Bonsoir,
je ne sais pas si ce forum est le meilleur pour ce sujet, mais je
voudrai dénoncer un rootkit présent sur un logiciel que je trouvais
intéressant, WebMediaPlayer. Logiciel qui présente quelques centaines de
radio locales sur Internet. Dommage!
Après son installation, j'ai eu une alarme de Zone Alarm qui demandait
l'autorisation de passer, avec un logiciel dont le nom est aléatoire
(suite de consonnes, peu de voyelles) suivi du fatidique .EXE
Refusé, il y a eu plusieurs tentatives avortées. Inquiet de ce remue
ménage, j'ai installé Avastr Anti-rootkit qui me l'a trouvé (bien sûr,
il est invisible, même si on demande à voir tous les fichiers extensions
comprises). Tout désinstallé, je n'avais plus rien.
Voulant en avoir le coeur net, j'ai réinstallé ce logiciel (car j'en
avais installé 2 ou 3 le même jour), et le rootkit est réaparu.
J'en ai donc eu la certitude que c'était bien lui.
Attention, lors de la désinstallation, il réclame à corps et a cri le
branchement sur Internet, sinon il refuse de se désinstaller. ... sauf
si on clique plusieurs fois sur le bouton "reéssayer" . Accès refusé sur
le Net, désinstallation un peu à la cosaque. Puis passage de Ccleaner.
Et de plusieurs anti-spywares. et vérification finale par Avast
anti-rootkit.
Je ne sais pas s'il existe un site pour dénoncer ces saletés, ce serait
une bonne chose.
Ha, le programme de désinstallation s'appelle AU_.exe, qui est dans un
des fichiers temp du dossier Documents and settings/propriétaire/Local
settings/~nsu.tmp.
Le rootkit (invisible, sauf pour un anti-rootkit) est dans le dossier
Documents and settings/propriétaire/Local settings/Application data.
Amicalement, Michel
--
http://martin.michel47.free.fr/
Le Mon, 22 Oct 2007 15:20:31 +0000, Paul Gaborit a écrit :
C'est risqué.
Merci de le reconnaitre enfin.
Mais ça peut suffire dans de nombreux cas. Comme d'habitude, il faut estimer le risque.
Et on en revient à ce qu'a dit Fabien au début (la boucle est bouclée) :
puisque ça ne prend pas plus de temps de tout réinstaller que de chercher à droite et à gauche comme se débarrasser de la salopperie sans garantie d'y parvenir autant utiliser directement la procédure la plus sure (ou la moins risquée c'est selon) : reinstaller.
Si la machine ne présente a priori pas d'intérêt pour une attaque qui la viserait spécifiquement, on peut estimer qu'il y a de grande chance que l'exploit soit un standard ou qu'il ait utilisé une faille connue.
Sauf que la plupart bot semblent visiblement s'être constitués progressivement et pas seulement à partir de faille connue.
Cherche un truc type criminalisation des exploits et tu verras que le PC de Mme Michu n'interresse pas que le script-kiddy qui veut épater ses potes (s'il en a :) ).
Les progammes de nettoyage pourront donc en corriger les effets, au moins, le détecteront...
Sur ce point tu n'as pas tort, un AV a détecté une bonne part de MS-Windows comme étant un virus ;)
Pour beaucoup de monde (un usage de particulier par exemple), cette précaution suffira. Et on peut éviter le reformatage et la réinstallation.
Bien non, voir plus haut.
Évidemment sur un serveur d'entreprise ou autre machine critique, le risque n'est pas le même...
Disons qu'il y a un risque supplémentaire que la machine soit vraiment ciblée.
Les mesures de sécurité non plus. Mais il n'y a pas de risque zéro.
Entierement d'accord. Il y a encore des macro-virus ciblant des documents (les "données à restaurer" peuvent être offensives comme l'a fait remarquer Paul Gaborit) et autres joyeusetés mais ce n'est pas parce que le risque zéro n'existe pas qu'il ne faut pas prendre les meilleures mesures disponibles.
Par contre je ne suis pas d'accord avec lui sur son "Votre solution est juste un peu plus fiable que l'utilisation des programmes de nettoyage cités précédemment..." pour au moins deux raisons :
a) Il y a des chances que les antivirus récent reconnaissent le virus dans le document et/ou que l'appli soit patchée contre le problème.
b) Une réinstall *propre, dans l'état de l'art* *implique* que l'OS soit à jour *et* que la faille ayant permis la compromission soit patchée. Donc le même contenu offensif n'aura pas le même effet. Par contre je ne parle pas de l'horrible habitude de faire tourner la machine sous admin, un gars de chez Mickey ayant reconnu qu'il est difficile de faire autrement sous XP. Il n'en demeure pas moins que c'est une connerie (qui a dit mauvais OS, changer d'OS?)
Eric
Le Mon, 22 Oct 2007 15:20:31 +0000, Paul Gaborit a écrit :
C'est risqué.
Merci de le reconnaitre enfin.
Mais ça peut suffire dans de nombreux cas. Comme
d'habitude, il faut estimer le risque.
Et on en revient à ce qu'a dit Fabien au début (la boucle est bouclée) :
puisque ça ne prend pas plus de temps de tout réinstaller que de
chercher à droite et à gauche comme se débarrasser de la salopperie
sans garantie d'y parvenir autant utiliser directement la procédure la
plus sure (ou la moins risquée c'est selon) : reinstaller.
Si la machine ne présente a priori pas d'intérêt pour une attaque qui
la viserait spécifiquement, on peut estimer qu'il y a de grande chance
que l'exploit soit un standard ou qu'il ait utilisé une faille connue.
Sauf que la plupart bot semblent visiblement s'être constitués
progressivement et pas seulement à partir de faille connue.
Cherche un truc type criminalisation des exploits et tu verras que le PC
de Mme Michu n'interresse pas que le script-kiddy qui veut épater ses
potes (s'il en a :) ).
Les progammes de nettoyage pourront donc en corriger les effets, au
moins, le détecteront...
Sur ce point tu n'as pas tort, un AV a détecté une bonne part de
MS-Windows comme étant un virus ;)
Pour beaucoup de monde (un usage de
particulier par exemple), cette précaution suffira. Et on peut éviter
le reformatage et la réinstallation.
Bien non, voir plus haut.
Évidemment sur un serveur d'entreprise ou autre machine critique, le
risque n'est pas le même...
Disons qu'il y a un risque supplémentaire que la machine soit vraiment
ciblée.
Les mesures de sécurité non plus. Mais il
n'y a pas de risque zéro.
Entierement d'accord. Il y a encore des macro-virus ciblant des documents
(les "données à restaurer" peuvent être offensives comme l'a fait
remarquer Paul Gaborit) et autres joyeusetés mais ce n'est pas parce que
le risque zéro n'existe pas qu'il ne faut pas prendre les meilleures
mesures disponibles.
Par contre je ne suis pas d'accord avec lui sur son "Votre solution est
juste un peu plus fiable que l'utilisation des programmes de nettoyage
cités précédemment..." pour au moins deux raisons :
a) Il y a des chances que les antivirus récent reconnaissent le virus
dans le document et/ou que l'appli soit patchée contre le problème.
b) Une réinstall *propre, dans l'état de l'art* *implique* que l'OS soit
à jour *et* que la faille ayant permis la compromission soit patchée.
Donc le même contenu offensif n'aura pas le même effet. Par contre je ne
parle pas de l'horrible habitude de faire tourner la machine sous admin,
un gars de chez Mickey ayant reconnu qu'il est difficile de faire
autrement sous XP. Il n'en demeure pas moins que c'est une connerie (qui
a dit mauvais OS, changer d'OS?)
Le Mon, 22 Oct 2007 15:20:31 +0000, Paul Gaborit a écrit :
C'est risqué.
Merci de le reconnaitre enfin.
Mais ça peut suffire dans de nombreux cas. Comme d'habitude, il faut estimer le risque.
Et on en revient à ce qu'a dit Fabien au début (la boucle est bouclée) :
puisque ça ne prend pas plus de temps de tout réinstaller que de chercher à droite et à gauche comme se débarrasser de la salopperie sans garantie d'y parvenir autant utiliser directement la procédure la plus sure (ou la moins risquée c'est selon) : reinstaller.
Si la machine ne présente a priori pas d'intérêt pour une attaque qui la viserait spécifiquement, on peut estimer qu'il y a de grande chance que l'exploit soit un standard ou qu'il ait utilisé une faille connue.
Sauf que la plupart bot semblent visiblement s'être constitués progressivement et pas seulement à partir de faille connue.
Cherche un truc type criminalisation des exploits et tu verras que le PC de Mme Michu n'interresse pas que le script-kiddy qui veut épater ses potes (s'il en a :) ).
Les progammes de nettoyage pourront donc en corriger les effets, au moins, le détecteront...
Sur ce point tu n'as pas tort, un AV a détecté une bonne part de MS-Windows comme étant un virus ;)
Pour beaucoup de monde (un usage de particulier par exemple), cette précaution suffira. Et on peut éviter le reformatage et la réinstallation.
Bien non, voir plus haut.
Évidemment sur un serveur d'entreprise ou autre machine critique, le risque n'est pas le même...
Disons qu'il y a un risque supplémentaire que la machine soit vraiment ciblée.
Les mesures de sécurité non plus. Mais il n'y a pas de risque zéro.
Entierement d'accord. Il y a encore des macro-virus ciblant des documents (les "données à restaurer" peuvent être offensives comme l'a fait remarquer Paul Gaborit) et autres joyeusetés mais ce n'est pas parce que le risque zéro n'existe pas qu'il ne faut pas prendre les meilleures mesures disponibles.
Par contre je ne suis pas d'accord avec lui sur son "Votre solution est juste un peu plus fiable que l'utilisation des programmes de nettoyage cités précédemment..." pour au moins deux raisons :
a) Il y a des chances que les antivirus récent reconnaissent le virus dans le document et/ou que l'appli soit patchée contre le problème.
b) Une réinstall *propre, dans l'état de l'art* *implique* que l'OS soit à jour *et* que la faille ayant permis la compromission soit patchée. Donc le même contenu offensif n'aura pas le même effet. Par contre je ne parle pas de l'horrible habitude de faire tourner la machine sous admin, un gars de chez Mickey ayant reconnu qu'il est difficile de faire autrement sous XP. Il n'en demeure pas moins que c'est une connerie (qui a dit mauvais OS, changer d'OS?)
Eric
Ludovic
On 22 Oct 2007 14:05:08 GMT, Nicolas George <nicolas$ wrote:
Ça ne suffit pas : rien ne garantit que le BIOS n'a pas été reflashé.
...voire même que le disque dur ne soit plus le même !!!!! MdR...
J'aime bien les réponses de Kurieux. Moi non plus je ne suis pas pour la réinstallation systématique. Le "GHOST", je le conçois, je fais d'ailleurs des images hebdomadaires.
Maintenant, nous lisons beaucoup de choses alarmistes sur le net. Il est vrai que l'on peut maintenant flasher les BIOS (Vous n'avez vraiment pas de chance si le rootkit a le programme de votre carte mère... mais pourquoi pas après tout).
Sinon concernant les pros, croyez-vous vraiment que ce sont les meilleurs qui font leur beurre dans ce domaine ..? Non, ce sont les plus malins... Bref, il faut savoir se vendre...
Enfin, pour revenir au sujet qui m'intrigue, j'aimerais bien des cas concrêts de rootkits avérés "très méchants". Si cela peut faire gagner du temps sur Google...
Merci, Cordialement, Ludovic.
On 22 Oct 2007 14:05:08 GMT, Nicolas George <nicolas$george@salle-s.org> wrote:
Ça ne suffit pas : rien ne garantit que le BIOS n'a pas été reflashé.
...voire même que le disque dur ne soit plus le même !!!!! MdR...
J'aime bien les réponses de Kurieux. Moi non plus je ne suis
pas pour la réinstallation systématique. Le "GHOST", je le conçois,
je fais d'ailleurs des images hebdomadaires.
Maintenant, nous lisons beaucoup de choses alarmistes sur le net.
Il est vrai que l'on peut maintenant flasher les BIOS (Vous n'avez
vraiment pas de chance si le rootkit a le programme de votre carte
mère... mais pourquoi pas après tout).
Sinon concernant les pros, croyez-vous vraiment que ce sont les
meilleurs qui font leur beurre dans ce domaine ..? Non, ce sont
les plus malins... Bref, il faut savoir se vendre...
Enfin, pour revenir au sujet qui m'intrigue, j'aimerais bien des
cas concrêts de rootkits avérés "très méchants". Si cela peut faire
gagner du temps sur Google...
On 22 Oct 2007 14:05:08 GMT, Nicolas George <nicolas$ wrote:
Ça ne suffit pas : rien ne garantit que le BIOS n'a pas été reflashé.
...voire même que le disque dur ne soit plus le même !!!!! MdR...
J'aime bien les réponses de Kurieux. Moi non plus je ne suis pas pour la réinstallation systématique. Le "GHOST", je le conçois, je fais d'ailleurs des images hebdomadaires.
Maintenant, nous lisons beaucoup de choses alarmistes sur le net. Il est vrai que l'on peut maintenant flasher les BIOS (Vous n'avez vraiment pas de chance si le rootkit a le programme de votre carte mère... mais pourquoi pas après tout).
Sinon concernant les pros, croyez-vous vraiment que ce sont les meilleurs qui font leur beurre dans ce domaine ..? Non, ce sont les plus malins... Bref, il faut savoir se vendre...
Enfin, pour revenir au sujet qui m'intrigue, j'aimerais bien des cas concrêts de rootkits avérés "très méchants". Si cela peut faire gagner du temps sur Google...
Merci, Cordialement, Ludovic.
Eric Razny
Maintenant, nous lisons beaucoup de choses alarmistes sur le net. Il est vrai que l'on peut maintenant flasher les BIOS (Vous n'avez vraiment pas de chance si le rootkit a le programme de votre carte mère... mais pourquoi pas après tout).
La probabilité est effectivement (amha) très faible, mais formellement Nicolas George n'a pas tort. C'est pour ça que je joue le jeu.
Sinon concernant les pros, croyez-vous vraiment que ce sont les meilleurs qui font leur beurre dans ce domaine ..? Non, ce sont les plus malins... Bref, il faut savoir se vendre...
Reprenons ce raisonnement : qui a le plus a gagner? celui qui dit de reformatter (le client peut même le faire seul) ou celui qui va vendre plein d'utilitaires pour tenter de déverminer à postériori? Conclusions?
Enfin, pour revenir au sujet qui m'intrigue, j'aimerais bien des cas concrêts de rootkits avérés "très méchants". Si cela peut faire gagner du temps sur Google...
Je laisse le soin à ceux qui ont plus d'habitude que moi sous Windows (et ce n'est pas dur :) )
Maintenant, nous lisons beaucoup de choses alarmistes sur le net.
Il est vrai que l'on peut maintenant flasher les BIOS (Vous n'avez
vraiment pas de chance si le rootkit a le programme de votre carte
mère... mais pourquoi pas après tout).
La probabilité est effectivement (amha) très faible, mais formellement
Nicolas George n'a pas tort. C'est pour ça que je joue le jeu.
Sinon concernant les pros, croyez-vous vraiment que ce sont les
meilleurs qui font leur beurre dans ce domaine ..? Non, ce sont
les plus malins... Bref, il faut savoir se vendre...
Reprenons ce raisonnement : qui a le plus a gagner? celui qui dit de
reformatter (le client peut même le faire seul) ou celui qui va vendre
plein d'utilitaires pour tenter de déverminer à postériori?
Conclusions?
Enfin, pour revenir au sujet qui m'intrigue, j'aimerais bien des
cas concrêts de rootkits avérés "très méchants". Si cela peut faire
gagner du temps sur Google...
Je laisse le soin à ceux qui ont plus d'habitude que moi sous Windows (et
ce n'est pas dur :) )
Maintenant, nous lisons beaucoup de choses alarmistes sur le net. Il est vrai que l'on peut maintenant flasher les BIOS (Vous n'avez vraiment pas de chance si le rootkit a le programme de votre carte mère... mais pourquoi pas après tout).
La probabilité est effectivement (amha) très faible, mais formellement Nicolas George n'a pas tort. C'est pour ça que je joue le jeu.
Sinon concernant les pros, croyez-vous vraiment que ce sont les meilleurs qui font leur beurre dans ce domaine ..? Non, ce sont les plus malins... Bref, il faut savoir se vendre...
Reprenons ce raisonnement : qui a le plus a gagner? celui qui dit de reformatter (le client peut même le faire seul) ou celui qui va vendre plein d'utilitaires pour tenter de déverminer à postériori? Conclusions?
Enfin, pour revenir au sujet qui m'intrigue, j'aimerais bien des cas concrêts de rootkits avérés "très méchants". Si cela peut faire gagner du temps sur Google...
Je laisse le soin à ceux qui ont plus d'habitude que moi sous Windows (et ce n'est pas dur :) )
Fabien LE LEZ
On 22 Oct 2007 16:08:27 GMT, Christian :
au CERTA, ils préconisent de *ne pas* éteindre le PC (§3.1) http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-002/index.html
Disons que je me plaçais dans le cas d'une machine personnelle (ce qui me semblait être le cas de l'op).
Généralisons donc : si une machine est compromise, il faut l'empêcher d'accéder aux données. Si les données sont sur une autre machine (typiquement, un serveur sur le LAN), c'est simple, déconnecter le réseau suffit. Si les données sont sur le PC lui-même, je ne vois pas ce qu'on peut faire d'autre qu'éteindre la machine.
Note par ailleurs que le conseil de ne pas éteindre la machine ne vaut que si on veut vérifier qu'elle est bien compromise, ou si on veut analyser finement le problème (pour, éventuellement, porter plainte). Si on est sûr qu'elle est compromise et qu'on veut juste la remettre en état le plus vite possible, l'éteindre (puis réinstaller l'OS) ne gêne en rien.
On 22 Oct 2007 16:08:27 GMT, Christian :
au CERTA, ils préconisent de *ne pas* éteindre le PC (§3.1)
http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-002/index.html
Disons que je me plaçais dans le cas d'une machine personnelle (ce qui
me semblait être le cas de l'op).
Généralisons donc : si une machine est compromise, il faut l'empêcher
d'accéder aux données. Si les données sont sur une autre machine
(typiquement, un serveur sur le LAN), c'est simple, déconnecter le
réseau suffit.
Si les données sont sur le PC lui-même, je ne vois pas ce qu'on peut
faire d'autre qu'éteindre la machine.
Note par ailleurs que le conseil de ne pas éteindre la machine ne vaut
que si on veut vérifier qu'elle est bien compromise, ou si on veut
analyser finement le problème (pour, éventuellement, porter plainte).
Si on est sûr qu'elle est compromise et qu'on veut juste la remettre
en état le plus vite possible, l'éteindre (puis réinstaller l'OS) ne
gêne en rien.
au CERTA, ils préconisent de *ne pas* éteindre le PC (§3.1) http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-002/index.html
Disons que je me plaçais dans le cas d'une machine personnelle (ce qui me semblait être le cas de l'op).
Généralisons donc : si une machine est compromise, il faut l'empêcher d'accéder aux données. Si les données sont sur une autre machine (typiquement, un serveur sur le LAN), c'est simple, déconnecter le réseau suffit. Si les données sont sur le PC lui-même, je ne vois pas ce qu'on peut faire d'autre qu'éteindre la machine.
Note par ailleurs que le conseil de ne pas éteindre la machine ne vaut que si on veut vérifier qu'elle est bien compromise, ou si on veut analyser finement le problème (pour, éventuellement, porter plainte). Si on est sûr qu'elle est compromise et qu'on veut juste la remettre en état le plus vite possible, l'éteindre (puis réinstaller l'OS) ne gêne en rien.
Fabien LE LEZ
On 22 Oct 2007 22:34:09 GMT, Ludovic :
J'aime bien les réponses de Kurieux. Moi non plus je ne suis pas pour la réinstallation systématique. Le "GHOST", je le conçois, je fais d'ailleurs des images hebdomadaires.
Si tu as un backup de ton système, le réinstaller ne prend que quelques minutes. C'est donc une méthode rapide et efficace pour résoudre un sacré paquet de problèmes. Il peut y avoir d'autres méthodes, moins systématiques, basées sur une analyse du problème, mais ces méthodes sont généralement moins rapides et/ou moins efficaces.
Si la machine considérée est un PC de test, et que tu veux essayer de comprendre le problème, très bien. Mais si la machine est une machine de production, et qu'elle doit fonctionner à nouveau dès que possible, une méthode rapide et sûre est à préférer.
On 22 Oct 2007 22:34:09 GMT, Ludovic <Ludovic@F5PBG.Brest>:
J'aime bien les réponses de Kurieux. Moi non plus je ne suis
pas pour la réinstallation systématique. Le "GHOST", je le conçois,
je fais d'ailleurs des images hebdomadaires.
Si tu as un backup de ton système, le réinstaller ne prend que
quelques minutes. C'est donc une méthode rapide et efficace pour
résoudre un sacré paquet de problèmes.
Il peut y avoir d'autres méthodes, moins systématiques, basées sur une
analyse du problème, mais ces méthodes sont généralement moins rapides
et/ou moins efficaces.
Si la machine considérée est un PC de test, et que tu veux essayer de
comprendre le problème, très bien.
Mais si la machine est une machine de production, et qu'elle doit
fonctionner à nouveau dès que possible, une méthode rapide et sûre est
à préférer.
J'aime bien les réponses de Kurieux. Moi non plus je ne suis pas pour la réinstallation systématique. Le "GHOST", je le conçois, je fais d'ailleurs des images hebdomadaires.
Si tu as un backup de ton système, le réinstaller ne prend que quelques minutes. C'est donc une méthode rapide et efficace pour résoudre un sacré paquet de problèmes. Il peut y avoir d'autres méthodes, moins systématiques, basées sur une analyse du problème, mais ces méthodes sont généralement moins rapides et/ou moins efficaces.
Si la machine considérée est un PC de test, et que tu veux essayer de comprendre le problème, très bien. Mais si la machine est une machine de production, et qu'elle doit fonctionner à nouveau dès que possible, une méthode rapide et sûre est à préférer.
DePassage
On 21 Oct 2007 21:45:31 GMT, "Ewa (siostra Ani) N." wrote:
C'est bien à ton honneur, tout ce que tu as fait déjà. Seulement personne ne sait ce que fait précisément un rootkit donné.
Autant réinstaller.
Bof, pour ma part, je fais cela : http://inforadio.free.fr/nettoy.htm puis http://inforadio.free.fr/protect-virus.htm
Les collègues ne s'en plaignent pas. Maintenant, si tu as du temps à perdre...
Il parle de Clubic où il était spécifié de faire attention avec le site russe et il l'a téléchargé quand meme.
Pourquoi lirait-il des reccomandations ?
Il fait partie de cette catégorie d'utilisateurs (les 3/4) où la (sa) sécurité repose sur les moyens de défense installés, à savoir l'antivirus.
Ensuite tu reccomandes Avast, SAUF qu'Avast ne détecte pas le trojan et le Navipromo et ce depuis des mois concernant ce programme homonyme de Web Media Player (c'est ce que tu conseilles d'utiliser dans ta page pleine d'erreurs)pour une simple raison :
Les infections changent toutes les semaines voire plusieurs fois par semaine (4 fois la dernière semaine d'aout)pour Web Media Player Un jour Avast ne va rien détecter, le jour suivant il va en détecter une sur les deux et le surlendemain rien du tout. Et je répête, il y a 2 types d'infection avec 2 buts différents dans ce faux programme.
Du reste je n'ai vu AVAST détecter une infection que 3 fois en 6 mois pour web media player
On n'arrête pas le progrès : Maintenant, on ne te donne plus de réponse sur les newsgroups, on te dit carrément de faire un format c: ...
Le problème c'est qu'il a détecté une seule menace dans ce fichier alors qu'il y en a 2 avec des buts différents.
Le format C: est la solution extreme néanmoins mais de facilité :-)
On 21 Oct 2007 21:45:31 GMT, "Ewa (siostra Ani) N." <niesz@yahoo.com> wrote:
C'est bien à ton honneur, tout ce que tu as fait déjà. Seulement
personne ne sait ce que fait précisément un rootkit donné.
Autant réinstaller.
Bof, pour ma part, je fais cela :
http://inforadio.free.fr/nettoy.htm
puis
http://inforadio.free.fr/protect-virus.htm
Les collègues ne s'en plaignent pas.
Maintenant, si tu as du temps à perdre...
Il parle de Clubic où il était spécifié de faire attention avec le site
russe et il l'a téléchargé quand meme.
Pourquoi lirait-il des reccomandations ?
Il fait partie de cette catégorie d'utilisateurs (les 3/4) où la (sa)
sécurité repose sur les moyens de défense installés, à savoir l'antivirus.
Ensuite tu reccomandes Avast, SAUF qu'Avast ne détecte pas le trojan et
le Navipromo et ce depuis des mois concernant ce programme homonyme de
Web Media Player (c'est ce que tu conseilles d'utiliser dans ta page
pleine d'erreurs)pour une simple raison :
Les infections changent toutes les semaines voire plusieurs fois par
semaine (4 fois la dernière semaine d'aout)pour Web Media Player
Un jour Avast ne va rien détecter, le jour suivant il va en détecter une
sur les deux et le surlendemain rien du tout.
Et je répête, il y a 2 types d'infection avec 2 buts différents dans ce
faux programme.
Du reste je n'ai vu AVAST détecter une infection que 3 fois en 6 mois
pour web media player
On n'arrête pas le progrès : Maintenant,
on ne te donne plus de réponse sur les
newsgroups, on te dit carrément de faire
un format c: ...
Le problème c'est qu'il a détecté une seule menace dans ce fichier alors
qu'il y en a 2 avec des buts différents.
Le format C: est la solution extreme néanmoins mais de facilité :-)
On 21 Oct 2007 21:45:31 GMT, "Ewa (siostra Ani) N." wrote:
C'est bien à ton honneur, tout ce que tu as fait déjà. Seulement personne ne sait ce que fait précisément un rootkit donné.
Autant réinstaller.
Bof, pour ma part, je fais cela : http://inforadio.free.fr/nettoy.htm puis http://inforadio.free.fr/protect-virus.htm
Les collègues ne s'en plaignent pas. Maintenant, si tu as du temps à perdre...
Il parle de Clubic où il était spécifié de faire attention avec le site russe et il l'a téléchargé quand meme.
Pourquoi lirait-il des reccomandations ?
Il fait partie de cette catégorie d'utilisateurs (les 3/4) où la (sa) sécurité repose sur les moyens de défense installés, à savoir l'antivirus.
Ensuite tu reccomandes Avast, SAUF qu'Avast ne détecte pas le trojan et le Navipromo et ce depuis des mois concernant ce programme homonyme de Web Media Player (c'est ce que tu conseilles d'utiliser dans ta page pleine d'erreurs)pour une simple raison :
Les infections changent toutes les semaines voire plusieurs fois par semaine (4 fois la dernière semaine d'aout)pour Web Media Player Un jour Avast ne va rien détecter, le jour suivant il va en détecter une sur les deux et le surlendemain rien du tout. Et je répête, il y a 2 types d'infection avec 2 buts différents dans ce faux programme.
Du reste je n'ai vu AVAST détecter une infection que 3 fois en 6 mois pour web media player
On n'arrête pas le progrès : Maintenant, on ne te donne plus de réponse sur les newsgroups, on te dit carrément de faire un format c: ...
Le problème c'est qu'il a détecté une seule menace dans ce fichier alors qu'il y en a 2 avec des buts différents.
Le format C: est la solution extreme néanmoins mais de facilité :-)
Thierry B.
--{ Ludovic a plopé ceci: }--
Enfin, pour revenir au sujet qui m'intrigue, j'aimerais bien des cas concrêts de rootkits avérés "très méchants". Si cela peut faire gagner du temps sur Google...
Le cas du rootkit Sony, par exemple. Pas "très méchant" en lui-même, mais une excellente plate-forme technique pour d'autres machins opportunistes.
-- Donc chez VU, on avait mis en place un système de boîtier très design, qui permettait aux actionnaires de voter en appuyant au choix sur un des trois boutons disponibles (oui, non, n'a pas compris la question).
--{ Ludovic a plopé ceci: }--
Enfin, pour revenir au sujet qui m'intrigue, j'aimerais bien des
cas concrêts de rootkits avérés "très méchants". Si cela peut faire
gagner du temps sur Google...
Le cas du rootkit Sony, par exemple. Pas "très méchant" en lui-même,
mais une excellente plate-forme technique pour d'autres machins
opportunistes.
--
Donc chez VU, on avait mis en place un système de boîtier très design,
qui permettait aux actionnaires de voter en appuyant au choix sur un
des trois boutons disponibles (oui, non, n'a pas compris la question).
Enfin, pour revenir au sujet qui m'intrigue, j'aimerais bien des cas concrêts de rootkits avérés "très méchants". Si cela peut faire gagner du temps sur Google...
Le cas du rootkit Sony, par exemple. Pas "très méchant" en lui-même, mais une excellente plate-forme technique pour d'autres machins opportunistes.
-- Donc chez VU, on avait mis en place un système de boîtier très design, qui permettait aux actionnaires de voter en appuyant au choix sur un des trois boutons disponibles (oui, non, n'a pas compris la question).
Kevin Denis
Le 23-10-2007, Fabien LE LEZ a écrit :
au CERTA, ils préconisent de *ne pas* éteindre le PC (§3.1) http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-002/index.html
Généralisons donc : si une machine est compromise, il faut l'empêcher d'accéder aux données. Si les données sont sur une autre machine (typiquement, un serveur sur le LAN), c'est simple, déconnecter le réseau suffit. Si les données sont sur le PC lui-même, je ne vois pas ce qu'on peut faire d'autre qu'éteindre la machine.
Pas si vite. Il faut a minima savoir comment est venu l'infection
sous peine de se faire reinfecter par le meme vecteur.
Quand tu as la reponse, tu peux corriger (cad reinstaller) et remettre la machine on-line.
Dans le cas de l'OP, l'analyse est faite et l'infection est survenue suite a l'installation de webmediaplayer.
Note par ailleurs que le conseil de ne pas éteindre la machine ne vaut que si on veut vérifier qu'elle est bien compromise, ou si on veut analyser finement le problème (pour, éventuellement, porter plainte).
Pas seulement, cela est utile pour ne pas se faire reinfecter par la meme cause.
Si on est sûr qu'elle est compromise et qu'on veut juste la remettre en état le plus vite possible, l'éteindre (puis réinstaller l'OS) ne gêne en rien.
Et sans analyse, on est donc condamne a se faire reinfecter.
Donc si on est sur qu'une machine est compromise, on l'isole afin qu'elle ne puisse plus nuire. On l'etudie in vivo, car l'analyse post mortem pourrait ne rien donner, et on cherche la cause initiale de l'infection. Une fois qu'on a trouve, on _reinstalle_, on empeche la reinfection, et on repasse online (voir le doc du CERT qui detaille bien les etapes). -- Kevin
Le 23-10-2007, Fabien LE LEZ <gramster@gramster.com> a écrit :
au CERTA, ils préconisent de *ne pas* éteindre le PC (§3.1)
http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-002/index.html
Généralisons donc : si une machine est compromise, il faut l'empêcher
d'accéder aux données. Si les données sont sur une autre machine
(typiquement, un serveur sur le LAN), c'est simple, déconnecter le
réseau suffit.
Si les données sont sur le PC lui-même, je ne vois pas ce qu'on peut
faire d'autre qu'éteindre la machine.
Pas si vite. Il faut a minima savoir comment est venu l'infection
sous peine de se faire reinfecter par le meme vecteur.
Quand tu as la reponse, tu peux corriger (cad reinstaller) et
remettre la machine on-line.
Dans le cas de l'OP, l'analyse est faite et l'infection est survenue
suite a l'installation de webmediaplayer.
Note par ailleurs que le conseil de ne pas éteindre la machine ne vaut
que si on veut vérifier qu'elle est bien compromise, ou si on veut
analyser finement le problème (pour, éventuellement, porter plainte).
Pas seulement, cela est utile pour ne pas se faire reinfecter par
la meme cause.
Si on est sûr qu'elle est compromise et qu'on veut juste la remettre
en état le plus vite possible, l'éteindre (puis réinstaller l'OS) ne
gêne en rien.
Et sans analyse, on est donc condamne a se faire reinfecter.
Donc si on est sur qu'une machine est compromise, on l'isole afin
qu'elle ne puisse plus nuire. On l'etudie in vivo, car l'analyse
post mortem pourrait ne rien donner, et on cherche la cause initiale
de l'infection.
Une fois qu'on a trouve, on _reinstalle_, on empeche la reinfection, et
on repasse online (voir le doc du CERT qui detaille bien les etapes).
--
Kevin
au CERTA, ils préconisent de *ne pas* éteindre le PC (§3.1) http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-002/index.html
Généralisons donc : si une machine est compromise, il faut l'empêcher d'accéder aux données. Si les données sont sur une autre machine (typiquement, un serveur sur le LAN), c'est simple, déconnecter le réseau suffit. Si les données sont sur le PC lui-même, je ne vois pas ce qu'on peut faire d'autre qu'éteindre la machine.
Pas si vite. Il faut a minima savoir comment est venu l'infection
sous peine de se faire reinfecter par le meme vecteur.
Quand tu as la reponse, tu peux corriger (cad reinstaller) et remettre la machine on-line.
Dans le cas de l'OP, l'analyse est faite et l'infection est survenue suite a l'installation de webmediaplayer.
Note par ailleurs que le conseil de ne pas éteindre la machine ne vaut que si on veut vérifier qu'elle est bien compromise, ou si on veut analyser finement le problème (pour, éventuellement, porter plainte).
Pas seulement, cela est utile pour ne pas se faire reinfecter par la meme cause.
Si on est sûr qu'elle est compromise et qu'on veut juste la remettre en état le plus vite possible, l'éteindre (puis réinstaller l'OS) ne gêne en rien.
Et sans analyse, on est donc condamne a se faire reinfecter.
Donc si on est sur qu'une machine est compromise, on l'isole afin qu'elle ne puisse plus nuire. On l'etudie in vivo, car l'analyse post mortem pourrait ne rien donner, et on cherche la cause initiale de l'infection. Une fois qu'on a trouve, on _reinstalle_, on empeche la reinfection, et on repasse online (voir le doc du CERT qui detaille bien les etapes). -- Kevin
Riquer Vincent
Eric Razny wrote:
Si tu avais lu complétement mon post et consulté les liens tu aurais vu, par exemple, que RootkitRevealer "permet de detecter les différences entre la réalité de votre système et l'API (ce que Windows voit)" Et si les divers anti-rootkit n'arrivent pas à nettoyer le système il existe encore la commande SFC /scannow à lancer à partir du CD d'XP, à préferer à format c:
Sur un système corrompu aucun outil ne peut prétendre être infaïble.
Maintenant en bootant à partir d'un système sain on peut effectivement comparer les binaires. Malheureusement je ne crois pas qu'il existe de référent à un MS-Windows en utilisation réelle[1], c'est à dire avec différent logiciels installés, outre ceux d'origine. Pire, sous
Ultimate Boot CD for Windows : 1/ télécharger ubcd4win 2/ mettre un CD d'install original (parce que http://le_piratage.saimal.fr - puis on sait jamais ce qui aurait pu être rajouté dans cette iso pirate) d'un win XP dans le lecteur 3/ faire générer l'iso par ubcd4win 4/ Graver l'iso 5/ booter dessus
et là, on a un windows sain, en read-only, muni de plein d'outils d'analyse / réparation, avec quelques antivirus, et autres outils de sécurité, un reseteur de mot de passe administrateur, testdisk pour si on a supprimé une partition, etc etc... Ultimate j'vous dit :)
En plus, pour peu qu'on lise la doc, on peut rajouter d'autres outils au liceCD, ce qui permet aussi de mettre à jour les base d'Anti-{virus,trojan,backdoor,spyware}
Eric Razny wrote:
Si tu avais lu complétement mon post et consulté les liens tu aurais vu,
par exemple, que RootkitRevealer "permet de detecter les différences
entre la réalité de votre système et l'API (ce que Windows voit)"
Et si les divers anti-rootkit n'arrivent pas à nettoyer le système il
existe encore la commande SFC /scannow à lancer à partir du CD d'XP, à
préferer à format c:
Sur un système corrompu aucun outil ne peut prétendre être infaïble.
Maintenant en bootant à partir d'un système sain on peut effectivement
comparer les binaires. Malheureusement je ne crois pas qu'il existe de
référent à un MS-Windows en utilisation réelle[1], c'est à dire avec
différent logiciels installés, outre ceux d'origine. Pire, sous
Ultimate Boot CD for Windows :
1/ télécharger ubcd4win
2/ mettre un CD d'install original (parce que
http://le_piratage.saimal.fr - puis on sait jamais ce qui aurait pu être
rajouté dans cette iso pirate) d'un win XP dans le lecteur
3/ faire générer l'iso par ubcd4win
4/ Graver l'iso
5/ booter dessus
et là, on a un windows sain, en read-only, muni de plein d'outils
d'analyse / réparation, avec quelques antivirus, et autres outils de
sécurité, un reseteur de mot de passe administrateur, testdisk pour si
on a supprimé une partition, etc etc... Ultimate j'vous dit :)
En plus, pour peu qu'on lise la doc, on peut rajouter d'autres outils au
liceCD, ce qui permet aussi de mettre à jour les base
d'Anti-{virus,trojan,backdoor,spyware}
Si tu avais lu complétement mon post et consulté les liens tu aurais vu, par exemple, que RootkitRevealer "permet de detecter les différences entre la réalité de votre système et l'API (ce que Windows voit)" Et si les divers anti-rootkit n'arrivent pas à nettoyer le système il existe encore la commande SFC /scannow à lancer à partir du CD d'XP, à préferer à format c:
Sur un système corrompu aucun outil ne peut prétendre être infaïble.
Maintenant en bootant à partir d'un système sain on peut effectivement comparer les binaires. Malheureusement je ne crois pas qu'il existe de référent à un MS-Windows en utilisation réelle[1], c'est à dire avec différent logiciels installés, outre ceux d'origine. Pire, sous
Ultimate Boot CD for Windows : 1/ télécharger ubcd4win 2/ mettre un CD d'install original (parce que http://le_piratage.saimal.fr - puis on sait jamais ce qui aurait pu être rajouté dans cette iso pirate) d'un win XP dans le lecteur 3/ faire générer l'iso par ubcd4win 4/ Graver l'iso 5/ booter dessus
et là, on a un windows sain, en read-only, muni de plein d'outils d'analyse / réparation, avec quelques antivirus, et autres outils de sécurité, un reseteur de mot de passe administrateur, testdisk pour si on a supprimé une partition, etc etc... Ultimate j'vous dit :)
En plus, pour peu qu'on lise la doc, on peut rajouter d'autres outils au liceCD, ce qui permet aussi de mettre à jour les base d'Anti-{virus,trojan,backdoor,spyware}
Eric Razny
Le Tue, 23 Oct 2007 12:02:54 +0000, Riquer Vincent a écrit :
Ultimate Boot CD for Windows : 1/ télécharger ubcd4win 2/ mettre un CD d'install original (parce que http://le_piratage.saimal.fr - puis on sait jamais ce qui aurait pu être rajouté dans cette iso pirate) d'un win XP dans le lecteur 3/ faire générer l'iso par ubcd4win 4/ Graver l'iso 5/ booter dessus
et là, on a un windows sain,
Et a jour de tout ses patchs? Parce que si on veut comparer des binaires il va bien falloir ça, à moins que MS ne produise des SHA2 de tous ses fichier?
en read-only, muni de plein d'outils d'analyse / réparation, avec quelques antivirus, et autres outils de sécurité, un reseteur de mot de passe administrateur, testdisk pour si on a supprimé une partition, etc etc... Ultimate j'vous dit :)
Oui. Donc on vérifie les virus connus *par ces outils*. Vas voir les nombreux posts sur fr.comp.securite.virus (ou une recharche web) à propos de machin détecte merdouille1&2 mais pas merdouille3 ou alienX alors que bidule détecte même alien5 mais pas les merdouilles.
En plus, pour peu qu'on lise la doc, on peut rajouter d'autres outils au liceCD, ce qui permet aussi de mettre à jour les base d'Anti-{virus,trojan,backdoor,spyware}
Qui par constructions peuvent laisser passer des salopperies.
Admettons que tu arrives a vérifier tous les binaires d'une install clean MS et à jour de ses patch (et j'aimerais déjà avoir une évalution du temps pris pour faire ça), tu n'as toujours pas les éléments pour comparer les binaires des produits installés ensuites (on va supposer que le gus a les CD d'install non vérolés, si ce n'est légaux :-/ )
Et ca ne réponds pas non plus à ma remarque sur la BdR (et plus particulièrement les interactions entre les différentes entrées). Et ça tu peux t'y prendre comme tu veux, ça prendra moins de temps de réinstaller qu'espérer avoir une BdR clean *et* fonctionnelle (parce que la restauration à il y a 6 mois qui massacre tout ce n'est pas top).
Bref ton CD me semble précieux pour du dépannage (je pense que c'est déjà arrivé à pas mal de gens de faire mumuse avec SAM pour avoir un accès en force, et pour des motifs légitimes -j'ai déjà vu des salles infos avec le bios qui permet de booter sur CD, sans password, game over :) -) Il peut aussi être interressant pour une analyse post-mortem, mais je ne vois pas en quoi il évite une réinstall.
Enfin la réinstall a un effet secondaire interressant, il pare au "vieillissement de Windows" (c'est l'effet bien connu de ralentissement progressif du système au long de sa vie, particulièrement si elle est ponctuée assez fréquement d'installation-desinstallation de soft) ;)
Le Tue, 23 Oct 2007 12:02:54 +0000, Riquer Vincent a écrit :
Ultimate Boot CD for Windows :
1/ télécharger ubcd4win
2/ mettre un CD d'install original (parce que
http://le_piratage.saimal.fr - puis on sait jamais ce qui aurait pu être
rajouté dans cette iso pirate) d'un win XP dans le lecteur
3/ faire générer l'iso par ubcd4win
4/ Graver l'iso
5/ booter dessus
et là, on a un windows sain,
Et a jour de tout ses patchs? Parce que si on veut comparer des binaires
il va bien falloir ça, à moins que MS ne produise des SHA2 de tous ses
fichier?
en read-only, muni de plein d'outils
d'analyse / réparation, avec quelques antivirus, et autres outils de
sécurité, un reseteur de mot de passe administrateur, testdisk pour si
on a supprimé une partition, etc etc... Ultimate j'vous dit :)
Oui. Donc on vérifie les virus connus *par ces outils*. Vas voir les
nombreux posts sur fr.comp.securite.virus (ou une recharche web) à propos
de machin détecte merdouille1&2 mais pas merdouille3 ou alienX alors que
bidule détecte même alien5 mais pas les merdouilles.
En plus, pour peu qu'on lise la doc, on peut rajouter d'autres outils au
liceCD, ce qui permet aussi de mettre à jour les base
d'Anti-{virus,trojan,backdoor,spyware}
Qui par constructions peuvent laisser passer des salopperies.
Admettons que tu arrives a vérifier tous les binaires d'une install clean
MS et à jour de ses patch (et j'aimerais déjà avoir une évalution du
temps pris pour faire ça), tu n'as toujours pas les éléments pour
comparer les binaires des produits installés ensuites (on va supposer que
le gus a les CD d'install non vérolés, si ce n'est légaux :-/ )
Et ca ne réponds pas non plus à ma remarque sur la BdR (et plus
particulièrement les interactions entre les différentes entrées). Et
ça tu peux t'y prendre comme tu veux, ça prendra moins de temps de
réinstaller qu'espérer avoir une BdR clean *et* fonctionnelle (parce que
la restauration à il y a 6 mois qui massacre tout ce n'est pas top).
Bref ton CD me semble précieux pour du dépannage (je pense que c'est
déjà arrivé à pas mal de gens de faire mumuse avec SAM pour avoir un
accès en force, et pour des motifs légitimes -j'ai déjà vu des salles
infos avec le bios qui permet de booter sur CD, sans password, game over
:) -) Il peut aussi être interressant pour une analyse post-mortem, mais
je ne vois pas en quoi il évite une réinstall.
Enfin la réinstall a un effet secondaire interressant, il pare au
"vieillissement de Windows" (c'est l'effet bien connu de ralentissement
progressif du système au long de sa vie, particulièrement si elle est
ponctuée assez fréquement d'installation-desinstallation de soft) ;)
Le Tue, 23 Oct 2007 12:02:54 +0000, Riquer Vincent a écrit :
Ultimate Boot CD for Windows : 1/ télécharger ubcd4win 2/ mettre un CD d'install original (parce que http://le_piratage.saimal.fr - puis on sait jamais ce qui aurait pu être rajouté dans cette iso pirate) d'un win XP dans le lecteur 3/ faire générer l'iso par ubcd4win 4/ Graver l'iso 5/ booter dessus
et là, on a un windows sain,
Et a jour de tout ses patchs? Parce que si on veut comparer des binaires il va bien falloir ça, à moins que MS ne produise des SHA2 de tous ses fichier?
en read-only, muni de plein d'outils d'analyse / réparation, avec quelques antivirus, et autres outils de sécurité, un reseteur de mot de passe administrateur, testdisk pour si on a supprimé une partition, etc etc... Ultimate j'vous dit :)
Oui. Donc on vérifie les virus connus *par ces outils*. Vas voir les nombreux posts sur fr.comp.securite.virus (ou une recharche web) à propos de machin détecte merdouille1&2 mais pas merdouille3 ou alienX alors que bidule détecte même alien5 mais pas les merdouilles.
En plus, pour peu qu'on lise la doc, on peut rajouter d'autres outils au liceCD, ce qui permet aussi de mettre à jour les base d'Anti-{virus,trojan,backdoor,spyware}
Qui par constructions peuvent laisser passer des salopperies.
Admettons que tu arrives a vérifier tous les binaires d'une install clean MS et à jour de ses patch (et j'aimerais déjà avoir une évalution du temps pris pour faire ça), tu n'as toujours pas les éléments pour comparer les binaires des produits installés ensuites (on va supposer que le gus a les CD d'install non vérolés, si ce n'est légaux :-/ )
Et ca ne réponds pas non plus à ma remarque sur la BdR (et plus particulièrement les interactions entre les différentes entrées). Et ça tu peux t'y prendre comme tu veux, ça prendra moins de temps de réinstaller qu'espérer avoir une BdR clean *et* fonctionnelle (parce que la restauration à il y a 6 mois qui massacre tout ce n'est pas top).
Bref ton CD me semble précieux pour du dépannage (je pense que c'est déjà arrivé à pas mal de gens de faire mumuse avec SAM pour avoir un accès en force, et pour des motifs légitimes -j'ai déjà vu des salles infos avec le bios qui permet de booter sur CD, sans password, game over :) -) Il peut aussi être interressant pour une analyse post-mortem, mais je ne vois pas en quoi il évite une réinstall.
Enfin la réinstall a un effet secondaire interressant, il pare au "vieillissement de Windows" (c'est l'effet bien connu de ralentissement progressif du système au long de sa vie, particulièrement si elle est ponctuée assez fréquement d'installation-desinstallation de soft) ;)
