[29A7] Qu'en dit votre AV ?

'jour,

Ca fait maintenant quelques jours que le numero 7 de l'ezine
29a est sorti. Je serais curieux de connaitre les resultats des
scans des differents AVs sur les nouveautes (ou pas)contenues dans
celui-ci.

J'ai pas eu le courage d'assembler ce qui doit l'etre (la majorite'),
mais un petit test sur les binaires (et les fichiers textes contenant)
des scripts peut deja etre interessant pour tester la reactivite'
des divers AVs et voir ce qui est detecte' de maniere heuristique.
Etant donne' que l'ezine est sorti en pleine periode de crise, certains
editeurs ont du prendre du retard...

Mon protocole est minimaliste : dezipper l'archive dans un dossier
et scanner avec un scanner a jour de ce matin (detection heuristique
activee, parametres par defaut pour tout le reste).

Norman 5.7 me donne (20 fichiers infectes):

'W32/Flatei.D' : /29A/Binaries/Alcopaul/NETVIRUS.ZIP : SYRA-B.EXE
'W32/Flatei.F' : /29A/Binaries/Alcopaul/NETVIRUS.ZIP : SYRA-C.EXE
'MyDoom.A@mm' : /29A/Binaries/Anonymous/MYDOOM.ZIP : BINARY/MYDOOM.EXE
'W32/Stigmador.A' : /29A/Binaries/GriYo/STIGMA.ZIP :
Stigma/Build/Release/Master.exe
'W32/Hacdef.0_84' : /29A/Binaries/Holy_Father/HXDEF100.ZIP : hxdef100.exe
'W32/Hacdef.0_84' : /29A/Binaries/Holy_Father/HXDEF100.ZIP : rdrbs100.exe
'W32/Hacdef.0_84' : /29A/Binaries/Holy_Father/HXDEF100.ZIP : bdcli100.exe
'W32/W.B' : /29A/Binaries/Kenerman/TIRTHAS.ZIP : INFECTED.EXE
'W32/EMailWorm' : /29A/Binaries/MI_Pirat/PIECEBYP.ZIP : PIECEBYP.VIR
Sandbox :
Enumerates running processes.
Creates key "HKLM/Software/RedCell".
Sets value "infected"="yes" in key "HKLM/Software/RedCell".
Creates value "Windows task32 sys"="C:/WINDOWS/System/winsys211.exe"
in
key "HKCU/Software/Microsoft/Windows/CurrentVersion/Run".
Creates file script.ini.
Creates file C:/Msbootlog.sys.
Attempts to resolve name "smtp.barrysworld.com".
Reads value "SMTP Email Address
'W97M/Zerogav.A' : /29A/Binaries/Necronomikon/ALICIA.ZIP : bins.rar :
alicia/Dok1.doc
'W32/FileInfector' : /29A/Binaries/Necronomikon/HEMPHOPE.ZIP : PSFTP.EXE
Sandbox :
File infector; modifies existing executable files.
'W32/W.C' : /29A/Binaries/Vallez/URK0.ZIP : URK0.EXE
'W32/Malware' : /29A/Binaries/Vecna/BOT.ZIP : Release/bot.exe
Sandbox :
Connect port 0 [DGRAM], IP 0.0.0.0.
Connects to IRC Server.
'W32/Malware' : /29A/Binaries/Vecna/FTRANSF.ZIP : CLIENT/RELEASE/client.exe
Sandbox :
Connect port 0 [DGRAM], IP 0.0.0.0.
Connects to IRC Server.
'W32/Malware' : /29A/Binaries/Vecna/FTRANSF.ZIP : SERVER/Release/server.exe
Sandbox :
Connect port 0 [DGRAM], IP 0.0.0.0.
Connects to IRC Server.
'W32/FileInfector' : /29A/Binaries/whale/NAS096B.ZIP : release.e$e
Sandbox :
Locates window "NULL [class Shell_TrayWnd]" on desktop.
File infector; modifies existing executable files.
'W32/FileInfector' : /29A/Binaries/whale/NAS096B.ZIP :
infected/noimports.e$e
Sandbox :
Locates window "NULL [class Shell_TrayWnd]" on desktop.
File infector; modifies existing executable files.
'W32/P2PWorm' : /29A/Binaries/whale/ZAIKA.ZIP : zaika-dropper.exe
Sandbox :
Creates value "System Recovery Agent"="C:/WINDOWS/SYSTEM/WINFJFNb.EXE"
in
key "HKLM/Software/Microsoft/Windows/CurrentVersion/Run".
Creates file C:/Progra~1/Kazaa/Myshar~1/setup.exe.
P2P worm; drops files in P2P upload/download directory.
'W32/Stinkfly.1813' : /29A/Binaries/yoda/FLY.ZIP : FLY.EYE
'VBS/GenMail.C' : /29A/Viruses/Win32/29A-7.019

Ceux qui veulent faire le test sauront sans doute ou se procurer
l'archive.

--
Tweakie


--
Posté via http://www.webatou.net/
Usenet dans votre navigateur
Complaints-To: abuse@webatou.net