On Wed, 03 Mar 2004 19:39:13 +0100, Olivier Aichelbaum wrote:
Nicob wrote:
KAV rapporte bien le ZIP comme protégé par mot de passe mais garde un code de retour normal (ie. "pas de virus")
Reçu un communiqué de BitDefender, extrait :
"Pour contourner cette nouvelle stratégie, les laboratoires BitDefender ont développé un moteur dont l'objectif est de découvrir le mot de passe zip dans le message", déclare Viorel Canja, Directeur des laboratoires BitDefender. "D'après nos informations, les clients BitDefender sont les seuls à profiter de ce genre de protection. La plupart des éditeurs n'assure une protection qu'à partir du moment ou l'archive est extraite ; Ceci est un peu tard pour les utilisateurs inexpérimentés", conclut-il.
Fin citation.
Je suis curieux de voir le temps que ça prend, mais quitte à protéger en analysant de nombreux formats d'archives compressées (perso, je pense qu'on peut s'en passer, en attendant la décompression), autant en effet analyser aussi celles protégées par un mot de passe : il faut être cohérent.
ici pour trouver un mdp en 6 caracteres avec un programme dos ca me prend 28 secondes.
-- Noshi
On Wed, 03 Mar 2004 19:39:13 +0100, Olivier Aichelbaum wrote:
Nicob wrote:
KAV rapporte bien le ZIP comme protégé par mot de passe mais garde un
code de retour normal (ie. "pas de virus")
Reçu un communiqué de BitDefender, extrait :
"Pour contourner cette nouvelle stratégie, les laboratoires BitDefender
ont développé un moteur dont l'objectif est de découvrir le mot de passe
zip dans le message", déclare Viorel Canja, Directeur des laboratoires
BitDefender. "D'après nos informations, les clients BitDefender sont les
seuls à profiter de ce genre de protection. La plupart des éditeurs
n'assure une protection qu'à partir du moment ou l'archive est extraite
; Ceci est un peu tard pour les utilisateurs inexpérimentés", conclut-il.
Fin citation.
Je suis curieux de voir le temps que ça prend, mais quitte à protéger
en analysant de nombreux formats d'archives compressées (perso, je pense
qu'on peut s'en passer, en attendant la décompression), autant en effet
analyser aussi celles protégées par un mot de passe : il faut être
cohérent.
ici pour trouver un mdp en 6 caracteres avec un programme dos ca me prend
28 secondes.
On Wed, 03 Mar 2004 19:39:13 +0100, Olivier Aichelbaum wrote:
Nicob wrote:
KAV rapporte bien le ZIP comme protégé par mot de passe mais garde un code de retour normal (ie. "pas de virus")
Reçu un communiqué de BitDefender, extrait :
"Pour contourner cette nouvelle stratégie, les laboratoires BitDefender ont développé un moteur dont l'objectif est de découvrir le mot de passe zip dans le message", déclare Viorel Canja, Directeur des laboratoires BitDefender. "D'après nos informations, les clients BitDefender sont les seuls à profiter de ce genre de protection. La plupart des éditeurs n'assure une protection qu'à partir du moment ou l'archive est extraite ; Ceci est un peu tard pour les utilisateurs inexpérimentés", conclut-il.
Fin citation.
Je suis curieux de voir le temps que ça prend, mais quitte à protéger en analysant de nombreux formats d'archives compressées (perso, je pense qu'on peut s'en passer, en attendant la décompression), autant en effet analyser aussi celles protégées par un mot de passe : il faut être cohérent.
ici pour trouver un mdp en 6 caracteres avec un programme dos ca me prend 28 secondes.
-- Noshi
Roland Garcia
Je suis curieux de voir le temps que ça prend, mais quitte à protéger en analysant de nombreux formats d'archives compressées (perso, je pense qu'on peut s'en passer, en attendant la décompression), autant en effet analyser aussi celles protégées par un mot de passe : il faut être cohérent.
ici pour trouver un mdp en 6 caracteres avec un programme dos ca me prend 28 secondes.
Allez 8 caractères et n'en parlons plus :-)
Roland Garcia
Je suis curieux de voir le temps que ça prend, mais quitte à protéger
en analysant de nombreux formats d'archives compressées (perso, je pense
qu'on peut s'en passer, en attendant la décompression), autant en effet
analyser aussi celles protégées par un mot de passe : il faut être
cohérent.
ici pour trouver un mdp en 6 caracteres avec un programme dos ca me prend
28 secondes.
Je suis curieux de voir le temps que ça prend, mais quitte à protéger en analysant de nombreux formats d'archives compressées (perso, je pense qu'on peut s'en passer, en attendant la décompression), autant en effet analyser aussi celles protégées par un mot de passe : il faut être cohérent.
ici pour trouver un mdp en 6 caracteres avec un programme dos ca me prend 28 secondes.
Allez 8 caractères et n'en parlons plus :-)
Roland Garcia
Olivier Aichelbaum
Noshi wrote:
ici pour trouver un mdp en 6 caracteres avec un programme dos ca me prend 28 secondes.
Et donc si le disque dur est plein de Zip...
-- Olivier Aichelbaum
Noshi wrote:
ici pour trouver un mdp en 6 caracteres avec un programme dos ca me prend
28 secondes.
ici pour trouver un mdp en 6 caracteres avec un programme dos ca me prend 28 secondes.
Mais c'est un mdp uniquement en minuscule :-)
Pour un mot de passe de 5 chiffres il faut 59ms sur ma (petite) machine :)
-- joke0
Guillermito
Noshi wrote:
ici pour trouver un mdp en 6 caracteres avec un programme dos ca me prend 28 secondes.
Je crois bien avoir lu récemment que PKware et Winzip, les deux principaux fournisseurs de programmes de compression, venaient de se mettre plus ou moins d'accord sur un nouveau standard de cryptage des Zip qui utilise enfin de la crypto forte, pour en finir avec l'algorithme ridicule couramment utilisé. Ce qui rendra obsolète la méthode BitDefender.
Cela dit, elle est déjà obsolète: 28 secondes par fichier, ce n'est pas beaucoup pour un utilisateur personnel, mais sur un serveur qui reçoit des milliers de messages, c'est impossible à mettre en place.
-- Guillermito http://www.guillermito2.net
Noshi <noshi@lacave.net> wrote:
ici pour trouver un mdp en 6 caracteres avec un programme dos ca me prend
28 secondes.
Je crois bien avoir lu récemment que PKware et Winzip, les deux
principaux fournisseurs de programmes de compression, venaient de se
mettre plus ou moins d'accord sur un nouveau standard de cryptage des
Zip qui utilise enfin de la crypto forte, pour en finir avec
l'algorithme ridicule couramment utilisé. Ce qui rendra obsolète la
méthode BitDefender.
Cela dit, elle est déjà obsolète: 28 secondes par fichier, ce n'est
pas beaucoup pour un utilisateur personnel, mais sur un serveur qui
reçoit des milliers de messages, c'est impossible à mettre en place.
ici pour trouver un mdp en 6 caracteres avec un programme dos ca me prend 28 secondes.
Je crois bien avoir lu récemment que PKware et Winzip, les deux principaux fournisseurs de programmes de compression, venaient de se mettre plus ou moins d'accord sur un nouveau standard de cryptage des Zip qui utilise enfin de la crypto forte, pour en finir avec l'algorithme ridicule couramment utilisé. Ce qui rendra obsolète la méthode BitDefender.
Cela dit, elle est déjà obsolète: 28 secondes par fichier, ce n'est pas beaucoup pour un utilisateur personnel, mais sur un serveur qui reçoit des milliers de messages, c'est impossible à mettre en place.
-- Guillermito http://www.guillermito2.net
Nicob
On Wed, 03 Mar 2004 17:34:04 -0500, Guillermito wrote:
Cela dit, elle est déjà obsolète: 28 secondes par fichier, ce n'est pas beaucoup pour un utilisateur personnel, mais sur un serveur qui reçoit des milliers de messages, c'est impossible à mettre en place.
Il peut être plus efficace de rechercher le mot de passe directement dans le corps du message. Par exemple, dans le cas de Bagle.i, il n'y a que 4 phrases possibles contenant le mot de passe.
Mais il faudra adapter cette technique à chaque nouveau virus ...
Nicob
On Wed, 03 Mar 2004 17:34:04 -0500, Guillermito wrote:
Cela dit, elle est déjà obsolète: 28 secondes par fichier, ce n'est
pas beaucoup pour un utilisateur personnel, mais sur un serveur qui
reçoit des milliers de messages, c'est impossible à mettre en place.
Il peut être plus efficace de rechercher le mot de passe directement dans
le corps du message. Par exemple, dans le cas de Bagle.i, il n'y a que 4
phrases possibles contenant le mot de passe.
Mais il faudra adapter cette technique à chaque nouveau virus ...
On Wed, 03 Mar 2004 17:34:04 -0500, Guillermito wrote:
Cela dit, elle est déjà obsolète: 28 secondes par fichier, ce n'est pas beaucoup pour un utilisateur personnel, mais sur un serveur qui reçoit des milliers de messages, c'est impossible à mettre en place.
Il peut être plus efficace de rechercher le mot de passe directement dans le corps du message. Par exemple, dans le cas de Bagle.i, il n'y a que 4 phrases possibles contenant le mot de passe.
Mais il faudra adapter cette technique à chaque nouveau virus ...
Nicob
Nicob
On Wed, 03 Mar 2004 23:13:09 +0100, Noshi wrote:
Question piège : comment détecter/bloquer les instances de Bagle.i placées dans un ZIP protégé par mot de passe ?
Tu peux pas tester en perl si le zip se décompacte ou pas ? Ca demande d'avoir une liste blanche evidemment.
Mon problème est résolu : certains éditeurs détectent le ZIP avec mot de passe, et non pas seulement le fichier exécutable.
Bloquer les ZIP ?
Par exemple..
Juste le temps d'attendre que les éditeurs fournissent une solution ...
Nicob
On Wed, 03 Mar 2004 23:13:09 +0100, Noshi wrote:
Question piège : comment détecter/bloquer les instances de Bagle.i
placées dans un ZIP protégé par mot de passe ?
Tu peux pas tester en perl si le zip se décompacte ou pas ?
Ca demande d'avoir une liste blanche evidemment.
Mon problème est résolu : certains éditeurs détectent le ZIP avec mot
de passe, et non pas seulement le fichier exécutable.
Bloquer les ZIP ?
Par exemple..
Juste le temps d'attendre que les éditeurs fournissent une solution ...
Question piège : comment détecter/bloquer les instances de Bagle.i placées dans un ZIP protégé par mot de passe ?
Tu peux pas tester en perl si le zip se décompacte ou pas ? Ca demande d'avoir une liste blanche evidemment.
Mon problème est résolu : certains éditeurs détectent le ZIP avec mot de passe, et non pas seulement le fichier exécutable.
Bloquer les ZIP ?
Par exemple..
Juste le temps d'attendre que les éditeurs fournissent une solution ...
Nicob
Laurent Wacrenier
Nicob écrit:
Il peut être plus efficace de rechercher le mot de passe directement dans le corps du message. Par exemple, dans le cas de Bagle.i, il n'y a que 4 phrases possibles contenant le mot de passe.
À condition que le mot de passe soit dedans en un seul morceau. Ce pourrait être un texte en HTML avec des entités ou une image GIF. Bon courage...
Nicob <nicob@I.hate.spammers.com> écrit:
Il peut être plus efficace de rechercher le mot de passe directement dans
le corps du message. Par exemple, dans le cas de Bagle.i, il n'y a que 4
phrases possibles contenant le mot de passe.
À condition que le mot de passe soit dedans en un seul morceau. Ce
pourrait être un texte en HTML avec des entités ou une image GIF.
Bon courage...
Il peut être plus efficace de rechercher le mot de passe directement dans le corps du message. Par exemple, dans le cas de Bagle.i, il n'y a que 4 phrases possibles contenant le mot de passe.
À condition que le mot de passe soit dedans en un seul morceau. Ce pourrait être un texte en HTML avec des entités ou une image GIF. Bon courage...
Laurent Wacrenier
Nicob écrit:
Mon problème est résolu : certains éditeurs détectent le ZIP avec mot de passe, et non pas seulement le fichier exécutable.
Suite à des demandes insistantes, clamav a ajouté une option, désactivée par défaut, pour les détecter.
C'est délicat à mettre en ½uvre, des utilisateurs peuvent s'envoyer légitimenent des archives ZIP chiffrées.
Nicob <nicob@I.hate.spammers.com> écrit:
Mon problème est résolu : certains éditeurs détectent le ZIP avec mot
de passe, et non pas seulement le fichier exécutable.
Suite à des demandes insistantes, clamav a ajouté une option,
désactivée par défaut, pour les détecter.
C'est délicat à mettre en ½uvre, des utilisateurs peuvent s'envoyer
légitimenent des archives ZIP chiffrées.
