Virus récalcitrant

Le
Léila
Bonjour à tous. Je ne sais pas comment j'ai chopé cette saleté mais dès
l'insertion d'une clé USB, un fichier autorun.inf se met dessus
immédiatement. J'ai Avira antivir Personnal qui le détecte et le supprime de
la clé, mais il s'y remet aussitôt et ce jeu de suppression et de réécriture
se poursuit de manière interminable. Retrait sécurisé de la clé impossible
dans ce cas. Je dois faire un retrait forcé! J'ai scanné tout le système
avec Avira (mis à jour!) à la recherche de l'intrus, sans succès. J'ai
également passé AVG free 8.5.375 (mis à jour!) sans succès. Que me reste-til
donc à faire?
Vos réponses Page 3 / 3
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Herser
Le #19701581
Coucou à toutes et à tous wrote:
Tu veux dire que ton NOD32 a réagi à l'ouverture du message de Léila





eh oui , à chaque fois que je voulais le lire!



C'est ce qu'on appelle un "faux-positif". NOD32 est très sensible,
trop parfois...

JJV



Salut JJV
Je dirais limite faux positif :
- c'est vrai que le texte en lui-même n'est pas malicieux.
- mais c'est la signature d'un maliciel quand les executables qu'il appelle
sont présents.

Un petit excès de zèle vaut mieux que la cécité.
Il faut simplement éviter la multiplicité de ces excès
Sinon l'utilisateur ne croit plus au loup

Herser
Azo4
Le #19703471
euh , là faut m'expliquer Jean-Jacques...

--
Serge CENCI
MVP MS Windows Desktop Experience
https://mvp.support.microsoft.com/profile/Serge.Cenci
http://www.communautes-numeriques.net/



"Coucou à toutes et à tous" message de news:%23Q7agLZ$
Tu veux dire que ton NOD32 a réagi à l'ouverture du message de Léila





eh oui , à chaque fois que je voulais le lire!



C'est ce qu'on appelle un "faux-positif". NOD32 est très sensible, trop
parfois...

JJV



Coucou à toutes et à tous
Le #19705211
>euh , là faut m'expliquer Jean-Jacques...



Euh ? :-)

Bien que je ne sois pas spécialiste des antivirus, je peux essayer
d'expliquer, en gros ! :-)

Les antivirus ont deux modes de détection.
Le plus classique, ils vont chercher des modèles dans une bibliothèque, ils
repèrent des bouts de code connu dans les fichiers.

Il y a ensuite le mode de détection dit "heuristique".
http://fr.wikipedia.org/wiki/Heuristique
L'antivirus se base sur un algorithme pour déterminer s'il s'agit d'un virus
ou pas. Suivant la puissance de cet algorithme et sa justesse de calcul, la
détection est plus moins efficace. Il arrive parfois qu'une détection soit
erronée ; on appelle ça un "faux-positif".
L'avantage de ce mode de détection est que l'antivirus peut détecter un
virus avant qu'il soit déjà répertorié dans la bibliothèque ainsi que les
virus mutants.

Voilà, j'espère ne pas avoir dit trop de bêtises ! :-)

JJV
Herser
Le #19705911
Coucou à toutes et à tous wrote:
euh , là faut m'expliquer Jean-Jacques...



Euh ? :-)

Bien que je ne sois pas spécialiste des antivirus, je peux essayer
d'expliquer, en gros ! :-)

Les antivirus ont deux modes de détection.
Le plus classique, ils vont chercher des modèles dans une
bibliothèque, ils repèrent des bouts de code connu dans les fichiers.

Il y a ensuite le mode de détection dit "heuristique".
http://fr.wikipedia.org/wiki/Heuristique
L'antivirus se base sur un algorithme pour déterminer s'il s'agit
d'un virus ou pas. Suivant la puissance de cet algorithme et sa
justesse de calcul, la détection est plus moins efficace. Il arrive
parfois qu'une détection soit erronée ; on appelle ça un
"faux-positif". L'avantage de ce mode de détection est que l'antivirus
peut détecter
un virus avant qu'il soit déjà répertorié dans la bibliothèque ainsi
que les virus mutants.

Voilà, j'espère ne pas avoir dit trop de bêtises ! :-)

JJV



Re !
AMHA, c'est toutafé juste, pour les FP.
Mais toujours AMHA, ce n'est pas vraiment la question de Serge
Ce que je comprends :
Léila a attrapé un *vrai* virus "Autoit" qui inocule autorun.inf sur ses
clés.
Avira le détecte mais ne l'éradique pas.
MBAM par contre l'a supprimé
Léila a pu lire l'autorun.inf et nous a donné le "texte" contenu dans cet
autorun.
Ce texte seul dans un message ici n'est pas dangereux.
Ce qui est dangereux c'est ce que l'autorun va ouvrir par ce "texte".
Donc l'executable qu'il lance et qui doit accompagner le virus.

Or NOD32 réagit préventivement au texte qu'il ne permet pas d'ouvrir.

C'est aussi pour ça que Serge ne peut pas tout suivre il ne voit pas le
texte
Qui est en fait tout simple :

open=l'exécutable du virus
shellOuvrircommand=l'exécutable du virus
shell=Ouvrir

Ce n'est pas vraiment un FP, puisque c'est la signature de "Autoit"
Mais ce n'est pas le virus complet

Herser
Coucou à toutes et à tous
Le #19705901
OK ! Merci pour l'explication Herser !

:-)

JJV
Azo4
Le #19706671
Yeeees!

je ne mourrai pas idiot!

merci à vous deux!

--
Serge CENCI
MVP MS Windows Desktop Experience
https://mvp.support.microsoft.com/profile/Serge.Cenci
http://www.communautes-numeriques.net/



"Herser" news:%23aUF0bi$
Coucou à toutes et à tous wrote:
euh , là faut m'expliquer Jean-Jacques...



Euh ? :-)

Bien que je ne sois pas spécialiste des antivirus, je peux essayer
d'expliquer, en gros ! :-)

Les antivirus ont deux modes de détection.
Le plus classique, ils vont chercher des modèles dans une
bibliothèque, ils repèrent des bouts de code connu dans les fichiers.

Il y a ensuite le mode de détection dit "heuristique".
http://fr.wikipedia.org/wiki/Heuristique
L'antivirus se base sur un algorithme pour déterminer s'il s'agit
d'un virus ou pas. Suivant la puissance de cet algorithme et sa
justesse de calcul, la détection est plus moins efficace. Il arrive
parfois qu'une détection soit erronée ; on appelle ça un
"faux-positif". L'avantage de ce mode de détection est que l'antivirus
peut détecter
un virus avant qu'il soit déjà répertorié dans la bibliothèque ainsi
que les virus mutants.

Voilà, j'espère ne pas avoir dit trop de bêtises ! :-)

JJV



Re !
AMHA, c'est toutafé juste, pour les FP.
Mais toujours AMHA, ce n'est pas vraiment la question de Serge
Ce que je comprends :
Léila a attrapé un *vrai* virus "Autoit" qui inocule autorun.inf sur ses
clés.
Avira le détecte mais ne l'éradique pas.
MBAM par contre l'a supprimé
Léila a pu lire l'autorun.inf et nous a donné le "texte" contenu dans cet
autorun.
Ce texte seul dans un message ici n'est pas dangereux.
Ce qui est dangereux c'est ce que l'autorun va ouvrir par ce "texte".
Donc l'executable qu'il lance et qui doit accompagner le virus.

Or NOD32 réagit préventivement au texte qu'il ne permet pas d'ouvrir.

C'est aussi pour ça que Serge ne peut pas tout suivre il ne voit pas le
texte
Qui est en fait tout simple :

open=l'exécutable du virus
shellOuvrircommand=l'exécutable du virus
shell=Ouvrir

Ce n'est pas vraiment un FP, puisque c'est la signature de "Autoit"
Mais ce n'est pas le virus complet

Herser



Publicité
Poster une réponse
Anonyme