Kapucen-B / Puce / ECup : meme Kaspersky est a la traine sur celui-la...
24 réponses
Stephane Faure
Bonjour,
Moi qui ne m'étais jamais fait avoir par le moindre virus, voilà qui est
fait ! Et pour cause : AVG ne détecte pas ce Kapucen-B, alias Puce,
alias ECup. Mais il est loin, très loin d'être le seul ! Même Kaspersky,
TrendMicro ou encore Norton n'y ont vu que du feu, du moins dans leur
version en ligne :
http://www.virustotal.com/vt/en/resultadof?
436423cd57439e92708505da32cfdda7
Pour TrendMicro, j'ai testé sur leur site et aussi en m'envoyant le
fichier par Hotmail. Pour Norton, sur leur site également mais aussi
avec une version 2004 installée sur un poste.
Ce qui m'a mis sur la piste, c'est que je ne parvenais plus à supprimer
les dossiers programme d'eMule : ils étaient utilisés par un faux
svchost.exe qui se trouvait dans mon répertoire temporaire (merci à
Process Explorer !). L'autre ennui qu'il me causait n'était pas bien
méchant : j'avais 1 ou 2 messages d'erreur me signalant qu'il n'y avait
pas de CD dans mon lecteur.
Les seuls à le détecter d'après VirusTotal.com sont : Antivir, Avast,
BitDefender, NOD32v2, Panda et "Microsoft" (?). Bref, dans l'ensemble,
plutôt des antivirus pour particuliers. Serait-ce parce que le virus ne
se propage que par p2p qu'il est à ce point ignoré des grands noms ? Ou
parce qu'il ne fait pas grand mal ? Pourtant il date quand même de
juillet 2006 : <http://www.avast.com/fre/win32-kapucen-b.html>.
Pour ceux qui veulent tester, je le mets en ligne sur mon site :
<http://mysterion.free.fr/Virus_Win32.Kapucen-B.zip>.
Mot de passe : abc
On Thu, 21 Dec 2006 09:26:30 +0100, "Stephane Faure" wrote:
<X> a écrit dans le message de news:
Quand on souhaite le répandre...Ce n'est l'affaire que de quelques secondes. J'imagine qu'un virus pourrait parfaitement à peine installé sur un système contaminé en quelques secondes se dupliquer ET à cette occasion pour déjouer les scanners de pas mal d'av, s'autoprotéger - ou s'autocrypter si vs voulez par mot de passe, un peu comme ces archives autoextractibles de winrar, lui ou une partie de son code .
Mais pour s'exécuter, il faut bien qu'à un moment il se décrypte, non ? Et donc devienne détectable par n'importe quel antivirus.
Beaucoup d'hypothèses sont imaginables (sinon nous n'en serions pas à
discuter de ces bestioles :))
L'une d'entre elles est que la méthode de décryptage ou de 'mise à nu' soit telle qu'elle passe pour un processus banal, peut-être même repéré par l'av mais que l'utilisateur final lassé de tous ces messages d'avertissement sybillins laissera s'exécuter.
J'ai indiqué des pistes, il y en a de nombreuses autres, dont une ou plusieurs permettant à un virus crypté de s'autodécrypter à la faveur de telle ou telle occasion où la plupart des avs ont le moins de chances de le détecter.Il y a aussi le cas du virus non détecté crypté ou pas et qui n'utilise le cryptage que comme manière supplémentaire d'échapper au scan par défaut de par son statut d'archive protégée par mot de passe - moins suspect donc qu'un exécutable, qu'un .doc ou que sais-je encore
Je vous laisse y songer,
Cdlt
On Thu, 21 Dec 2006 09:26:30 +0100, "Stephane Faure"
<mysterion@alussinan.org> wrote:
<X> a écrit dans le message de news:
s7gjo2lqq2ubrj7v3anjgd9ptejshtsh36@4ax.com...
Quand on souhaite le répandre...Ce n'est l'affaire que de quelques
secondes. J'imagine qu'un virus pourrait parfaitement à peine installé
sur un système contaminé en quelques secondes se dupliquer ET à cette
occasion pour déjouer les scanners de pas mal d'av, s'autoprotéger -
ou s'autocrypter si vs voulez par mot de passe, un peu comme ces
archives autoextractibles de winrar, lui ou une partie de son code .
Mais pour s'exécuter, il faut bien qu'à un moment il se décrypte, non ? Et
donc devienne détectable par n'importe quel antivirus.
Beaucoup d'hypothèses sont imaginables (sinon nous n'en serions pas à
discuter de ces bestioles :))
L'une d'entre elles est que la méthode de décryptage ou de 'mise à nu'
soit telle qu'elle passe pour un processus banal, peut-être même
repéré par l'av mais que l'utilisateur final lassé de tous ces
messages d'avertissement sybillins laissera s'exécuter.
J'ai indiqué des pistes, il y en a de nombreuses autres, dont une ou
plusieurs permettant à un virus crypté de s'autodécrypter à la faveur
de telle ou telle occasion où la plupart des avs ont le moins de
chances de le détecter.Il y a aussi le cas du virus non détecté crypté
ou pas et qui n'utilise le cryptage que comme manière supplémentaire
d'échapper au scan par défaut de par son statut d'archive protégée par
mot de passe - moins suspect donc qu'un exécutable, qu'un .doc ou que
sais-je encore
On Thu, 21 Dec 2006 09:26:30 +0100, "Stephane Faure" wrote:
<X> a écrit dans le message de news:
Quand on souhaite le répandre...Ce n'est l'affaire que de quelques secondes. J'imagine qu'un virus pourrait parfaitement à peine installé sur un système contaminé en quelques secondes se dupliquer ET à cette occasion pour déjouer les scanners de pas mal d'av, s'autoprotéger - ou s'autocrypter si vs voulez par mot de passe, un peu comme ces archives autoextractibles de winrar, lui ou une partie de son code .
Mais pour s'exécuter, il faut bien qu'à un moment il se décrypte, non ? Et donc devienne détectable par n'importe quel antivirus.
Beaucoup d'hypothèses sont imaginables (sinon nous n'en serions pas à
discuter de ces bestioles :))
L'une d'entre elles est que la méthode de décryptage ou de 'mise à nu' soit telle qu'elle passe pour un processus banal, peut-être même repéré par l'av mais que l'utilisateur final lassé de tous ces messages d'avertissement sybillins laissera s'exécuter.
J'ai indiqué des pistes, il y en a de nombreuses autres, dont une ou plusieurs permettant à un virus crypté de s'autodécrypter à la faveur de telle ou telle occasion où la plupart des avs ont le moins de chances de le détecter.Il y a aussi le cas du virus non détecté crypté ou pas et qui n'utilise le cryptage que comme manière supplémentaire d'échapper au scan par défaut de par son statut d'archive protégée par mot de passe - moins suspect donc qu'un exécutable, qu'un .doc ou que sais-je encore
Je vous laisse y songer,
Cdlt
Stephane Faure
Frederic Bonroy, in <458a677a$0$31060$ :
Vous croyez que les spécialistes dépendent de fcsv pour obtenir des virus?
Pour un spécialiste obtenant ce fichier, combien de rigolos incapables de manier un virus l'obtiendront aussi?
Les éditeurs ont tous une adresse email à laquelle on peut envoyer des fichiers non détectés.
Quand je parle de spécialistes, je ne pense pas aux éditeurs, mais aux lecteurs de ce forum qui s'intéressent de près à la question, et qui peuvent confirmer ou contredire les faits -surprenants je trouve- que j'expose. Je suis d'ailleurs un peu étonné qu'une seule personne m'ait répondu sur ce point.
Pour ce qui est de signaler directement le virus aux éditeurs, y'en a trop, et comme je n'utilise pas (ou plus, dans le cas d'AVG), leur logiciel, en plus du fait que je n'ai pas les moyens de tester réellement, leurs éventuelles lacunes ne me préoccupent que modérément.
Frederic Bonroy, in <458a677a$0$31060$426a74cc@news.free.fr> :
Vous croyez que les spécialistes dépendent de fcsv pour obtenir des virus?
Pour un spécialiste obtenant ce fichier, combien de rigolos incapables
de manier un virus l'obtiendront aussi?
Les éditeurs ont tous une adresse email à laquelle on peut envoyer des
fichiers non détectés.
Quand je parle de spécialistes, je ne pense pas aux éditeurs, mais aux
lecteurs de ce forum qui s'intéressent de près à la question, et qui
peuvent confirmer ou contredire les faits -surprenants je trouve- que
j'expose. Je suis d'ailleurs un peu étonné qu'une seule personne m'ait
répondu sur ce point.
Pour ce qui est de signaler directement le virus aux éditeurs, y'en a
trop, et comme je n'utilise pas (ou plus, dans le cas d'AVG), leur
logiciel, en plus du fait que je n'ai pas les moyens de tester
réellement, leurs éventuelles lacunes ne me préoccupent que modérément.
Vous croyez que les spécialistes dépendent de fcsv pour obtenir des virus?
Pour un spécialiste obtenant ce fichier, combien de rigolos incapables de manier un virus l'obtiendront aussi?
Les éditeurs ont tous une adresse email à laquelle on peut envoyer des fichiers non détectés.
Quand je parle de spécialistes, je ne pense pas aux éditeurs, mais aux lecteurs de ce forum qui s'intéressent de près à la question, et qui peuvent confirmer ou contredire les faits -surprenants je trouve- que j'expose. Je suis d'ailleurs un peu étonné qu'une seule personne m'ait répondu sur ce point.
Pour ce qui est de signaler directement le virus aux éditeurs, y'en a trop, et comme je n'utilise pas (ou plus, dans le cas d'AVG), leur logiciel, en plus du fait que je n'ai pas les moyens de tester réellement, leurs éventuelles lacunes ne me préoccupent que modérément.
Stephane Faure
Frederic Bonroy, in <458a7086$0$22969$ :
En ce qui me concerne, je cherche toujours le fameux motif légitime. Ce n'est, il est vrai, pas à moi de le déterminer, mais pas à M. Faure non plus. S'il veut, en théorie, aller en débattre avec un juge, je lui souhaite le plus grand des plaisirs...
J'en serais fort aise ! Mais à mon avis, les préoccupations des juges sont à des lieues de la vôtre.
Frederic Bonroy, in <458a7086$0$22969$426a74cc@news.free.fr> :
En ce qui me concerne, je cherche toujours le fameux motif légitime. Ce
n'est, il est vrai, pas à moi de le déterminer, mais pas à M. Faure non
plus. S'il veut, en théorie, aller en débattre avec un juge, je lui
souhaite le plus grand des plaisirs...
J'en serais fort aise ! Mais à mon avis, les préoccupations des juges
sont à des lieues de la vôtre.
En ce qui me concerne, je cherche toujours le fameux motif légitime. Ce n'est, il est vrai, pas à moi de le déterminer, mais pas à M. Faure non plus. S'il veut, en théorie, aller en débattre avec un juge, je lui souhaite le plus grand des plaisirs...
J'en serais fort aise ! Mais à mon avis, les préoccupations des juges sont à des lieues de la vôtre.
Frederic Bonroy
J'en serais fort aise ! Mais à mon avis, les préoccupations des juges sont à des lieues de la vôtre.
C'est sûr qu'ils ont mieux à faire, d'ailleurs les spécialistes ont mieux à faire que d'attendre ici que vous leur transmettiez des virus.
J'en serais fort aise ! Mais à mon avis, les préoccupations des juges
sont à des lieues de la vôtre.
C'est sûr qu'ils ont mieux à faire, d'ailleurs les spécialistes ont
mieux à faire que d'attendre ici que vous leur transmettiez des virus.
