
C'est bien dommage toussa... Mais, d'autres éléments me disaient aussi qu'il devait s'agir d'un faux positif :
1 - La date de découverte 03/2008 2 - La stabilité de mon pc depuis ce temps ...(soit 4 mois jusqu'à ce jour) 3 - Le fait peut-être que le fichier *.exe provient d'une programmation en cobol (*.cob) soit très ancienne et que les virus n'ont tendance qu'à affecter les nouveautés (histoire de concurrence sourde et méchante ...)
Il y a donc un problème avec les signatures - un peu partout et non seulement chez Grisoft. A propos, c'est bien AVG (Free Edition) que j'installe sur tous les ordis qui sortent de chez moi - je l'ai toujours trouvé fiable et efficace.
Merci !
Amicalement
Amitiés __ CB C&C
CriCri
CriCri a écrit :
En ce qui concerne mon fichier 'CapsShift', pour être doublement sûr j'ai récupéré la source que j'ai étudié attentivement (RAS); downloadé le compilateur AutoHotKey et l'ai compilé, puis j'ai re-soumis le nouvel '.exe' à Virus Total - avec à peu près les même faux positifs.
Ça m'a donné aussi l'occasion de remodeler son fonctionnement à ma façon :-)
Mais le plus intéressant est que j'ai aussi réduit le programme à presque rien du tout (juste l'initialisation); puis je l'ai compilé avec le compilateur 'AutoHotKey'. Et voilà: ça donne toujours des résultats positifs chez VirusTotal.
Donc AMHA il n'y a que deux conclusions possibles: 1. le compilateur 'AutoHotKey' crée lui-même des vers. Ça me paraît peu probable, et en tout cas même s'ils existent ils ne font strictement rien. 2. les moteurs d'analyse voient des nains partout. Puisque ce système de développement de par sa nature installe sans doute presque systématiquement un hook sur le clavier, ils crient au loup sans chercher plus loin (ça suffit...).
Voilà: méfiez-vous donc des résultats des tests anti-virus. Perso je suis très content d'avoir ce 'ver' très pratique sur mes ordis.
Amicalement CriCri
-- bitwyse [PGP KeyID 0xA79C8F2C] Les conseils - c'est ce qu'on demande quand on connaît déjà la réponse mais aurait préféré ne pas la savoir. http://www.le-maquis.net
CriCri a écrit :
En ce qui concerne mon fichier 'CapsShift', pour être doublement sûr
j'ai récupéré la source que j'ai étudié attentivement (RAS);
downloadé le compilateur AutoHotKey et l'ai compilé, puis j'ai
re-soumis le nouvel '.exe' à Virus Total - avec à peu près les même
faux positifs.
Ça m'a donné aussi l'occasion de remodeler son fonctionnement à ma façon :-)
Mais le plus intéressant est que j'ai aussi réduit le programme à
presque rien du tout (juste l'initialisation); puis je l'ai compilé avec
le compilateur 'AutoHotKey'.
Et voilà: ça donne toujours des résultats positifs chez VirusTotal.
Donc AMHA il n'y a que deux conclusions possibles:
1. le compilateur 'AutoHotKey' crée lui-même des vers.
Ça me paraît peu probable, et en tout cas même s'ils existent ils ne
font strictement rien.
2. les moteurs d'analyse voient des nains partout.
Puisque ce système de développement de par sa nature installe sans doute
presque systématiquement un hook sur le clavier, ils crient au loup sans
chercher plus loin (ça suffit...).
Voilà: méfiez-vous donc des résultats des tests anti-virus.
Perso je suis très content d'avoir ce 'ver' très pratique sur mes ordis.
Amicalement
CriCri
--
bitwyse [PGP KeyID 0xA79C8F2C]
Les conseils - c'est ce qu'on demande quand on connaît déjà la réponse
mais aurait préféré ne pas la savoir.
http://www.le-maquis.net
En ce qui concerne mon fichier 'CapsShift', pour être doublement sûr j'ai récupéré la source que j'ai étudié attentivement (RAS); downloadé le compilateur AutoHotKey et l'ai compilé, puis j'ai re-soumis le nouvel '.exe' à Virus Total - avec à peu près les même faux positifs.
Ça m'a donné aussi l'occasion de remodeler son fonctionnement à ma façon :-)
Mais le plus intéressant est que j'ai aussi réduit le programme à presque rien du tout (juste l'initialisation); puis je l'ai compilé avec le compilateur 'AutoHotKey'. Et voilà: ça donne toujours des résultats positifs chez VirusTotal.
Donc AMHA il n'y a que deux conclusions possibles: 1. le compilateur 'AutoHotKey' crée lui-même des vers. Ça me paraît peu probable, et en tout cas même s'ils existent ils ne font strictement rien. 2. les moteurs d'analyse voient des nains partout. Puisque ce système de développement de par sa nature installe sans doute presque systématiquement un hook sur le clavier, ils crient au loup sans chercher plus loin (ça suffit...).
Voilà: méfiez-vous donc des résultats des tests anti-virus. Perso je suis très content d'avoir ce 'ver' très pratique sur mes ordis.
Amicalement CriCri
-- bitwyse [PGP KeyID 0xA79C8F2C] Les conseils - c'est ce qu'on demande quand on connaît déjà la réponse mais aurait préféré ne pas la savoir. http://www.le-maquis.net
CriCri
Toutes mes excuses (à vous et aux auteurs de ces systèmes de macros/développement rapide): je me suis rendu compte après coup que j'ai intitulé machinalement ce fil "AutoIt" alors qu'il s'agit bien de 'AutoHotKey'.
Ne connaissant auparavant ni l'un ni l'autre, je n'ai pas fait la différence.
-- bitwyse [PGP KeyID 0xA79C8F2C] Les conseils - c'est ce qu'on demande quand on connaît déjà la réponse mais aurait préféré ne pas la savoir. http://www.le-maquis.
Toutes mes excuses (à vous et aux auteurs de ces systèmes de
macros/développement rapide):
je me suis rendu compte après coup que j'ai intitulé machinalement ce
fil "AutoIt" alors qu'il s'agit bien de 'AutoHotKey'.
Ne connaissant auparavant ni l'un ni l'autre, je n'ai pas fait la
différence.
--
bitwyse [PGP KeyID 0xA79C8F2C]
Les conseils - c'est ce qu'on demande quand on connaît déjà la réponse
mais aurait préféré ne pas la savoir.
http://www.le-maquis.
Toutes mes excuses (à vous et aux auteurs de ces systèmes de macros/développement rapide): je me suis rendu compte après coup que j'ai intitulé machinalement ce fil "AutoIt" alors qu'il s'agit bien de 'AutoHotKey'.
Ne connaissant auparavant ni l'un ni l'autre, je n'ai pas fait la différence.
-- bitwyse [PGP KeyID 0xA79C8F2C] Les conseils - c'est ce qu'on demande quand on connaît déjà la réponse mais aurait préféré ne pas la savoir. http://www.le-maquis.
