Donc - comme je disais - aucun raison d'analyser des archives "statiques", et donc de se servir comme argument technique...
Si, c'est indispensable pour la simple raison que certains virus infectent les archives (y placent des virus).
1. Soit on considère les ZIP - et les virus stockés donc - "pas actifs", donc pas besoin de scanner.
2. Soit on considère qu'il faut analyser les archives ZIP, donc les archives cryptées aussi, pour être cohérent avec soi-même.
Moralité : votre antivirus a les fesses entre deux chaises.
Note : Dans Full-Disclosure de Netsys, il y a une discussion sur le même thème, dans le fil "Backdoor not recognized by Kaspersky". Paul Schmehl de l'Université du Texas déclare que "McAfee now detects the password protected zip files" ("McAfee détecte maintenant les fichiers Zip protégés par mot de passe", mais je n'ai pas encore eu confirmation de ce point).
-- Olivier Aichelbaum
Roland Garcia wrote:
Donc - comme je disais - aucun raison d'analyser des archives
"statiques", et donc de se servir comme argument technique...
Si, c'est indispensable pour la simple raison que certains virus
infectent les archives (y placent des virus).
1. Soit on considère les ZIP - et les virus stockés donc -
"pas actifs", donc pas besoin de scanner.
2. Soit on considère qu'il faut analyser les archives ZIP, donc
les archives cryptées aussi, pour être cohérent avec soi-même.
Moralité : votre antivirus a les fesses entre deux chaises.
Note :
Dans Full-Disclosure de Netsys, il y a une discussion sur le même thème,
dans le fil "Backdoor not recognized by Kaspersky". Paul Schmehl de
l'Université du Texas déclare que "McAfee now detects the password
protected zip files" ("McAfee détecte maintenant les fichiers Zip
protégés par mot de passe", mais je n'ai pas encore eu confirmation
de ce point).
Donc - comme je disais - aucun raison d'analyser des archives "statiques", et donc de se servir comme argument technique...
Si, c'est indispensable pour la simple raison que certains virus infectent les archives (y placent des virus).
1. Soit on considère les ZIP - et les virus stockés donc - "pas actifs", donc pas besoin de scanner.
2. Soit on considère qu'il faut analyser les archives ZIP, donc les archives cryptées aussi, pour être cohérent avec soi-même.
Moralité : votre antivirus a les fesses entre deux chaises.
Note : Dans Full-Disclosure de Netsys, il y a une discussion sur le même thème, dans le fil "Backdoor not recognized by Kaspersky". Paul Schmehl de l'Université du Texas déclare que "McAfee now detects the password protected zip files" ("McAfee détecte maintenant les fichiers Zip protégés par mot de passe", mais je n'ai pas encore eu confirmation de ce point).
-- Olivier Aichelbaum
Frederic Bonroy
Olivier Aichelbaum wrote:
Note : Dans Full-Disclosure de Netsys, il y a une discussion sur le même thème, dans le fil "Backdoor not recognized by Kaspersky". Paul Schmehl de l'Université du Texas déclare que "McAfee now detects the password protected zip files" ("McAfee détecte maintenant les fichiers Zip protégés par mot de passe", mais je n'ai pas encore eu confirmation de ce point).
S'il le dit c'est certainement vrai, il est un fana de McAfee. :-)
Kaspersky aussi d'ailleurs fait des efforts en ce moment qui vont dans la même direction.
Olivier Aichelbaum wrote:
Note :
Dans Full-Disclosure de Netsys, il y a une discussion sur le même thème,
dans le fil "Backdoor not recognized by Kaspersky". Paul Schmehl de
l'Université du Texas déclare que "McAfee now detects the password
protected zip files" ("McAfee détecte maintenant les fichiers Zip
protégés par mot de passe", mais je n'ai pas encore eu confirmation
de ce point).
S'il le dit c'est certainement vrai, il est un fana de McAfee. :-)
Kaspersky aussi d'ailleurs fait des efforts en ce moment qui vont dans
la même direction.
Note : Dans Full-Disclosure de Netsys, il y a une discussion sur le même thème, dans le fil "Backdoor not recognized by Kaspersky". Paul Schmehl de l'Université du Texas déclare que "McAfee now detects the password protected zip files" ("McAfee détecte maintenant les fichiers Zip protégés par mot de passe", mais je n'ai pas encore eu confirmation de ce point).
S'il le dit c'est certainement vrai, il est un fana de McAfee. :-)
Kaspersky aussi d'ailleurs fait des efforts en ce moment qui vont dans la même direction.
Roland Garcia
Roland Garcia wrote:
Donc - comme je disais - aucun raison d'analyser des archives "statiques", et donc de se servir comme argument technique...
Si, c'est indispensable pour la simple raison que certains virus infectent les archives (y placent des virus).
1. Soit on considère les ZIP - et les virus stockés donc - "pas actifs", donc pas besoin de scanner.
2. Soit on considère qu'il faut analyser les archives ZIP, donc les archives cryptées aussi, pour être cohérent avec soi-même.
Moralité : votre antivirus a les fesses entre deux chaises.
Non car un virus ne peut pas infecter un ZIP protégé par mot de passe, pas plus qu'un scanner ne peut le scanner (dans un temps acceptable). Ou alors le chiffrement ZIP est du pipo.
Note : Dans Full-Disclosure de Netsys, il y a une discussion sur le même thème, dans le fil "Backdoor not recognized by Kaspersky". Paul Schmehl de l'Université du Texas déclare que "McAfee now detects the password protected zip files" ("McAfee détecte maintenant les fichiers Zip protégés par mot de passe", mais je n'ai pas encore eu confirmation de ce point).
Et en conséquence KAV a dit qu'il le ferait. Maintenant pour pouvoir envoyer des ZIP protégés par mot de passe il faudra les inclure dans un autre ZIP, ou changer de type d'archive :-(
Roland Garcia
Roland Garcia wrote:
Donc - comme je disais - aucun raison d'analyser des archives
"statiques", et donc de se servir comme argument technique...
Si, c'est indispensable pour la simple raison que certains virus
infectent les archives (y placent des virus).
1. Soit on considère les ZIP - et les virus stockés donc -
"pas actifs", donc pas besoin de scanner.
2. Soit on considère qu'il faut analyser les archives ZIP, donc
les archives cryptées aussi, pour être cohérent avec soi-même.
Moralité : votre antivirus a les fesses entre deux chaises.
Non car un virus ne peut pas infecter un ZIP protégé par mot de passe,
pas plus qu'un scanner ne peut le scanner (dans un temps acceptable). Ou
alors le chiffrement ZIP est du pipo.
Note :
Dans Full-Disclosure de Netsys, il y a une discussion sur le même thème,
dans le fil "Backdoor not recognized by Kaspersky". Paul Schmehl de
l'Université du Texas déclare que "McAfee now detects the password
protected zip files" ("McAfee détecte maintenant les fichiers Zip
protégés par mot de passe", mais je n'ai pas encore eu confirmation
de ce point).
Et en conséquence KAV a dit qu'il le ferait. Maintenant pour pouvoir
envoyer des ZIP protégés par mot de passe il faudra les inclure dans un
autre ZIP, ou changer de type d'archive :-(
Donc - comme je disais - aucun raison d'analyser des archives "statiques", et donc de se servir comme argument technique...
Si, c'est indispensable pour la simple raison que certains virus infectent les archives (y placent des virus).
1. Soit on considère les ZIP - et les virus stockés donc - "pas actifs", donc pas besoin de scanner.
2. Soit on considère qu'il faut analyser les archives ZIP, donc les archives cryptées aussi, pour être cohérent avec soi-même.
Moralité : votre antivirus a les fesses entre deux chaises.
Non car un virus ne peut pas infecter un ZIP protégé par mot de passe, pas plus qu'un scanner ne peut le scanner (dans un temps acceptable). Ou alors le chiffrement ZIP est du pipo.
Note : Dans Full-Disclosure de Netsys, il y a une discussion sur le même thème, dans le fil "Backdoor not recognized by Kaspersky". Paul Schmehl de l'Université du Texas déclare que "McAfee now detects the password protected zip files" ("McAfee détecte maintenant les fichiers Zip protégés par mot de passe", mais je n'ai pas encore eu confirmation de ce point).
Et en conséquence KAV a dit qu'il le ferait. Maintenant pour pouvoir envoyer des ZIP protégés par mot de passe il faudra les inclure dans un autre ZIP, ou changer de type d'archive :-(
Roland Garcia
Olivier Aichelbaum
Frederic Bonroy wrote:
Kaspersky aussi d'ailleurs fait des efforts en ce moment qui vont dans la même direction.
Y en a ici qui vont bientôt retourner leur veste alors ;)
Comme quelqu'un disait : ici le mot de passe est fourni, ça aide à décrypter.
Et si je me souviens bien aussi de mes bidouillages à l'époque, le fait de connaître un mot contenu dans un Zip crypté aide à décrypter ce Zip plus vite. Ici, ce mot pourrait être la signature du virus.
Et après cette histoire, je me demande : les DOC cryptés ? les XLS cryptés ? etc.
-- Olivier Aichelbaum
Frederic Bonroy wrote:
Kaspersky aussi d'ailleurs fait des efforts en ce moment qui vont dans
la même direction.
Y en a ici qui vont bientôt retourner leur veste alors ;)
Comme quelqu'un disait : ici le mot de passe est fourni, ça aide
à décrypter.
Et si je me souviens bien aussi de mes bidouillages à l'époque, le
fait de connaître un mot contenu dans un Zip crypté aide à décrypter
ce Zip plus vite. Ici, ce mot pourrait être la signature du virus.
Et après cette histoire, je me demande : les DOC cryptés ? les XLS
cryptés ? etc.
Kaspersky aussi d'ailleurs fait des efforts en ce moment qui vont dans la même direction.
Y en a ici qui vont bientôt retourner leur veste alors ;)
Comme quelqu'un disait : ici le mot de passe est fourni, ça aide à décrypter.
Et si je me souviens bien aussi de mes bidouillages à l'époque, le fait de connaître un mot contenu dans un Zip crypté aide à décrypter ce Zip plus vite. Ici, ce mot pourrait être la signature du virus.
Et après cette histoire, je me demande : les DOC cryptés ? les XLS cryptés ? etc.
-- Olivier Aichelbaum
Frederic Bonroy
Olivier Aichelbaum wrote:
Et si je me souviens bien aussi de mes bidouillages à l'époque, le fait de connaître un mot contenu dans un Zip crypté aide à décrypter ce Zip plus vite. Ici, ce mot pourrait être la signature du virus.
Peut-être mais alors s'il faut essayer toutes les signatures on n'est pas sortis de l'auberge.
Et après cette histoire, je me demande : les DOC cryptés ? les XLS cryptés ? etc.
Beuh, peu importe. C'est encore et toujours le même problème: des gens ouvrent des pièces jointes et ne respectent pas les règles du "safe hex".
Tout le reste (archives cryptées etc.) ce n'est que de la poudre aux yeux.
Olivier Aichelbaum wrote:
Et si je me souviens bien aussi de mes bidouillages à l'époque, le
fait de connaître un mot contenu dans un Zip crypté aide à décrypter
ce Zip plus vite. Ici, ce mot pourrait être la signature du virus.
Peut-être mais alors s'il faut essayer toutes les signatures on n'est
pas sortis de l'auberge.
Et après cette histoire, je me demande : les DOC cryptés ? les XLS
cryptés ? etc.
Beuh, peu importe. C'est encore et toujours le même problème: des gens
ouvrent des pièces jointes et ne respectent pas les règles du "safe hex".
Tout le reste (archives cryptées etc.) ce n'est que de la poudre aux yeux.
Et si je me souviens bien aussi de mes bidouillages à l'époque, le fait de connaître un mot contenu dans un Zip crypté aide à décrypter ce Zip plus vite. Ici, ce mot pourrait être la signature du virus.
Peut-être mais alors s'il faut essayer toutes les signatures on n'est pas sortis de l'auberge.
Et après cette histoire, je me demande : les DOC cryptés ? les XLS cryptés ? etc.
Beuh, peu importe. C'est encore et toujours le même problème: des gens ouvrent des pièces jointes et ne respectent pas les règles du "safe hex".
Tout le reste (archives cryptées etc.) ce n'est que de la poudre aux yeux.
Roland Garcia
Frederic Bonroy wrote:
Kaspersky aussi d'ailleurs fait des efforts en ce moment qui vont dans la même direction.
Y en a ici qui vont bientôt retourner leur veste alors ;)
Moi ? m'étonnerait....
J'utilise maintenant KAV 5.0, la première des choses que j'ai faite est de supprimer l'analyse des messages à la volée, la seconde de supprimer l'analyse des archives protégées par mot de passe.
Roland Garcia
Frederic Bonroy wrote:
Kaspersky aussi d'ailleurs fait des efforts en ce moment qui vont dans
la même direction.
Y en a ici qui vont bientôt retourner leur veste alors ;)
Moi ? m'étonnerait....
J'utilise maintenant KAV 5.0, la première des choses que j'ai faite est
de supprimer l'analyse des messages à la volée, la seconde de supprimer
l'analyse des archives protégées par mot de passe.
Kaspersky aussi d'ailleurs fait des efforts en ce moment qui vont dans la même direction.
Y en a ici qui vont bientôt retourner leur veste alors ;)
Moi ? m'étonnerait....
J'utilise maintenant KAV 5.0, la première des choses que j'ai faite est de supprimer l'analyse des messages à la volée, la seconde de supprimer l'analyse des archives protégées par mot de passe.
Roland Garcia
Olivier Aichelbaum
Roland Garcia wrote:
1. Soit on considère les ZIP - et les virus stockés donc - "pas actifs", donc pas besoin de scanner.
2. Soit on considère qu'il faut analyser les archives ZIP, donc les archives cryptées aussi, pour être cohérent avec soi-même.
Moralité : votre antivirus a les fesses entre deux chaises.
Non car un virus ne peut pas infecter un ZIP protégé par mot de passe, pas plus qu'un scanner ne peut le scanner (dans un temps acceptable). Ou alors le chiffrement ZIP est du pipo.
On parle de ver de messagerie ici, qui peuvent très bien vivre sans contaminer un autre fichier, qu'il soit ZIP ou pas.
Et il m'arrive d'avoir des milliers de virus zippés (sans mot de passe) sur ma machine, je n'ai jamais été contaminé par l'un d'eux.
Note : Dans Full-Disclosure de Netsys, il y a une discussion sur le même thème, dans le fil "Backdoor not recognized by Kaspersky". Paul Schmehl de l'Université du Texas déclare que "McAfee now detects the password protected zip files" ("McAfee détecte maintenant les fichiers Zip protégés par mot de passe", mais je n'ai pas encore eu confirmation de ce point).
Et en conséquence KAV a dit qu'il le ferait.
Si même lui change d'avis, qui pense comme vous alors ?
Maintenant pour pouvoir envoyer des ZIP protégés par mot de passe il faudra les inclure dans un autre ZIP, ou changer de type d'archive :-(
Les anciennes protections DOC et XLS sont risibles, ZIP c'est un gros poil au-dessus, mais quitte à crypter, autant utiliser GPG.
-- Olivier Aichelbaum
Roland Garcia wrote:
1. Soit on considère les ZIP - et les virus stockés donc -
"pas actifs", donc pas besoin de scanner.
2. Soit on considère qu'il faut analyser les archives ZIP, donc
les archives cryptées aussi, pour être cohérent avec soi-même.
Moralité : votre antivirus a les fesses entre deux chaises.
Non car un virus ne peut pas infecter un ZIP protégé par mot de passe,
pas plus qu'un scanner ne peut le scanner (dans un temps acceptable). Ou
alors le chiffrement ZIP est du pipo.
On parle de ver de messagerie ici, qui peuvent très bien vivre
sans contaminer un autre fichier, qu'il soit ZIP ou pas.
Et il m'arrive d'avoir des milliers de virus zippés (sans mot de
passe) sur ma machine, je n'ai jamais été contaminé par l'un d'eux.
Note :
Dans Full-Disclosure de Netsys, il y a une discussion sur le même thème,
dans le fil "Backdoor not recognized by Kaspersky". Paul Schmehl de
l'Université du Texas déclare que "McAfee now detects the password
protected zip files" ("McAfee détecte maintenant les fichiers Zip
protégés par mot de passe", mais je n'ai pas encore eu confirmation
de ce point).
Et en conséquence KAV a dit qu'il le ferait.
Si même lui change d'avis, qui pense comme vous alors ?
Maintenant pour pouvoir
envoyer des ZIP protégés par mot de passe il faudra les inclure dans un
autre ZIP, ou changer de type d'archive :-(
Les anciennes protections DOC et XLS sont risibles, ZIP c'est un
gros poil au-dessus, mais quitte à crypter, autant utiliser GPG.
1. Soit on considère les ZIP - et les virus stockés donc - "pas actifs", donc pas besoin de scanner.
2. Soit on considère qu'il faut analyser les archives ZIP, donc les archives cryptées aussi, pour être cohérent avec soi-même.
Moralité : votre antivirus a les fesses entre deux chaises.
Non car un virus ne peut pas infecter un ZIP protégé par mot de passe, pas plus qu'un scanner ne peut le scanner (dans un temps acceptable). Ou alors le chiffrement ZIP est du pipo.
On parle de ver de messagerie ici, qui peuvent très bien vivre sans contaminer un autre fichier, qu'il soit ZIP ou pas.
Et il m'arrive d'avoir des milliers de virus zippés (sans mot de passe) sur ma machine, je n'ai jamais été contaminé par l'un d'eux.
Note : Dans Full-Disclosure de Netsys, il y a une discussion sur le même thème, dans le fil "Backdoor not recognized by Kaspersky". Paul Schmehl de l'Université du Texas déclare que "McAfee now detects the password protected zip files" ("McAfee détecte maintenant les fichiers Zip protégés par mot de passe", mais je n'ai pas encore eu confirmation de ce point).
Et en conséquence KAV a dit qu'il le ferait.
Si même lui change d'avis, qui pense comme vous alors ?
Maintenant pour pouvoir envoyer des ZIP protégés par mot de passe il faudra les inclure dans un autre ZIP, ou changer de type d'archive :-(
Les anciennes protections DOC et XLS sont risibles, ZIP c'est un gros poil au-dessus, mais quitte à crypter, autant utiliser GPG.
-- Olivier Aichelbaum
Roland Garcia
Y en a ici qui vont bientôt retourner leur veste alors ;)
Moi ? m'étonnerait....
J'utilise maintenant KAV 5.0, la première des choses que j'ai faite est de supprimer l'analyse des messages à la volée, la seconde de supprimer l'analyse des archives protégées par mot de passe.
A l'opposé du gadget, savez vous qu'il désinfecte/efface sans problème les fichiers contenu dans _restore (le stock à virus), normalement inaccessible ?
Roland Garcia
Y en a ici qui vont bientôt retourner leur veste alors ;)
Moi ? m'étonnerait....
J'utilise maintenant KAV 5.0, la première des choses que j'ai faite est
de supprimer l'analyse des messages à la volée, la seconde de supprimer
l'analyse des archives protégées par mot de passe.
A l'opposé du gadget, savez vous qu'il désinfecte/efface sans problème
les fichiers contenu dans _restore (le stock à virus), normalement
inaccessible ?
Y en a ici qui vont bientôt retourner leur veste alors ;)
Moi ? m'étonnerait....
J'utilise maintenant KAV 5.0, la première des choses que j'ai faite est de supprimer l'analyse des messages à la volée, la seconde de supprimer l'analyse des archives protégées par mot de passe.
A l'opposé du gadget, savez vous qu'il désinfecte/efface sans problème les fichiers contenu dans _restore (le stock à virus), normalement inaccessible ?
Roland Garcia
Olivier Aichelbaum
Frederic Bonroy wrote:
Olivier Aichelbaum wrote:
Et si je me souviens bien aussi de mes bidouillages à l'époque, le fait de connaître un mot contenu dans un Zip crypté aide à décrypter ce Zip plus vite. Ici, ce mot pourrait être la signature du virus.
Peut-être mais alors s'il faut essayer toutes les signatures on n'est pas sortis de l'auberge.
Ben oui, à terme c'est le problème.
Et après cette histoire, je me demande : les DOC cryptés ? les XLS cryptés ? etc.
Beuh, peu importe. C'est encore et toujours le même problème: des gens ouvrent des pièces jointes et ne respectent pas les règles du "safe hex".
Tout le reste (archives cryptées etc.) ce n'est que de la poudre aux yeux.
Merci, c'était là que je voulais en venir.
-- Olivier Aichelbaum
Frederic Bonroy wrote:
Olivier Aichelbaum wrote:
Et si je me souviens bien aussi de mes bidouillages à l'époque, le
fait de connaître un mot contenu dans un Zip crypté aide à décrypter
ce Zip plus vite. Ici, ce mot pourrait être la signature du virus.
Peut-être mais alors s'il faut essayer toutes les signatures on n'est
pas sortis de l'auberge.
Ben oui, à terme c'est le problème.
Et après cette histoire, je me demande : les DOC cryptés ? les XLS
cryptés ? etc.
Beuh, peu importe. C'est encore et toujours le même problème: des gens
ouvrent des pièces jointes et ne respectent pas les règles du "safe hex".
Tout le reste (archives cryptées etc.) ce n'est que de la poudre aux yeux.
Et si je me souviens bien aussi de mes bidouillages à l'époque, le fait de connaître un mot contenu dans un Zip crypté aide à décrypter ce Zip plus vite. Ici, ce mot pourrait être la signature du virus.
Peut-être mais alors s'il faut essayer toutes les signatures on n'est pas sortis de l'auberge.
Ben oui, à terme c'est le problème.
Et après cette histoire, je me demande : les DOC cryptés ? les XLS cryptés ? etc.
Beuh, peu importe. C'est encore et toujours le même problème: des gens ouvrent des pièces jointes et ne respectent pas les règles du "safe hex".
Tout le reste (archives cryptées etc.) ce n'est que de la poudre aux yeux.
Merci, c'était là que je voulais en venir.
-- Olivier Aichelbaum
Olivier Aichelbaum
Roland Garcia wrote:
A l'opposé du gadget, savez vous qu'il désinfecte/efface sans problème les fichiers contenu dans _restore (le stock à virus), normalement inaccessible ?
Je n'ai pas de problème avec _restore.
-- Olivier Aichelbaum
Roland Garcia wrote:
A l'opposé du gadget, savez vous qu'il désinfecte/efface sans problème
les fichiers contenu dans _restore (le stock à virus), normalement
inaccessible ?
A l'opposé du gadget, savez vous qu'il désinfecte/efface sans problème les fichiers contenu dans _restore (le stock à virus), normalement inaccessible ?