J'ai récemment installé bénévolement un petit réseau 2 postes pour une
société et tout marchait parfaitement.
Depuis, Canon est venu installer une imprimante, leur technicien a retouché
mon installation et plus rien ne marche...:(
Curieusement, selon l'un des responsables de la société, l'un des PC (Win
2000 pro) s'est mis à s'allumer / s'éteindre en boucle durant toute la
journée : Image Win 2000, mise en place du bureau puis redémarrage. Tout
cela une bonne dizaine de fois... Après une mise au repos de quelques
heures, ce même PC fonctionne maintenant de façon étrange : démarrage OK,
lancement de Win 2000 puis écran bleu clair... La souris est active mais le
bureau n'apparait pas.
Cela se produit que l'ordinateur soit relié à l'autre PC ou pas et d'après
le technicien Canon, il s'agirait d'un virus.
KAV, VirusScan et F-Secure , parce que ce sont les meilleurs. Cela dit je ne sais pas si ton problème est lié à un virus ou pas, mais si l'un de ces antivirus ne trouvent rien je serais convaincu qu'il n'y a probablement rien.
OK, merci ;)
-- Franck
"joke0" <joke0@tiscali.fr> a écrit dans le message de news:
XnF9469DED83660Djoke0@127.0.0.1...
KAV, VirusScan et F-Secure , parce que ce sont les meilleurs.
Cela dit je ne sais pas si ton problème est lié à un virus ou
pas, mais si l'un de ces antivirus ne trouvent rien je serais
convaincu qu'il n'y a probablement rien.
KAV, VirusScan et F-Secure , parce que ce sont les meilleurs. Cela dit je ne sais pas si ton problème est lié à un virus ou pas, mais si l'un de ces antivirus ne trouvent rien je serais convaincu qu'il n'y a probablement rien.
OK, merci ;)
-- Franck
joke0
Salut,
Franck:
En effet c'est du solide ou bien en effet ce n'est pas ton avis ?
Le dernier test de VirusP sur 50 000 bestioles (mai 2003): http://www.virus.gr/english/fullxml/default.asp?idY&mnuY
Le dernier test de VirusP sur 50 000 bestioles (mai 2003): http://www.virus.gr/english/fullxml/default.asp?idY&mnuY
Ce test ne peut rien valoir:
The 50795 virus samples were chosen using VS2000 according to Kaspersky, F-Prot, RAV and McAfee antivirus programs. Each virus sample was unique by virus name, meaning that AT LEAST 1 antivirus programs detected it as a new virus.
Le dernier test de VirusP sur 50 000 bestioles (mai 2003):
http://www.virus.gr/english/fullxml/default.asp?idY&mnuY
Ce test ne peut rien valoir:
The 50795 virus samples were chosen using VS2000 according to Kaspersky,
F-Prot, RAV and McAfee antivirus programs. Each virus sample was unique
by virus name, meaning that AT LEAST 1 antivirus programs detected it as
a new virus.
Le dernier test de VirusP sur 50 000 bestioles (mai 2003): http://www.virus.gr/english/fullxml/default.asp?idY&mnuY
Ce test ne peut rien valoir:
The 50795 virus samples were chosen using VS2000 according to Kaspersky, F-Prot, RAV and McAfee antivirus programs. Each virus sample was unique by virus name, meaning that AT LEAST 1 antivirus programs detected it as a new virus.
joke0
Salut,
Frederic Bonroy:
Ce test ne peut rien valoir:
The 50795 virus samples were chosen using VS2000 according to Kaspersky, F-Prot, RAV and McAfee antivirus programs. Each virus sample was unique by virus name, meaning that AT LEAST 1 antivirus programs detected it as a new virus.
Je suis persuadé que c'est une formulation malheureuse.
Ce type sait ce qu'il fait, et je suis sûr qu'il a retiré tout le matériel 'non-infectieux' comme les parties, les faux et les cassés de son échantillon. Donc tout ce qu'il y a parfois dans les bases de signatures et qui pourrait très bien ne pas y être. (Il y a d'ailleurs des personnes qui maintiennent des outils et des bases de données recensant ce genre de fichiers.)
Je crois que par cette phrase : « meaning that AT LEAST 1 antivirus programs detected it as a new virus. », il indique que son échantillon ne comporte *pas* de malwares détectés par aucun antivirus au moment du test. Comme il doit avoir des centaines de 'nosends' (bestioles non envoyés par leurs auteurs aux labos antivirus) et de 'variétés de compilateur' dans sa collection, il n'a pas voulu fausser le test.
-- joke0
Salut,
Frederic Bonroy:
Ce test ne peut rien valoir:
The 50795 virus samples were chosen using VS2000 according to
Kaspersky, F-Prot, RAV and McAfee antivirus programs. Each
virus sample was unique by virus name, meaning that AT LEAST 1
antivirus programs detected it as a new virus.
Je suis persuadé que c'est une formulation malheureuse.
Ce type sait ce qu'il fait, et je suis sûr qu'il a retiré tout
le matériel 'non-infectieux' comme les parties, les faux et les
cassés de son échantillon. Donc tout ce qu'il y a parfois dans
les bases de signatures et qui pourrait très bien ne pas y être.
(Il y a d'ailleurs des personnes qui maintiennent des outils et
des bases de données recensant ce genre de fichiers.)
Je crois que par cette phrase :
« meaning that AT LEAST 1 antivirus programs detected it as a
new virus. », il indique que son échantillon ne comporte *pas*
de malwares détectés par aucun antivirus au moment du test. Comme
il doit avoir des centaines de 'nosends' (bestioles non envoyés
par leurs auteurs aux labos antivirus) et de 'variétés de
compilateur' dans sa collection, il n'a pas voulu fausser le test.
The 50795 virus samples were chosen using VS2000 according to Kaspersky, F-Prot, RAV and McAfee antivirus programs. Each virus sample was unique by virus name, meaning that AT LEAST 1 antivirus programs detected it as a new virus.
Je suis persuadé que c'est une formulation malheureuse.
Ce type sait ce qu'il fait, et je suis sûr qu'il a retiré tout le matériel 'non-infectieux' comme les parties, les faux et les cassés de son échantillon. Donc tout ce qu'il y a parfois dans les bases de signatures et qui pourrait très bien ne pas y être. (Il y a d'ailleurs des personnes qui maintiennent des outils et des bases de données recensant ce genre de fichiers.)
Je crois que par cette phrase : « meaning that AT LEAST 1 antivirus programs detected it as a new virus. », il indique que son échantillon ne comporte *pas* de malwares détectés par aucun antivirus au moment du test. Comme il doit avoir des centaines de 'nosends' (bestioles non envoyés par leurs auteurs aux labos antivirus) et de 'variétés de compilateur' dans sa collection, il n'a pas voulu fausser le test.
-- joke0
Frederic Bonroy
Je suis persuadé que c'est une formulation malheureuse.
Il y a une discussion à ce sujet dans alt.comp.anti-virus dans le fil "AV products tested vs 50K virii".
Ce type sait ce qu'il fait,
Ben vu la manière dont il a choisi les fichiers tests, je dirais plutôt qu'il ne le sait pas. Il donne l'avantage aux antivirus qui ont servi à la sélection des échantillons - et le fait qu'un antivirus ait détecté un virus ne signifie pas qu'il y en a réellement un.
Ou bien, admettons que tous ses fichiers soient effectivement de vrais virus qui fonctionnent. Il a pris uniquement ceux qui étaient détectés par au moins un des antivirus suivants: Kaspersky, F-Prot, RAV ou McAfee. Cela signifierait qu'un virus qui n'est détecté par aucun de ces antivirus mais par un autre ne serait pas inclus. Donc il favorise ces 4 antivirus. A moins que tous les antivirus aient été pris en compte? Pas clair.
Quoi qu'il en soit, avec les tests antivirus d'origine inconnue il vaut mieux partir du principe qu'il ne valent rien, c'est plus prudent et souvent plus proche de la vérité...
Je suis persuadé que c'est une formulation malheureuse.
Il y a une discussion à ce sujet dans alt.comp.anti-virus dans le fil
"AV products tested vs 50K virii".
Ce type sait ce qu'il fait,
Ben vu la manière dont il a choisi les fichiers tests, je dirais plutôt
qu'il ne le sait pas. Il donne l'avantage aux antivirus qui ont servi à
la sélection des échantillons - et le fait qu'un antivirus ait détecté
un virus ne signifie pas qu'il y en a réellement un.
Ou bien, admettons que tous ses fichiers soient effectivement de vrais
virus qui fonctionnent. Il a pris uniquement ceux qui étaient détectés
par au moins un des antivirus suivants: Kaspersky, F-Prot, RAV ou
McAfee. Cela signifierait qu'un virus qui n'est détecté par aucun de ces
antivirus mais par un autre ne serait pas inclus. Donc il favorise ces 4
antivirus. A moins que tous les antivirus aient été pris en compte? Pas
clair.
Quoi qu'il en soit, avec les tests antivirus d'origine inconnue il vaut
mieux partir du principe qu'il ne valent rien, c'est plus prudent et
souvent plus proche de la vérité...
Je suis persuadé que c'est une formulation malheureuse.
Il y a une discussion à ce sujet dans alt.comp.anti-virus dans le fil "AV products tested vs 50K virii".
Ce type sait ce qu'il fait,
Ben vu la manière dont il a choisi les fichiers tests, je dirais plutôt qu'il ne le sait pas. Il donne l'avantage aux antivirus qui ont servi à la sélection des échantillons - et le fait qu'un antivirus ait détecté un virus ne signifie pas qu'il y en a réellement un.
Ou bien, admettons que tous ses fichiers soient effectivement de vrais virus qui fonctionnent. Il a pris uniquement ceux qui étaient détectés par au moins un des antivirus suivants: Kaspersky, F-Prot, RAV ou McAfee. Cela signifierait qu'un virus qui n'est détecté par aucun de ces antivirus mais par un autre ne serait pas inclus. Donc il favorise ces 4 antivirus. A moins que tous les antivirus aient été pris en compte? Pas clair.
Quoi qu'il en soit, avec les tests antivirus d'origine inconnue il vaut mieux partir du principe qu'il ne valent rien, c'est plus prudent et souvent plus proche de la vérité...
joke0
Salut,
Frederic Bonroy:
Il y a une discussion à ce sujet dans alt.comp.anti-virus dans le fil "AV products tested vs 50K virii".
C'est là que je l'ai vu :)
Ce type sait ce qu'il fait,
Ben vu la manière dont il a choisi les fichiers tests, je dirais plutôt qu'il ne le sait pas.
Il a déjà répondu à ça:
« Most of the samples, if not ALL of them, have been tested by two friends of mine, who have had the time to test each sample. VMWare was used in most of them, as far as i know. » http://www.dslreports.com/forum/remark,8685090 (en bas)
Il donne l'avantage aux antivirus qui ont servi à la sélection des échantillons
[Il se réfère quand même à 4 moteurs de détection (mais il s'agit des plus performants).]
Est-ce qu'un antivirus qui détecte quelques bestioles que les autres ne détectent pas, vaut le coup s'il en détecte 2000 de moins?
- et le fait qu'un antivirus ait détecté un virus ne signifie pas qu'il y en a réellement un.
Je ne crois pas qu'en tant que collectionneur sérieux il accepterait d'avoir dans sa collection des malwares ne seraient-ce que suspicieux. C'est comme pour les philatélistes face à un timbre auquel il manque une dent ;-)
Ou bien, admettons que tous ses fichiers soient effectivement de vrais virus qui fonctionnent. Il a pris uniquement ceux qui étaient détectés par au moins un des antivirus suivants: Kaspersky, F-Prot, RAV ou McAfee.
Bon choix quand même :)
Cela signifierait qu'un virus qui n'est détecté par aucun de ces antivirus mais par un autre ne serait pas inclus. Donc il favorise ces 4 antivirus.
Quand l'échantillon est de cette taille (50000), les différences sont aplanies. Je rappelle quand même que 1% = 500 malwares.
Pour trouver une différence significative (disons 1%), il faudrait que les meilleurs antivirus passent à côté de 500 bestioles (ce qui est énorme). Sachant surtout que tous les collectionneurs de la planète utilisent le trio (F-Prot, KAV, VirusScan) et qu'ils n'hésitent pas à solliciter l'avis des labos AV. Donc la plupart des bestioles finissent par y atterrir.
Quoi qu'il en soit, avec les tests antivirus d'origine inconnue il vaut mieux partir du principe qu'il ne valent rien, c'est plus prudent et souvent plus proche de la vérité...
Et que dire de ceux du VB alors? ;-)
A mon avis, cette histoire de favoritisme est très secondaire, comparé à la qualité de l'échantillon. Il y a notamment un point sur lequel je m'interroge, c'est à propos de cette phrase:
« ALL virus samples were unpacked and the only samples that were kept were the ones that were packed using external-dos-packers (that means not winzip, winrar, winace etc). » http://www.virus.gr/english/fullxml/default.asp?idY&mnuY
Cela signifie qu'un ver ultra-connu comme I-Worm.Sobig.f (packé avec tElock) ne sera pas détecté par les antivirus qui ne gérent pas le compacteur tElock (pour simplifier), et qui n'ont pas ajouté la signature du ver dépacké dans leurs bases.
Ça signifierait que par exemple NAV est passé à côté d'un sacré nombre de vers...
-- joke0
Salut,
Frederic Bonroy:
Il y a une discussion à ce sujet dans alt.comp.anti-virus dans
le fil "AV products tested vs 50K virii".
C'est là que je l'ai vu :)
Ce type sait ce qu'il fait,
Ben vu la manière dont il a choisi les fichiers tests, je
dirais plutôt qu'il ne le sait pas.
Il a déjà répondu à ça:
« Most of the samples, if not ALL of them, have been tested by
two friends of mine, who have had the time to test each sample.
VMWare was used in most of them, as far as i know. »
http://www.dslreports.com/forum/remark,8685090 (en bas)
Il donne l'avantage aux antivirus qui ont servi à la sélection
des échantillons
[Il se réfère quand même à 4 moteurs de détection (mais il
s'agit des plus performants).]
Est-ce qu'un antivirus qui détecte quelques bestioles que les
autres ne détectent pas, vaut le coup s'il en détecte 2000 de
moins?
- et le fait qu'un antivirus ait détecté un virus ne signifie
pas qu'il y en a réellement un.
Je ne crois pas qu'en tant que collectionneur sérieux il
accepterait d'avoir dans sa collection des malwares ne
seraient-ce que suspicieux. C'est comme pour les philatélistes
face à un timbre auquel il manque une dent ;-)
Ou bien, admettons que tous ses fichiers soient effectivement
de vrais virus qui fonctionnent. Il a pris uniquement ceux qui
étaient détectés par au moins un des antivirus suivants:
Kaspersky, F-Prot, RAV ou McAfee.
Bon choix quand même :)
Cela signifierait qu'un virus qui n'est détecté par aucun de
ces antivirus mais par un autre ne serait pas inclus. Donc il
favorise ces 4 antivirus.
Quand l'échantillon est de cette taille (50000), les différences
sont aplanies. Je rappelle quand même que 1% = 500 malwares.
Pour trouver une différence significative (disons 1%), il
faudrait que les meilleurs antivirus passent à côté de 500
bestioles (ce qui est énorme). Sachant surtout que tous les
collectionneurs de la planète utilisent le trio (F-Prot, KAV,
VirusScan) et qu'ils n'hésitent pas à solliciter l'avis des
labos AV. Donc la plupart des bestioles finissent par y
atterrir.
Quoi qu'il en soit, avec les tests antivirus d'origine
inconnue il vaut mieux partir du principe qu'il ne valent
rien, c'est plus prudent et souvent plus proche de la
vérité...
Et que dire de ceux du VB alors? ;-)
A mon avis, cette histoire de favoritisme est très secondaire,
comparé à la qualité de l'échantillon. Il y a notamment un point
sur lequel je m'interroge, c'est à propos de cette phrase:
« ALL virus samples were unpacked and the only samples that were
kept were the ones that were packed using external-dos-packers
(that means not winzip, winrar, winace etc). »
http://www.virus.gr/english/fullxml/default.asp?idY&mnuY
Cela signifie qu'un ver ultra-connu comme I-Worm.Sobig.f (packé
avec tElock) ne sera pas détecté par les antivirus qui ne gérent
pas le compacteur tElock (pour simplifier), et qui n'ont pas
ajouté la signature du ver dépacké dans leurs bases.
Ça signifierait que par exemple NAV est passé à côté d'un sacré
nombre de vers...
Il y a une discussion à ce sujet dans alt.comp.anti-virus dans le fil "AV products tested vs 50K virii".
C'est là que je l'ai vu :)
Ce type sait ce qu'il fait,
Ben vu la manière dont il a choisi les fichiers tests, je dirais plutôt qu'il ne le sait pas.
Il a déjà répondu à ça:
« Most of the samples, if not ALL of them, have been tested by two friends of mine, who have had the time to test each sample. VMWare was used in most of them, as far as i know. » http://www.dslreports.com/forum/remark,8685090 (en bas)
Il donne l'avantage aux antivirus qui ont servi à la sélection des échantillons
[Il se réfère quand même à 4 moteurs de détection (mais il s'agit des plus performants).]
Est-ce qu'un antivirus qui détecte quelques bestioles que les autres ne détectent pas, vaut le coup s'il en détecte 2000 de moins?
- et le fait qu'un antivirus ait détecté un virus ne signifie pas qu'il y en a réellement un.
Je ne crois pas qu'en tant que collectionneur sérieux il accepterait d'avoir dans sa collection des malwares ne seraient-ce que suspicieux. C'est comme pour les philatélistes face à un timbre auquel il manque une dent ;-)
Ou bien, admettons que tous ses fichiers soient effectivement de vrais virus qui fonctionnent. Il a pris uniquement ceux qui étaient détectés par au moins un des antivirus suivants: Kaspersky, F-Prot, RAV ou McAfee.
Bon choix quand même :)
Cela signifierait qu'un virus qui n'est détecté par aucun de ces antivirus mais par un autre ne serait pas inclus. Donc il favorise ces 4 antivirus.
Quand l'échantillon est de cette taille (50000), les différences sont aplanies. Je rappelle quand même que 1% = 500 malwares.
Pour trouver une différence significative (disons 1%), il faudrait que les meilleurs antivirus passent à côté de 500 bestioles (ce qui est énorme). Sachant surtout que tous les collectionneurs de la planète utilisent le trio (F-Prot, KAV, VirusScan) et qu'ils n'hésitent pas à solliciter l'avis des labos AV. Donc la plupart des bestioles finissent par y atterrir.
Quoi qu'il en soit, avec les tests antivirus d'origine inconnue il vaut mieux partir du principe qu'il ne valent rien, c'est plus prudent et souvent plus proche de la vérité...
Et que dire de ceux du VB alors? ;-)
A mon avis, cette histoire de favoritisme est très secondaire, comparé à la qualité de l'échantillon. Il y a notamment un point sur lequel je m'interroge, c'est à propos de cette phrase:
« ALL virus samples were unpacked and the only samples that were kept were the ones that were packed using external-dos-packers (that means not winzip, winrar, winace etc). » http://www.virus.gr/english/fullxml/default.asp?idY&mnuY
Cela signifie qu'un ver ultra-connu comme I-Worm.Sobig.f (packé avec tElock) ne sera pas détecté par les antivirus qui ne gérent pas le compacteur tElock (pour simplifier), et qui n'ont pas ajouté la signature du ver dépacké dans leurs bases.
Ça signifierait que par exemple NAV est passé à côté d'un sacré nombre de vers...
-- joke0
Frederic Bonroy
« Most of the samples, if not ALL of them, have been tested by two friends of mine, who have had the time to test each sample. VMWare was used in most of them, as far as i know. »
Je vais être vache mais ils ont pensé aux fausses identifications? Avec Vmware on peut vérifier que le virus fonctionne, mais on ne peut pas forcément vérifier s'il contient ce qu'il y a marqué sur l'emballage. :-)
[Il se réfère quand même à 4 moteurs de détection (mais il s'agit des plus performants).]
Aucune importance, ce n'est pas "correct".
Est-ce qu'un antivirus qui détecte quelques bestioles que les autres ne détectent pas, vaut le coup s'il en détecte 2000 de moins?
Ce n'est pas le problème, c'est une question de principe. Réaliser un bon test antivirus n'est pas à la portée de tout le monde. Il faut le reconnaître. Chercher des excuses pour justifier pourquoi après tout le test n'est pas si mauvais que ça, bof.
Je ne crois pas qu'en tant que collectionneur sérieux il accepterait d'avoir dans sa collection des malwares ne seraient-ce que suspicieux. C'est comme pour les philatélistes face à un timbre auquel il manque une dent ;-)
Ah ben oui mais comment savons-nous qu'il s'agit d'un collectionneur sérieux? Je ne dis pas qu'il ne l'est pas, mais partir du principe qu'il l'est me paraît être très imprudent.
Quand l'échantillon est de cette taille (50000), les différences sont aplanies. Je rappelle quand même que 1% = 500 malwares.
Oui mais encore une fois, c'est une question de principe. Donc une grande quantité de virus compenserait une erreur fondamentale commise lors du choix des échantillons? Pas propre ça, c'est palliatif.
Quoi qu'il en soit, avec les tests antivirus d'origine inconnue il vaut mieux partir du principe qu'il ne valent rien, c'est plus prudent et souvent plus proche de la vérité...
Et que dire de ceux du VB alors? ;-)
VB n'est pas inconnu. Ça fait 14 ans qu'ils font ça. D'accord, ils ont fait des erreurs, mais certainement pas de cette envergure.
A mon avis, cette histoire de favoritisme est très secondaire, comparé à la qualité de l'échantillon. Il y a notamment un point sur lequel je m'interroge, c'est à propos de cette phrase:
« ALL virus samples were unpacked and the only samples that were kept were the ones that were packed using external-dos-packers (that means not winzip, winrar, winace etc). » http://www.virus.gr/english/fullxml/default.asp?idY&mnuY
La phrase n'est pas très claire et on peut l'interpréter de différentes manières si on est de mauvaise humeur. ;-)
Cela signifie qu'un ver ultra-connu comme I-Worm.Sobig.f (packé avec tElock) ne sera pas détecté par les antivirus qui ne gérent pas le compacteur tElock (pour simplifier), et qui n'ont pas ajouté la signature du ver dépacké dans leurs bases.
Si Sobig.F a toujours été distribué en tElock, alors je ne vois pas l'intérêt de le décompacter - il faut le tester tel quel. A moins de vouloir en savoir plus sur les aptitudes de l'antivirus.
Ça signifierait que par exemple NAV est passé à côté d'un sacré nombre de vers...
Probablement.
« Most of the samples, if not ALL of them, have been tested by
two friends of mine, who have had the time to test each sample.
VMWare was used in most of them, as far as i know. »
Je vais être vache mais ils ont pensé aux fausses identifications? Avec
Vmware on peut vérifier que le virus fonctionne, mais on ne peut pas
forcément vérifier s'il contient ce qu'il y a marqué sur l'emballage. :-)
[Il se réfère quand même à 4 moteurs de détection (mais il
s'agit des plus performants).]
Aucune importance, ce n'est pas "correct".
Est-ce qu'un antivirus qui détecte quelques bestioles que les
autres ne détectent pas, vaut le coup s'il en détecte 2000 de
moins?
Ce n'est pas le problème, c'est une question de principe. Réaliser un
bon test antivirus n'est pas à la portée de tout le monde. Il faut le
reconnaître. Chercher des excuses pour justifier pourquoi après tout le
test n'est pas si mauvais que ça, bof.
Je ne crois pas qu'en tant que collectionneur sérieux il
accepterait d'avoir dans sa collection des malwares ne
seraient-ce que suspicieux. C'est comme pour les philatélistes
face à un timbre auquel il manque une dent ;-)
Ah ben oui mais comment savons-nous qu'il s'agit d'un collectionneur
sérieux? Je ne dis pas qu'il ne l'est pas, mais partir du principe qu'il
l'est me paraît être très imprudent.
Quand l'échantillon est de cette taille (50000), les différences
sont aplanies. Je rappelle quand même que 1% = 500 malwares.
Oui mais encore une fois, c'est une question de principe. Donc une
grande quantité de virus compenserait une erreur fondamentale commise
lors du choix des échantillons? Pas propre ça, c'est palliatif.
Quoi qu'il en soit, avec les tests antivirus d'origine
inconnue il vaut mieux partir du principe qu'il ne valent
rien, c'est plus prudent et souvent plus proche de la
vérité...
Et que dire de ceux du VB alors? ;-)
VB n'est pas inconnu. Ça fait 14 ans qu'ils font ça. D'accord, ils ont
fait des erreurs, mais certainement pas de cette envergure.
A mon avis, cette histoire de favoritisme est très secondaire,
comparé à la qualité de l'échantillon. Il y a notamment un point
sur lequel je m'interroge, c'est à propos de cette phrase:
« ALL virus samples were unpacked and the only samples that were
kept were the ones that were packed using external-dos-packers
(that means not winzip, winrar, winace etc). »
http://www.virus.gr/english/fullxml/default.asp?idY&mnuY
La phrase n'est pas très claire et on peut l'interpréter de différentes
manières si on est de mauvaise humeur. ;-)
Cela signifie qu'un ver ultra-connu comme I-Worm.Sobig.f (packé
avec tElock) ne sera pas détecté par les antivirus qui ne gérent
pas le compacteur tElock (pour simplifier), et qui n'ont pas
ajouté la signature du ver dépacké dans leurs bases.
Si Sobig.F a toujours été distribué en tElock, alors je ne vois pas
l'intérêt de le décompacter - il faut le tester tel quel. A moins de
vouloir en savoir plus sur les aptitudes de l'antivirus.
Ça signifierait que par exemple NAV est passé à côté d'un sacré
nombre de vers...
« Most of the samples, if not ALL of them, have been tested by two friends of mine, who have had the time to test each sample. VMWare was used in most of them, as far as i know. »
Je vais être vache mais ils ont pensé aux fausses identifications? Avec Vmware on peut vérifier que le virus fonctionne, mais on ne peut pas forcément vérifier s'il contient ce qu'il y a marqué sur l'emballage. :-)
[Il se réfère quand même à 4 moteurs de détection (mais il s'agit des plus performants).]
Aucune importance, ce n'est pas "correct".
Est-ce qu'un antivirus qui détecte quelques bestioles que les autres ne détectent pas, vaut le coup s'il en détecte 2000 de moins?
Ce n'est pas le problème, c'est une question de principe. Réaliser un bon test antivirus n'est pas à la portée de tout le monde. Il faut le reconnaître. Chercher des excuses pour justifier pourquoi après tout le test n'est pas si mauvais que ça, bof.
Je ne crois pas qu'en tant que collectionneur sérieux il accepterait d'avoir dans sa collection des malwares ne seraient-ce que suspicieux. C'est comme pour les philatélistes face à un timbre auquel il manque une dent ;-)
Ah ben oui mais comment savons-nous qu'il s'agit d'un collectionneur sérieux? Je ne dis pas qu'il ne l'est pas, mais partir du principe qu'il l'est me paraît être très imprudent.
Quand l'échantillon est de cette taille (50000), les différences sont aplanies. Je rappelle quand même que 1% = 500 malwares.
Oui mais encore une fois, c'est une question de principe. Donc une grande quantité de virus compenserait une erreur fondamentale commise lors du choix des échantillons? Pas propre ça, c'est palliatif.
Quoi qu'il en soit, avec les tests antivirus d'origine inconnue il vaut mieux partir du principe qu'il ne valent rien, c'est plus prudent et souvent plus proche de la vérité...
Et que dire de ceux du VB alors? ;-)
VB n'est pas inconnu. Ça fait 14 ans qu'ils font ça. D'accord, ils ont fait des erreurs, mais certainement pas de cette envergure.
A mon avis, cette histoire de favoritisme est très secondaire, comparé à la qualité de l'échantillon. Il y a notamment un point sur lequel je m'interroge, c'est à propos de cette phrase:
« ALL virus samples were unpacked and the only samples that were kept were the ones that were packed using external-dos-packers (that means not winzip, winrar, winace etc). » http://www.virus.gr/english/fullxml/default.asp?idY&mnuY
La phrase n'est pas très claire et on peut l'interpréter de différentes manières si on est de mauvaise humeur. ;-)
Cela signifie qu'un ver ultra-connu comme I-Worm.Sobig.f (packé avec tElock) ne sera pas détecté par les antivirus qui ne gérent pas le compacteur tElock (pour simplifier), et qui n'ont pas ajouté la signature du ver dépacké dans leurs bases.
Si Sobig.F a toujours été distribué en tElock, alors je ne vois pas l'intérêt de le décompacter - il faut le tester tel quel. A moins de vouloir en savoir plus sur les aptitudes de l'antivirus.
Ça signifierait que par exemple NAV est passé à côté d'un sacré nombre de vers...
Probablement.
joke0
Salut,
Frederic Bonroy:
Réaliser un bon test antivirus n'est pas à la portée de tout le monde. Il faut le reconnaître.
Je dirais même que c'est impossible d'en réaliser un scientifiquement parfait. Ne serait-ce que pour constituer un échantillon, tu es obligé de te servir d'un antivirus et forcément tu influes sur la constitution de cet échantillon.
Ah ben oui mais comment savons-nous qu'il s'agit d'un collectionneur sérieux?
Quand tu arrives à réunir 50000 bestioles c'est que tu es ultra sérieux. Je ne pense pas qu'il y ait tant de personnes qui peuvent rivaliser.
Donc une grande quantité de virus compenserait une erreur fondamentale commise lors du choix des échantillons? Pas propre ça, c'est palliatif.
Quelle serait ta méthode pour constituer un échantillon idéal?
Si Sobig.F a toujours été distribué en tElock, alors je ne vois pas l'intérêt de le décompacter - il faut le tester tel quel.
C'est pour ça que j'en parle, les collectionneurs ont l'habitude de systématiquement dépacker les vers.
Cela dit, j'ai contacté VirusP et il m'a répondu qu'il cherchait un serveur nntp. On verra bien s'il montre son nez ;-)
-- joke0
Salut,
Frederic Bonroy:
Réaliser un bon test antivirus n'est pas à la portée de tout
le monde. Il faut le reconnaître.
Je dirais même que c'est impossible d'en réaliser un
scientifiquement parfait. Ne serait-ce que pour constituer un
échantillon, tu es obligé de te servir d'un antivirus et
forcément tu influes sur la constitution de cet échantillon.
Ah ben oui mais comment savons-nous qu'il s'agit d'un
collectionneur sérieux?
Quand tu arrives à réunir 50000 bestioles c'est que tu es ultra
sérieux. Je ne pense pas qu'il y ait tant de personnes qui
peuvent rivaliser.
Donc une grande quantité de virus compenserait une erreur
fondamentale commise lors du choix des échantillons? Pas
propre ça, c'est palliatif.
Quelle serait ta méthode pour constituer un échantillon idéal?
Si Sobig.F a toujours été distribué en tElock, alors je ne
vois pas l'intérêt de le décompacter - il faut le tester tel
quel.
C'est pour ça que j'en parle, les collectionneurs ont l'habitude
de systématiquement dépacker les vers.
Cela dit, j'ai contacté VirusP et il m'a répondu qu'il cherchait
un serveur nntp. On verra bien s'il montre son nez ;-)
Réaliser un bon test antivirus n'est pas à la portée de tout le monde. Il faut le reconnaître.
Je dirais même que c'est impossible d'en réaliser un scientifiquement parfait. Ne serait-ce que pour constituer un échantillon, tu es obligé de te servir d'un antivirus et forcément tu influes sur la constitution de cet échantillon.
Ah ben oui mais comment savons-nous qu'il s'agit d'un collectionneur sérieux?
Quand tu arrives à réunir 50000 bestioles c'est que tu es ultra sérieux. Je ne pense pas qu'il y ait tant de personnes qui peuvent rivaliser.
Donc une grande quantité de virus compenserait une erreur fondamentale commise lors du choix des échantillons? Pas propre ça, c'est palliatif.
Quelle serait ta méthode pour constituer un échantillon idéal?
Si Sobig.F a toujours été distribué en tElock, alors je ne vois pas l'intérêt de le décompacter - il faut le tester tel quel.
C'est pour ça que j'en parle, les collectionneurs ont l'habitude de systématiquement dépacker les vers.
Cela dit, j'ai contacté VirusP et il m'a répondu qu'il cherchait un serveur nntp. On verra bien s'il montre son nez ;-)
