Je pense que Nicob parle de la version KAV (petit i) ;-)
Yep !
Petite réflexion : filtrer sur les noms de PJ ne marchera que jusq'à la prochaine variante, qui surviendra un Samedi et laissera mes utilisateurs non protégés pour tout le week-end :(
KAV rapporte bien le ZIP comme protégé par mot de passe mais garde un code de retour normal (ie. "pas de virus")
Vscan (Trend) renvoie une erreur "Scan error -92" puis détecte un "WORM_Bagle.J" ... mais gère trop bizzarement ses codes de retour : 1 si le seul *fichier scanné* est vérolé 0 si le seul *fichier scanné* est sain 0 si au moins un des fichiers du *répertoire scanné* est sain 1 si au moins un des *fichiers scannés* est vérolé
Argh !
Nicob
On Wed, 03 Mar 2004 14:16:08 +0000, joke0 wrote:
Je pense que Nicob parle de la version KAV (petit i) ;-)
Yep !
Petite réflexion : filtrer sur les noms de PJ ne marchera que jusq'à la
prochaine variante, qui surviendra un Samedi et laissera mes utilisateurs
non protégés pour tout le week-end :(
KAV rapporte bien le ZIP comme protégé par mot de passe mais garde un
code de retour normal (ie. "pas de virus")
Vscan (Trend) renvoie une erreur "Scan error -92" puis détecte un
"WORM_Bagle.J" ... mais gère trop bizzarement ses codes de retour :
1 si le seul *fichier scanné* est vérolé
0 si le seul *fichier scanné* est sain
0 si au moins un des fichiers du *répertoire scanné* est sain
1 si au moins un des *fichiers scannés* est vérolé
Je pense que Nicob parle de la version KAV (petit i) ;-)
Yep !
Petite réflexion : filtrer sur les noms de PJ ne marchera que jusq'à la prochaine variante, qui surviendra un Samedi et laissera mes utilisateurs non protégés pour tout le week-end :(
KAV rapporte bien le ZIP comme protégé par mot de passe mais garde un code de retour normal (ie. "pas de virus")
Vscan (Trend) renvoie une erreur "Scan error -92" puis détecte un "WORM_Bagle.J" ... mais gère trop bizzarement ses codes de retour : 1 si le seul *fichier scanné* est vérolé 0 si le seul *fichier scanné* est sain 0 si au moins un des fichiers du *répertoire scanné* est sain 1 si au moins un des *fichiers scannés* est vérolé
Argh !
Nicob
Roland Garcia
On Wed, 03 Mar 2004 14:16:08 +0000, joke0 wrote:
Je pense que Nicob parle de la version KAV (petit i) ;-)
Yep !
Petite réflexion : filtrer sur les noms de PJ ne marchera que jusq'à la prochaine variante, qui surviendra un Samedi et laissera mes utilisateurs non protégés pour tout le week-end :(
Ils n'ont pas des anti-virus de poste qui se mettent à jour tous seuls tes clients ?
Roland Garcia
On Wed, 03 Mar 2004 14:16:08 +0000, joke0 wrote:
Je pense que Nicob parle de la version KAV (petit i) ;-)
Yep !
Petite réflexion : filtrer sur les noms de PJ ne marchera que jusq'à la
prochaine variante, qui surviendra un Samedi et laissera mes utilisateurs
non protégés pour tout le week-end :(
Ils n'ont pas des anti-virus de poste qui se mettent à jour tous seuls
tes clients ?
Je pense que Nicob parle de la version KAV (petit i) ;-)
Yep !
Petite réflexion : filtrer sur les noms de PJ ne marchera que jusq'à la prochaine variante, qui surviendra un Samedi et laissera mes utilisateurs non protégés pour tout le week-end :(
Ils n'ont pas des anti-virus de poste qui se mettent à jour tous seuls tes clients ?
Roland Garcia
Nicob
On Wed, 03 Mar 2004 15:59:49 +0100, Roland Garcia wrote:
Ils n'ont pas des anti-virus de poste qui se mettent à jour tous seuls tes clients ?
Tu crois que je leur fais confiance :)
Sérieusement, je ne peux garantir que le poste final sera équipé d'un AV, si celui-ci sera à jour et si l'utilisateur ne va pas cliquer sur la PJ. Donc j'essaie de blinder le tout au niveau du relais de messagerie.
Je viens de bloquer les ZIP pendant une heure, le temps de trouver comment bloquer seulement les ZIP protégés par mot de passe. Ce qui est le cas à présent, mais je ne suis que peu satisfait de cette solution :(
Nicob
On Wed, 03 Mar 2004 15:59:49 +0100, Roland Garcia wrote:
Ils n'ont pas des anti-virus de poste qui se mettent à jour tous seuls
tes clients ?
Tu crois que je leur fais confiance :)
Sérieusement, je ne peux garantir que le poste final sera équipé d'un
AV, si celui-ci sera à jour et si l'utilisateur ne va pas cliquer sur la
PJ. Donc j'essaie de blinder le tout au niveau du relais de messagerie.
Je viens de bloquer les ZIP pendant une heure, le temps de trouver comment
bloquer seulement les ZIP protégés par mot de passe. Ce qui est le cas
à présent, mais je ne suis que peu satisfait de cette solution :(
On Wed, 03 Mar 2004 15:59:49 +0100, Roland Garcia wrote:
Ils n'ont pas des anti-virus de poste qui se mettent à jour tous seuls tes clients ?
Tu crois que je leur fais confiance :)
Sérieusement, je ne peux garantir que le poste final sera équipé d'un AV, si celui-ci sera à jour et si l'utilisateur ne va pas cliquer sur la PJ. Donc j'essaie de blinder le tout au niveau du relais de messagerie.
Je viens de bloquer les ZIP pendant une heure, le temps de trouver comment bloquer seulement les ZIP protégés par mot de passe. Ce qui est le cas à présent, mais je ne suis que peu satisfait de cette solution :(
Nicob
joke0
Salut,
Frederic Bonroy:
Je pense que Nicob parle de la version KAV (petit i) ;-) On voit où ça mène. :-(
Ici le problème n'est pas sur le nom, mais sur la variante. KAV ne peut quand même pas suivre le rythme de NAV et F-Prot! La solution serait que ceux qui sont incapable de dépacker les bestioles pour les scanner fassent : i, i-2 i-3 etc...
-- joke0
Salut,
Frederic Bonroy:
Je pense que Nicob parle de la version KAV (petit i) ;-)
On voit où ça mène. :-(
Ici le problème n'est pas sur le nom, mais sur la variante. KAV
ne peut quand même pas suivre le rythme de NAV et F-Prot! La
solution serait que ceux qui sont incapable de dépacker les
bestioles pour les scanner fassent : i, i-2 i-3 etc...
Je pense que Nicob parle de la version KAV (petit i) ;-) On voit où ça mène. :-(
Ici le problème n'est pas sur le nom, mais sur la variante. KAV ne peut quand même pas suivre le rythme de NAV et F-Prot! La solution serait que ceux qui sont incapable de dépacker les bestioles pour les scanner fassent : i, i-2 i-3 etc...
-- joke0
Roland Garcia
On Wed, 03 Mar 2004 15:59:49 +0100, Roland Garcia wrote:
Ils n'ont pas des anti-virus de poste qui se mettent à jour tous seuls tes clients ?
Tu crois que je leur fais confiance :)
Sérieusement, je ne peux garantir que le poste final sera équipé d'un AV,
Ni d'un cheval de Troie :-)
Roland Garcia
On Wed, 03 Mar 2004 15:59:49 +0100, Roland Garcia wrote:
Ils n'ont pas des anti-virus de poste qui se mettent à jour tous seuls
tes clients ?
Tu crois que je leur fais confiance :)
Sérieusement, je ne peux garantir que le poste final sera équipé d'un
AV,
On Wed, 03 Mar 2004 15:59:49 +0100, Roland Garcia wrote:
Ils n'ont pas des anti-virus de poste qui se mettent à jour tous seuls tes clients ?
Tu crois que je leur fais confiance :)
Sérieusement, je ne peux garantir que le poste final sera équipé d'un AV,
Ni d'un cheval de Troie :-)
Roland Garcia
Olivier Aichelbaum
Nicob wrote:
KAV rapporte bien le ZIP comme protégé par mot de passe mais garde un code de retour normal (ie. "pas de virus")
Reçu un communiqué de BitDefender, extrait :
"Pour contourner cette nouvelle stratégie, les laboratoires BitDefender ont développé un moteur dont l'objectif est de découvrir le mot de passe zip dans le message", déclare Viorel Canja, Directeur des laboratoires BitDefender. "D'après nos informations, les clients BitDefender sont les seuls à profiter de ce genre de protection. La plupart des éditeurs n'assure une protection qu'à partir du moment ou l'archive est extraite ; Ceci est un peu tard pour les utilisateurs inexpérimentés", conclut-il.
Fin citation.
Je suis curieux de voir le temps que ça prend, mais quitte à protéger en analysant de nombreux formats d'archives compressées (perso, je pense qu'on peut s'en passer, en attendant la décompression), autant en effet analyser aussi celles protégées par un mot de passe : il faut être cohérent.
-- Olivier Aichelbaum
Nicob wrote:
KAV rapporte bien le ZIP comme protégé par mot de passe mais garde un
code de retour normal (ie. "pas de virus")
Reçu un communiqué de BitDefender, extrait :
"Pour contourner cette nouvelle stratégie, les laboratoires BitDefender
ont développé un moteur dont l'objectif est de découvrir le mot de passe
zip dans le message", déclare Viorel Canja, Directeur des laboratoires
BitDefender. "D'après nos informations, les clients BitDefender sont les
seuls à profiter de ce genre de protection. La plupart des éditeurs
n'assure une protection qu'à partir du moment ou l'archive est extraite
; Ceci est un peu tard pour les utilisateurs inexpérimentés", conclut-il.
Fin citation.
Je suis curieux de voir le temps que ça prend, mais quitte à protéger
en analysant de nombreux formats d'archives compressées (perso, je pense
qu'on peut s'en passer, en attendant la décompression), autant en effet
analyser aussi celles protégées par un mot de passe : il faut être
cohérent.
KAV rapporte bien le ZIP comme protégé par mot de passe mais garde un code de retour normal (ie. "pas de virus")
Reçu un communiqué de BitDefender, extrait :
"Pour contourner cette nouvelle stratégie, les laboratoires BitDefender ont développé un moteur dont l'objectif est de découvrir le mot de passe zip dans le message", déclare Viorel Canja, Directeur des laboratoires BitDefender. "D'après nos informations, les clients BitDefender sont les seuls à profiter de ce genre de protection. La plupart des éditeurs n'assure une protection qu'à partir du moment ou l'archive est extraite ; Ceci est un peu tard pour les utilisateurs inexpérimentés", conclut-il.
Fin citation.
Je suis curieux de voir le temps que ça prend, mais quitte à protéger en analysant de nombreux formats d'archives compressées (perso, je pense qu'on peut s'en passer, en attendant la décompression), autant en effet analyser aussi celles protégées par un mot de passe : il faut être cohérent.
-- Olivier Aichelbaum
T0t0
"Olivier Aichelbaum" wrote in message news:40462630$0$21693$
Je suis curieux de voir le temps que ça prend, mais quitte à protéger en analysant de nombreux formats d'archives compressées (perso, je pense qu'on peut s'en passer, en attendant la décompression), autant en effet analyser aussi celles protégées par un mot de passe : il faut être cohérent.
C'est pas comme si le travaille était monstrueux. Extraire un mot de passe du message, c'est pas bien sorcier. Et puis pour les virus zippés pour lesquels le mot de passe n'est pas dans le message, il y a moins de risques que l'utilisateur lambda s'amuse à cracker le mot de passe ;-)
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Olivier Aichelbaum" <acbm@acbm.com> wrote in message
news:40462630$0$21693$636a15ce@news.free.fr
Je suis curieux de voir le temps que ça prend, mais quitte à protéger
en analysant de nombreux formats d'archives compressées (perso, je pense
qu'on peut s'en passer, en attendant la décompression), autant en effet
analyser aussi celles protégées par un mot de passe : il faut être
cohérent.
C'est pas comme si le travaille était monstrueux. Extraire un mot de
passe du message, c'est pas bien sorcier. Et puis pour les virus
zippés pour lesquels le mot de passe n'est pas dans le message, il
y a moins de risques que l'utilisateur lambda s'amuse à cracker le
mot de passe ;-)
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Olivier Aichelbaum" wrote in message news:40462630$0$21693$
Je suis curieux de voir le temps que ça prend, mais quitte à protéger en analysant de nombreux formats d'archives compressées (perso, je pense qu'on peut s'en passer, en attendant la décompression), autant en effet analyser aussi celles protégées par un mot de passe : il faut être cohérent.
C'est pas comme si le travaille était monstrueux. Extraire un mot de passe du message, c'est pas bien sorcier. Et puis pour les virus zippés pour lesquels le mot de passe n'est pas dans le message, il y a moins de risques que l'utilisateur lambda s'amuse à cracker le mot de passe ;-)
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Roland Garcia
Nicob wrote:
KAV rapporte bien le ZIP comme protégé par mot de passe mais garde un code de retour normal (ie. "pas de virus")
Reçu un communiqué de BitDefender, extrait :
"Pour contourner cette nouvelle stratégie, les laboratoires BitDefender ont développé un moteur dont l'objectif est de découvrir le mot de passe zip dans le message", déclare Viorel Canja, Directeur des laboratoires BitDefender. "D'après nos informations, les clients BitDefender sont les seuls à profiter de ce genre de protection. La plupart des éditeurs n'assure une protection qu'à partir du moment ou l'archive est extraite ; Ceci est un peu tard pour les utilisateurs inexpérimentés", conclut-il.
Feraient mieux d'abord de détecter les virus avant d'inventer des gadgets.
Ils décoderont aussi un virus chiffré en PGP auto-extractible et son mot de passe de 23 caractères fourni dans le mail suivant ?
Roland Garcia
Nicob wrote:
KAV rapporte bien le ZIP comme protégé par mot de passe mais garde un
code de retour normal (ie. "pas de virus")
Reçu un communiqué de BitDefender, extrait :
"Pour contourner cette nouvelle stratégie, les laboratoires BitDefender
ont développé un moteur dont l'objectif est de découvrir le mot de passe
zip dans le message", déclare Viorel Canja, Directeur des laboratoires
BitDefender. "D'après nos informations, les clients BitDefender sont les
seuls à profiter de ce genre de protection. La plupart des éditeurs
n'assure une protection qu'à partir du moment ou l'archive est extraite
; Ceci est un peu tard pour les utilisateurs inexpérimentés", conclut-il.
Feraient mieux d'abord de détecter les virus avant d'inventer des
gadgets.
Ils décoderont aussi un virus chiffré en PGP auto-extractible et son mot
de passe de 23 caractères fourni dans le mail suivant ?
KAV rapporte bien le ZIP comme protégé par mot de passe mais garde un code de retour normal (ie. "pas de virus")
Reçu un communiqué de BitDefender, extrait :
"Pour contourner cette nouvelle stratégie, les laboratoires BitDefender ont développé un moteur dont l'objectif est de découvrir le mot de passe zip dans le message", déclare Viorel Canja, Directeur des laboratoires BitDefender. "D'après nos informations, les clients BitDefender sont les seuls à profiter de ce genre de protection. La plupart des éditeurs n'assure une protection qu'à partir du moment ou l'archive est extraite ; Ceci est un peu tard pour les utilisateurs inexpérimentés", conclut-il.
Feraient mieux d'abord de détecter les virus avant d'inventer des gadgets.
Ils décoderont aussi un virus chiffré en PGP auto-extractible et son mot de passe de 23 caractères fourni dans le mail suivant ?
Roland Garcia
Olivier Aichelbaum
Roland Garcia wrote:
"Pour contourner cette nouvelle stratégie, les laboratoires BitDefender ont développé un moteur dont l'objectif est de découvrir le mot de passe zip dans le message", déclare Viorel Canja, Directeur des laboratoires BitDefender. "D'après nos informations, les clients BitDefender sont les seuls à profiter de ce genre de protection. La plupart des éditeurs n'assure une protection qu'à partir du moment ou l'archive est extraite ; Ceci est un peu tard pour les utilisateurs inexpérimentés", conclut-il.
Feraient mieux d'abord de détecter les virus avant d'inventer des gadgets.
... qui servent à détecter les virus ;)
Ils décoderont aussi un virus chiffré en PGP auto-extractible et son mot de passe de 23 caractères fourni dans le mail suivant ?
Donc - comme je disais - aucun raison d'analyser des archives "statiques", et donc de se servir comme argument technique d'un grand nombre de format d'archives traitées par tel antivirus.
-- Olivier Aichelbaum
Roland Garcia wrote:
"Pour contourner cette nouvelle stratégie, les laboratoires
BitDefender ont développé un moteur dont l'objectif est de découvrir
le mot de passe zip dans le message", déclare Viorel Canja, Directeur
des laboratoires BitDefender. "D'après nos informations, les clients
BitDefender sont les seuls à profiter de ce genre de protection. La
plupart des éditeurs n'assure une protection qu'à partir du moment ou
l'archive est extraite ; Ceci est un peu tard pour les utilisateurs
inexpérimentés", conclut-il.
Feraient mieux d'abord de détecter les virus avant d'inventer des
gadgets.
... qui servent à détecter les virus ;)
Ils décoderont aussi un virus chiffré en PGP auto-extractible et son mot
de passe de 23 caractères fourni dans le mail suivant ?
Donc - comme je disais - aucun raison d'analyser des archives
"statiques", et donc de se servir comme argument technique d'un
grand nombre de format d'archives traitées par tel antivirus.
"Pour contourner cette nouvelle stratégie, les laboratoires BitDefender ont développé un moteur dont l'objectif est de découvrir le mot de passe zip dans le message", déclare Viorel Canja, Directeur des laboratoires BitDefender. "D'après nos informations, les clients BitDefender sont les seuls à profiter de ce genre de protection. La plupart des éditeurs n'assure une protection qu'à partir du moment ou l'archive est extraite ; Ceci est un peu tard pour les utilisateurs inexpérimentés", conclut-il.
Feraient mieux d'abord de détecter les virus avant d'inventer des gadgets.
... qui servent à détecter les virus ;)
Ils décoderont aussi un virus chiffré en PGP auto-extractible et son mot de passe de 23 caractères fourni dans le mail suivant ?
Donc - comme je disais - aucun raison d'analyser des archives "statiques", et donc de se servir comme argument technique d'un grand nombre de format d'archives traitées par tel antivirus.
-- Olivier Aichelbaum
Noshi
On Wed, 03 Mar 2004 14:19:20 +0100, Nicob wrote:
Salut !
Question piège : comment détecter/bloquer les instances de Bagle.i placées dans un ZIP protégé par mot de passe ?
Tu peux pas tester en perl si le zip se décompacte ou pas ? Ca demande d'avoir une liste blanche evidemment.
Bloquer les ZIP ?
Par exemple...
Bloquer une chaine quelconque ?
A mon avis il doit etre possible en analysant l'entete du zip de trouver si y'a un mdp ou pas... par contre je pense que le MDP sert a crypter le zip..
A tester...
Nicob
-- Noshi
On Wed, 03 Mar 2004 14:19:20 +0100, Nicob wrote:
Salut !
Question piège : comment détecter/bloquer les instances de Bagle.i
placées dans un ZIP protégé par mot de passe ?
Tu peux pas tester en perl si le zip se décompacte ou pas ?
Ca demande d'avoir une liste blanche evidemment.
Bloquer les ZIP ?
Par exemple...
Bloquer une chaine quelconque ?
A mon avis il doit etre possible en analysant l'entete du zip de trouver si
y'a un mdp ou pas... par contre je pense que le MDP sert a crypter le zip..
Question piège : comment détecter/bloquer les instances de Bagle.i placées dans un ZIP protégé par mot de passe ?
Tu peux pas tester en perl si le zip se décompacte ou pas ? Ca demande d'avoir une liste blanche evidemment.
Bloquer les ZIP ?
Par exemple...
Bloquer une chaine quelconque ?
A mon avis il doit etre possible en analysant l'entete du zip de trouver si y'a un mdp ou pas... par contre je pense que le MDP sert a crypter le zip..
