Virus éphémère

Le
CriCri
Salut tlm

J'ai sous la main l'ordi d'un client sur lequel l'antivirus a repéré
avec précision 16 fichiers infectés, majoritairement des '.dll' (dont 2
dans des fichiers compressés '.cab' ou '.exe'). Plusieurs sont des
runtimes MSC de diverses versions.

Il n'a pas nommé l'infection, dont je suppose qu'il s'est basé sur des
signatures génériques.
Il s'agit de 'AVG' (édition gratuite) qui est d'un fiabilité exemplaire
et que j'installe systématiquement sur tous les ordis qui sortent de
chez moi.

Maintenant la chose bizarre: par curiosité j'ai récupéré les fichiers en
quarantaine via le réseau sur un poste de test à moi - le seul où j'ai
un anti-virus installé. La version et les fichiers de signature sont
identiques (MAJ quotidien automatique). Mais sur le poste de test
l'anti-virus ne tique pas sur ces mêmes fichiers.
J'ai donc récupéré quelques fichiers en quarantaine sur l'ordi d'origine
- et l'anti-virus les repère encore une fois.

La seule différence significative est que l'ordi du client est sous XP
Fam (NTFS) et le poste de test sous W98SE (FAT32).
Voyez-vous un rapport?

Amicalement
CriCri

--
bitwyse [PGP KeyID 0xA79C8F2C]
Tout le monde est d'accord -
il ne reste plus qu'à trouver le point commun.
http://www.le-maquis.net
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Michel__D
Le #17611861
Bonjour,

CriCri a écrit :
Salut tlm

J'ai sous la main l'ordi d'un client sur lequel l'antivirus a repéré
avec précision 16 fichiers infectés, majoritairement des '.dll' (dont 2
dans des fichiers compressés '.cab' ou '.exe'). Plusieurs sont des
runtimes MSC de diverses versions.

Il n'a pas nommé l'infection, dont je suppose qu'il s'est basé sur des
signatures génériques.
Il s'agit de 'AVG' (édition gratuite) qui est d'un fiabilité exemplaire
et que j'installe systématiquement sur tous les ordis qui sortent de
chez moi.

Maintenant la chose bizarre: par curiosité j'ai récupéré les fichiers en
quarantaine via le réseau sur un poste de test à moi - le seul où j'ai
un anti-virus installé. La version et les fichiers de signature sont
identiques (MAJ quotidien automatique). Mais sur le poste de test
l'anti-virus ne tique pas sur ces mêmes fichiers.
J'ai donc récupéré quelques fichiers en quarantaine sur l'ordi d'origine
- et l'anti-virus les repère encore une fois.

La seule différence significative est que l'ordi du client est sous XP
Fam (NTFS) et le poste de test sous W98SE (FAT32).
Voyez-vous un rapport?



Il n'est pas sur que le fichier de signature pourtant de même version
soit strictement identique pour chaque OS car certains malwares sont
inopérants sur certains OS, par exemple la faille svchost sur W9x.
Achim Bombota
Le #17611851
CriCri a envoyé 33 lignes d'octets en forme de :

La seule différence significative est que l'ordi du client est sous XP
Fam (NTFS) et le poste de test sous W98SE (FAT32).
Voyez-vous un rapport?



Je dis sûrement une connerie, mais les fichiers en quarantaine sont
renommés, non ?

--
Then you should sit in your backyard,
Watch clouds peak over the tallest mountain tops,
Because they unveil honest opinions about the stars.
CriCri
Le #17612401
Michel__D a écrit :

Il n'est pas sur que le fichier de signature pourtant de même version
soit strictement identique pour chaque OS car certains malwares sont
inopérants sur certains OS, par exemple la faille svchost sur W9x.



Merci pour la suggestion. Je vais essayer de voir ça

Amicalement
CriCri

--
bitwyse [PGP KeyID 0xA79C8F2C]
Tout le monde est d'accord -
il ne reste plus qu'à trouver le point commun.
http://www.le-maquis.net
CriCri
Le #17612391
Achim Bombota a écrit :

Je dis sûrement une connerie, mais les fichiers en quarantaine sont
renommés, non ?



Non, non, pas de connerie (heu... en tout cas pas aujourd'hui ;-)

Les fichiers sont non seulement renommés, mais ont aussi un en-tête
rajouté, AMHA pour les marquer comme 'déjà vus' (afin qu'ils ne soient
pas considérés toujours comme infectés lors de la prochaine passe) et
peut-être pour enregistrer aussi leurs noms et chemins d'origine, la
date etc etc (je n'ai pas regardé de près).
Il faut donc utiliser l'anti-virus lui-même pour les récupérer: soit
vers leur emplacements d'origine, soit vers un autre de son choix (dans
ce cas c'était un autre ordi dans le réseau).
Le fichier récupéré est renommé comme à l'origine (et l'en-tête est
enlevé, bien sûr); à ce moment-là il redevient comme avant.

Amicalement
CriCri

--
bitwyse [PGP KeyID 0xA79C8F2C]
Tout le monde est d'accord -
il ne reste plus qu'à trouver le point commun.
http://www.le-maquis.net
Atila
Le #17614191
> J'ai sous la main l'ordi d'un client sur lequel l'antivirus a repéré
avec précision 16 fichiers infectés, majoritairement des '.dll' (dont 2
dans des fichiers compressés '.cab' ou '.exe'). Plusieurs sont des
runtimes MSC de diverses versions.

Il n'a pas nommé l'infection, dont je suppose qu'il s'est basé sur des
signatures génériques.
Il s'agit de 'AVG' (édition gratuite) qui est d'un fiabilité exemplaire
et que j'installe systématiquement sur tous les ordis qui sortent de
chez moi.

Maintenant la chose bizarre: par curiosité j'ai récupéré les fichiers en
quarantaine via le réseau sur un poste de test à moi - le seul où j'ai
un anti-virus installé. La version et les fichiers de signature sont
identiques (MAJ quotidien automatique). Mais sur le poste de test
l'anti-virus ne tique pas sur ces mêmes fichiers.
J'ai donc récupéré quelques fichiers en quarantaine sur l'ordi d'origine
- et l'anti-virus les repère encore une fois.

La seule différence significative est que l'ordi du client est sous XP
Fam (NTFS) et le poste de test sous W98SE (FAT32).
Voyez-vous un rapport?

Amicalement
CriCri



Bonjour CriCri,
Tu pourrais demander une analyse en ligne via www.Secuser.com
Cordialement
Michel
Publicité
Poster une réponse
Anonyme