Infecte, mais je ne sais pas quoi faire...

sur les news:2grquvF61vf5U1@uni-berlin.de
Frederic Bonroy <bidonavirus@yahoo.fr> signalait:

Roland Garcia wrote:

A ce propos vous qui avez NOD32, pouvez vous vérifier si celui-ci ne
fait plus de fausse alerte sur ce HTML pur:
http://www.avp.ch/avpve/macro/word97/BLASTER.stm

ça fait plusieurs années que je le leur signale....

Ça plus le Magistr.B plus cette histoire de virus (BAT je crois)
non-détectés pour une histoire d'extensions, ben ça inspire pas
confiance. :-(

La communication au sujet de ces problèmes (particulièrement suite au test
d'A. Marx) mettant en évidence un problème de NOD32 corrigé en traînant les
pieds (les tests ont été reconduits et publiés dans un magazine allemand
après correction avec un résultat parfaitement honorable) a été
poarticulièrement agressive et de mauvaise foi .
C'est le plus gros reproche que j'adresserais à ESET : des "difficultés" de
communication du même style que TEGAM. Pour le reste même s'il est toujours
un peu court sur les trojans, ça n'en reste pas moins un excellent produit,
très léger en ressources et le plus rapide. C'est celui qui ralentit le
moins l'ouverture d'un gros fichier de la suite Office par exemple.
--
JacK

"LaDDL" <alamaison-MOVEOUT@HIt-THE-DIRTnoos.fr> a écrit dans le message
news: 40a8b71f$0$7363$79c14f64@nan-newsreader-05.noos.net

djehuti wrote:

"LaDDL" <alamaison-MOVEOUT@HIt-THE-DIRTnoos.fr> a écrit dans le
message news: 40a7f5bb$0$5055$79c14f64@nan-newsreader-04.noos.net

Le VB ne comporte aucun trojan parmi ses échantillons ;)
On est d'accord [...]

apparemment pas *eg*

j'y vois juste une pirouette pour essayer de retomber sur tes
pattes... mais c'est un peu tard
Vous avez encore une belle illustration de ce qu'est un flamer.

Djehuti est très classé au trollomètre.

si tu le dis *eg*

J'apporte une précision : l'emploi de l'expression/terme ITW
signifie dans la nature/en circulation.

bah, je crois que tout le monde l'avait bien compris
Tu oublies qu'il y a des intervenants/participants sur usenet dont le

niveau est varié.

non, je n'oublie rien
même comme ça... tout le monde avait compris

c'est marrant de voir à quel point les marchands sont susceptibles
faut vraiment pas mettre en avant les incohérences de leur baratin si on ne
veut pas se voir traité de /flamer/, menteur, incompétent, etc©

faut juste pas confondre ITW et une "liste de bestioles" (sur du papier)...
sauf si t'arrange *eg*

@tchao

Salut,

LaDDL:

S'il n'y avait que ça. Il lui reste d'énormes progrés à
accomplir en unpacking. Il est très très faible de ce côté là

Sur ce plan là il est vrai qu'il reste perfectible.

Joli euphémisme...

--
joke0

djehuti wrote:

Vous avez encore une belle illustration de ce qu'est un flamer.
Djehuti est très classé au trollomètre.

si tu le dis *eg*
Je confirme.

J'apporte une précision : l'emploi de l'expression/terme ITW
signifie dans la nature/en circulation.

bah, je crois que tout le monde l'avait bien compris
Tu oublies qu'il y a des intervenants/participants sur usenet dont le

niveau est varié.

non, je n'oublie rien
même comme ça... tout le monde avait compris
Comme d'habitude tu penses a la place des autres.

faut vraiment pas mettre en avant les incohérences de leur baratin
Quel baratin ?! Tu te fous de ma gueule et de la gueule de tout le

groupe. Dans ce thread tu ne fais que baratiner (sans parler de tes
précédents). Alors à d'autres stp.

si on ne
veut pas se voir traité de /flamer/, menteur, incompétent, etc©
Oui tu es un flamer comme beaucoup d'autres ici.

faut juste pas confondre ITW et une "liste de bestioles" (sur du papier)...
sauf si t'arrange *eg*
Encore de l'affabulation & du dénigrements.

Allez fin du troll pour moi

[LaDDL+]

"LaDDL" <alamaison-MOVEOUT@HIt-THE-DIRTnoos.fr> a écrit dans le message
news: 40a8c39f$0$15630$79c14f64@nan-newsreader-07.noos.net

djehuti wrote:

faut vraiment pas mettre en avant les incohérences de leur baratin
Quel baratin ?! Tu te fous de ma gueule et de la gueule de tout le

groupe. Dans ce thread tu ne fais que baratiner (sans parler de tes
précédents). Alors à d'autres stp.

quels précédents ?

à moins que tu ne parles de tes pirouettes de la dernière discussion, où
pour essayer de t'en sortir... tu as tenté d'expliquer à Roland, ce qu'était
une mise à jour incrémentielle ?

si on ne
veut pas se voir traité de /flamer/, menteur, incompétent, etc©
Oui tu es un flamer comme beaucoup d'autres ici.

ah, tout ceux qui ne sont pas d'accord avec toi ?
ça fait du monde dis donc :-D

faut juste pas confondre ITW et une "liste de bestioles" (sur du
papier)... sauf si t'arrange *eg*
Encore de l'affabulation & du dénigrements.

ben c'est pourtant pas compliqué (ni très loin) à vérifier
en quelques messages, tu as eu le temps de dire "tout"... puis son contraire
(c'est précis et technique)

Allez fin du troll pour moi

tu as raison, je te trouve très mauvais dans cette discipline

@tchao

LaDDL wrote:

NOD32 un AV sans signature ?! Vous délirez. lol
C'est un AV qui combine analyse heuristique/spectrale.

Je dirais que l'analyse spectrale fait partie de l'analyse heuristique. :-)

On a parlé de cette fameuse analyse spectrale ici il y a quelque temps.
Si on la définit comme une sorte d'analyse statistique alors sans doute
ses résultats sont inclus dans le raisonnement heuristique.

La détection de virus consiste à analyser les fonctions et instructions
les plus souvent présentes et que l'on retrouve dans la majorité des
virus.

C'est *une* possibilité.

Les trojans et autres backdoors rares ne sont pas détectés par la
majorité des AV. Si tu savais le nombre de trojans et autres malwares
qui existent et non encore détecté.

C'est clair mais au niveau de la détection des chevaux de Troie connus
les différences sont encore et toujours claires et nettes.

LaDDL wrote:

Je pense que si car cette méthode vise à analyser les fonctions et
instructions les plus souvent présentes et que l'on retrouve dans la
majorité des virus. Elle permet de détecter des nouveaux virus dont la
signature n'a pas été ajoutée à la base de données !

Tous les moteurs de recherche de signatures sont suffisamment
performants pour détecter les virus ITW connus. Que NOD32 soit encore
meilleur est donc sans importance. A partir d'un certain point des
augmentations de qualité ne jouent plus aucun rôle. C'est la loi de
Gossen. ;-)

Donc répéter à tout va "on
est les meilleurs parce qu'on est imbattables en ITW", c'est bidon.
Non c'est un bon argument étant donné la rigueur et le sérieux du VB.

Le problème n'est pas la sériosité du VB mais l'interprétation des
résultats. Le VB100% note un produit en fonction d'un nombre limité de
critères! Corrigez-moi si je me trompe, mais un produit qui ne détecte
pas un seul virus zoo peut théoriquement obtenir un VB100%! C'est un
exemple extrême censé exprimer que la détection ITW n'est qu'un aspect
parmi d'autres et que lui seul n'est qu'un piêtre indice de la qualité
réelle d'un produit.

Je ne donne pas la faute à VB évidemment puisqu'ils précisent clairement
quel est le but du test. Je donne la faute à ceux qui se servent des
VB100 pour matraquer la concurrence et pour cacher les points faibles de
leur produit.

Maintenant c'est à l'utilisateur quel qu'il soit de ne pas accorder trop
d'importance à un test.

Exactement, mais l'utilisateur n'y connaît rien en règle générale et ne
saura pas interpréter correctement les résultats d'un test. Il absorbe
ainsi le discours marketing des éditeurs. Vous pensez bien que ces
derniers en profitent. Remarquez, Eset est loin d'être le seul.

Parce que très souvent le protocole de test n'est pas respecté. Et les
détails sont aux abonnés absents.

Andreas Marx avait il me semble pourtant publié un article sur les tests
de détection dans...

... VB justement!

Vous ne semblez pas trop apprécier les tests de av-test.org, dans ce cas
précis qu'est-ce qui vous dérange?

Ici: http://www.vhm.haitec.de/konferenz/1999/av-test.html
il y a un aperçu des méthodes de tests. Et ça me paraît tout à fait dans
les règles de l'art. Surtout les conclusions sont raisonnables:

- il admet que les tests ne sont pas toujours objectifs, quand ça
concerne l'interface par exemple
- il indique qu'on ne peut tester qu'une petite "tranche" du cycle de
vie du produit
- on peut tester plein de choses mais en fin de compte ce qui est
décisif, c'est ce qui se passe en réalité.

Ceci dit, je ne considère pas A. Marx comme un dieu intouchable du test
antivirus, mais je ne vois pas trop pourquoi on ne devrait pas lui faire
confiance. Et les tests de détection, il n'y en a pas des masses non
plus, faut bien en choisir un sur lequel on peut baser son jugement.

Le seul à côté du VB qui trouve grâce à mes yeux est celui de
l'université de hambourg mais il est incomplet car tous les AV ne sont
pas étudiés.
http://agn-www.informatik.uni-hamburg.de/vtc/index.htm

Justement le centre de test de Hambourg a fait l'objet de criticisme il
y a quelques années déjà. Je ne me souviens plus des détails. Je pense
que ça doit se trouver dans les archives de alt.comp.virus.

Oui quand on parle de zoo et autres malwares exotiques rares,
c'est-à-dire pas en circulation sur les réseaux.

On ne peut pas savoir si un virus considéré comme un virus zoo ne se
balade pas quelque part en liberté, ni vu ni connu. C'est peu probable
mais c'est loin d'être impossible.

Tu ne peux pas dire que NOD32 détecte moins de malwares que d'autres
sans préciser de quels types de bestioles il ne détecterai pas par
rapport à d'autres.

A l'époque les chevaux de Troie ainsi que les bestioles zoo lui posaient
des problèmes.

As-tu vraiment testé cet AV pour dire cela ?

Non, ce n'est pas à moi de réaliser des tests de détection, d'autres le
font à ma place et beaucoup mieux. :-)

Tu sais je suis KAV user depuis le début et autres toolz from east side.
C'est pas pour ça que je vais constamment dire KAV c'est le meilleur
(comme le pratique beaucoup d'entre vous ici même)

Effectivement point de vue détection KAV n'est pas le meilleur. C'est
AVK. ;-)

alors que d'autres AV
comme NOD32 sont bien meilleurs dans le contexte de réseaux/systèmes
interconnectés en permanence.

Ben je veux bien mais quel rapport avec le taux de détection?

Indiquez-moi un test fiable et récent démontrant la supériorité en
détection de NOD32 toutes catégories confondues.

Frederic Bonroy wrote:

LaDDL wrote:

NOD32 un AV sans signature ?! Vous délirez. lol
C'est un AV qui combine analyse heuristique/spectrale.

Je dirais que l'analyse spectrale fait partie de l'analyse heuristique. :-)
Je ne comprends pas ton ironie Fréd.

On a parlé de cette fameuse analyse spectrale ici il y a quelque temps.
Quel thread ?

Si on la définit comme une sorte d'analyse statistique alors sans doute
ses résultats sont inclus dans le raisonnement heuristique.
Une analyse heuristique peut indiquer l'absence de virus tandis que les

paramètres issus de l'analyse spectrale peuvent permettre d'émettre un
avertissement.

Les trojans et autres backdoors rares ne sont pas détectés par la
majorité des AV. Si tu savais le nombre de trojans et autres malwares
qui existent et non encore détecté.

C'est clair mais au niveau de la détection des chevaux de Troie connus
les différences sont encore et toujours claires et nettes.
On est d'accord mais l'intérêt d'un AV pour détecter les trojans est

moins évident que pour les virus. cf le principe de fonctionnement des
trojans basiques/connus/en circulation. Pour lutter contre les trojans,
l'utilisateur (lambda) sous Win a besoin d'un FW et/ou moniteur de
processus/services + moniteur de réseau + contrôleur de BDR.

LaDDL wrote:

Je dirais que l'analyse spectrale fait partie de l'analyse heuristique. :-)
Je ne comprends pas ton ironie Fréd.

Je ne vois pas en quoi cette reponse est ironique. Mieux, elle est
correcte.

On a parlé de cette fameuse analyse spectrale ici il y a quelque temps.
Quel thread ?

C'etait un thread qui parlait du futur moteur heuristique d'Antivir,
avlexa ou adema, il me semble.

Si on la définit comme une sorte d'analyse statistique alors sans doute
ses résultats sont inclus dans le raisonnement heuristique.
Une analyse heuristique peut indiquer l'absence de virus tandis que les

paramètres issus de l'analyse spectrale peuvent permettre d'émettre un
avertissement.

Ah. Vous pourriez donner une definition d'"analyse spectrale" ?
Ou plutot une explication sur le fonctionnement de la chose ?
Quoi qu'il en soit, je voudrais preciser deux choses :
- Historiquement, une des methodes heuristiques parmis les plus
repandues a consiste' a rechercher au sein d'executables des
sequences de codes frequemment trouvees dans les virus (pour
les virus DOS, une boucle de cryptage XOR ou une sequence de
sauts rapproches a proximite' du point d'entree, par exemple).
Meme si les AVs actuels se placent a un niveau d'abstraction
superieur (e.g. utilisation de la liste des fonctions importees),
ce qui est vraissemblablement le cas, le principe de la methode
n'est pas fondamentalement different.

- Dans une interview recente
( http://www.securitypipeline.com/network/18900335 ), Anton
Zajac a affirme' que NOD32 combinait ce type d'heuristique avec
un systeme similaire a la "sandbox" de Norman, je recopie le
passage concerne' in-extenso :
-------------------
We have basically two general methods of heuristic technology. The first
one is active, and the second is passive. The passive algorithm is based
on analysis of the instructions in a particular file or in a particular
piece of code. An expert system performs analysis of certain
characteristic sequences of the code instructions. If the instructions
have a virus- or worm-like nature, an alert is triggered. The second is
even more sophisticated. It's based on virtual PC technology. We throw a
file into a confined section of the memory where the entire computer is
simulated with all its devices, memory, drivers, etc. Then we let the
file--which arrives through e-mail--run in this confined, virtual PC
environment. In this confined environment, our system can make a very
good, educated guess regarding the malicious nature of a file.
-------------------

Il faut par ailleurs bien comprendre que ces deux techniques
sont indissociables (ou plutot, la seconde ne peut se passer de
la premiere, mais la premiere peut tres bien etre utilisee seule) :
l'AV ne peut se permettre d'emuler tous les executables qu'il
analyse, ou de les emuler "longtemps". Il doit donc determiner
si ca "vaut le coup" de faire tourner un executable dans la
"Sandbox". Le role essentiel de celle-ci etant vraissembleblement
de faire le tri entre les "faux positifs" produits par la premiere
phase et les vrais malwares.

Si vous avez d'autres indications sur le fonctionnement de NOD,
je suis preneur. Je suis aussi preneur de toute information
permettant de qualifier objectivement le scanner de NOD de "bijou",
ou de confirmer les "85%" de taux de detection de virus inconnus
avances par Eset (Andreas Marx les creditait recemment d'un peu
plus de 50% avec des signatures vieilles de 3 mois, contre 70%
pour McAffee et 65% pour AVG :
http://www.pcworld.com/reviews/article/0,aid,115939,pg,4,00.asp ).

Ah...et je ne vois pas ce que vous voulez dire quand vous parlez
d'"emettre un avertissement".

On est d'accord mais l'intérêt d'un AV pour détecter les trojans est
moins évident que pour les virus. cf le principe de fonctionnement des
trojans basiques/connus/en circulation.

Bof. Vu l'evolution recente des virus/vers, je ne comprends pas
pourquoi on continue a distinguer ainsi les codes malicieux
auto-reprodctibles de ceux qui ne se reproduisent pas. Il me
semble que la distinction entre "infecte un hote"/s'execute
independemment etait plus significative. Seulement, les
statistiques postees recemment par Frederic Bonroy le
confirment : cibler les trojans demande considerablement
plus de moyens de la part d'un AV que ne cibler que les
virus/vers. C'est sans doute l'unique explication aux "choix
strategiques" de certains editeurs d'AVs.

Pour lutter contre les trojans,
l'utilisateur (lambda) sous Win a besoin d'un FW et/ou moniteur de
processus/services + moniteur de réseau + contrôleur de BDR.

Certes, mais il peut toutefois etre interessant de detecter un code
malveillant avant de l'executer, non ?

--
Tweakie


--
Posté via http://www.webatou.net/
Usenet dans votre navigateur !
Complaints-To: abuse@webatou.net

Salut,

Tweakie:

Quel thread ?

Google Groups est ton ami©

<URL:http://www.google.fr/advanced_group_search?num0&as_scoring=d>

C'etait un thread qui parlait du futur moteur heuristique
d'Antivir, avlexa ou adema, il me semble.

Antivir LEXA:
<URL:http://google.fr/groups?threadm 040209000711.J31772@areba.vasb>

Il me semble que la distinction entre "infecte un hote"
/s'execute independemment etait plus significative.

Pas sûr, regarde comment les netsky p et q infectent en plus des
fichiers.

--
joke0