Je viens de formater mon disque dur et d'y installer tout Norton comme ça
m'est arrivé plusieurs fois dans ma vie. Le problème c'est que dès que je
lance l'Antivirus, liveupdate ou n'importe quoi d'autre, la fenetre reste 2
secondes et s'en va. Après une recherche sur internet, il parait qu'un virus
en est la cause. J'ai suivi la procédure pour l'enlever mais d'après le
programme, je n'avais pas ce virus.
Finalement, je ne sais toujours pas ce que j'ai comme problème. Si quelqu'un
sait, merci d'avance..
Imaginons un exécutable PE packé standard. Il faut bien qu'à un moment donné, le PE se retrouve en mémoire en clair.
Oui.
On pourrait imaginer que NAV n'est pas capable de détecter un packer, mais il est capable de repérer qu'il y une routine de décompactage et d'en repérer l'effet: l'écriture en clair du PE en mémoire.
Non - pour ce faire il devrait émuler la routine de décompactage en entier, et pour des raisons de vitesse il ne va pas le faire. Je ne vois pas d'autre solution. Je ne pense pas qu'il y ait un évènement *interceptable* (car c'est là le problème) qui signale au moniteur que le décompactage est terminé. Si tel était le cas alors il serait extrêmement facile de "cracker" de telles routines, or justement beaucoup de compacteurs veulent éviter cela. Lis l'article de Nicolas Brulez au sujet d'ASProtect (je crois), tu verras que c'est assez compliqué.
Sinon, s'il sait qu'il y a une routine de décompactage alors autant le doter d'une routine de décompactage tout de suite au lieu de laisser faire le programme.
joke0 wrote:
Imaginons un exécutable PE packé standard. Il faut bien qu'à un
moment donné, le PE se retrouve en mémoire en clair.
Oui.
On pourrait
imaginer que NAV n'est pas capable de détecter un packer, mais
il est capable de repérer qu'il y une routine de décompactage et
d'en repérer l'effet: l'écriture en clair du PE en mémoire.
Non - pour ce faire il devrait émuler la routine de décompactage en
entier, et pour des raisons de vitesse il ne va pas le faire. Je ne
vois pas d'autre solution.
Je ne pense pas qu'il y ait un évènement *interceptable* (car c'est là
le problème) qui signale au moniteur que le décompactage est terminé. Si
tel était le cas alors il serait extrêmement facile de "cracker" de
telles routines, or justement beaucoup de compacteurs veulent éviter
cela. Lis l'article de Nicolas Brulez au sujet d'ASProtect (je crois),
tu verras que c'est assez compliqué.
Sinon, s'il sait qu'il y a une routine de décompactage alors autant
le doter d'une routine de décompactage tout de suite au lieu de laisser
faire le programme.
Imaginons un exécutable PE packé standard. Il faut bien qu'à un moment donné, le PE se retrouve en mémoire en clair.
Oui.
On pourrait imaginer que NAV n'est pas capable de détecter un packer, mais il est capable de repérer qu'il y une routine de décompactage et d'en repérer l'effet: l'écriture en clair du PE en mémoire.
Non - pour ce faire il devrait émuler la routine de décompactage en entier, et pour des raisons de vitesse il ne va pas le faire. Je ne vois pas d'autre solution. Je ne pense pas qu'il y ait un évènement *interceptable* (car c'est là le problème) qui signale au moniteur que le décompactage est terminé. Si tel était le cas alors il serait extrêmement facile de "cracker" de telles routines, or justement beaucoup de compacteurs veulent éviter cela. Lis l'article de Nicolas Brulez au sujet d'ASProtect (je crois), tu verras que c'est assez compliqué.
Sinon, s'il sait qu'il y a une routine de décompactage alors autant le doter d'une routine de décompactage tout de suite au lieu de laisser faire le programme.
armand
joke0 wrote:
Salut,
PUCCETTI Armand:
C'est un ver qui utilise (entre autre) la vulnérabilité RPC. Il faut donc que tu patches ton windows d'urgence.
OK, pourtant cette faille m'avait semblee etre corrigee par le patch de Blaster...
Il se propage aussi par les partages réseaux mal protégé, en utilisant la vulnérabilté WebDav et on peut aussi se le récupérer en acceptant des fichiers sur IRC.
Norton est incapable de prendre en charge la plupart des compacteurs d'exécutables.
c'est donc errone qu'ils le mentionnent dans leur liste de virus
Symantec considére que c'est un nouveau ver. Enfin pour l'instant il ne considère rien vu qu'il ne l'ont probablement pas encore ajouté à leurs bases de signature.
il est present dans la liste ds virus connus par NAV2003. Ceci,apres mis a jour la liste des virus.
Je ne vois pas le rapport avec le vol de clefs de jeux??
Ca fait partie de son comportement dixit Symantec:
Ce n'est pas la description de ton ver. Le tien ressemble plutôt à ça (en espagnol): http://www.americatelnet.com.pe/servicios/antivirus/detalle_virus.php?I"8 la, j'ai du mala lire... ;-)
Peut etre en anglais?
mais la taille n'est pas la bonne: 230449 octets pour le tien.
joke0 wrote:
Salut,
PUCCETTI Armand:
C'est un ver qui utilise (entre autre) la vulnérabilité RPC.
Il faut donc que tu patches ton windows d'urgence.
OK, pourtant cette faille m'avait semblee etre corrigee par le
patch de Blaster...
Il se propage aussi par les partages réseaux mal protégé, en
utilisant la vulnérabilté WebDav et on peut aussi se le
récupérer en acceptant des fichiers sur IRC.
Norton est incapable de prendre en charge la plupart des
compacteurs d'exécutables.
c'est donc errone qu'ils le mentionnent dans leur liste de
virus
Symantec considére que c'est un nouveau ver. Enfin pour
l'instant il ne considère rien vu qu'il ne l'ont probablement
pas encore ajouté à leurs bases de signature.
il est present dans la liste ds virus connus par NAV2003. Ceci,apres
mis a jour la liste des virus.
Je ne vois pas le rapport avec le vol de clefs de jeux??
Ca fait partie de son comportement dixit Symantec:
Ce n'est pas la description de ton ver. Le tien ressemble plutôt
à ça (en espagnol):
http://www.americatelnet.com.pe/servicios/antivirus/detalle_virus.php?I"8
la, j'ai du mala lire... ;-)
Peut etre en anglais?
mais la taille n'est pas la bonne: 230449 octets pour le tien.
C'est un ver qui utilise (entre autre) la vulnérabilité RPC. Il faut donc que tu patches ton windows d'urgence.
OK, pourtant cette faille m'avait semblee etre corrigee par le patch de Blaster...
Il se propage aussi par les partages réseaux mal protégé, en utilisant la vulnérabilté WebDav et on peut aussi se le récupérer en acceptant des fichiers sur IRC.
Norton est incapable de prendre en charge la plupart des compacteurs d'exécutables.
c'est donc errone qu'ils le mentionnent dans leur liste de virus
Symantec considére que c'est un nouveau ver. Enfin pour l'instant il ne considère rien vu qu'il ne l'ont probablement pas encore ajouté à leurs bases de signature.
il est present dans la liste ds virus connus par NAV2003. Ceci,apres mis a jour la liste des virus.
Je ne vois pas le rapport avec le vol de clefs de jeux??
Ca fait partie de son comportement dixit Symantec:
Ce n'est pas la description de ton ver. Le tien ressemble plutôt à ça (en espagnol): http://www.americatelnet.com.pe/servicios/antivirus/detalle_virus.php?I"8 la, j'ai du mala lire... ;-)
Peut etre en anglais?
mais la taille n'est pas la bonne: 230449 octets pour le tien.
