Bon, comme j'ai quelques minutes à perdre, je reviens sur une question posée
il y a quelques temps ici par heu... quelqu'un.
Le thème abordé était "comment sont nommés les virus". Malgré la politesse
et la déférence dues aux poseurs de questions sympathiques (les auteurs, pas
les questions), force est de répondre par : n'importe comment, dans
l'anarchie et la pagaille la plus totale. Du moins sans grande concertation
entre les divers acteurs du milieu AV.
Quelles que soient leurs raisons plus ou moins fondées, cela occasionne tout
de même des parties de franche rigolade. Mais illustrons nos propos de
travaux pratiques.
1) Procurez-vous le dénommé VBS.NEOKILLER. Je prends lui tout à fait au
hasard, on en a parlé il y a quelques jours en ce lieu de perversion.
2) Faites-le tester par quelques AV online.
Bon, je n'ai que quelques minutes, j'en prends 5 au pif. Voici les résultats
(si d'autres veulent tester avec d'autres produits, merci de communiquer les
résultats) :
Voilà qui est plutôt étonnifiant ! Félicitations appuyées à McAfee qui ne
daigne pas se soucier de repérer un code si médiocre. Panda a trouvé
l'astuce, un nom générique. Comme dit plus haut, on voit que chacun nomme le
truc à sa manière. Et surtout, absolument pas de la manière dont l'aurait
souhaité l'auteur :o). Tant mieux, ça leur fera les pieds à ces morveux !
Hallucination de KAV qui voit LoveLetter ! Mon sang ne fait qu'un tour, ni
une ni une, je fonce sur le Net récupérer un "love" VBS (il y en a des
tonnes). Matez un peu le nom attribué à LovingYou par par KAV !
VBS.LovingYou : I-Worm.Zaid
Alors bon, l'essentiel est bien évidemment que le produit réagisse, mais, de
façon définitive, le nommage des virus... c'est totalement nawak (oui, je
parle djeunz couramment).
Puisque on est en plein dans la déconnade, amusons nous à enlever la moitié
du code de NEOKILLER (en partant du bas du fichier) et soumettons le bouzin
à tonton KAV :
Résultat : I-Worm.NorthSky
Puisque nous voguons en plein bouleversif (hein ?! je vous l'avais bien
dit), réduisons notre lutteur de matrice à sa plus simple expression, la
première ligne de code effective, soit :
Eh bien, le fait d'écrire à cet endroit de la base de registre suffit à
faire douter KAV, il devient suspicieux et nous annonce :
suspicion : Type_Script.
Je suppose que cela signifie qu'il suspecte un script, le nom étant
"générique" (après tout, il "suspecte"). On peut donc se douter de ce qui
commence à faire réagir notre ami de l'Est (ce qui est somme toute logique).
Par contre, ces quelques lignes ont montré qu'au niveau nommage, c'est quand
même hallucinatogène :o) !
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
joke0
Salut,
AMcD:
Du moins sans grande concertation entre les divers acteurs du milieu AV.
C'est un cas particulier. C'est un ver si minable qu'il possède du code qui a été pris par-ci par-là. Je suppose que certains comme KAV le détectaient sans mise-à-jour ou qu'ils ont considéré qu'il faisait parti d'une certaine famille commencée précédemment, et d'autres ont eu le générateur de ce code (Constructor.DOS.BioHazard [KAV]) en même temps ce qui influence forcément le nommage.
Voilà qui est plutôt étonnifiant ! Félicitations appuyées à McAfee qui ne daigne pas se soucier de repérer un code si médiocre.
Bizarre que VS ne te trouve rien. Tu l'as fait via webimmune? Dans ce cas ils l'ont peut-être rajouté depuis, mais j'en doute.
Hallucination de KAV qui voit LoveLetter !
Il y a un bout de code rippé de ce ver dedans.
Puisque on est en plein dans la déconnade, amusons nous à enlever la moitié du code de NEOKILLER
Résultat : I-Worm.NorthSky
Dommage, t'as loupé la playmate en ascii qu'il y a dans la version originale ;o)
Bon, fin de l'interlude, bonne nuit.
Mouais, mais là tu navigues dans les eaux troubes des scripts minables en vbs où les lamers tournent en rond en se piquant des bouts de code les uns les autres, on n'est pas en face d'un véritable code identifié comme unique.
-- joke0
Salut,
AMcD:
Du moins sans grande concertation entre les divers acteurs du
milieu AV.
C'est un cas particulier. C'est un ver si minable qu'il possède
du code qui a été pris par-ci par-là. Je suppose que certains
comme KAV le détectaient sans mise-à-jour ou qu'ils ont
considéré qu'il faisait parti d'une certaine famille commencée
précédemment, et d'autres ont eu le générateur de ce code
(Constructor.DOS.BioHazard [KAV]) en même temps ce qui influence
forcément le nommage.
Voilà qui est plutôt étonnifiant ! Félicitations appuyées à
McAfee qui ne daigne pas se soucier de repérer un code si
médiocre.
Bizarre que VS ne te trouve rien. Tu l'as fait via webimmune?
Dans ce cas ils l'ont peut-être rajouté depuis, mais j'en doute.
Hallucination de KAV qui voit LoveLetter !
Il y a un bout de code rippé de ce ver dedans.
Puisque on est en plein dans la déconnade, amusons nous à
enlever la moitié du code de NEOKILLER
Résultat : I-Worm.NorthSky
Dommage, t'as loupé la playmate en ascii qu'il y a dans la
version originale ;o)
Bon, fin de l'interlude, bonne nuit.
Mouais, mais là tu navigues dans les eaux troubes des scripts
minables en vbs où les lamers tournent en rond en se piquant des
bouts de code les uns les autres, on n'est pas en face d'un
véritable code identifié comme unique.
Du moins sans grande concertation entre les divers acteurs du milieu AV.
C'est un cas particulier. C'est un ver si minable qu'il possède du code qui a été pris par-ci par-là. Je suppose que certains comme KAV le détectaient sans mise-à-jour ou qu'ils ont considéré qu'il faisait parti d'une certaine famille commencée précédemment, et d'autres ont eu le générateur de ce code (Constructor.DOS.BioHazard [KAV]) en même temps ce qui influence forcément le nommage.
Voilà qui est plutôt étonnifiant ! Félicitations appuyées à McAfee qui ne daigne pas se soucier de repérer un code si médiocre.
Bizarre que VS ne te trouve rien. Tu l'as fait via webimmune? Dans ce cas ils l'ont peut-être rajouté depuis, mais j'en doute.
Hallucination de KAV qui voit LoveLetter !
Il y a un bout de code rippé de ce ver dedans.
Puisque on est en plein dans la déconnade, amusons nous à enlever la moitié du code de NEOKILLER
Résultat : I-Worm.NorthSky
Dommage, t'as loupé la playmate en ascii qu'il y a dans la version originale ;o)
Bon, fin de l'interlude, bonne nuit.
Mouais, mais là tu navigues dans les eaux troubes des scripts minables en vbs où les lamers tournent en rond en se piquant des bouts de code les uns les autres, on n'est pas en face d'un véritable code identifié comme unique.
-- joke0
Frederic Bonroy
1) Procurez-vous le dénommé VBS.NEOKILLER. Je prends lui tout à fait au hasard, on en a parlé il y a quelques jours en ce lieu de perversion. 2) Faites-le tester par quelques AV online.
Bon, je n'ai que quelques minutes, j'en prends 5 au pif. Voici les résultats (si d'autres veulent tester avec d'autres produits, merci de communiquer les résultats) :
Kaspersky : I-Worm.LoveLetter
Je suis un peu étonné car les deux ne se ressemblent pas tellement mis à part la routine de propagation par courrier. Au fait, il y a une faute dans l'instruction suivante de Neokiller. Qui la voit? :-)
A08.Attachmets.Add WScript.ScriptFullName
McAfee : Rien !
Si: VBS/ avec une version âgée de plus 4 mois déjà.
F-Prot: VBS/SSIWG.LB Dr. Web: VBS.Gabry AntiVir: Worm/Loveletter.NK
Voilà qui est plutôt étonnifiant ! Félicitations appuyées à McAfee qui ne daigne pas se soucier de repérer un code si médiocre.
Si, voir ci-dessus.
Panda a trouvé l'astuce, un nom générique.
Pas étonnant, les vers VBS doivent être assez faciles à détecter de manière générique, pourquoi s'embêter à inventer un nom pour chaque variante possible surtout quand on considère qu'il s'agit d'un ver sorti d'un générateur.
Tant mieux, ça leur fera les pieds à ces morveux !
Héhé, j'ai toujours été en faveur d'une alerte du genre
blabla.vbs Infection: virus VBS sans le moindre intérêt
:-)
Si on prend ZMist par exemple, une toute autre catégorie, les noms donnés par les éditeurs sont assez proches du nom donné par l'auteur (Mistfall, ZMist, etc.)
Puisque on est en plein dans la déconnade, amusons nous à enlever la moitié du code de NEOKILLER (en partant du bas du fichier) et soumettons le bouzin à tonton KAV :
Résultat : I-Worm.NorthSky
Puisque nous voguons en plein bouleversif (hein ?! je vous l'avais bien dit)
Je ne sais pas à quoi ressemble le vrai NorthSky, mais il se peut qu'il ait aussi été produit par le même générateur et qu'il ne soit pas tellement différent de Neokiller/Loveletter.
réduisons notre lutteur de matrice à sa plus simple expression, la première ligne de code effective, soit :
Eh bien, le fait d'écrire à cet endroit de la base de registre suffit à faire douter KAV, il devient suspicieux et nous annonce :
suspicion : Type_Script.
Je suppose que cela signifie qu'il suspecte un script, le nom étant "générique" (après tout, il "suspecte"). On peut donc se douter de ce qui commence à faire réagir notre ami de l'Est (ce qui est somme toute logique).
Oui. M'intéresserait de savoir si l'alerte surgit aussi si la chaîne HKEY_ etc. est cryptée.
1) Procurez-vous le dénommé VBS.NEOKILLER. Je prends lui tout à fait au
hasard, on en a parlé il y a quelques jours en ce lieu de perversion.
2) Faites-le tester par quelques AV online.
Bon, je n'ai que quelques minutes, j'en prends 5 au pif. Voici les résultats
(si d'autres veulent tester avec d'autres produits, merci de communiquer les
résultats) :
Kaspersky : I-Worm.LoveLetter
Je suis un peu étonné car les deux ne se ressemblent pas tellement mis à
part la routine de propagation par courrier. Au fait, il y a une faute
dans l'instruction suivante de Neokiller. Qui la voit? :-)
A08.Attachmets.Add WScript.ScriptFullName
McAfee : Rien !
Si: VBS/Generic@MM avec une version âgée de plus 4 mois déjà.
F-Prot: VBS/SSIWG.LB
Dr. Web: VBS.Gabry
AntiVir: Worm/Loveletter.NK
Voilà qui est plutôt étonnifiant ! Félicitations appuyées à McAfee qui ne
daigne pas se soucier de repérer un code si médiocre.
Si, voir ci-dessus.
Panda a trouvé l'astuce, un nom générique.
Pas étonnant, les vers VBS doivent être assez faciles à détecter de
manière générique, pourquoi s'embêter à inventer un nom pour chaque
variante possible surtout quand on considère qu'il s'agit d'un ver sorti
d'un générateur.
Tant mieux, ça leur fera les pieds à ces morveux !
Héhé, j'ai toujours été en faveur d'une alerte du genre
blabla.vbs Infection: virus VBS sans le moindre intérêt
:-)
Si on prend ZMist par exemple, une toute autre catégorie, les noms
donnés par les éditeurs sont assez proches du nom donné par l'auteur
(Mistfall, ZMist, etc.)
Puisque on est en plein dans la déconnade, amusons nous à enlever la moitié
du code de NEOKILLER (en partant du bas du fichier) et soumettons le bouzin
à tonton KAV :
Résultat : I-Worm.NorthSky
Puisque nous voguons en plein bouleversif (hein ?! je vous l'avais bien
dit)
Je ne sais pas à quoi ressemble le vrai NorthSky, mais il se peut qu'il
ait aussi été produit par le même générateur et qu'il ne soit pas
tellement différent de Neokiller/Loveletter.
réduisons notre lutteur de matrice à sa plus simple expression, la
première ligne de code effective, soit :
Eh bien, le fait d'écrire à cet endroit de la base de registre suffit à
faire douter KAV, il devient suspicieux et nous annonce :
suspicion : Type_Script.
Je suppose que cela signifie qu'il suspecte un script, le nom étant
"générique" (après tout, il "suspecte"). On peut donc se douter de ce qui
commence à faire réagir notre ami de l'Est (ce qui est somme toute logique).
Oui. M'intéresserait de savoir si l'alerte surgit aussi si la chaîne
HKEY_ etc. est cryptée.
1) Procurez-vous le dénommé VBS.NEOKILLER. Je prends lui tout à fait au hasard, on en a parlé il y a quelques jours en ce lieu de perversion. 2) Faites-le tester par quelques AV online.
Bon, je n'ai que quelques minutes, j'en prends 5 au pif. Voici les résultats (si d'autres veulent tester avec d'autres produits, merci de communiquer les résultats) :
Kaspersky : I-Worm.LoveLetter
Je suis un peu étonné car les deux ne se ressemblent pas tellement mis à part la routine de propagation par courrier. Au fait, il y a une faute dans l'instruction suivante de Neokiller. Qui la voit? :-)
A08.Attachmets.Add WScript.ScriptFullName
McAfee : Rien !
Si: VBS/ avec une version âgée de plus 4 mois déjà.
F-Prot: VBS/SSIWG.LB Dr. Web: VBS.Gabry AntiVir: Worm/Loveletter.NK
Voilà qui est plutôt étonnifiant ! Félicitations appuyées à McAfee qui ne daigne pas se soucier de repérer un code si médiocre.
Si, voir ci-dessus.
Panda a trouvé l'astuce, un nom générique.
Pas étonnant, les vers VBS doivent être assez faciles à détecter de manière générique, pourquoi s'embêter à inventer un nom pour chaque variante possible surtout quand on considère qu'il s'agit d'un ver sorti d'un générateur.
Tant mieux, ça leur fera les pieds à ces morveux !
Héhé, j'ai toujours été en faveur d'une alerte du genre
blabla.vbs Infection: virus VBS sans le moindre intérêt
:-)
Si on prend ZMist par exemple, une toute autre catégorie, les noms donnés par les éditeurs sont assez proches du nom donné par l'auteur (Mistfall, ZMist, etc.)
Puisque on est en plein dans la déconnade, amusons nous à enlever la moitié du code de NEOKILLER (en partant du bas du fichier) et soumettons le bouzin à tonton KAV :
Résultat : I-Worm.NorthSky
Puisque nous voguons en plein bouleversif (hein ?! je vous l'avais bien dit)
Je ne sais pas à quoi ressemble le vrai NorthSky, mais il se peut qu'il ait aussi été produit par le même générateur et qu'il ne soit pas tellement différent de Neokiller/Loveletter.
réduisons notre lutteur de matrice à sa plus simple expression, la première ligne de code effective, soit :
Eh bien, le fait d'écrire à cet endroit de la base de registre suffit à faire douter KAV, il devient suspicieux et nous annonce :
suspicion : Type_Script.
Je suppose que cela signifie qu'il suspecte un script, le nom étant "générique" (après tout, il "suspecte"). On peut donc se douter de ce qui commence à faire réagir notre ami de l'Est (ce qui est somme toute logique).
Oui. M'intéresserait de savoir si l'alerte surgit aussi si la chaîne HKEY_ etc. est cryptée.
AMcD
Yo !
joke0 wrote:
Bizarre que VS ne te trouve rien. Tu l'as fait via webimmune? Dans ce cas ils l'ont peut-être rajouté depuis, mais j'en doute.
Ben je fais tout simplement via McAfee FreeScan. Je viens de retester à l'instant, il s'en tape !
Hallucination de KAV qui voit LoveLetter !
Il y a un bout de code rippé de ce ver dedans.
Bah, j'ai LoveLetter sous les yeux là, ça ne saute pas à l'oeil nu... Ou alors, autant appeler tous les VBS des LoveLetter, parce le code de NEOKILLER, ça doit se trouver à peu près dans 100% des VBS...
Puisque on est en plein dans la déconnade, amusons nous à enlever la moitié du code de NEOKILLER
Résultat : I-Worm.NorthSky
Dommage, t'as loupé la playmate en ascii qu'il y a dans la version originale ;o)
Tu me l'envoies ou faut que je cherche sur le Net ;-) ?
Mouais, mais là tu navigues dans les eaux troubes des scripts minables en vbs où les lamers tournent en rond en se piquant des bouts de code les uns les autres, on n'est pas en face d'un véritable code identifié comme unique.
Oui, oui, mais bon, c'était surtout pour montrer qu'au niveau du nommage, ce pouvait être complexe.
-- AMcD
http://arnold.mcdonald.free.fr/
Yo !
joke0 wrote:
Bizarre que VS ne te trouve rien. Tu l'as fait via webimmune?
Dans ce cas ils l'ont peut-être rajouté depuis, mais j'en doute.
Ben je fais tout simplement via McAfee FreeScan. Je viens de retester à
l'instant, il s'en tape !
Hallucination de KAV qui voit LoveLetter !
Il y a un bout de code rippé de ce ver dedans.
Bah, j'ai LoveLetter sous les yeux là, ça ne saute pas à l'oeil nu... Ou
alors, autant appeler tous les VBS des LoveLetter, parce le code de
NEOKILLER, ça doit se trouver à peu près dans 100% des VBS...
Puisque on est en plein dans la déconnade, amusons nous à
enlever la moitié du code de NEOKILLER
Résultat : I-Worm.NorthSky
Dommage, t'as loupé la playmate en ascii qu'il y a dans la
version originale ;o)
Tu me l'envoies ou faut que je cherche sur le Net ;-) ?
Mouais, mais là tu navigues dans les eaux troubes des scripts
minables en vbs où les lamers tournent en rond en se piquant des
bouts de code les uns les autres, on n'est pas en face d'un
véritable code identifié comme unique.
Oui, oui, mais bon, c'était surtout pour montrer qu'au niveau du nommage, ce
pouvait être complexe.
Bizarre que VS ne te trouve rien. Tu l'as fait via webimmune? Dans ce cas ils l'ont peut-être rajouté depuis, mais j'en doute.
Ben je fais tout simplement via McAfee FreeScan. Je viens de retester à l'instant, il s'en tape !
Hallucination de KAV qui voit LoveLetter !
Il y a un bout de code rippé de ce ver dedans.
Bah, j'ai LoveLetter sous les yeux là, ça ne saute pas à l'oeil nu... Ou alors, autant appeler tous les VBS des LoveLetter, parce le code de NEOKILLER, ça doit se trouver à peu près dans 100% des VBS...
Puisque on est en plein dans la déconnade, amusons nous à enlever la moitié du code de NEOKILLER
Résultat : I-Worm.NorthSky
Dommage, t'as loupé la playmate en ascii qu'il y a dans la version originale ;o)
Tu me l'envoies ou faut que je cherche sur le Net ;-) ?
Mouais, mais là tu navigues dans les eaux troubes des scripts minables en vbs où les lamers tournent en rond en se piquant des bouts de code les uns les autres, on n'est pas en face d'un véritable code identifié comme unique.
Oui, oui, mais bon, c'était surtout pour montrer qu'au niveau du nommage, ce pouvait être complexe.
-- AMcD
http://arnold.mcdonald.free.fr/
AMcD
Frederic Bonroy wrote:
Kaspersky : I-Worm.LoveLetter
Je suis un peu étonné car les deux ne se ressemblent pas tellement mis à part la routine de propagation par courrier.
Oui. Plutôt bizarre...
Au fait, il y a une faute dans l'instruction suivante de Neokiller. Qui la voit? :-)
A08.Attachmets.Add WScript.ScriptFullName
Bah, il manque un "n" ces gugusses ne savent même pas parler anglais :o).
Voilà qui est plutôt étonnifiant ! Félicitations appuyées à McAfee qui ne daigne pas se soucier de repérer un code si médiocre.
Si, voir ci-dessus.
McAfee FreeScan ne bronche pas.
Héhé, j'ai toujours été en faveur d'une alerte du genre
blabla.vbs Infection: virus VBS sans le moindre intérêt
:-)
Plus 15 jours au pain sec et à l'eau, à m'écouter 12h par jour parler du mode protégé des 386 !
Je ne sais pas à quoi ressemble le vrai NorthSky, mais il se peut qu'il ait aussi été produit par le même générateur et qu'il ne soit pas tellement différent de Neokiller/Loveletter.
Heu, je ne l'ai pas sous la main. En plus il paraîtrait qu'il contient des choses libidineuses...
Je suppose que cela signifie qu'il suspecte un script, le nom étant "générique" (après tout, il "suspecte"). On peut donc se douter de ce qui commence à faire réagir notre ami de l'Est (ce qui est somme toute logique).
Oui. M'intéresserait de savoir si l'alerte surgit aussi si la chaîne HKEY_ etc. est cryptée.
Pas bête ça. Quand j'aurai 10 minutes...
-- AMcD
http://arnold.mcdonald.free.fr/
Frederic Bonroy wrote:
Kaspersky : I-Worm.LoveLetter
Je suis un peu étonné car les deux ne se ressemblent pas tellement
mis à
part la routine de propagation par courrier.
Oui. Plutôt bizarre...
Au fait, il y a une faute
dans l'instruction suivante de Neokiller. Qui la voit? :-)
A08.Attachmets.Add WScript.ScriptFullName
Bah, il manque un "n" ces gugusses ne savent même pas parler anglais :o).
Voilà qui est plutôt étonnifiant ! Félicitations appuyées à McAfee
qui ne daigne pas se soucier de repérer un code si médiocre.
Si, voir ci-dessus.
McAfee FreeScan ne bronche pas.
Héhé, j'ai toujours été en faveur d'une alerte du genre
blabla.vbs Infection: virus VBS sans le moindre intérêt
:-)
Plus 15 jours au pain sec et à l'eau, à m'écouter 12h par jour parler du
mode protégé des 386 !
Je ne sais pas à quoi ressemble le vrai NorthSky, mais il se peut
qu'il
ait aussi été produit par le même générateur et qu'il ne soit pas
tellement différent de Neokiller/Loveletter.
Heu, je ne l'ai pas sous la main. En plus il paraîtrait qu'il contient des
choses libidineuses...
Je suppose que cela signifie qu'il suspecte un script, le nom étant
"générique" (après tout, il "suspecte"). On peut donc se douter de
ce qui commence à faire réagir notre ami de l'Est (ce qui est somme
toute logique).
Oui. M'intéresserait de savoir si l'alerte surgit aussi si la chaîne
HKEY_ etc. est cryptée.
Je suis un peu étonné car les deux ne se ressemblent pas tellement mis à part la routine de propagation par courrier.
Oui. Plutôt bizarre...
Au fait, il y a une faute dans l'instruction suivante de Neokiller. Qui la voit? :-)
A08.Attachmets.Add WScript.ScriptFullName
Bah, il manque un "n" ces gugusses ne savent même pas parler anglais :o).
Voilà qui est plutôt étonnifiant ! Félicitations appuyées à McAfee qui ne daigne pas se soucier de repérer un code si médiocre.
Si, voir ci-dessus.
McAfee FreeScan ne bronche pas.
Héhé, j'ai toujours été en faveur d'une alerte du genre
blabla.vbs Infection: virus VBS sans le moindre intérêt
:-)
Plus 15 jours au pain sec et à l'eau, à m'écouter 12h par jour parler du mode protégé des 386 !
Je ne sais pas à quoi ressemble le vrai NorthSky, mais il se peut qu'il ait aussi été produit par le même générateur et qu'il ne soit pas tellement différent de Neokiller/Loveletter.
Heu, je ne l'ai pas sous la main. En plus il paraîtrait qu'il contient des choses libidineuses...
Je suppose que cela signifie qu'il suspecte un script, le nom étant "générique" (après tout, il "suspecte"). On peut donc se douter de ce qui commence à faire réagir notre ami de l'Est (ce qui est somme toute logique).
Oui. M'intéresserait de savoir si l'alerte surgit aussi si la chaîne HKEY_ etc. est cryptée.
Pas bête ça. Quand j'aurai 10 minutes...
-- AMcD
http://arnold.mcdonald.free.fr/
joke0
Salut,
AMcD:
Bah, j'ai LoveLetter sous les yeux là, ça ne saute pas à l'oeil nu... Ou alors, autant appeler tous les VBS des LoveLetter, parce le code de NEOKILLER, ça doit se trouver à peu près dans 100% des VBS...
Tout ça est tellement proche. Mais bon, ils ne vont non plus satisfaire un petit con en donnant à son code un nom particulier :-/
Dommage, t'as loupé la playmate en ascii qu'il y a dans la version originale ;o)
Tu me l'envoies ou faut que je cherche sur le Net ;-) ?
Tu veux te rincer l'oeil mon cochon! ;oD
-- joke0
Salut,
AMcD:
Bah, j'ai LoveLetter sous les yeux là, ça ne saute pas à
l'oeil nu... Ou alors, autant appeler tous les VBS des
LoveLetter, parce le code de NEOKILLER, ça doit se trouver à
peu près dans 100% des VBS...
Tout ça est tellement proche. Mais bon, ils ne vont non plus
satisfaire un petit con en donnant à son code un nom
particulier :-/
Dommage, t'as loupé la playmate en ascii qu'il y a dans la
version originale ;o)
Tu me l'envoies ou faut que je cherche sur le Net ;-) ?
Bah, j'ai LoveLetter sous les yeux là, ça ne saute pas à l'oeil nu... Ou alors, autant appeler tous les VBS des LoveLetter, parce le code de NEOKILLER, ça doit se trouver à peu près dans 100% des VBS...
Tout ça est tellement proche. Mais bon, ils ne vont non plus satisfaire un petit con en donnant à son code un nom particulier :-/
Dommage, t'as loupé la playmate en ascii qu'il y a dans la version originale ;o)
Tu me l'envoies ou faut que je cherche sur le Net ;-) ?
Tu veux te rincer l'oeil mon cochon! ;oD
-- joke0
_Chambord_
Salut.
Bon, comme j'ai quelques minutes à perdre, je reviens sur une question posée il y a quelques temps ici par heu... quelqu'un.
Le thème abordé était "comment sont nommés les virus". Malgré la politesse et la déférence dues aux poseurs de questions sympathiques (les auteurs, pas les questions), force est de répondre par : n'importe comment, dans l'anarchie et la pagaille la plus totale. Du moins sans grande concertation entre les divers acteurs du milieu AV.
Pour repondre simplement on devine disons que les virus sont nommé par défaut, par le nom donné par le createur avec des prefixes ou suffixes pour faciliter la classification, dans la plupart des cas .Sinon on ignore tout de l'arriere cuisine des antivirus pour le nommage.
Pour voir les differentes appellations on prend un virus majeur: http://www.symantec.com/region/fr/avcenter/liste_virus.html et on voit qu'il prend 7 appellations differentes: http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/fr-w32.welchia.worm.html
Salut.
Bon, comme j'ai quelques minutes à perdre, je reviens sur une question posée
il y a quelques temps ici par heu... quelqu'un.
Le thème abordé était "comment sont nommés les virus". Malgré la politesse
et la déférence dues aux poseurs de questions sympathiques (les auteurs, pas
les questions), force est de répondre par : n'importe comment, dans
l'anarchie et la pagaille la plus totale. Du moins sans grande concertation
entre les divers acteurs du milieu AV.
Pour repondre simplement on devine disons que les virus sont nommé par
défaut, par le nom donné par le createur avec des prefixes ou suffixes
pour faciliter la classification, dans la plupart des cas .Sinon on
ignore tout de l'arriere cuisine des antivirus pour le nommage.
Pour voir les differentes appellations on prend un virus majeur:
http://www.symantec.com/region/fr/avcenter/liste_virus.html
et on voit qu'il prend 7 appellations differentes:
http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/fr-w32.welchia.worm.html
Bon, comme j'ai quelques minutes à perdre, je reviens sur une question posée il y a quelques temps ici par heu... quelqu'un.
Le thème abordé était "comment sont nommés les virus". Malgré la politesse et la déférence dues aux poseurs de questions sympathiques (les auteurs, pas les questions), force est de répondre par : n'importe comment, dans l'anarchie et la pagaille la plus totale. Du moins sans grande concertation entre les divers acteurs du milieu AV.
Pour repondre simplement on devine disons que les virus sont nommé par défaut, par le nom donné par le createur avec des prefixes ou suffixes pour faciliter la classification, dans la plupart des cas .Sinon on ignore tout de l'arriere cuisine des antivirus pour le nommage.
Pour voir les differentes appellations on prend un virus majeur: http://www.symantec.com/region/fr/avcenter/liste_virus.html et on voit qu'il prend 7 appellations differentes: http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/fr-w32.welchia.worm.html
