Antivir me détecte un cheval de troie (suite)
Le
Philippe Gueguen

Bonjour
Ce message fait suite à celui du 06 08 2011.
Je suis sous Windows 7 avec Antivir (la version gratuite) et Spybot.
Il y a quelques temps Antivir Gard(la protection proactive d'antivir)
m'a trouvé le cheval de troie TR/Agent.adh.657 sur le fichier
C:downloadsIDPS.exe.
Ce dernier est un fichier que j'ai téléchargé il y a pas mal de temps et
que je n'ai jamais exécute.
Je l'ai envoyé à http://www.virustotal.com.
J'ai comme résultat:(9 résultats positifs sur 43 antivirus)
Antivirus Version Last Update Result
AntiVir 7.11.13.37 2011.08.12 TR/Agent.adh.657
Avast5 5.0.677.0 2011.08.12 Win32:Relevant-P [PUP]
Emsisoft 5.1.0.8 2011.08.13 Gen.AdWare.Heur!IK
eSafe 7.0.17.0 2011.08.10 Win32.TRAgent.Adh
Ikarus T3.1.1.107.0 2011.08.13 Gen.AdWare.Heur
K7AntiVirus 9.109.5010 2011.08.12 Adware
NOD32 6373 2011.08.13 Win32/Adware.MarketScore.A
PCTools 8.0.0.5 2011.08.13 Heuristic.ADH
Symantec 20111.2.0.82 2011.08.13 Heuristic.ADH
Pourquoi y a t il autant de virus au nom différent?
Dois je m’inquiéter?
Merci pour votre aide.
Ce message fait suite à celui du 06 08 2011.
Je suis sous Windows 7 avec Antivir (la version gratuite) et Spybot.
Il y a quelques temps Antivir Gard(la protection proactive d'antivir)
m'a trouvé le cheval de troie TR/Agent.adh.657 sur le fichier
C:downloadsIDPS.exe.
Ce dernier est un fichier que j'ai téléchargé il y a pas mal de temps et
que je n'ai jamais exécute.
Je l'ai envoyé à http://www.virustotal.com.
J'ai comme résultat:(9 résultats positifs sur 43 antivirus)
Antivirus Version Last Update Result
AntiVir 7.11.13.37 2011.08.12 TR/Agent.adh.657
Avast5 5.0.677.0 2011.08.12 Win32:Relevant-P [PUP]
Emsisoft 5.1.0.8 2011.08.13 Gen.AdWare.Heur!IK
eSafe 7.0.17.0 2011.08.10 Win32.TRAgent.Adh
Ikarus T3.1.1.107.0 2011.08.13 Gen.AdWare.Heur
K7AntiVirus 9.109.5010 2011.08.12 Adware
NOD32 6373 2011.08.13 Win32/Adware.MarketScore.A
PCTools 8.0.0.5 2011.08.13 Heuristic.ADH
Symantec 20111.2.0.82 2011.08.13 Heuristic.ADH
Pourquoi y a t il autant de virus au nom différent?
Dois je m’inquiéter?
Merci pour votre aide.
Gueguen
salut,
http://www.avira.ro/en/threats/section/search/index.html?q=TR%2FAgent.adh.657&image2.x=7&image2.y=5
'TR/Agent.adh.657' = inconnu
En remontant d'un cran, plus générique...
'TR/Agent.adh' = inconnu
Pourtant ca se bouscule ...
http://www.avira.ro/en/threats/section/search/index.html?q=TR%2FAgent&image2.x=0&image2.y=0
... avec seulement: 'TR/Agent'
.adh me fait penser, p'être à tort, a (advertising=pub) et h
(heuristic).
AMHA tout ce qui est 'heuristic' est plus qu' [aléatoire], cela peut
être vrai tout comme cela peut être faux.
Mais dans le cas présent pour Avira je pense que c'est du c'est
pipeau.
Si tu télécharges des trucs dont tu ne sais plus à quoi cela pourrait
servir alors ce n'est pas d'une importance capitale... ;)
inconnu dans la base Avira (cf. ci-dessus)...
inconnu dans la base PCTools
http://www.pctools.com/mrc/infections/query/Heuristic.ADH/
Je crois qu'il n'y a pas de normalité dans l'appellation des
variantes, de plus la puissance de nuisance est variable dans la même
catégorie, et enfin cela pourrait engendrer une suspicion de copiage ?
Ce que détecte NoD32 pourrait être inquiétant mais comme il fut un
temps il s'est laissé sodomiser par 2 'baggle' de variantes
différentes (pourtant très connus à l'époque) coup/coup en l'espace de
20 jours sur mon pc...
Mais comme tu ne sais pas à quoi 'IDPS.exe'pourrait servir au temps le
poubellisé et arrêter de te torturer l'esprit ? ;)
Pad' koa, koa.
Mais attends les contributions des vrais spécialistes de ce grp pour
tirer tes propres conclusions.
--
VaN.
tu l'avais deja ecris le 06/08 dernier, tu pouvais continuer le meme fil...
qu'est ce qui ne te semble pas clair dans le message que te retourne
virustotal ?
Ne s'agirait il pas de IDPhotoStudio ?
http://www.google.fr/search?hl=fr&source=hp&q=IDPS.exe
Editeur : http://www.kcsoftwares.com/index.php?idps
Je possède les versions 2.1.1.10, 2.3.0.13 et 2.7.4.24, sans avoir de
détection sur ceux ci.
La dernière version en ligne 2.7.5.25 donne ce résultat :
Exe http://www.virustotal.com/file-scan/report.html?idc734dc542581ad57e4e9733f52f1b123e101f321b5f680b46a40e5cae78414-1313322032
donc une toolbar , un logiciel potentiellement indésirable.
Zip http://www.virustotal.com/file-scan/report.html?id£15caa41b9680afff0b0b203c5c9f5670b7c044b50ec99c5f3b956442f18959-1313322443
Il faut dire son poids a double entre la version Exe et la Zip
Si c'est bien cela, ton fichier provient il de l'éditeur ?
--
Cordialement,
Az Sam.
Désolé, mais j'avais peur de ne pas avoir de réponse.
Ce qui m'étonne c'est qu'il y a 9 résultats différents.
Ce que je ne comprends pas surtout c'est comment Gard peut détecter un
trojan sur un fichier qui n'est pas en cours de fonctionnement?
On m'a dit qu'un simple accés au fichier peut qu'un simple accès au
fichier déclenche 'guard'. Mais je suis septique!
Oui, il s'agit bien de IDPhotoStudio.
Oui
Il s'agit en fait de IDPhotoStudio.
En effet. Je suis un peu numériquement paranoïaque. Je n'aime pas trop
quand mon antivirus me trouve un malware!
Je précise mon interrogation:
Tout d'abords, il me semble que Gard fait une détection comportementale
et donc ne scanne pas les fichiers.
Dans ces conditions comment Gard pourrait détecter un virus sur un
fichier sans le scanner?
Par defaut le guard scanne les fichier a la lecture et a l'ecriture. Le
simple fait d'aficher le fichier dans l'explorateur engendre un controle de
l'AV, c'ets une lecture. C'ets le principe de base de AV residents.
Ne pas confondre lecture et execution.
Ce comportement se regle dans les parametres/guard/Mode de recherche. Il ne
peut pas etre désactiver sauf a descativer la protection totalement (et
heureusement !)
étonnant car comme je le disais , mes versions ne provoquent rien, la
version actuellement en ligne chez l'éditeur donnent les résultats virus
total publiés dans mon message précédent.
Jette celui ci, prend les nouveaux, et vérifie par toi même. La conclusion
vient d'elle même : utiliser le Zip préférentiellement.
--
Cordialement,
Az Sam.
Question: Si Gard scanne les fichiers quand on les "lis", cela devrait
ralentir pas mal le système?
Par exemple si avec l'explorateur Windows je vais dans un répertoire de
plusieurs fichiers!
ben oui.
C'est le cout de tout AV résident et ca peut être encore pire avec les
NAC/NAP ou IDS/(H)IPS qui scrutent les échanges réseau ou les protections de
registre qui valident en permanence les ruches ou encore les contrôleurs
d'intégrité qui créent, enregistrent puis vérifient sans cesse l'empreinte
(MD5 ou autre) des fichiers.
C'est pour cela que les "suites de sécurité", qui intègrent des ensembles
d'outils de ce type, plombent la machine sur laquelle ils sont actifs.
Tu trouvera des lectures passionnantes sur le net si tu cherche un peu
http://www.authsecu.com/virus-vers-chevaux-de-troie-hoax/virus-vers-chevaux-de-troie-hoax.php#Introduction_aux_antivirus
--
Cordialement,
Az Sam.