[29A7] Qu'en dit votre AV ?

Le
NO_eikaewt_SPAM
'jour,

Ca fait maintenant quelques jours que le numero 7 de l'ezine
29a est sorti. Je serais curieux de connaitre les resultats des
scans des differents AVs sur les nouveautes (ou pas)contenues dans
celui-ci.

J'ai pas eu le courage d'assembler ce qui doit l'etre (la majorite'),
mais un petit test sur les binaires (et les fichiers textes contenant)
des scripts peut deja etre interessant pour tester la reactivite'
des divers AVs et voir ce qui est detecte' de maniere heuristique.
Etant donne' que l'ezine est sorti en pleine periode de crise, certains
editeurs ont du prendre du retard

Mon protocole est minimaliste : dezipper l'archive dans un dossier
et scanner avec un scanner a jour de ce matin (detection heuristique
activee, parametres par defaut pour tout le reste).

Norman 5.7 me donne (20 fichiers infectes):

'W32/Flatei.D' : /29A/Binaries/Alcopaul/NETVIRUS.ZIP : SYRA-B.EXE
'W32/Flatei.F' : /29A/Binaries/Alcopaul/NETVIRUS.ZIP : SYRA-C.EXE
'MyDoom.A@mm' : /29A/Binaries/Anonymous/MYDOOM.ZIP : BINARY/MYDOOM.EXE
'W32/Stigmador.A' : /29A/Binaries/GriYo/STIGMA.ZIP :
Stigma/Build/Release/Master.exe
'W32/Hacdef.0_84' : /29A/Binaries/Holy_Father/HXDEF100.ZIP : hxdef100.exe
'W32/Hacdef.0_84' : /29A/Binaries/Holy_Father/HXDEF100.ZIP : rdrbs100.exe
'W32/Hacdef.0_84' : /29A/Binaries/Holy_Father/HXDEF100.ZIP : bdcli100.exe
'W32/W.B' : /29A/Binaries/Kenerman/TIRTHAS.ZIP : INFECTED.EXE
'W32/EMailWorm' : /29A/Binaries/MI_Pirat/PIECEBYP.ZIP : PIECEBYP.VIR
Sandbox :
Enumerates running processes.
Creates key "HKLM/Software/RedCell".
Sets value "infected"="yes" in key "HKLM/Software/RedCell".
Creates value "Windows task32 sys"="C:/WINDOWS/System/winsys211.exe"
in
key "HKCU/Software/Microsoft/Windows/CurrentVersion/Run".
Creates file script.ini.
Creates file C:/Msbootlog.sys.
Attempts to resolve name "smtp.barrysworld.com".
Reads value "SMTP Email Address
'W97M/Zerogav.A' : /29A/Binaries/Necronomikon/ALICIA.ZIP : bins.rar :
alicia/Dok1.doc
'W32/FileInfector' : /29A/Binaries/Necronomikon/HEMPHOPE.ZIP : PSFTP.EXE
Sandbox :
File infector; modifies existing executable files.
'W32/W.C' : /29A/Binaries/Vallez/URK0.ZIP : URK0.EXE
'W32/Malware' : /29A/Binaries/Vecna/BOT.ZIP : Release/bot.exe
Sandbox :
Connect port 0 [DGRAM], IP 0.0.0.0.
Connects to IRC Server.
'W32/Malware' : /29A/Binaries/Vecna/FTRANSF.ZIP : CLIENT/RELEASE/client.exe
Sandbox :
Connect port 0 [DGRAM], IP 0.0.0.0.
Connects to IRC Server.
'W32/Malware' : /29A/Binaries/Vecna/FTRANSF.ZIP : SERVER/Release/server.exe
Sandbox :
Connect port 0 [DGRAM], IP 0.0.0.0.
Connects to IRC Server.
'W32/FileInfector' : /29A/Binaries/whale/NAS096B.ZIP : release.e$e
Sandbox :
Locates window "NULL [class Shell_TrayWnd]" on desktop.
File infector; modifies existing executable files.
'W32/FileInfector' : /29A/Binaries/whale/NAS096B.ZIP :
infected/noimports.e$e
Sandbox :
Locates window "NULL [class Shell_TrayWnd]" on desktop.
File infector; modifies existing executable files.
'W32/P2PWorm' : /29A/Binaries/whale/ZAIKA.ZIP : zaika-dropper.exe
Sandbox :
Creates value "System Recovery Agent"="C:/WINDOWS/SYSTEM/WINFJFNb.EXE"
in
key "HKLM/Software/Microsoft/Windows/CurrentVersion/Run".
Creates file C:/Progra~1/Kazaa/Myshar~1/setup.exe.
P2P worm; drops files in P2P upload/download directory.
'W32/Stinkfly.1813' : /29A/Binaries/yoda/FLY.ZIP : FLY.EYE
'VBS/GenMail.C' : /29A/Viruses/Win32/29A-7.019

Ceux qui veulent faire le test sauront sans doute ou se procurer
l'archive.

--
Tweakie


--
Posté via http://www.webatou.net/
Usenet dans votre navigateur
Complaints-To: abuse@webatou.net
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
joke0
Le #1100228
Salut,

Tweakie:
Je serais curieux de connaitre les resultats des scans des
differents AVs sur les nouveautes (ou pas)contenues dans
celui-ci.


Généralement ils ne se dépêchent pas car la probabilité de les
retrouver itw est faible.

Mon protocole est minimaliste : dezipper l'archive dans un
dossier et scanner avec un scanner a jour de ce matin

Norman 5.7 me donne (20 fichiers infectes):


AVP 3.5:
infected: 36 (dont virtool : 4)
alerte: 1

Un virtool supplémentaire depuis le jour de la sortie.

--
joke0

Frederic Bonroy
Le #1100224
Tweakie wrote:

Mon protocole est minimaliste : dezipper l'archive dans un dossier
et scanner avec un scanner a jour de ce matin (detection heuristique
activee, parametres par defaut pour tout le reste).

Norman 5.7 me donne (20 fichiers infectes):

[...]


AntiVir (2 mars) reconnaît 21 fichiers infectés; F-Prot pour DOS voit 14
infectés et 29 suspects.


Au fait: selon Frisk les dernières mises à jour datent du 2 mars, mais
en décompactant on se retrouve avec les .def du 25 février. Même chose
pour macro.def. :-( Alors j'ai téléchargé les définitions chez F-Secure.

joke0
Le #1100080
Salut,

Frederic Bonroy:
Au fait: selon Frisk les dernières mises à jour datent du 2
mars, mais en décompactant on se retrouve avec les .def du 25
février.


Juste un léger problème de date puisqu'il m'a correctement
Bagle.G, H et I. Les dernières datent du 02/03 13h.

--
joke0

NO_eikaewt_SPAM
Le #1100077
Frederic Bonroy wrote:

AntiVir (2 mars) reconnaît 21 fichiers infectés; F-Prot pour DOS voit 14
infectés et 29 suspects.



Au fait: selon Frisk les dernières mises à jour datent du 2 mars, mais
en décompactant on se retrouve avec les .def du 25 février. Même chose
pour macro.def. :-( Alors j'ai téléchargé les définitions chez F-Secure.


Avec les definitions de chez Frisk, j'obtiens (infectes/suspects):
/PACKED /ARCHIVE : 14/23
idem + /AI : 14/27
idem + /ONLYHEUR : 5/35

(et 14/17 avec /NOHEUR...)

Pour AVP et Antivir, quelle est la proportion d'identification /
reconnaissance heuristique ?

Quelqu'un pour tester NOD, McAffee, Norton et les autres ?

--
Tweakie


--
Posté via http://www.webatou.net/
Usenet dans votre navigateur
Complaints-To:

joke0
Le #1085965
Salut,

Tweakie:
Pour AVP et Antivir, quelle est la proportion d'identification
/ reconnaissance heuristique ?


AVP, 1 mars:
Virus connus: 35
Occurences : 48
ALERTES : 1
Suspects : 4 (dont 1 iframe)

AVP, 2 mars:
Virus connus: 36
Occurences : 49
ALERTES : 1
Suspects : 4

Quelqu'un pour tester NOD, McAffee, Norton et les autres ?


McAfee VirusScan for DOS/PM v4.32.0
Virus data file v4100 created Mar 01 2004
Possibly Infected: ..... 63

Le 2 mars: pareil

--
joke0

Publicité
Poster une réponse
Anonyme