Je n'ai pas été clair : - je sais détecter un ZIP (quelqu'il soit) protégé par mot de passe - mes AV détectent le dernier Bagle même dans un ZIP avec mot de passe
Donc, lors de cette épidémie, j'ai bloqué les ZIP avec mots de passe le temps que les éditeurs sortent une sig pour les fichiers ZIP infectés et protégés par mot de passe. Depuis cette maj, jaurorise à nouveau les ZIP avec mots de passe et non détéctés comme infectés.
Note que le nom du fichier à l'interieur du ZIP n'est pas chiffré, il est possible de ne rejeter que les fichiers ZIP contenant un fichier avec telle ou telle extension Windows.
Nicob <nicob@I.hate.spammers.com> écrit:
Je n'ai pas été clair :
- je sais détecter un ZIP (quelqu'il soit) protégé par mot de passe
- mes AV détectent le dernier Bagle même dans un ZIP avec mot de passe
Donc, lors de cette épidémie, j'ai bloqué les ZIP avec mots de passe le
temps que les éditeurs sortent une sig pour les fichiers ZIP infectés et
protégés par mot de passe. Depuis cette maj, jaurorise à nouveau les
ZIP avec mots de passe et non détéctés comme infectés.
Note que le nom du fichier à l'interieur du ZIP n'est pas chiffré, il
est possible de ne rejeter que les fichiers ZIP contenant un fichier
avec telle ou telle extension Windows.
Je n'ai pas été clair : - je sais détecter un ZIP (quelqu'il soit) protégé par mot de passe - mes AV détectent le dernier Bagle même dans un ZIP avec mot de passe
Donc, lors de cette épidémie, j'ai bloqué les ZIP avec mots de passe le temps que les éditeurs sortent une sig pour les fichiers ZIP infectés et protégés par mot de passe. Depuis cette maj, jaurorise à nouveau les ZIP avec mots de passe et non détéctés comme infectés.
Note que le nom du fichier à l'interieur du ZIP n'est pas chiffré, il est possible de ne rejeter que les fichiers ZIP contenant un fichier avec telle ou telle extension Windows.
Roland Garcia
Nicob écrit:
Je n'ai pas été clair : - je sais détecter un ZIP (quelqu'il soit) protégé par mot de passe - mes AV détectent le dernier Bagle même dans un ZIP avec mot de passe
Donc, lors de cette épidémie, j'ai bloqué les ZIP avec mots de passe le temps que les éditeurs sortent une sig pour les fichiers ZIP infectés et protégés par mot de passe. Depuis cette maj, jaurorise à nouveau les ZIP avec mots de passe et non détéctés comme infectés.
Note que le nom du fichier à l'interieur du ZIP n'est pas chiffré, il est possible de ne rejeter que les fichiers ZIP contenant un fichier avec telle ou telle extension Windows.
Il y a également la taille du fichier. On peut donc reconnaitre les vers simples (Bagle), ça ne marchera pas avec les vers polymorphes et noms aléatoires.
Roland Garcia
Nicob <nicob@I.hate.spammers.com> écrit:
Je n'ai pas été clair :
- je sais détecter un ZIP (quelqu'il soit) protégé par mot de passe
- mes AV détectent le dernier Bagle même dans un ZIP avec mot de passe
Donc, lors de cette épidémie, j'ai bloqué les ZIP avec mots de passe le
temps que les éditeurs sortent une sig pour les fichiers ZIP infectés et
protégés par mot de passe. Depuis cette maj, jaurorise à nouveau les
ZIP avec mots de passe et non détéctés comme infectés.
Note que le nom du fichier à l'interieur du ZIP n'est pas chiffré, il
est possible de ne rejeter que les fichiers ZIP contenant un fichier
avec telle ou telle extension Windows.
Il y a également la taille du fichier. On peut donc reconnaitre les vers
simples (Bagle), ça ne marchera pas avec les vers polymorphes et noms
aléatoires.
Je n'ai pas été clair : - je sais détecter un ZIP (quelqu'il soit) protégé par mot de passe - mes AV détectent le dernier Bagle même dans un ZIP avec mot de passe
Donc, lors de cette épidémie, j'ai bloqué les ZIP avec mots de passe le temps que les éditeurs sortent une sig pour les fichiers ZIP infectés et protégés par mot de passe. Depuis cette maj, jaurorise à nouveau les ZIP avec mots de passe et non détéctés comme infectés.
Note que le nom du fichier à l'interieur du ZIP n'est pas chiffré, il est possible de ne rejeter que les fichiers ZIP contenant un fichier avec telle ou telle extension Windows.
Il y a également la taille du fichier. On peut donc reconnaitre les vers simples (Bagle), ça ne marchera pas avec les vers polymorphes et noms aléatoires.
Roland Garcia
Noshi
On Fri, 05 Mar 2004 09:02:55 +0100, Nicob wrote:
On Thu, 04 Mar 2004 22:48:53 +0100, Noshi wrote:
Mon problème est résolu : certains éditeurs détectent le ZIP avec mot de passe, et non pas seulement le fichier exécutable.
Ton probleme ne me semble pas résolu. Tu sais comment flaguer un fichier zip protégé par MDP. Tu ne sais pas dire si il est viral ou pas.
Je n'ai pas été clair : - je sais détecter un ZIP (quelqu'il soit) protégé par mot de passe
Ca j'avais compris ... donc c'était clair ;)
- mes AV détectent le dernier Bagle même dans un ZIP avec mot de passe
Ils se basent sur quoi? Ca m'épate ca. La recherche que j'avais fait sur le password du zip semble crypter le fichier. Mais c'etait une page en anglais. Donc j'ai peut etre mal compris.
Donc, lors de cette épidémie, j'ai bloqué les ZIP avec mots de passe le temps que les éditeurs sortent une sig pour les fichiers ZIP infectés et protégés par mot de passe. Depuis cette maj, jaurorise à nouveau les ZIP avec mots de passe et non détéctés comme infectés.
:-) La je comprend.
Nicob
-- Noshi
On Fri, 05 Mar 2004 09:02:55 +0100, Nicob wrote:
On Thu, 04 Mar 2004 22:48:53 +0100, Noshi wrote:
Mon problème est résolu : certains éditeurs détectent le ZIP avec mot
de passe, et non pas seulement le fichier exécutable.
Ton probleme ne me semble pas résolu. Tu sais comment flaguer un fichier
zip protégé par MDP. Tu ne sais pas dire si il est viral ou pas.
Je n'ai pas été clair :
- je sais détecter un ZIP (quelqu'il soit) protégé par mot de passe
Ca j'avais compris ... donc c'était clair ;)
- mes AV détectent le dernier Bagle même dans un ZIP avec mot de passe
Ils se basent sur quoi? Ca m'épate ca. La recherche que j'avais fait sur le
password du zip semble crypter le fichier. Mais c'etait une page en
anglais. Donc j'ai peut etre mal compris.
Donc, lors de cette épidémie, j'ai bloqué les ZIP avec mots de passe le
temps que les éditeurs sortent une sig pour les fichiers ZIP infectés et
protégés par mot de passe. Depuis cette maj, jaurorise à nouveau les
ZIP avec mots de passe et non détéctés comme infectés.
Mon problème est résolu : certains éditeurs détectent le ZIP avec mot de passe, et non pas seulement le fichier exécutable.
Ton probleme ne me semble pas résolu. Tu sais comment flaguer un fichier zip protégé par MDP. Tu ne sais pas dire si il est viral ou pas.
Je n'ai pas été clair : - je sais détecter un ZIP (quelqu'il soit) protégé par mot de passe
Ca j'avais compris ... donc c'était clair ;)
- mes AV détectent le dernier Bagle même dans un ZIP avec mot de passe
Ils se basent sur quoi? Ca m'épate ca. La recherche que j'avais fait sur le password du zip semble crypter le fichier. Mais c'etait une page en anglais. Donc j'ai peut etre mal compris.
Donc, lors de cette épidémie, j'ai bloqué les ZIP avec mots de passe le temps que les éditeurs sortent une sig pour les fichiers ZIP infectés et protégés par mot de passe. Depuis cette maj, jaurorise à nouveau les ZIP avec mots de passe et non détéctés comme infectés.
:-) La je comprend.
Nicob
-- Noshi
Nicob
On Sat, 06 Mar 2004 01:04:52 +0100, Noshi wrote:
- mes AV détectent le dernier Bagle même dans un ZIP avec mot de passe
Ils se basent sur quoi? Ca m'épate ca. La recherche que j'avais fait sur le password du zip semble crypter le fichier. Mais c'etait une page en anglais. Donc j'ai peut etre mal compris.
J'ai fait quelques tests et ouvert un thread un peu plus bas ...
Nicob
On Sat, 06 Mar 2004 01:04:52 +0100, Noshi wrote:
- mes AV détectent le dernier Bagle même dans un ZIP avec mot de passe
Ils se basent sur quoi? Ca m'épate ca. La recherche que j'avais fait sur le
password du zip semble crypter le fichier. Mais c'etait une page en
anglais. Donc j'ai peut etre mal compris.
J'ai fait quelques tests et ouvert un thread un peu plus bas ...
- mes AV détectent le dernier Bagle même dans un ZIP avec mot de passe
Ils se basent sur quoi? Ca m'épate ca. La recherche que j'avais fait sur le password du zip semble crypter le fichier. Mais c'etait une page en anglais. Donc j'ai peut etre mal compris.
J'ai fait quelques tests et ouvert un thread un peu plus bas ...