scan en ligne anti-spyware

serge piasek <admin@checkflow.com> writes:

voilà un petit site comme on les aime:

personellement, j'ai tout effacé manu militari et n'ai eu aucun problème a
déplorer. :bigglasses:

Et tu as fait exprès de prendre une adresse mail correspondant
au nom de la boîte qui fait produit ce soft ?

C'est peut-être un bon produit mais ce genre de pratiques le discrédite.

FM

serge piasek wrote:

il est possible de scanner gratuitement votre pc !!!

Ah? Sur le site, il demande d'abord de payer pour scanner.

donnez votre avis après avoir essayé et n'hezitez pas a le plebiciter....

Il y a aussi AdAware en version (totalement) gratuite
http://www.lavasoftusa.com/french/support/download/

Le Sun, 04 Apr 2004 09:15:27 +0000, serge piasek a écrit :

voilà un petit site comme on les aime:
http://www.checkspy.com/fr/index.htm

Un petit site comme _vous_ les aimez, vu que c'est celui de la
société dont vous êtes le PDG (en tout cas, c'est comme cela que la
presse vous présente)...

Ceci dit, je ne remets pas en cause l'utilité que pourrait avoir un tel
outil (dans la mesure où il serait efficace) pour les internautes non
équipés de logiciels comme AdAware[1] ou SpyBot[2] qui pourraient faire
là un scan rapide.

[blablabla pub grossière blablabla]

on vous conseille bien entendu de ne pas effacer manuellement les divers
resultats obtenus pour vous vendre une version payante d'un logiciel de
corrections automatique...

Évidemment.
Moi, je vous conseille de télécharger et d'installer un des deux outils
précédemment cités qui sont eux gratuits et manifestement efficaces,
selon les retours des utilisateurs (qu'on peut d'ailleurs lire dans les
archives du groupe).

ps: il faudra pourtant désactiver votre firewall avant de pouvoir
acceder au petit bijoux :serviteur:

C'est un point intéressant ça.
L'utilisateur a son firewall personnel configuré pour le laisser surfer.
Il peut donc accéder à votre site. Pourquoi devrait-il désactiver son
firewall, dans la mesure où l'ActiveX est téléchargée par le
navigateur en HTTP, chose déjà autorisée, et qu'elle ne devrait
à priori plus communiquer ensuite autrement que par ce biais. Il y a un
truc qui me gêne là. Une explication _technique_ ?

donnez votre avis après avoir essayé et n'hezitez pas a le plebiciter....

Ah ben je viens juste de le tester sur PC qui sert à surfer pour des
utilisateurs lambda, et je vais vous donner mon avis.

CheckSpy me trouve 92 saloperies sur mon disque. Maintenant si je
regarde de plus près, qu'est-ce que je trouve. Premier spyware, le
numéro d'ID du MediaPlayer. Waoh. Je suis sur le cul là. Merci. Ensuite,
91 cookies. Oui oui, vous avez bien lu, 91. Et en les regardant de plus
près, je trouve effectivement des cookies de pub, classique, mais aussi
des choses comme Allocine, NetStumbler, Google ou encore Yahoo. Bref, que
d'horribles méchantes bestioles.
Par curiosité, je lance AdAware pour comparer. Ce dernier me trouve 39
objets, dont 7 clé de registre associées à deux spywares connus, un
répertoire avec ses 6 fichiers dedans pour l'installation de l'un des
deux. Et évidemment 25 cookies qui euh me semble franchement plus
pertinent en terme de recherche de spyware. Et lui au moins, il me les
nettoie. Donc en gros, il me trouve un vrai spyware installer que
l'ActiveX n'a pas trouvé...
Je crois que je n'ai pas besoin de commenter.

Maintenant, je vous ai livré mon expérience*, chacun peut le tester pour
se faire une idée. Perso, je suis loin de le plébisciter, et encore
moins la pub éhontée que vous nous livrez ici.

Évidemment, cet avis et ce test ne peuvent remettre en cause le produit
CheckFlow que je n'ai évidemment pas testé.


Sinon, dans les trucs rigolo, y'a le compteur qui augmente qui fait bien
kitch, surtout quand on voit que c'est ce qui prend le plus de temps dans
le process de scan, la pub pour le produit payant associé et le "Toute la
presse en parle", avec les logos de ZDNet, 01net et VNUnet.fr sans aucun
lien vers les articles. Dans la mesure où ces articles existent, c'est un
peu dommage de ne pas les linker.


* j'espère que je ne vais pas me faire traiter de terroriste et
finir au tribunal pour contrefaçon et recel de contrefaçon après ce
test rapide que tout le monde peut faire en 10 minutes...


[1] http://www.lavasoftusa.com/software/adaware/
[2] http://www.safer-networking.org/index.php?page=download

--
BOFH excuse #374:

It's the InterNIC's fault.

voilà un petit site comme on les aime:
http://www.checkspy.com/fr/index.htm

Un petit site comme _vous_ les aimez, vu que c'est celui de la
société dont vous êtes le PDG (en tout cas, c'est comme cela que la
presse vous présente)...

Ceci dit, je ne remets pas en cause l'utilité que pourrait avoir un tel
outil (dans la mesure où il serait efficace) pour les internautes non
équipés de logiciels comme AdAware[1] ou SpyBot[2] qui pourraient faire
là un scan rapide.

[blablabla pub grossière blablabla]

(...)

* j'espère que je ne vais pas me faire traiter de terroriste et
finir au tribunal pour contrefaçon et recel de contrefaçon après ce
test rapide que tout le monde peut faire en 10 minutes...

Quoique:
http://www.checkflow.com/images/telechargement/communique_presse/constat_huiissier_040109C.pdf

Ou comment on s'auto-légitime....

Roland Garcia

On Sun, 04 Apr 2004 10:36:07 +0000, Cedric Blancher wrote:

ps: il faudra pourtant désactiver votre firewall avant de pouvoir
acceder au petit bijoux :serviteur:

C'est un point intéressant ça.
L'utilisateur a son firewall personnel configuré pour le laisser
surfer. Il peut donc accéder à votre site. Pourquoi devrait-il
désactiver son firewall, dans la mesure où l'ActiveX est
téléchargée par le navigateur en HTTP, chose déjà autorisée, et
qu'elle ne devrait à priori plus communiquer ensuite autrement que par
ce biais. Il y a un truc qui me gêne là. Une explication _technique_ ?

J'ai jeté un oeil au programme (je ne l'ai pas lancé, donc j'ai
peut-être tout faux !) et j'ai peut-être une explication.

En fait, on télécharge un ".cab" qui contient FlowScan.inf (un fichier
de conf) et FlowScan.ocx (l'ActiveX). Cet ActiveX appelle des fonctions
relatives au téléchargement de fichiers depuis l'Internet (d'où la
nécessaire désactivation du pare-feu ?) :

InternetReadFile
HttpQueryInfoA
InternetOpenUrlA
InternetOpenA

On trouve entre autres cette URL dans l'ActiveX :

http://www.checkspy.com/kbase.xml

Si on télécharge le fichier, on constate que c'est en fait un fichier
ZIP protégé par mot de passe, le mot de passe étant bien évidemment
embarqué dans l'ActiveX ("xzdiablo700"). Donc, on peut extraire le
fichier XML, qui contient les infos sur les 101 spywares connus par le
logiciel. Une copie est ici :

http://nicob.net/mirrors/kbase

J'aurais bien voulu comparer, mais je ne sais pas combien Ad-aware et S&D
détectent de spywares ...

Donc, pour conclure, il faut désactiver le firewall personnel pour
permettre à l'ActiveX de télécharger sa base de connaissance, base
pseudo-protégé par un ZIP à mot de passe.

Sans vouloir plagier Cédric : "j'espère que je ne vais pas me faire
traiter de terroriste et finir au tribunal pour contrefaçon et recel de
contrefaçon après ce test rapide que tout le monde peut faire en 10
minutes..."


Nicob

Le Sun, 04 Apr 2004 11:50:47 +0000, Roland Garcia a écrit :

* j'espère que je ne vais pas me faire traiter de terroriste et
finir au tribunal pour contrefaçon et recel de contrefaçon après ce
test rapide que tout le monde peut faire en 10 minutes...
Quoique:

http://www.checkflow.com/images/telechargement/communique_presse/constat_huiissier_040109C.pdf

Mouais. Mais ça ne vaut pas une certification. Ça ne fait que prouver
que, dans une situation donnée qui reste cependant assez floue, en
particulier au niveau de l'état initial du système installé sur le
laptop (qui semble être fourni par CheckFlow), le logiciel fait preuve
d'une certaine efficacité qui répond à ce qu'il est sensé faire. Il
est par exemple dommage qu'il n'ait pas été fait de comparaison avec un
autre produit (comme je l'ai fait pour CheckSpy) pour démontrer que le
logiciel n'avait rien oublié. La chose aurait aussi pu être faite dans
l'autre sens, à savoir scanner avec un autre outil, puis avec CheckFlow
pour démontrer une éventuelle supériorité du produit.

Ça me laisse un peu froid comme document, mais il a manifestement été
rédigé pour répondre à des articles de presse, donc dans un contexte
bien particulier et pour montrer quelque chose de bien particulier (i.e.
que ces articles avaient tort).

Dans le même genre, on a aussi :

http://www.checkflow.com/images/telechargement/communique_presse/constat_huissier_040109D.pdf

J'ai pas franchement compris ce ce constat est sensé prouver. En tout
cas, moi, quand je vais sur le site de la CNIL depuis mon LAN, c'est pas
l'IP de mon laptop qui s'affiche ;)


--
CF: à l'ECN, pour minimum 80% des gens linux=plantage.
SR: Vos machines, elles ont été installées par des administrateurs NT
ou quoi ?
-+- Serge in Guide du Linuxien pervers - "Bien configurer ses admins"

Roland Garcia wrote:

* j'espère que je ne vais pas me faire traiter de terroriste et
finir au tribunal pour contrefaçon et recel de contrefaçon après ce
test rapide que tout le monde peut faire en 10 minutes...

Maintenant simplement donner son avis, même motivé, est dangereux :-(
Va falloir ajouter un disclaimer à la signature maintenant, berk.
Dans un autre thread ici (B-Box) j'ai même ré-écris mon post en virant une
bonne partie de commentaires ascerbes.

Quoique:

http://www.checkflow.com/images/telechargement/communique_presse/constat_huiissier_040109C.pdf

Ou comment on s'auto-légitime....

Tu appelle ça s'auto-légitimer?
Même avec un "vrai" smiley (ici sous entendu) ça aurait été limite...

L'huissier a *constaté*, décrivant sur son PV les manips effectués devant
lui et les résultats associés.
Il est a noter que, même si c'est peu probable, rien ne prouve que le
logiciel "réel" ait été réellement présent, une simple maquette faisant
l'affaire.
En effet l'huisser n'a pas procédé à l'installation du logiciel et toutes
les manip ont étés faites sur la machine du requérant, par le requérant.

L'huissier à simplement fait son boulot (et encaissé la facture de sa
prestation j'imagine :) ) et décris ce qu'il a vu. Ca ne légitime (ni le
contraire d'ailleurs) en rien le produit.
Amha je trouve même que ce genre de pv fait plus mauvaise pub qu'autre
chose. Malheureusement les gens ne sachant pas généralement ce qu'est le
travail d'un huissier ça peut passer pour un témoignage positif :-(

Le test réalisé -et, mais je m'avance faute de temps, reproductible- par
Cédric est amplement suffisant en ce qui me concerne.

Eric


--
L'invulnérable :
Je ne pense pas etre piratable, infectable par un trojen oui!
Vu sur fcs un jour de mars 2004.

Le Sun, 04 Apr 2004 12:55:10 +0000, Nicob a écrit :

En fait, on télécharge un ".cab" qui contient FlowScan.inf (un fichier
de conf) et FlowScan.ocx (l'ActiveX). Cet ActiveX appelle des fonctions
relatives au téléchargement de fichiers depuis l'Internet (d'où la
nécessaire désactivation du pare-feu ?) :
InternetReadFile
HttpQueryInfoA
InternetOpenUrlA
InternetOpenA
On trouve entre autres cette URL dans l'ActiveX :
http://www.checkspy.com/kbase.xml

Oui mais(tm), dans la mesure où l'ActiveX s'exécute dans le contexte du
navigateur, c'est bien ce dernier qui effectue la requête de
téléchargement, non ? Et comme il va chercher une URL HTTP, je ne
vois pas ce qui pourrait le bloquer s'il est déjà autorisé pour surfer
sur le Web.
C'est d'ailleurs une technique parmis tant d'autre de passage de firewall
perso, n'est-ce pas Nicob ;)))

Donc, on peut extraire le fichier XML, qui contient les infos sur les
101 spywares connus par le logiciel.

Il n'y a pas celui qui était installé sur mon poste. Ceci explique donc
cela.

J'aurais bien voulu comparer, mais je ne sais pas combien Ad-aware et
S&D détectent de spywares ...

SpyBot est annoncé à plus de 600 (number of targets dans le tableau) :

http://www.safer-networking.org/index.php?page=paragraphs&detailþatures

Le dernier fichier de signature de AdAware (01R279 31.03.2004) annonce
22327 signatures. Ce chiffre énorme s'explique amha par la
différenciation des cookies.

Donc le verdict quant à l'efficacité de CheckSpy me semble clairement
établi par les faits en ce qui me concerne.


--
AB> Comment cela peut-il se débloquer ?
AT> Fuca.
Excusez-moi, je n'ai pas compris. Merci de répondre plus clairement.
-+- AB in Guide du Neuneu Usenet - Il est con c'type, hé ! -+-

Dans l'OCX, on trouve aussi une référence à cette url, manifestement en
cours de construction :

http://www.checkflow.net/spywarelist/base_connaissance/

--

t'as raison, utilise apache sous windows , ca resolvera tout tes
problemes.
lis le dictionnaire : resoudra...

<TP>Et le resolver, b#rd#l de m#rd#, le resolver !</TP>

-+- TB in GFA : "Je vais resolver les fautes d'orthographe..." -+-

On Sun, 04 Apr 2004 13:38:06 +0000, Cedric Blancher wrote:

Oui mais(tm), dans la mesure où l'ActiveX s'exécute dans le contexte
du navigateur, c'est bien ce dernier qui effectue la requête de
téléchargement, non ? Et comme il va chercher une URL HTTP, je ne vois
pas ce qui pourrait le bloquer s'il est déjà autorisé pour surfer sur
le Web.

Tu crois que je sais comment ça marche, cette m*rde d'ActiveX ? :)

Btw, j'ai fait un scan CheckSpy sur une machine de test (le PC de ma
femme) avec un sniffer en amont, mais aucun trafic suspect (juste le
download du fichier XML).

C'est d'ailleurs une technique parmis tant d'autre de passage de
firewall perso, n'est-ce pas Nicob ;)))

(Avec la voix de Roselyne Bachelot) : Aaah booooon ?

;-)

SpyBot est annoncé à plus de 600 (number of targets dans le tableau) :

Si je lance un scan SpyBot avec les sigs du jour, la barre de défilement
va de 0 à 12481 mouchards.


Nicob