Backdoor.Agobot.3k non detecte par Norton et McAffe
13 réponses
dugland
Bonjour,
Online virus Scanner de Kaspersky me dit ceci :
Current object: test_vir.zip
test_vir.zip Archive: ZIP
test_vir.zip/spoolsrv32.exe Packed: PE_Patch
test_vir.zip/spoolsrv32.exe Packed: UPX
test_vir.zip/spoolsrv32.exe Infected: Backdoor.Agobot.3.k
test_vir.zip/spoolsrv32.exe/data0001.exe Infected: Backdoor.Agobot.3.h
test_vir.zip/spoolss.dll Ok
test_vir.zip/spoolsv.exe Ok
test_vir.zip/sporder.dll Ok
L'ennui est que ni McAffe (j'ai pas fait gaffe a la version mais les
definitions etaient a jour ), ni Norton (2003 a jour), ni Bitdefender
online scanning ne me trouve de virus dans le fichier spoolsrv32.exe
Est ce un faux positif ?
A qui puis je l'envoyer pour verifier.
Guillaume
Hurst
PS : Ce fichier n'etant evidement pas un fichier systeme de windows XP
Je l'ai evidemment efface de l'ordinateur concerne.
test_vir.zip Archive: ZIP test_vir.zip/spoolsrv32.exe Packed: PE_Patch test_vir.zip/spoolsrv32.exe Packed: UPX test_vir.zip/spoolsrv32.exe Infected: Backdoor.Agobot.3.k test_vir.zip/spoolsrv32.exe/data0001.exe Infected: Backdoor.Agobot.3.h test_vir.zip/spoolss.dll Ok test_vir.zip/spoolsv.exe Ok test_vir.zip/sporder.dll Ok
L'ennui est que ni McAffe (j'ai pas fait gaffe a la version mais les definitions etaient a jour ), ni Norton (2003 a jour), ni Bitdefender online scanning ne me trouve de virus dans le fichier spoolsrv32.exe
Est ce un faux positif ?
J'en doute, il a été packé deux fois pour échapper à la détection des anti-virus.
Roland garcia
Online virus Scanner de Kaspersky me dit ceci :
Current object: test_vir.zip
test_vir.zip Archive: ZIP
test_vir.zip/spoolsrv32.exe Packed: PE_Patch
test_vir.zip/spoolsrv32.exe Packed: UPX
test_vir.zip/spoolsrv32.exe Infected: Backdoor.Agobot.3.k
test_vir.zip/spoolsrv32.exe/data0001.exe Infected: Backdoor.Agobot.3.h
test_vir.zip/spoolss.dll Ok
test_vir.zip/spoolsv.exe Ok
test_vir.zip/sporder.dll Ok
L'ennui est que ni McAffe (j'ai pas fait gaffe a la version mais les
definitions etaient a jour ), ni Norton (2003 a jour), ni Bitdefender
online scanning ne me trouve de virus dans le fichier spoolsrv32.exe
Est ce un faux positif ?
J'en doute, il a été packé deux fois pour échapper à la détection des
anti-virus.
test_vir.zip Archive: ZIP test_vir.zip/spoolsrv32.exe Packed: PE_Patch test_vir.zip/spoolsrv32.exe Packed: UPX test_vir.zip/spoolsrv32.exe Infected: Backdoor.Agobot.3.k test_vir.zip/spoolsrv32.exe/data0001.exe Infected: Backdoor.Agobot.3.h test_vir.zip/spoolss.dll Ok test_vir.zip/spoolsv.exe Ok test_vir.zip/sporder.dll Ok
L'ennui est que ni McAffe (j'ai pas fait gaffe a la version mais les definitions etaient a jour ), ni Norton (2003 a jour), ni Bitdefender online scanning ne me trouve de virus dans le fichier spoolsrv32.exe
Est ce un faux positif ?
J'en doute, il a été packé deux fois pour échapper à la détection des anti-virus.
Roland garcia
dugland
Roland Garcia wrote:
Online virus Scanner de Kaspersky me dit ceci :
Current object: test_vir.zip
test_vir.zip Archive: ZIP test_vir.zip/spoolsrv32.exe Packed: PE_Patch test_vir.zip/spoolsrv32.exe Packed: UPX test_vir.zip/spoolsrv32.exe Infected: Backdoor.Agobot.3.k test_vir.zip/spoolsrv32.exe/data0001.exe Infected: Backdoor.Agobot.3.h test_vir.zip/spoolss.dll Ok test_vir.zip/spoolsv.exe Ok test_vir.zip/sporder.dll Ok
L'ennui est que ni McAffe (j'ai pas fait gaffe a la version mais les definitions etaient a jour ), ni Norton (2003 a jour), ni Bitdefender online scanning ne me trouve de virus dans le fichier spoolsrv32.exe
Est ce un faux positif ?
J'en doute, il a été packé deux fois pour échapper à la détection des anti-virus.
Roland garcia
Merci Roland, pour la reponse J'en reviens pas une reponse du grand Roland Garcia Himself.
bon treve de cirage de pompe, question subsidiaire.
Comment je fais pour detecter ce genre de bestiole sur les machines de mes clients.
La le virus se lancait via la base de registre donc facile d'avoir des soupcons (surtout avec nom pareil). Mais sur un fichier avec un nom plus ambigue si j'avais juste teste sur nos postes (NAV 2003) je n'aurais rien vu.
Des solutions ?
Roland Garcia wrote:
Online virus Scanner de Kaspersky me dit ceci :
Current object: test_vir.zip
test_vir.zip Archive: ZIP
test_vir.zip/spoolsrv32.exe Packed: PE_Patch
test_vir.zip/spoolsrv32.exe Packed: UPX
test_vir.zip/spoolsrv32.exe Infected: Backdoor.Agobot.3.k
test_vir.zip/spoolsrv32.exe/data0001.exe Infected: Backdoor.Agobot.3.h
test_vir.zip/spoolss.dll Ok
test_vir.zip/spoolsv.exe Ok
test_vir.zip/sporder.dll Ok
L'ennui est que ni McAffe (j'ai pas fait gaffe a la version mais les
definitions etaient a jour ), ni Norton (2003 a jour), ni Bitdefender
online scanning ne me trouve de virus dans le fichier spoolsrv32.exe
Est ce un faux positif ?
J'en doute, il a été packé deux fois pour échapper à la détection des
anti-virus.
Roland garcia
Merci Roland, pour la reponse
J'en reviens pas une reponse du grand Roland Garcia Himself.
bon treve de cirage de pompe, question subsidiaire.
Comment je fais pour detecter ce genre de bestiole sur les machines
de mes clients.
La le virus se lancait via la base de registre donc facile
d'avoir des soupcons (surtout avec nom pareil).
Mais sur un fichier avec un nom plus ambigue si j'avais juste teste sur nos
postes (NAV 2003) je n'aurais rien vu.
test_vir.zip Archive: ZIP test_vir.zip/spoolsrv32.exe Packed: PE_Patch test_vir.zip/spoolsrv32.exe Packed: UPX test_vir.zip/spoolsrv32.exe Infected: Backdoor.Agobot.3.k test_vir.zip/spoolsrv32.exe/data0001.exe Infected: Backdoor.Agobot.3.h test_vir.zip/spoolss.dll Ok test_vir.zip/spoolsv.exe Ok test_vir.zip/sporder.dll Ok
L'ennui est que ni McAffe (j'ai pas fait gaffe a la version mais les definitions etaient a jour ), ni Norton (2003 a jour), ni Bitdefender online scanning ne me trouve de virus dans le fichier spoolsrv32.exe
Est ce un faux positif ?
J'en doute, il a été packé deux fois pour échapper à la détection des anti-virus.
Roland garcia
Merci Roland, pour la reponse J'en reviens pas une reponse du grand Roland Garcia Himself.
bon treve de cirage de pompe, question subsidiaire.
Comment je fais pour detecter ce genre de bestiole sur les machines de mes clients.
La le virus se lancait via la base de registre donc facile d'avoir des soupcons (surtout avec nom pareil). Mais sur un fichier avec un nom plus ambigue si j'avais juste teste sur nos postes (NAV 2003) je n'aurais rien vu.
Des solutions ?
djehuti
salut "dugland" a écrit dans le message news: bkulmo$jl6$
Online virus Scanner de Kaspersky me dit ceci :
test_vir.zip Archive: ZIP test_vir.zip/spoolsrv32.exe Packed: PE_Patch test_vir.zip/spoolsrv32.exe Packed: UPX test_vir.zip/spoolsrv32.exe Infected: Backdoor.Agobot.3.k test_vir.zip/spoolsrv32.exe/data0001.exe Infected: Backdoor.Agobot.3.h test_vir.zip/spoolss.dll Ok test_vir.zip/spoolsv.exe Ok test_vir.zip/sporder.dll Ok
[...]
Comment je fais pour detecter ce genre de bestiole sur les machines de mes clients.
il me semble que tu as déjà la réponse... non ?
@tchao
salut
"dugland" <dugland@aol.com> a écrit dans le message news:
bkulmo$jl6$1@news-reader4.wanadoo.fr
Online virus Scanner de Kaspersky me dit ceci :
test_vir.zip Archive: ZIP
test_vir.zip/spoolsrv32.exe Packed: PE_Patch
test_vir.zip/spoolsrv32.exe Packed: UPX
test_vir.zip/spoolsrv32.exe Infected: Backdoor.Agobot.3.k
test_vir.zip/spoolsrv32.exe/data0001.exe Infected:
Backdoor.Agobot.3.h test_vir.zip/spoolss.dll Ok
test_vir.zip/spoolsv.exe Ok
test_vir.zip/sporder.dll Ok
[...]
Comment je fais pour detecter ce genre de bestiole sur les machines
de mes clients.
Oui je crois que tu as deja la réponse "djehuti" wrote in message news:3f72e488$0$27584$
salut "dugland" a écrit dans le message news: bkulmo$jl6$
Online virus Scanner de Kaspersky me dit ceci :
test_vir.zip Archive: ZIP test_vir.zip/spoolsrv32.exe Packed: PE_Patch test_vir.zip/spoolsrv32.exe Packed: UPX test_vir.zip/spoolsrv32.exe Infected: Backdoor.Agobot.3.k test_vir.zip/spoolsrv32.exe/data0001.exe Infected: Backdoor.Agobot.3.h test_vir.zip/spoolss.dll Ok test_vir.zip/spoolsv.exe Ok test_vir.zip/sporder.dll Ok
[...]
Comment je fais pour detecter ce genre de bestiole sur les machines de mes clients.
il me semble que tu as déjà la réponse... non ?
@tchao
Roland Garcia
Comment je fais pour detecter ce genre de bestiole sur les machines de mes clients.
La le virus se lancait via la base de registre donc facile d'avoir des soupcons (surtout avec nom pareil). Mais sur un fichier avec un nom plus ambigue si j'avais juste teste sur nos postes (NAV 2003) je n'aurais rien vu.
Des solutions ?
1) Utiliser l'anti-virus des ex-cocos au risque de se faire taxer d'"ennemi de l'économie française" ?
2) Attendre l'article 34 de la loi LEN et pendre un ou deux petits malins par la peau des fesses au grand dam des empêcheurs de protéger en rond ?
C'est pas gagné.....
Roland Garcia
Comment je fais pour detecter ce genre de bestiole sur les machines
de mes clients.
La le virus se lancait via la base de registre donc facile
d'avoir des soupcons (surtout avec nom pareil).
Mais sur un fichier avec un nom plus ambigue si j'avais juste teste sur nos
postes (NAV 2003) je n'aurais rien vu.
Des solutions ?
1) Utiliser l'anti-virus des ex-cocos au risque de se faire taxer
d'"ennemi de l'économie française" ?
2) Attendre l'article 34 de la loi LEN et pendre un ou deux petits
malins par la peau des fesses au grand dam des empêcheurs de protéger en
rond ?
Comment je fais pour detecter ce genre de bestiole sur les machines de mes clients.
La le virus se lancait via la base de registre donc facile d'avoir des soupcons (surtout avec nom pareil). Mais sur un fichier avec un nom plus ambigue si j'avais juste teste sur nos postes (NAV 2003) je n'aurais rien vu.
Des solutions ?
1) Utiliser l'anti-virus des ex-cocos au risque de se faire taxer d'"ennemi de l'économie française" ?
2) Attendre l'article 34 de la loi LEN et pendre un ou deux petits malins par la peau des fesses au grand dam des empêcheurs de protéger en rond ?
C'est pas gagné.....
Roland Garcia
Frederic Bonroy
dugland wrote:
En fait tu sous entend quoi ? Il faudrait s'equiper avec Kaspersky ?
Faut faire gaffe à ce qu'on dit ici. La réponse neutre serait: munissez-vous d'un antivirus qui sait détecter ce programme malveillant.
dugland wrote:
En fait tu sous entend quoi ?
Il faudrait s'equiper avec Kaspersky ?
Faut faire gaffe à ce qu'on dit ici. La réponse neutre serait:
munissez-vous d'un antivirus qui sait détecter ce programme malveillant.
En fait tu sous entend quoi ? Il faudrait s'equiper avec Kaspersky ?
Faut faire gaffe à ce qu'on dit ici. La réponse neutre serait: munissez-vous d'un antivirus qui sait détecter ce programme malveillant.
Chambord
L'ennui est que ni McAffe (j'ai pas fait gaffe a la version mais les definitions etaient a jour ), ni Norton (2003 a jour), ni Bitdefender online scanning ne me trouve de virus dans le fichier spoolsrv32.exe
Tu dois faire parti des bricoleurs. Norton le détecte tres bien: http://www.symantec.com/avcenter/venc/data/backdoor.gaobot.html
L'ennui est que ni McAffe (j'ai pas fait gaffe a la version mais les
definitions etaient a jour ), ni Norton (2003 a jour), ni Bitdefender
online scanning ne me trouve de virus dans le fichier spoolsrv32.exe
Tu dois faire parti des bricoleurs. Norton le détecte tres bien:
http://www.symantec.com/avcenter/venc/data/backdoor.gaobot.html
L'ennui est que ni McAffe (j'ai pas fait gaffe a la version mais les definitions etaient a jour ), ni Norton (2003 a jour), ni Bitdefender online scanning ne me trouve de virus dans le fichier spoolsrv32.exe
Tu dois faire parti des bricoleurs. Norton le détecte tres bien: http://www.symantec.com/avcenter/venc/data/backdoor.gaobot.html
Roland Garcia
L'ennui est que ni McAffe (j'ai pas fait gaffe a la version mais les definitions etaient a jour ), ni Norton (2003 a jour), ni Bitdefender online scanning ne me trouve de virus dans le fichier spoolsrv32.exe
Tu dois faire parti des bricoleurs. Norton le détecte tres bien: http://www.symantec.com/avcenter/venc/data/backdoor.gaobot.html
Norton décompacte PE_Patch puis UPX ?
Roland Garcia
L'ennui est que ni McAffe (j'ai pas fait gaffe a la version mais les
definitions etaient a jour ), ni Norton (2003 a jour), ni Bitdefender
online scanning ne me trouve de virus dans le fichier spoolsrv32.exe
Tu dois faire parti des bricoleurs. Norton le détecte tres bien:
http://www.symantec.com/avcenter/venc/data/backdoor.gaobot.html
L'ennui est que ni McAffe (j'ai pas fait gaffe a la version mais les definitions etaient a jour ), ni Norton (2003 a jour), ni Bitdefender online scanning ne me trouve de virus dans le fichier spoolsrv32.exe
Tu dois faire parti des bricoleurs. Norton le détecte tres bien: http://www.symantec.com/avcenter/venc/data/backdoor.gaobot.html
Norton décompacte PE_Patch puis UPX ?
Roland Garcia
Chambord
L'ennui est que ni McAffe (j'ai pas fait gaffe a la version mais les definitions etaient a jour ), ni Norton (2003 a jour), ni Bitdefender online scanning ne me trouve de virus dans le fichier spoolsrv32.exe
Tu dois faire parti des bricoleurs. Norton le détecte tres bien: http://www.symantec.com/avcenter/venc/data/backdoor.gaobot.html
Norton décompacte PE_Patch puis UPX ?
C'est pas la premiere fois que quelqu'un pose une question en affirmant que c'est agobot x et que c'est agobot y. Le virus est vraisemblablement W32.HLLW.Gaobot.AG (norton) Backdoor.Agobot.3.h (un h et non un k) http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.gaobot.ag.html
Le virus" Backdoor.Agobot.3.h "est découvert le 23 sept 2003(norton) le message de dugland (ça s'invente pas!) est du 25 . Les mises à jour automatique chez Norton se sont faite le 24 sept On peut penser que dugland avait Norton d'installer le 23 . On sais pas a quelle date commence son soupcon. Mais aussitot il commence a essayer diffèrent antivirus. McAffe , Bitdefender, et en dernier Kaspersky S'il attend le 25 sept 10h pour nous faire son message c'est qu'il vient de faire le scan le matin ou la veille. Il aurait refait un scan avec Norton au lien de Kasperky à la même heure il aurait trouvé le virus . Pour moi ici il est impossible de dire Kasperky a mieux fait que Norton.
L'ennui est que ni McAffe (j'ai pas fait gaffe a la version mais les
definitions etaient a jour ), ni Norton (2003 a jour), ni Bitdefender
online scanning ne me trouve de virus dans le fichier spoolsrv32.exe
Tu dois faire parti des bricoleurs. Norton le détecte tres bien:
http://www.symantec.com/avcenter/venc/data/backdoor.gaobot.html
Norton décompacte PE_Patch puis UPX ?
C'est pas la premiere fois que quelqu'un pose une question en affirmant
que c'est agobot x et que c'est agobot y.
Le virus est vraisemblablement W32.HLLW.Gaobot.AG (norton)
Backdoor.Agobot.3.h (un h et non un k)
http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.gaobot.ag.html
Le virus" Backdoor.Agobot.3.h "est découvert le 23 sept 2003(norton) le
message de dugland (ça s'invente pas!) est du 25 .
Les mises à jour automatique chez Norton se sont faite
le 24 sept
On peut penser que dugland avait Norton d'installer le 23 .
On sais pas a quelle date commence son soupcon.
Mais aussitot il commence a essayer diffèrent antivirus.
McAffe , Bitdefender, et en dernier Kaspersky
S'il attend le 25 sept 10h pour nous faire son message c'est qu'il vient
de faire le scan le matin ou la veille.
Il aurait refait un scan avec Norton au lien de Kasperky à la même heure
il aurait trouvé le virus .
Pour moi ici il est impossible de dire Kasperky a mieux fait que Norton.
L'ennui est que ni McAffe (j'ai pas fait gaffe a la version mais les definitions etaient a jour ), ni Norton (2003 a jour), ni Bitdefender online scanning ne me trouve de virus dans le fichier spoolsrv32.exe
Tu dois faire parti des bricoleurs. Norton le détecte tres bien: http://www.symantec.com/avcenter/venc/data/backdoor.gaobot.html
Norton décompacte PE_Patch puis UPX ?
C'est pas la premiere fois que quelqu'un pose une question en affirmant que c'est agobot x et que c'est agobot y. Le virus est vraisemblablement W32.HLLW.Gaobot.AG (norton) Backdoor.Agobot.3.h (un h et non un k) http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.gaobot.ag.html
Le virus" Backdoor.Agobot.3.h "est découvert le 23 sept 2003(norton) le message de dugland (ça s'invente pas!) est du 25 . Les mises à jour automatique chez Norton se sont faite le 24 sept On peut penser que dugland avait Norton d'installer le 23 . On sais pas a quelle date commence son soupcon. Mais aussitot il commence a essayer diffèrent antivirus. McAffe , Bitdefender, et en dernier Kaspersky S'il attend le 25 sept 10h pour nous faire son message c'est qu'il vient de faire le scan le matin ou la veille. Il aurait refait un scan avec Norton au lien de Kasperky à la même heure il aurait trouvé le virus . Pour moi ici il est impossible de dire Kasperky a mieux fait que Norton.
