Nous avons un antivirus sur notre serveur, un autre sur nos stations (deux
protections valent mieux qu'une...). Suite aux suggestion d'Arnold McDonald,
nous avons fait le test suivant :
Téléchargement du virus de test eicar.com
(http://www.eicar.org/anti_virus_test_file.htm) après avoir annulé la
protection automatique (sinon impossible de le copier...).
Etape 1:
copie sur le serveur (samba, protégé). Copie refusée.
Etape 2:
changement du nom de eicar.com en eitest.com (la taille est toujours de 68
octets). L'AV de la station refuse l'exécution. L'AV du serveur accepte la
copie et l'exécution. Il suffit donc de changer le nom du fichier de virus
pour que la protection ne fonctionne plus...
Etape 3:
Renommage du fichier en eicar.com et changement du texte
EICAR-STANDARD-ANTIVIRUS-TEST-FILE en EICAR-STANDING-ANTIVIRUS-TEST-FILE
(merci AMcD) sans changer la taille du fichier (68 octets).
Les deux anti-virus acceptent la copie et l'exécution.
Est-ce grave docteur ???? Et surtout, sommes-nous bien protégés ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Laurent Wacrenier
Pierre Tranié écrit:
Etape 3: Renommage du fichier en eicar.com et changement du texte EICAR-STANDARD-ANTIVIRUS-TEST-FILE en EICAR-STANDING-ANTIVIRUS-TEST-FILE (merci AMcD) sans changer la taille du fichier (68 octets). Les deux anti-virus acceptent la copie et l'exécution.
Est-ce grave docteur ???? Et surtout, sommes-nous bien protégés ?
C'est une variante d'un virus statique de test et n'est donc pas reconnu, ça n'a pas beaucoup d'interêt.
Pierre Tranié <pierre.n-o-s-p-a-m.tranie@speakerbussansspam.fr> écrit:
Etape 3:
Renommage du fichier en eicar.com et changement du texte
EICAR-STANDARD-ANTIVIRUS-TEST-FILE en EICAR-STANDING-ANTIVIRUS-TEST-FILE
(merci AMcD) sans changer la taille du fichier (68 octets).
Les deux anti-virus acceptent la copie et l'exécution.
Est-ce grave docteur ???? Et surtout, sommes-nous bien protégés ?
C'est une variante d'un virus statique de test et n'est donc pas
reconnu, ça n'a pas beaucoup d'interêt.
Etape 3: Renommage du fichier en eicar.com et changement du texte EICAR-STANDARD-ANTIVIRUS-TEST-FILE en EICAR-STANDING-ANTIVIRUS-TEST-FILE (merci AMcD) sans changer la taille du fichier (68 octets). Les deux anti-virus acceptent la copie et l'exécution.
Est-ce grave docteur ???? Et surtout, sommes-nous bien protégés ?
C'est une variante d'un virus statique de test et n'est donc pas reconnu, ça n'a pas beaucoup d'interêt.
Pierre Tranié
Bonjour,
"Laurent Wacrenier" <lwa@ teaser . fr> a écrit dans le message de news:
Pierre Tranié écrit:
Etape 3: Renommage du fichier en eicar.com et changement du texte EICAR-STANDARD-ANTIVIRUS-TEST-FILE en EICAR-STANDING-ANTIVIRUS-TEST-FILE (merci AMcD) sans changer la taille du fichier (68 octets). Les deux anti-virus acceptent la copie et l'exécution.
Est-ce grave docteur ???? Et surtout, sommes-nous bien protégés ?
C'est une variante d'un virus statique de test et n'est donc pas reconnu, ça n'a pas beaucoup d'interêt.
Totalement d'accord, mais je préfère ne pas essayer avec un vrai virus.... Est-ce-que le fonctionnement serait très différent ?
Pierre
Bonjour,
"Laurent Wacrenier" <lwa@ teaser . fr> a écrit dans le message de
news:slrnc1ktsj.1jph.lwa@victor.teaser.fr...
Pierre Tranié <pierre.n-o-s-p-a-m.tranie@speakerbussansspam.fr> écrit:
Etape 3:
Renommage du fichier en eicar.com et changement du texte
EICAR-STANDARD-ANTIVIRUS-TEST-FILE en EICAR-STANDING-ANTIVIRUS-TEST-FILE
(merci AMcD) sans changer la taille du fichier (68 octets).
Les deux anti-virus acceptent la copie et l'exécution.
Est-ce grave docteur ???? Et surtout, sommes-nous bien protégés ?
C'est une variante d'un virus statique de test et n'est donc pas
reconnu, ça n'a pas beaucoup d'interêt.
Totalement d'accord, mais je préfère ne pas essayer avec un vrai virus....
Est-ce-que le fonctionnement serait très différent ?
"Laurent Wacrenier" <lwa@ teaser . fr> a écrit dans le message de news:
Pierre Tranié écrit:
Etape 3: Renommage du fichier en eicar.com et changement du texte EICAR-STANDARD-ANTIVIRUS-TEST-FILE en EICAR-STANDING-ANTIVIRUS-TEST-FILE (merci AMcD) sans changer la taille du fichier (68 octets). Les deux anti-virus acceptent la copie et l'exécution.
Est-ce grave docteur ???? Et surtout, sommes-nous bien protégés ?
C'est une variante d'un virus statique de test et n'est donc pas reconnu, ça n'a pas beaucoup d'interêt.
Totalement d'accord, mais je préfère ne pas essayer avec un vrai virus.... Est-ce-que le fonctionnement serait très différent ?
Pierre
AMcD
Laurent Wacrenier wrote:
Pierre Tranié écrit:
Etape 3: Renommage du fichier en eicar.com et changement du texte EICAR-STANDARD-ANTIVIRUS-TEST-FILE en EICAR-STANDING-ANTIVIRUS-TEST-FILE (merci AMcD) sans changer la taille du fichier (68 octets). Les deux anti-virus acceptent la copie et l'exécution.
Est-ce grave docteur ???? Et surtout, sommes-nous bien protégés ?
C'est une variante d'un virus statique de test et n'est donc pas reconnu, ça n'a pas beaucoup d'interêt.
Je m'immisce...
À l'époque de l'écriture de cet article, la motivation était simple : essayer, pour le fun, d'évaluer (au sens large) comment fonctionnent les AV sans les désassembler (restons simple). Pour cela, j'ai choisi EICAR. Les raisons étaient simples :
- Normalement reconnu par tous les AVs ; - fichier de test, donc, innofensif.
Toujours pour faire simple, disons que certaines personnes non rien compris (au moins deux intervenants ici, un fréquent et l'autre à temps partiel :o)), mais bon, peut-être ont-elles des soucis avec l'anglais ou avec le français (suffit de comprendre le titre...) ! et que d'autres, en général bossant dans des boîtes d'AV n'ont pa sappréciés certains résultats.
Pourtant, des choses intéressantes étaient montrées. Par exemple, qu'une simple altération de quelques caractères de EICAR faisaient que plus personne ou presque ne le reconnaissait. Certes, ce n'est plus EICAR, mais comme beaucoup de virus sont de simples altérations/modifications d'un code originel, je pensais que cela serait pris en compte. Ou alors, le fameux test EICAR consiste simplement en une lecture/évaluation d'une suite d'octets et je ne vois pas en quoi cela prouve (comme il est stipulé sur le site de l'eicar) que l'AV fonctionne. Le fun était de montrer que si l'AV "fonctionnait" il aurait du appliquer les principes des virus à EICAR. Oui, c'est tiré par les cheveux mais tel était le but but :o).
En tournant autrement ces reflexions, on pouvait se demander comment se comportaient les AV en face de virus réels légèrement altérés. Par exemple. Ce qui est surtout montré dans cet article c'est des comportements étranges ! Plus qu'étranges... On se dit qu'après tout, puisque les AVs ne cherchent qu'une chaîne de test, eh bien c'est normal dès qu'on magouille ce test qu'il ne soit plus reconnu. Eh bien non, et c'était là la partie marrante. Si on s'amusait à encrypter EICAR, certains AV réagissaient, montrant par là le genre de détail qui les fait réagir :o).
Bref, au cours des altérations, nous sommes arrivés (j'ai écris le truc seul, mais j'avais deux relecteurs efficaces :o)) à des choses intéressantes. Par exemple que même présent en mémoire et non altéré, EICAR n'est pas reconnu par certains. Ou, pire, qu'il soit reconnu comme EICAR alors qu'il n'est pas EICAR, ce qui laisse la porte ouverte à un peu n'importe quoi. Par exemple, un AV est arrivé à detecter un véritable virus (avec réplication et tout et tout) en le désignant comme étant EICAR ! Le sommet...
Alors, je ne pense franchement pas, mais alors franchement pas que le fait qu'une variante de test d'un virus statique (comme tu dis) ne soit pas reconnue soit si sans intérêt que ça. Ou alors, tu as mal compris des passages de mon texte. Je répète quand même que certains AV ont detecté EICAR en lieu et place d'un virus véritable. Moi, ça ne m'aurait pas plu d'utiliser ce genre d'AV.
Cela n'a d'ailleurs pas plu à un certain Boncev, bossant pour F-Prot. Mais lui, je lui en réserve une de derrière les fagots un de ces jours ! Foi de AMcD.
Pierre Tranié <pierre.n-o-s-p-a-m.tranie@speakerbussansspam.fr> écrit:
Etape 3:
Renommage du fichier en eicar.com et changement du texte
EICAR-STANDARD-ANTIVIRUS-TEST-FILE en
EICAR-STANDING-ANTIVIRUS-TEST-FILE (merci AMcD) sans changer la
taille du fichier (68 octets).
Les deux anti-virus acceptent la copie et l'exécution.
Est-ce grave docteur ???? Et surtout, sommes-nous bien protégés ?
C'est une variante d'un virus statique de test et n'est donc pas
reconnu, ça n'a pas beaucoup d'interêt.
Je m'immisce...
À l'époque de l'écriture de cet article, la motivation était simple :
essayer, pour le fun, d'évaluer (au sens large) comment fonctionnent les AV
sans les désassembler (restons simple). Pour cela, j'ai choisi EICAR. Les
raisons étaient simples :
- Normalement reconnu par tous les AVs ;
- fichier de test, donc, innofensif.
Toujours pour faire simple, disons que certaines personnes non rien compris
(au moins deux intervenants ici, un fréquent et l'autre à temps partiel
:o)), mais bon, peut-être ont-elles des soucis avec l'anglais ou avec le
français (suffit de comprendre le titre...) ! et que d'autres, en général
bossant dans des boîtes d'AV n'ont pa sappréciés certains résultats.
Pourtant, des choses intéressantes étaient montrées. Par exemple, qu'une
simple altération de quelques caractères de EICAR faisaient que plus
personne ou presque ne le reconnaissait. Certes, ce n'est plus EICAR, mais
comme beaucoup de virus sont de simples altérations/modifications d'un code
originel, je pensais que cela serait pris en compte. Ou alors, le fameux
test EICAR consiste simplement en une lecture/évaluation d'une suite
d'octets et je ne vois pas en quoi cela prouve (comme il est stipulé sur le
site de l'eicar) que l'AV fonctionne. Le fun était de montrer que si l'AV
"fonctionnait" il aurait du appliquer les principes des virus à EICAR. Oui,
c'est tiré par les cheveux mais tel était le but but :o).
En tournant autrement ces reflexions, on pouvait se demander comment se
comportaient les AV en face de virus réels légèrement altérés. Par exemple.
Ce qui est surtout montré dans cet article c'est des comportements étranges
! Plus qu'étranges... On se dit qu'après tout, puisque les AVs ne cherchent
qu'une chaîne de test, eh bien c'est normal dès qu'on magouille ce test
qu'il ne soit plus reconnu. Eh bien non, et c'était là la partie marrante.
Si on s'amusait à encrypter EICAR, certains AV réagissaient, montrant par là
le genre de détail qui les fait réagir :o).
Bref, au cours des altérations, nous sommes arrivés (j'ai écris le truc
seul, mais j'avais deux relecteurs efficaces :o)) à des choses
intéressantes. Par exemple que même présent en mémoire et non altéré, EICAR
n'est pas reconnu par certains. Ou, pire, qu'il soit reconnu comme EICAR
alors qu'il n'est pas EICAR, ce qui laisse la porte ouverte à un peu
n'importe quoi. Par exemple, un AV est arrivé à detecter un véritable virus
(avec réplication et tout et tout) en le désignant comme étant EICAR ! Le
sommet...
Alors, je ne pense franchement pas, mais alors franchement pas que le fait
qu'une variante de test d'un virus statique (comme tu dis) ne soit pas
reconnue soit si sans intérêt que ça. Ou alors, tu as mal compris des
passages de mon texte. Je répète quand même que certains AV ont detecté
EICAR en lieu et place d'un virus véritable. Moi, ça ne m'aurait pas plu
d'utiliser ce genre d'AV.
Cela n'a d'ailleurs pas plu à un certain Boncev, bossant pour F-Prot. Mais
lui, je lui en réserve une de derrière les fagots un de ces jours ! Foi de
AMcD.
Etape 3: Renommage du fichier en eicar.com et changement du texte EICAR-STANDARD-ANTIVIRUS-TEST-FILE en EICAR-STANDING-ANTIVIRUS-TEST-FILE (merci AMcD) sans changer la taille du fichier (68 octets). Les deux anti-virus acceptent la copie et l'exécution.
Est-ce grave docteur ???? Et surtout, sommes-nous bien protégés ?
C'est une variante d'un virus statique de test et n'est donc pas reconnu, ça n'a pas beaucoup d'interêt.
Je m'immisce...
À l'époque de l'écriture de cet article, la motivation était simple : essayer, pour le fun, d'évaluer (au sens large) comment fonctionnent les AV sans les désassembler (restons simple). Pour cela, j'ai choisi EICAR. Les raisons étaient simples :
- Normalement reconnu par tous les AVs ; - fichier de test, donc, innofensif.
Toujours pour faire simple, disons que certaines personnes non rien compris (au moins deux intervenants ici, un fréquent et l'autre à temps partiel :o)), mais bon, peut-être ont-elles des soucis avec l'anglais ou avec le français (suffit de comprendre le titre...) ! et que d'autres, en général bossant dans des boîtes d'AV n'ont pa sappréciés certains résultats.
Pourtant, des choses intéressantes étaient montrées. Par exemple, qu'une simple altération de quelques caractères de EICAR faisaient que plus personne ou presque ne le reconnaissait. Certes, ce n'est plus EICAR, mais comme beaucoup de virus sont de simples altérations/modifications d'un code originel, je pensais que cela serait pris en compte. Ou alors, le fameux test EICAR consiste simplement en une lecture/évaluation d'une suite d'octets et je ne vois pas en quoi cela prouve (comme il est stipulé sur le site de l'eicar) que l'AV fonctionne. Le fun était de montrer que si l'AV "fonctionnait" il aurait du appliquer les principes des virus à EICAR. Oui, c'est tiré par les cheveux mais tel était le but but :o).
En tournant autrement ces reflexions, on pouvait se demander comment se comportaient les AV en face de virus réels légèrement altérés. Par exemple. Ce qui est surtout montré dans cet article c'est des comportements étranges ! Plus qu'étranges... On se dit qu'après tout, puisque les AVs ne cherchent qu'une chaîne de test, eh bien c'est normal dès qu'on magouille ce test qu'il ne soit plus reconnu. Eh bien non, et c'était là la partie marrante. Si on s'amusait à encrypter EICAR, certains AV réagissaient, montrant par là le genre de détail qui les fait réagir :o).
Bref, au cours des altérations, nous sommes arrivés (j'ai écris le truc seul, mais j'avais deux relecteurs efficaces :o)) à des choses intéressantes. Par exemple que même présent en mémoire et non altéré, EICAR n'est pas reconnu par certains. Ou, pire, qu'il soit reconnu comme EICAR alors qu'il n'est pas EICAR, ce qui laisse la porte ouverte à un peu n'importe quoi. Par exemple, un AV est arrivé à detecter un véritable virus (avec réplication et tout et tout) en le désignant comme étant EICAR ! Le sommet...
Alors, je ne pense franchement pas, mais alors franchement pas que le fait qu'une variante de test d'un virus statique (comme tu dis) ne soit pas reconnue soit si sans intérêt que ça. Ou alors, tu as mal compris des passages de mon texte. Je répète quand même que certains AV ont detecté EICAR en lieu et place d'un virus véritable. Moi, ça ne m'aurait pas plu d'utiliser ce genre d'AV.
Cela n'a d'ailleurs pas plu à un certain Boncev, bossant pour F-Prot. Mais lui, je lui en réserve une de derrière les fagots un de ces jours ! Foi de AMcD.
Alors, je ne pense franchement pas, mais alors franchement pas que le fait qu'une variante de test d'un virus statique (comme tu dis) ne soit pas reconnue soit si sans intérêt que ça.
Je pense qu'un antivirus ne doit pas chercher des variantes d'EICAR car EICAR, par définition, n'a pas de variantes.
Ou alors, tu as mal compris des passages de mon texte. Je répète quand même que certains AV ont detecté EICAR en lieu et place d'un virus véritable. Moi, ça ne m'aurait pas plu d'utiliser ce genre d'AV.
Peut être que le virus en question contient EICAR, dans le but douteux de faire croire que fichier est innofensif.
AMcD <arnold.mcdonald@free.fr> écrit:
Alors, je ne pense franchement pas, mais alors franchement pas que le fait
qu'une variante de test d'un virus statique (comme tu dis) ne soit pas
reconnue soit si sans intérêt que ça.
Je pense qu'un antivirus ne doit pas chercher des variantes d'EICAR
car EICAR, par définition, n'a pas de variantes.
Ou alors, tu as mal compris des
passages de mon texte. Je répète quand même que certains AV ont detecté
EICAR en lieu et place d'un virus véritable. Moi, ça ne m'aurait pas plu
d'utiliser ce genre d'AV.
Peut être que le virus en question contient EICAR, dans le but douteux
de faire croire que fichier est innofensif.
Alors, je ne pense franchement pas, mais alors franchement pas que le fait qu'une variante de test d'un virus statique (comme tu dis) ne soit pas reconnue soit si sans intérêt que ça.
Je pense qu'un antivirus ne doit pas chercher des variantes d'EICAR car EICAR, par définition, n'a pas de variantes.
Ou alors, tu as mal compris des passages de mon texte. Je répète quand même que certains AV ont detecté EICAR en lieu et place d'un virus véritable. Moi, ça ne m'aurait pas plu d'utiliser ce genre d'AV.
Peut être que le virus en question contient EICAR, dans le but douteux de faire croire que fichier est innofensif.
AMcD
Laurent Wacrenier wrote:
AMcD écrit:
Alors, je ne pense franchement pas, mais alors franchement pas que le fait qu'une variante de test d'un virus statique (comme tu dis) ne soit pas reconnue soit si sans intérêt que ça.
Je pense qu'un antivirus ne doit pas chercher des variantes d'EICAR car EICAR, par définition, n'a pas de variantes.
Tu n'as pas tout à fait compris le but de l'article :o(.
Ou alors, tu as mal compris des passages de mon texte. Je répète quand même que certains AV ont detecté EICAR en lieu et place d'un virus véritable. Moi, ça ne m'aurait pas plu d'utiliser ce genre d'AV.
Peut être que le virus en question contient EICAR, dans le but douteux de faire croire que fichier est innofensif.
Eh oui ! Justement ! D'où un problème quand EICAR est detecté, car jugé innofensif... alors qu'il ne l'est pas/plus !
Alors, je ne pense franchement pas, mais alors franchement pas que
le fait qu'une variante de test d'un virus statique (comme tu dis)
ne soit pas reconnue soit si sans intérêt que ça.
Je pense qu'un antivirus ne doit pas chercher des variantes d'EICAR
car EICAR, par définition, n'a pas de variantes.
Tu n'as pas tout à fait compris le but de l'article :o(.
Ou alors, tu as mal compris des
passages de mon texte. Je répète quand même que certains AV ont
detecté EICAR en lieu et place d'un virus véritable. Moi, ça ne
m'aurait pas plu d'utiliser ce genre d'AV.
Peut être que le virus en question contient EICAR, dans le but douteux
de faire croire que fichier est innofensif.
Eh oui ! Justement ! D'où un problème quand EICAR est detecté, car jugé
innofensif... alors qu'il ne l'est pas/plus !
Alors, je ne pense franchement pas, mais alors franchement pas que le fait qu'une variante de test d'un virus statique (comme tu dis) ne soit pas reconnue soit si sans intérêt que ça.
Je pense qu'un antivirus ne doit pas chercher des variantes d'EICAR car EICAR, par définition, n'a pas de variantes.
Tu n'as pas tout à fait compris le but de l'article :o(.
Ou alors, tu as mal compris des passages de mon texte. Je répète quand même que certains AV ont detecté EICAR en lieu et place d'un virus véritable. Moi, ça ne m'aurait pas plu d'utiliser ce genre d'AV.
Peut être que le virus en question contient EICAR, dans le but douteux de faire croire que fichier est innofensif.
Eh oui ! Justement ! D'où un problème quand EICAR est detecté, car jugé innofensif... alors qu'il ne l'est pas/plus !
