Je vous invite à décompresser ce fichier (vide) avec votre logiciel
de décompression. En fonction du nom de fichier généré, vous saurez
si votre décompacteur est sensible à une faille de sécurité ou non :
http://www.acbm.com/inedits/divers/test.zip
Cette faille permet, par exemple, de cacher un fichier EXE vérolé dans
une archive sous un nom a priori innofensif en TXT ou BMP. Du coup, en
double-cliquant sur ce TXT ou BMP, l'utilisateur n'ouvrirait pas
l'application associée (par exemple Notepad ou Paintbrush), mais
exécuterait le virus EXE.
Stuffit Expander 7.0 ou Winrar 3.0 se laissent piéger.
Aucun problème avec Zip Magic 1, Winzip 8.1, Winace 2.04 et Winrar 3.2
(listes à compléter...)
Si pour une raison ou une autre vous ne pouvez pas évoluer vers un
logiciel sécurisé, ou par simple curiosité, voici un petit programme
qui vous permettra de vérifier si un fichier Zip a été "bidouillé"
ou non, en tapant en ligne de commande : scanzip nom_de_fichier.zip
http://www.acbm.com/inedits/divers/scanzip.cpp
Ce programme est fourni sans aucune prétention, vous pouvez le modifier
et l'améliorer (licence GPL http://www.gnu.org/licenses/gpl.html )...
ou le jetter ;)
Franchement je ne comprends pas leur raisonnement.
Frederic Bonroy
Roland Garcia wrote:
Celui-ci est beaucoup plus léger et rapide: ftp://ftp.kaspersky.com/beta/kavpersonal/english/
et sa clé est valable trois mois :-)
Beurk. D'accord, c'est une beta. Mais j'ai déjà vu des beta mieux que ça. Bases corrompues (il paraît), plus de réaction lors du téléchargement des nouvelles bases, et j'en passe. Décevant.
Roland Garcia wrote:
Celui-ci est beaucoup plus léger et rapide:
ftp://ftp.kaspersky.com/beta/kavpersonal/english/
et sa clé est valable trois mois :-)
Beurk. D'accord, c'est une beta. Mais j'ai déjà vu des beta mieux que
ça. Bases corrompues (il paraît), plus de réaction lors du
téléchargement des nouvelles bases, et j'en passe. Décevant.
Celui-ci est beaucoup plus léger et rapide: ftp://ftp.kaspersky.com/beta/kavpersonal/english/
et sa clé est valable trois mois :-)
Beurk. D'accord, c'est une beta. Mais j'ai déjà vu des beta mieux que ça. Bases corrompues (il paraît), plus de réaction lors du téléchargement des nouvelles bases, et j'en passe. Décevant.
Bat
Le Sun, 15 Feb 2004 15:22:42 +0100, Nicob
Pour moi, les AV devraient au moins lever une alerte de type "fichier suspect" quand ils croisent une archive ZIP avec une structure invalide. Ou, pour ceux qui se basent un nom de fichier pour savoir s'ils vont scannés, de choisir par les deux types le plus dangereux (si le premier ou le second nom a une extension exécutable alors scanner).
Nicob
Faudrait le dire au concepteur de f-secure. En tout cas j'ai viré f-secure sans jeu de mots.
A+
Bonjour,
Je suppose qu'il faut juste affiner les réglages de F-Secure qui est un excellent av
Bat
Le Sun, 15 Feb 2004 15:22:42 +0100, Nicob <nicob@I.hate.spammers.com>
Pour moi, les AV devraient au moins lever une alerte de type "fichier
suspect" quand ils croisent une archive ZIP avec une structure invalide.
Ou, pour ceux qui se basent un nom de fichier pour savoir s'ils vont
scannés, de choisir par les deux types le plus dangereux (si le premier
ou le second nom a une extension exécutable alors scanner).
Nicob
Faudrait le dire au concepteur de f-secure.
En tout cas j'ai viré f-secure sans jeu de mots.
A+
Bonjour,
Je suppose qu'il faut juste affiner les réglages de F-Secure qui est un
excellent av
Pour moi, les AV devraient au moins lever une alerte de type "fichier suspect" quand ils croisent une archive ZIP avec une structure invalide. Ou, pour ceux qui se basent un nom de fichier pour savoir s'ils vont scannés, de choisir par les deux types le plus dangereux (si le premier ou le second nom a une extension exécutable alors scanner).
Nicob
Faudrait le dire au concepteur de f-secure. En tout cas j'ai viré f-secure sans jeu de mots.
A+
Bonjour,
Je suppose qu'il faut juste affiner les réglages de F-Secure qui est un excellent av
Bat
Roland Garcia
Roland Garcia wrote:
Celui-ci est beaucoup plus léger et rapide: ftp://ftp.kaspersky.com/beta/kavpersonal/english/
et sa clé est valable trois mois :-)
Beurk. D'accord, c'est une beta. Mais j'ai déjà vu des beta mieux que ça. Bases corrompues (il paraît), plus de réaction lors du téléchargement des nouvelles bases, et j'en passe.
M'étonnerais, je m'en serais aperçu.
Roland Garcia
Roland Garcia wrote:
Celui-ci est beaucoup plus léger et rapide:
ftp://ftp.kaspersky.com/beta/kavpersonal/english/
et sa clé est valable trois mois :-)
Beurk. D'accord, c'est une beta. Mais j'ai déjà vu des beta mieux que
ça. Bases corrompues (il paraît), plus de réaction lors du
téléchargement des nouvelles bases, et j'en passe.
Celui-ci est beaucoup plus léger et rapide: ftp://ftp.kaspersky.com/beta/kavpersonal/english/
et sa clé est valable trois mois :-)
Beurk. D'accord, c'est une beta. Mais j'ai déjà vu des beta mieux que ça. Bases corrompues (il paraît), plus de réaction lors du téléchargement des nouvelles bases, et j'en passe.
M'étonnerais, je m'en serais aperçu.
Roland Garcia
Olivier Aichelbaum
Olivier Aichelbaum wrote:
Albédo wrote:
"Olivier Aichelbaum" : < [Winzip 8.1 ouvre un fichier logiciel_securise.txt]
Oui, celui-là on savait déjà ;) merci quand même :)
De rien... /:->
Par contre, j'ai oublié de te dire : Winzip 8.1 est sensible à une autre faille testée sous Windows 98 (il est possible d'y inclure un script piègé). Et malheureusement Winzip 9 qui corrige le problème n'est encore qu'une beta.
"Olivier Aichelbaum" :
< [Winzip 8.1 ouvre un fichier logiciel_securise.txt]
Oui, celui-là on savait déjà ;) merci quand même :)
De rien... /:->
Par contre, j'ai oublié de te dire : Winzip 8.1 est sensible à une autre
faille testée sous Windows 98 (il est possible d'y inclure un script
piègé). Et malheureusement Winzip 9 qui corrige le problème n'est encore
qu'une beta.
"Olivier Aichelbaum" : < [Winzip 8.1 ouvre un fichier logiciel_securise.txt]
Oui, celui-là on savait déjà ;) merci quand même :)
De rien... /:->
Par contre, j'ai oublié de te dire : Winzip 8.1 est sensible à une autre faille testée sous Windows 98 (il est possible d'y inclure un script piègé). Et malheureusement Winzip 9 qui corrige le problème n'est encore qu'une beta.
Rectificatif : Winrar 3.0 ne se laisse pas piéger.
-- Olivier Aichelbaum
Olivier Aichelbaum
Olivier Aichelbaum wrote:
Winrar 3.0 se laissent piéger.
Rectificatif : Winrar 3.0 ne se laisse pas piéger.
Désolé, mais WinRar 3.00 trial est bien sensible à la faille (trop crevé hier ;)
djehuti : il ne faut pas se contenter de lire le nom de fichier dans la fenêtre de ton logiciel de décompression, il faut cliquer sur le fichier, c'est le nom de la fenêtre de Notepad qui indique si le logiciel a la faille ou non (ou plutôt le nom doit avoir changé depuis l'étape précédente). Merci d'avance pour ton résultat ! http://www.acbm.com/inedits/divers/test.zip
Si d'autres ont mal fait le test avec leur logiciel, qu'ils n'hésitent pas à refaire pour nous dire ici, merci !!
-- Olivier Aichelbaum
Olivier Aichelbaum wrote:
Winrar 3.0 se laissent piéger.
Rectificatif : Winrar 3.0 ne se laisse pas piéger.
Désolé, mais WinRar 3.00 trial est bien sensible à la faille
(trop crevé hier ;)
djehuti : il ne faut pas se contenter de lire le nom de fichier
dans la fenêtre de ton logiciel de décompression, il faut cliquer
sur le fichier, c'est le nom de la fenêtre de Notepad qui indique
si le logiciel a la faille ou non (ou plutôt le nom doit avoir
changé depuis l'étape précédente). Merci d'avance pour ton résultat !
http://www.acbm.com/inedits/divers/test.zip
Si d'autres ont mal fait le test avec leur logiciel, qu'ils
n'hésitent pas à refaire pour nous dire ici, merci !!
Rectificatif : Winrar 3.0 ne se laisse pas piéger.
Désolé, mais WinRar 3.00 trial est bien sensible à la faille (trop crevé hier ;)
djehuti : il ne faut pas se contenter de lire le nom de fichier dans la fenêtre de ton logiciel de décompression, il faut cliquer sur le fichier, c'est le nom de la fenêtre de Notepad qui indique si le logiciel a la faille ou non (ou plutôt le nom doit avoir changé depuis l'étape précédente). Merci d'avance pour ton résultat ! http://www.acbm.com/inedits/divers/test.zip
Si d'autres ont mal fait le test avec leur logiciel, qu'ils n'hésitent pas à refaire pour nous dire ici, merci !!
-- Olivier Aichelbaum
djehuti
"Olivier Aichelbaum" a écrit dans le message news: 40332cd3$0$22372$
Olivier Aichelbaum wrote:
Winrar 3.0 se laissent piéger.
Rectificatif : Winrar 3.0 ne se laisse pas piéger.
Désolé, mais WinRar 3.00 trial est bien sensible à la faille (trop crevé hier ;)
djehuti : il ne faut pas se contenter de lire le nom de fichier dans la fenêtre de ton logiciel de décompression, il faut cliquer sur le fichier
j'ai un peu de mal à te suivre
pour le test, j'ai utilisé le zip de Nicob en ouvrant l'archive, j'ai bien le fichier *eicar.com* (donc aucune raison de cliquer dessus) mais puisque tu insistes... j'ai cliqué, mais windows ne se laisse pas pièger et ouvre le fichier dans notepad (puisque extension bidouillée en .txt)
il y aurait "danger" si winrar affichait le nom *maquillé*... mais ce n'est pas le cas
@tchao
"Olivier Aichelbaum" <acbm@acbm.com> a écrit dans le message news:
40332cd3$0$22372$626a14ce@news.free.fr
Olivier Aichelbaum wrote:
Winrar 3.0 se laissent piéger.
Rectificatif : Winrar 3.0 ne se laisse pas piéger.
Désolé, mais WinRar 3.00 trial est bien sensible à la faille
(trop crevé hier ;)
djehuti : il ne faut pas se contenter de lire le nom de fichier
dans la fenêtre de ton logiciel de décompression, il faut cliquer
sur le fichier
j'ai un peu de mal à te suivre
pour le test, j'ai utilisé le zip de Nicob
en ouvrant l'archive, j'ai bien le fichier *eicar.com* (donc aucune raison
de cliquer dessus)
mais puisque tu insistes... j'ai cliqué, mais windows ne se laisse pas
pièger et ouvre le fichier dans notepad (puisque extension bidouillée en
.txt)
il y aurait "danger" si winrar affichait le nom *maquillé*... mais ce n'est
pas le cas
"Olivier Aichelbaum" a écrit dans le message news: 40332cd3$0$22372$
Olivier Aichelbaum wrote:
Winrar 3.0 se laissent piéger.
Rectificatif : Winrar 3.0 ne se laisse pas piéger.
Désolé, mais WinRar 3.00 trial est bien sensible à la faille (trop crevé hier ;)
djehuti : il ne faut pas se contenter de lire le nom de fichier dans la fenêtre de ton logiciel de décompression, il faut cliquer sur le fichier
j'ai un peu de mal à te suivre
pour le test, j'ai utilisé le zip de Nicob en ouvrant l'archive, j'ai bien le fichier *eicar.com* (donc aucune raison de cliquer dessus) mais puisque tu insistes... j'ai cliqué, mais windows ne se laisse pas pièger et ouvre le fichier dans notepad (puisque extension bidouillée en .txt)
il y aurait "danger" si winrar affichait le nom *maquillé*... mais ce n'est pas le cas
@tchao
Olivier Aichelbaum
djehuti wrote:
pour le test, j'ai utilisé le zip de Nicob en ouvrant l'archive, j'ai bien le fichier *eicar.com* (donc aucune raison de cliquer dessus) mais puisque tu insistes... j'ai cliqué, mais windows ne se laisse pas pièger et ouvre le fichier dans notepad (puisque extension bidouillée en .txt)
C'est le *contraire* qu'il faut faire dans l'archive bidouillée : afficher un TXT dans la fenêtre mais lancer un EXE au double-clic s'il y a la faille.
-- Olivier Aichelbaum
djehuti wrote:
pour le test, j'ai utilisé le zip de Nicob
en ouvrant l'archive, j'ai bien le fichier *eicar.com* (donc aucune raison
de cliquer dessus)
mais puisque tu insistes... j'ai cliqué, mais windows ne se laisse pas
pièger et ouvre le fichier dans notepad (puisque extension bidouillée en
.txt)
C'est le *contraire* qu'il faut faire dans l'archive bidouillée :
afficher un TXT dans la fenêtre mais lancer un EXE au double-clic
s'il y a la faille.
pour le test, j'ai utilisé le zip de Nicob en ouvrant l'archive, j'ai bien le fichier *eicar.com* (donc aucune raison de cliquer dessus) mais puisque tu insistes... j'ai cliqué, mais windows ne se laisse pas pièger et ouvre le fichier dans notepad (puisque extension bidouillée en .txt)
C'est le *contraire* qu'il faut faire dans l'archive bidouillée : afficher un TXT dans la fenêtre mais lancer un EXE au double-clic s'il y a la faille.
-- Olivier Aichelbaum
Frederic Bonroy
Nicob wrote:
Pour extraire, Pkunzip 2.50 DOS prend le second nom de fichier.
Ca, par contre, c'est super bizarre. Et il affiche lequel quand on lui demande le contenu de l'archive ?
Djehuti vient d'avoir le même problème: son logiciel à lui affiche le .com mais lance le .txt... news:4033634d$0$22401$
Pkunzip 2.50 DOS affiche ET extrait _nicob.txt_
F-Prot voit malware.com dans ton ZIP. Je pense que tu as inversé les deux noms.
Nicob wrote:
Pour extraire, Pkunzip 2.50 DOS prend le second nom de fichier.
Ca, par contre, c'est super bizarre. Et il affiche lequel quand on lui
demande le contenu de l'archive ?
Djehuti vient d'avoir le même problème: son logiciel à lui affiche le
.com mais lance le .txt...
news:4033634d$0$22401$626a14ce@news.free.fr
Pkunzip 2.50 DOS affiche ET extrait _nicob.txt_
F-Prot voit malware.com dans ton ZIP. Je pense que tu as inversé les
deux noms.
