Les virus vont tous seuls dans _restore et ça m'arrive souvent, pas besoin d'infection.
Ben ici, pas de poltergeist, désolé !
-- Olivier Aichelbaum
Noshi
On Wed, 03 Mar 2004 23:48:46 +0100, Nicob wrote:
On Wed, 03 Mar 2004 23:13:09 +0100, Noshi wrote:
Question piège : comment détecter/bloquer les instances de Bagle.i placées dans un ZIP protégé par mot de passe ?
Tu peux pas tester en perl si le zip se décompacte ou pas ? Ca demande d'avoir une liste blanche evidemment.
Mon problème est résolu : certains éditeurs détectent le ZIP avec mot de passe, et non pas seulement le fichier exécutable.
Ton probleme ne me semble pas résolu. Tu sais comment flaguer un fichier zip protégé par MDP. Tu ne sais pas dire si il est viral ou pas. Quid de l'utilisateur qui enverra justemment un zip avec mdp pour etre sur que personne ne le lise. Retour a la case départ :)
Bloquer les ZIP ?
Par exemple..
Juste le temps d'attendre que les éditeurs fournissent une solution ...
Ca me parait une politique trop agressive de bloquer tout les zip de toute facon... :)
Nicob
-- Noshi
On Wed, 03 Mar 2004 23:48:46 +0100, Nicob wrote:
On Wed, 03 Mar 2004 23:13:09 +0100, Noshi wrote:
Question piège : comment détecter/bloquer les instances de Bagle.i
placées dans un ZIP protégé par mot de passe ?
Tu peux pas tester en perl si le zip se décompacte ou pas ?
Ca demande d'avoir une liste blanche evidemment.
Mon problème est résolu : certains éditeurs détectent le ZIP avec mot
de passe, et non pas seulement le fichier exécutable.
Ton probleme ne me semble pas résolu. Tu sais comment flaguer un fichier
zip protégé par MDP. Tu ne sais pas dire si il est viral ou pas. Quid de
l'utilisateur qui enverra justemment un zip avec mdp pour etre sur que
personne ne le lise.
Retour a la case départ :)
Bloquer les ZIP ?
Par exemple..
Juste le temps d'attendre que les éditeurs fournissent une solution ...
Ca me parait une politique trop agressive de bloquer tout les zip de toute
facon... :)
Question piège : comment détecter/bloquer les instances de Bagle.i placées dans un ZIP protégé par mot de passe ?
Tu peux pas tester en perl si le zip se décompacte ou pas ? Ca demande d'avoir une liste blanche evidemment.
Mon problème est résolu : certains éditeurs détectent le ZIP avec mot de passe, et non pas seulement le fichier exécutable.
Ton probleme ne me semble pas résolu. Tu sais comment flaguer un fichier zip protégé par MDP. Tu ne sais pas dire si il est viral ou pas. Quid de l'utilisateur qui enverra justemment un zip avec mdp pour etre sur que personne ne le lise. Retour a la case départ :)
Bloquer les ZIP ?
Par exemple..
Juste le temps d'attendre que les éditeurs fournissent une solution ...
Ca me parait une politique trop agressive de bloquer tout les zip de toute facon... :)
Nicob
-- Noshi
Noshi
On Wed, 03 Mar 2004 23:20:38 +0100, Olivier Aichelbaum wrote:
Noshi wrote:
ici pour trouver un mdp en 6 caracteres avec un programme dos ca me prend 28 secondes.
Et donc si le disque dur est plein de Zip...
Ca prendra longtemps. A condition que tous les zip soient protégés par MDP.
Mais bon je trouve ca exceptionnel que quelqu'un qui recoit un zip avec MDP le dézipe et le lance... y'a encore du boulot a faire sur la prévention.
-- Noshi
On Wed, 03 Mar 2004 23:20:38 +0100, Olivier Aichelbaum wrote:
Noshi wrote:
ici pour trouver un mdp en 6 caracteres avec un programme dos ca me prend
28 secondes.
Et donc si le disque dur est plein de Zip...
Ca prendra longtemps. A condition que tous les zip soient protégés par MDP.
Mais bon je trouve ca exceptionnel que quelqu'un qui recoit un zip avec MDP
le dézipe et le lance... y'a encore du boulot a faire sur la prévention.
On Thu, 04 Mar 2004 19:49:26 +0100, Frederic Bonroy wrote:
Kaspersky aussi d'ailleurs fait des efforts en ce moment qui vont dans la même direction.
Kaspersky détecte depuis le début de la semaine les ZIP protégés par mot de passe (peut-on vraiment employer le terme "crypté" ?)
Nicob
Nicob
On Thu, 04 Mar 2004 19:53:22 +0100, Roland Garcia wrote:
Et en conséquence KAV a dit qu'il le ferait. Maintenant pour pouvoir envoyer des ZIP protégés par mot de passe il faudra les inclure dans un autre ZIP, ou changer de type d'archive :-(
Ce n'est pas parcequ'un AV sait différencier un ZIP avec mot de passe d'un ZIP sans mot de passe que l'administrateur doit interdire ces fichiers là. L'admin a toute latitude pour utiliser telle ou telle fonctionnalité de ses AV, et rien ne lui est imposé ...
Nicob
On Thu, 04 Mar 2004 19:53:22 +0100, Roland Garcia wrote:
Et en conséquence KAV a dit qu'il le ferait. Maintenant pour pouvoir
envoyer des ZIP protégés par mot de passe il faudra les inclure dans un
autre ZIP, ou changer de type d'archive :-(
Ce n'est pas parcequ'un AV sait différencier un ZIP avec mot de passe
d'un ZIP sans mot de passe que l'administrateur doit interdire ces
fichiers là. L'admin a toute latitude pour utiliser telle ou telle
fonctionnalité de ses AV, et rien ne lui est imposé ...
On Thu, 04 Mar 2004 19:53:22 +0100, Roland Garcia wrote:
Et en conséquence KAV a dit qu'il le ferait. Maintenant pour pouvoir envoyer des ZIP protégés par mot de passe il faudra les inclure dans un autre ZIP, ou changer de type d'archive :-(
Ce n'est pas parcequ'un AV sait différencier un ZIP avec mot de passe d'un ZIP sans mot de passe que l'administrateur doit interdire ces fichiers là. L'admin a toute latitude pour utiliser telle ou telle fonctionnalité de ses AV, et rien ne lui est imposé ...
Nicob
Nicob
On Thu, 04 Mar 2004 22:48:53 +0100, Noshi wrote:
Mon problème est résolu : certains éditeurs détectent le ZIP avec mot de passe, et non pas seulement le fichier exécutable.
Ton probleme ne me semble pas résolu. Tu sais comment flaguer un fichier zip protégé par MDP. Tu ne sais pas dire si il est viral ou pas.
Je n'ai pas été clair : - je sais détecter un ZIP (quelqu'il soit) protégé par mot de passe - mes AV détectent le dernier Bagle même dans un ZIP avec mot de passe
Donc, lors de cette épidémie, j'ai bloqué les ZIP avec mots de passe le temps que les éditeurs sortent une sig pour les fichiers ZIP infectés et protégés par mot de passe. Depuis cette maj, jaurorise à nouveau les ZIP avec mots de passe et non détéctés comme infectés.
Nicob
On Thu, 04 Mar 2004 22:48:53 +0100, Noshi wrote:
Mon problème est résolu : certains éditeurs détectent le ZIP avec mot
de passe, et non pas seulement le fichier exécutable.
Ton probleme ne me semble pas résolu. Tu sais comment flaguer un fichier
zip protégé par MDP. Tu ne sais pas dire si il est viral ou pas.
Je n'ai pas été clair :
- je sais détecter un ZIP (quelqu'il soit) protégé par mot de passe
- mes AV détectent le dernier Bagle même dans un ZIP avec mot de passe
Donc, lors de cette épidémie, j'ai bloqué les ZIP avec mots de passe le
temps que les éditeurs sortent une sig pour les fichiers ZIP infectés et
protégés par mot de passe. Depuis cette maj, jaurorise à nouveau les
ZIP avec mots de passe et non détéctés comme infectés.
Mon problème est résolu : certains éditeurs détectent le ZIP avec mot de passe, et non pas seulement le fichier exécutable.
Ton probleme ne me semble pas résolu. Tu sais comment flaguer un fichier zip protégé par MDP. Tu ne sais pas dire si il est viral ou pas.
Je n'ai pas été clair : - je sais détecter un ZIP (quelqu'il soit) protégé par mot de passe - mes AV détectent le dernier Bagle même dans un ZIP avec mot de passe
Donc, lors de cette épidémie, j'ai bloqué les ZIP avec mots de passe le temps que les éditeurs sortent une sig pour les fichiers ZIP infectés et protégés par mot de passe. Depuis cette maj, jaurorise à nouveau les ZIP avec mots de passe et non détéctés comme infectés.