Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Bagle.i et les zip protégés par mot de passe

64 réponses
Avatar
Nicob
Salut !

Question piège : comment détecter/bloquer les instances de Bagle.i
placées dans un ZIP protégé par mot de passe ?

Bloquer les ZIP ?
Bloquer une chaine quelconque ?


Nicob

10 réponses

Avatar
Olivier Aichelbaum
Roland Garcia wrote:

Donc - comme je disais - aucun raison d'analyser des archives
"statiques", et donc de se servir comme argument technique...


Si, c'est indispensable pour la simple raison que certains virus
infectent les archives (y placent des virus).


1. Soit on considère les ZIP - et les virus stockés donc -
"pas actifs", donc pas besoin de scanner.

2. Soit on considère qu'il faut analyser les archives ZIP, donc
les archives cryptées aussi, pour être cohérent avec soi-même.

Moralité : votre antivirus a les fesses entre deux chaises.


Note :
Dans Full-Disclosure de Netsys, il y a une discussion sur le même thème,
dans le fil "Backdoor not recognized by Kaspersky". Paul Schmehl de
l'Université du Texas déclare que "McAfee now detects the password
protected zip files" ("McAfee détecte maintenant les fichiers Zip
protégés par mot de passe", mais je n'ai pas encore eu confirmation
de ce point).

--
Olivier Aichelbaum


Avatar
Frederic Bonroy
Olivier Aichelbaum wrote:

Note :
Dans Full-Disclosure de Netsys, il y a une discussion sur le même thème,
dans le fil "Backdoor not recognized by Kaspersky". Paul Schmehl de
l'Université du Texas déclare que "McAfee now detects the password
protected zip files" ("McAfee détecte maintenant les fichiers Zip
protégés par mot de passe", mais je n'ai pas encore eu confirmation
de ce point).


S'il le dit c'est certainement vrai, il est un fana de McAfee. :-)

Kaspersky aussi d'ailleurs fait des efforts en ce moment qui vont dans
la même direction.

Avatar
Roland Garcia
Roland Garcia wrote:

Donc - comme je disais - aucun raison d'analyser des archives
"statiques", et donc de se servir comme argument technique...



Si, c'est indispensable pour la simple raison que certains virus
infectent les archives (y placent des virus).



1. Soit on considère les ZIP - et les virus stockés donc -
"pas actifs", donc pas besoin de scanner.

2. Soit on considère qu'il faut analyser les archives ZIP, donc
les archives cryptées aussi, pour être cohérent avec soi-même.

Moralité : votre antivirus a les fesses entre deux chaises.


Non car un virus ne peut pas infecter un ZIP protégé par mot de passe,
pas plus qu'un scanner ne peut le scanner (dans un temps acceptable). Ou
alors le chiffrement ZIP est du pipo.

Note :
Dans Full-Disclosure de Netsys, il y a une discussion sur le même thème,
dans le fil "Backdoor not recognized by Kaspersky". Paul Schmehl de
l'Université du Texas déclare que "McAfee now detects the password
protected zip files" ("McAfee détecte maintenant les fichiers Zip
protégés par mot de passe", mais je n'ai pas encore eu confirmation
de ce point).


Et en conséquence KAV a dit qu'il le ferait. Maintenant pour pouvoir
envoyer des ZIP protégés par mot de passe il faudra les inclure dans un
autre ZIP, ou changer de type d'archive :-(

Roland Garcia



Avatar
Olivier Aichelbaum
Frederic Bonroy wrote:

Kaspersky aussi d'ailleurs fait des efforts en ce moment qui vont dans
la même direction.


Y en a ici qui vont bientôt retourner leur veste alors ;)


Comme quelqu'un disait : ici le mot de passe est fourni, ça aide
à décrypter.

Et si je me souviens bien aussi de mes bidouillages à l'époque, le
fait de connaître un mot contenu dans un Zip crypté aide à décrypter
ce Zip plus vite. Ici, ce mot pourrait être la signature du virus.


Et après cette histoire, je me demande : les DOC cryptés ? les XLS
cryptés ? etc.

--
Olivier Aichelbaum

Avatar
Frederic Bonroy
Olivier Aichelbaum wrote:

Et si je me souviens bien aussi de mes bidouillages à l'époque, le
fait de connaître un mot contenu dans un Zip crypté aide à décrypter
ce Zip plus vite. Ici, ce mot pourrait être la signature du virus.


Peut-être mais alors s'il faut essayer toutes les signatures on n'est
pas sortis de l'auberge.

Et après cette histoire, je me demande : les DOC cryptés ? les XLS
cryptés ? etc.


Beuh, peu importe. C'est encore et toujours le même problème: des gens
ouvrent des pièces jointes et ne respectent pas les règles du "safe hex".

Tout le reste (archives cryptées etc.) ce n'est que de la poudre aux yeux.

Avatar
Roland Garcia

Frederic Bonroy wrote:

Kaspersky aussi d'ailleurs fait des efforts en ce moment qui vont dans
la même direction.



Y en a ici qui vont bientôt retourner leur veste alors ;)


Moi ? m'étonnerait....

J'utilise maintenant KAV 5.0, la première des choses que j'ai faite est
de supprimer l'analyse des messages à la volée, la seconde de supprimer
l'analyse des archives protégées par mot de passe.

Roland Garcia


Avatar
Olivier Aichelbaum
Roland Garcia wrote:
1. Soit on considère les ZIP - et les virus stockés donc -
"pas actifs", donc pas besoin de scanner.

2. Soit on considère qu'il faut analyser les archives ZIP, donc
les archives cryptées aussi, pour être cohérent avec soi-même.

Moralité : votre antivirus a les fesses entre deux chaises.


Non car un virus ne peut pas infecter un ZIP protégé par mot de passe,
pas plus qu'un scanner ne peut le scanner (dans un temps acceptable). Ou
alors le chiffrement ZIP est du pipo.


On parle de ver de messagerie ici, qui peuvent très bien vivre
sans contaminer un autre fichier, qu'il soit ZIP ou pas.

Et il m'arrive d'avoir des milliers de virus zippés (sans mot de
passe) sur ma machine, je n'ai jamais été contaminé par l'un d'eux.


Note :
Dans Full-Disclosure de Netsys, il y a une discussion sur le même thème,
dans le fil "Backdoor not recognized by Kaspersky". Paul Schmehl de
l'Université du Texas déclare que "McAfee now detects the password
protected zip files" ("McAfee détecte maintenant les fichiers Zip
protégés par mot de passe", mais je n'ai pas encore eu confirmation
de ce point).



Et en conséquence KAV a dit qu'il le ferait.


Si même lui change d'avis, qui pense comme vous alors ?


Maintenant pour pouvoir
envoyer des ZIP protégés par mot de passe il faudra les inclure dans un
autre ZIP, ou changer de type d'archive :-(


Les anciennes protections DOC et XLS sont risibles, ZIP c'est un
gros poil au-dessus, mais quitte à crypter, autant utiliser GPG.

--
Olivier Aichelbaum


Avatar
Roland Garcia


Y en a ici qui vont bientôt retourner leur veste alors ;)


Moi ? m'étonnerait....

J'utilise maintenant KAV 5.0, la première des choses que j'ai faite est
de supprimer l'analyse des messages à la volée, la seconde de supprimer
l'analyse des archives protégées par mot de passe.


A l'opposé du gadget, savez vous qu'il désinfecte/efface sans problème
les fichiers contenu dans _restore (le stock à virus), normalement
inaccessible ?

Roland Garcia


Avatar
Olivier Aichelbaum
Frederic Bonroy wrote:

Olivier Aichelbaum wrote:

Et si je me souviens bien aussi de mes bidouillages à l'époque, le
fait de connaître un mot contenu dans un Zip crypté aide à décrypter
ce Zip plus vite. Ici, ce mot pourrait être la signature du virus.


Peut-être mais alors s'il faut essayer toutes les signatures on n'est
pas sortis de l'auberge.


Ben oui, à terme c'est le problème.


Et après cette histoire, je me demande : les DOC cryptés ? les XLS
cryptés ? etc.


Beuh, peu importe. C'est encore et toujours le même problème: des gens
ouvrent des pièces jointes et ne respectent pas les règles du "safe hex".

Tout le reste (archives cryptées etc.) ce n'est que de la poudre aux yeux.


Merci, c'était là que je voulais en venir.

--
Olivier Aichelbaum


Avatar
Olivier Aichelbaum
Roland Garcia wrote:

A l'opposé du gadget, savez vous qu'il désinfecte/efface sans problème
les fichiers contenu dans _restore (le stock à virus), normalement
inaccessible ?


Je n'ai pas de problème avec _restore.

--
Olivier Aichelbaum