win32 trojan-gen sa nuisance

Le
Haristo
Bonjour

Sur le site :
http://www.espacevision.org/diaporamas.htm

en telechargeant les Diaporamas, l'antivirus Avast à trouvé un
virus/ver
sur le fichier :
"Lacrima"
auteur : Ricardo Zarate

le virus est nommé win32 trojan-gen
detail voir :
http://cjoint.com/?bomjK2jJY2

Je suis pas infecté mais j'aimerais connaitre l'activité de nuisance de
ce virus/ver, n'ayant rien trouvé a ce sujet sur internet.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Roland Garcia
Le #1694018
Bonjour

Sur le site :
http://www.espacevision.org/diaporamas.htm

en telechargeant les Diaporamas, l'antivirus Avast à trouvé un virus/ver
sur le fichier :
"Lacrima"
auteur : Ricardo Zarate

le virus est nommé win32 trojan-gen
detail voir :
http://cjoint.com/?bomjK2jJY2

Je suis pas infecté mais j'aimerais connaitre l'activité de nuisance de
ce virus/ver, n'ayant rien trouvé a ce sujet sur internet.


Aucune nuisance, c'est une fausse alarme.

Et il n'est pas le seul à la faire, d'après VirusTotal:

CAT-QuickHeal Backdoor.Hupigon.djk
F-Secure W32/Hupigon.AYXT
Norman W32/Hupigon.AYXT
TheHacker Backdoor/Hupigon.djk
VBA32 Backdoor.Win32.Hupigon.djk

--
Roland Garcia

Haristo
Le #1690298
Bonjour

Sur le site :
http://www.espacevision.org/diaporamas.htm



Le responsable du site vient de me repondre :
" Je pense que vous utilisez Avast comme antivirus, c'est ça? (ou
Kaspersky, éventuellement)
Eh bien c'est un "faux positif". Les gens de Avast sont au courant et
essaient d'identifier ce qui cause cette alerte indûe.
Gérard D"


Roland Garcia
Le #1690297
Bonjour

Sur le site :
http://www.espacevision.org/diaporamas.htm



Le responsable du site vient de me repondre :
" Je pense que vous utilisez Avast comme antivirus, c'est ça? (ou
Kaspersky, éventuellement)
Eh bien c'est un "faux positif". Les gens de Avast sont au courant et
essaient d'identifier ce qui cause cette alerte indûe.
Gérard D"


ébénon, Kaspersky ne fait pas de fausse alarme.

--
Roland Garcia



Ludovic
Le #1690093
On Mon, 14 Jan 2008 20:28:03 +0100, Roland Garcia wrote:


ébénon, Kaspersky ne fait pas de fausse alarme.



ébé y peut vu qu'il est payant.

DePassage
Le #1689883
Ludovic wrote:
On Mon, 14 Jan 2008 20:28:03 +0100, Roland Garcia wrote:

ébénon, Kaspersky ne fait pas de fausse alarme.



ébé y peut vu qu'il est payant.


Donc implicitement tu avoues q'un "payant" est plus efficace qu'un
"gratuit" et comme cela te fait mal de le convenir, mais que tu acceptes
le fait, la fissure dans ta muraille AVAST ne peut etre que si un payant
ne laisse rien passer.

Bon début, mais tu te trompes encore et tu n'as rien compris.
Tu en reste à l'opposition Gratuit/payant alors que le problème se pose
en termes d'efficacité


Roland Garcia
Le #1689876
On Mon, 14 Jan 2008 20:28:03 +0100, Roland Garcia wrote:

ébénon, Kaspersky ne fait pas de fausse alarme.



ébé y peut vu qu'il est payant.


ébénon, y peut simplement parce qu'il est fichu depuis des années de
décompresser Aspack et de faire porter sa signature sur l'EXE réel.

--
Roland Garcia


Ludovic
Le #1689875
On Wed, 16 Jan 2008 11:14:55 +0100, DePassage

Donc implicitement tu avoues q'un "payant" est plus efficace qu'un
"gratuit"



ébénon, ça, c'est ce que tu en déduis...

Antivirus gratuit + http://inforadio.free.fr/protect-virus.htm
et tu as une protection qui tient aussi bien la route...

Evidemment, notre vendeur d'antivirus va affirmer que
je dis des bêtises... Pas grâve...

J'ai un ordi depuis mes débuts en programmation en 1987
et je ne suis toujours pas infecté par des virus... alors...
j'applique la méthode "cause toujours tu m'intéresses"...

Maintenant, promis, lorsque je me ferai plomber, je vous
avertirai.

A+
Ludovic.

DePassage
Le #1689874
Ludovic wrote:
On Wed, 16 Jan 2008 11:14:55 +0100, DePassage
Donc implicitement tu avoues q'un "payant" est plus efficace qu'un
"gratuit"



ébénon, ça, c'est ce que tu en déduis...


C'est ce que tu laissais entendre...

Pour toi un payant ne peut et ne doit rien laisser passer avec de
fausses alarmes parce.. qu'il est payant.


Antivirus gratuit + http://xxxxxxxxxx.xxxx/xxxxxxxxx


J'ai "no-script", donc si tout le monde vire javascript (résultat
identique), tu ne pourras plus savoir combien de personnes visitent ta
page ?


et tu as une protection qui tient aussi bien la route...


Oui en testant avec "Eicar" :-)

Je cite :

"Testez votre antivirus : http://securite-informatique.info/virus/eicar/
Le simple téléchargement des fichiers de votre page, le scanning des
pièces jointes par votre antivirus doit provoquer une réaction de votre
antivirus."

Moi je t'avais donné un simple lien (et pas le plus dangereux) pour
remplacer cette adresse Eicar mais tu n'en n'a pas voulu.

Mais bon... Je reconnais que malgré tes conseils et l'utilisation
d'Avast les gens auraient été infecté et sans s'en apercevoir

"Avast ? Moi je l'ai depuis des années et je n'ai jamais été infecté"
disent ses groupies :-)

Ca aurait été dommage.


Evidemment, notre vendeur d'antivirus va affirmer que
je dis des bêtises... Pas grâve...


Evidemmment ca leurre les lecteurs de Micro-Hebdo, mais le gros problème
ce dont tu n'es pas conscient, c'est que tu es en retard d'un train face
aux nouvelles menaces (pas la première fois que je te le dis) et les
gens qui visitent ta page se croiront protégés.... à tort.


J'ai un ordi depuis mes débuts en programmation en 1987
et je ne suis toujours pas infecté par des virus... alors...


et alors ? Moi non plus, mais ca ne prouve rien. Tu oublies le
comportemental dans ton analyse, qui plus est n'est meme plus gage de ne
rien attraper actuellement.

Il y a 10 ans et plus, on pouvait se passer d'anti virus (si si c'était
faisable)
Il y a encore quelques années on pouvait se contenter d'Avast et de tes
conseils.

Mais là on est en 2008 !

Tu cites le CERTA mais tout n'y est pas dit, et pourtant rien qu'à la
lecture des Bulletin de sécurité tu devrais t'apercevoir de l'évolution
des menaces

j'applique la méthode "cause toujours tu m'intéresses"...

Maintenant, promis, lorsque je me ferai plomber, je vous
avertirai.


Et là tu tomberas en déprime, te flagelleras, finira alcoolique, vendra
ton ordi pour acheter un boulier :-)


Ludovic
Le #1694009
On Thu, 17 Jan 2008 02:53:31 +0100, DePassage
J'ai "no-script", donc si tout le monde vire javascript (résultat
identique), tu ne pourras plus savoir combien de personnes visitent ta
page ?


Franchement, cela m'indiffère...


Moi je t'avais donné un simple lien (et pas le plus dangereux) pour
remplacer cette adresse Eicar mais tu n'en n'a pas voulu.



Si, je l'ai testé.

Mais bon... Je reconnais que malgré tes conseils et l'utilisation
d'Avast les gens auraient été infecté et sans s'en apercevoir


Non puisque je ne l'ai pas été...


"Avast ? Moi je l'ai depuis des années et je n'ai jamais été infecté"
disent ses groupies :-)



Si tu es infecté, tu vois l'activité au niveau du firewall (Kerio entre autre),
tu trouves des trucs bizarres lorsque tu scannes avec les programmes
cités sur la page, etc...

Mon PC est toujours clean.


Evidemmment ca leurre les lecteurs de Micro-Hebdo, mais le gros problème
ce dont tu n'es pas conscient, c'est que tu es en retard d'un train face
aux nouvelles menaces (pas la première fois que je te le dis) et les
gens qui visitent ta page se croiront protégés.... à tort.



Tu parles des rootkits je suppose... La page, elle évolue en permanence
et jusqu'à preuve du contraire mon PC se porte bien...


Et là tu tomberas en déprime, te flagelleras, finira alcoolique, vendra
ton ordi pour acheter un boulier :-)



On en reparlera en 2020... Comme je l'ai signalé, j'ai déjà configuré
de nombreuses machines de la sorte et depuis, malgré leur inexpérience,
les collègues ne s'en plaignent pas.

Maintenant, franchement, même en cas de souci, ils disposent tout comme
moi d'un GHOST de la partition system réalisé de façon systématique en
tâche de fond. C'est la parade à n'importe quel virus actuel...

Sur ce, j'arrête le monologue habituel...

@+
Ludovic

DePassage
Le #1694007
Ludovic wrote:

Moi je t'avais donné un simple lien (et pas le plus dangereux) pour
remplacer cette adresse Eicar mais tu n'en n'a pas voulu.



Si, je l'ai testé.



Et bien si tu avais téléchargé et installé ce programme comme tout
utilisateur lambda, tu aurais été infecté et ce meme avec ta page et Avast.



Mais bon... Je reconnais que malgré tes conseils et l'utilisation
d'Avast les gens auraient été infecté et sans s'en apercevoir


Non puisque je ne l'ai pas été...



Tu es de mauvaise foi. Tu ne pouvais qu'être infecté.



"Avast ? Moi je l'ai depuis des années et je n'ai jamais été infecté"
disent ses groupies :-)



Si tu es infecté, tu vois l'activité au niveau du firewall (Kerio entre autre),
tu trouves des trucs bizarres lorsque tu scannes avec les programmes
cités sur la page, etc...



Le jour ou tu comprendras que 90% des utilisateurs d'un ordi ne font
qu'utiliser les programmes qu'ils ont installé, qu'ils ont autre chose
en tête que de scruter toutes les 2 minutes les logs de firewall, qu'il
est prouvé qu'ils ne font pas les mises à jour (et là je ne parle pas
même pas de windows),

Fait toi meme un test du reste avec un "update checker" basique :
http://www.filehippo.com/updatechecker/

et que malgré les recomamndations ils se feront un jour ou l'autre
piéger avec un jeu gratuit, un programme complémentaire pour afficher
une vidéo, une pub sur un site "sérieux" et j'en passe parce qu'aussi le
firewall ne détectera pas le problème qui passera par le port 80 de la
page web affichée


Evidemmment ca leurre les lecteurs de Micro-Hebdo, mais le gros problème
ce dont tu n'es pas conscient, c'est que tu es en retard d'un train face
aux nouvelles menaces (pas la première fois que je te le dis) et les
gens qui visitent ta page se croiront protégés.... à tort.



Tu parles des rootkits je suppose...


Et non.
Les rootkits meme si l'on n'a pas encore trouvé la parade efficace,
n'est qu'une partie de ces nouvelles menaces.

On en reparlera en 2020... Comme je l'ai signalé, j'ai déjà configuré
de nombreuses machines de la sorte et depuis, malgré leur inexpérience,
les collègues ne s'en plaignent pas.

Maintenant, franchement, même en cas de souci, ils disposent tout comme
moi d'un GHOST de la partition system réalisé de façon systématique en
tâche de fond. C'est la parade à n'importe quel virus actuel...


Déja l'utilisateur lambda ne sait meme pas ce qu'est un GHOST, et il y
a quelques programmes vérolés qui échappent à AVAST depuis plusieurs mois.


Sur ce, j'arrête le monologue habituel...


Régle numéro 1 :

Ne jamais télécharger un programme trouvé sur un site perso

Je note que :
http://inforadio.free.fr/kerio/kerio-personal-firewall-2.1.5.exe

Une version dont il faut avoir quelques connaissances réseaux pour bien
le configurer (comme tous les firewall mais là...) et ne me dit pas de
laisser la "configuration automatique" qui peut suffire.

Ah tu l'as mis en téléchargement sur ta page parce que cette version est
gratuite mais obsolète ? Ah ok :-)


Règle numéro 2 :

S'interesser aux failles connues.

http://secunia.com/product/1493/?task­visories

Et il est compatible Vista ? :-)
Il ne faut pas non plus une version spécifique d'Avast pour l'utiliser
avec Kerio ?


Publicité
Poster une réponse
Anonyme