Virus zoo

Frederic Bonroy wrote:

Pour une raison très simple: les virus zoo sont à mon avis souvent
sous-estimés.

Ils ne sont pas sous-estimés par les acteurs concernés par ce type de
virus. Il est évident que cela touche une population restreinte tant
qu'il n'y a pas de large diffusion/propagation.

Par exemple l'OTAN au Kosovo en 1999, c'était effectivement une
population restreinte :-D

Roland Garcia

Frederic Bonroy wrote:

LaDDL wrote:

Je ne vois pas ce qu'il y a de surprenant dans ce communiqué. Ce qui y
est expliqué/relaté est juste, réaliste. Pour moi un virus zoo c'est un
"virus concept" inoffensif. Après le concept peut devenir un vrai
programme malveillant, un outil d'attaque.

???

Un virus zoo est un virus comme tous les autres sauf qu'il n'est pas
considéré comme étant en liberté.
Ils ne sont pas comme tous les autres sinon ils ne seraient pas

classifiés "zoo".

C'est une question de diffusion, pas
un problème technique.
Frédéric on parle de virus zoo ou bien des virus de manière générale.

Car tous les acteurs concernés par l'écriture de virus zoo autrement dit
code malveillant sont préoccupés autant par les mécanismes de diffusion,
propagation, infection et bien évidemment par les différentes
combinaisons techniques possibles.

Je vous assure que ZMist, virus zoo, fonctionne fabuleusement bien ici.
Ce n'est pas le seul.

Je ne vous dis pas que les virus zoo autrement dit les codes
malveillants ne fonctionnent pas. C'est tout le contraire. Mais les
virus classifiés zoo ne sont pas en "circulation".

Si ce type de virus se propage il n'est plus qualifié de zoo Frédéric.

C'est là que vous vous trompez.
J'entends par virus zoo autrement dit du code malveillant du code de

laboratoire. A partir du moment où ce code est diffusé même
discrètement, je ne le classe plus comme zoo.

Pour qu'il ne soit plus qualifié de virus zoo il ne suffit pas qu'il se
propage. Il faut aussi que sa propagation soit (officiellement)
constatée!!!
A moins d'être diffusé sur des réseaux "exotique", on repère toujours du

code malveillant. Il y aura toujours un décalage entre ceux qui
diffusent (escrocs, fraudeurs, criminels, SK, sociétés de mkg
online/massmailing, etc) et ceux qui détectent (éditeurs antivirus,
opérateurs télécoms, professionnels de la sécurité/white hat, CERTs,
etc).

Un virus qui se propage, mais dont la propagation n'est pas constatée...

.... se propagera donc, et ...
Oui.

.... pourra causer des dégâts, mais ...
Oui.

Les dégats actuels sont : propagation rapide, consommation de la BP, vol
d'informations, spam, etc.

.... ne sera pas forcément correctement géré par les solutions des
éditeurs qui négligent ce genre de virus.
Vous plaisantez ou quoi ???

Les "bons" éditeurs conçoivent leurs solutions antivirales pour lutter
contre tous les types de codes malveillants. Donc un "zoo" qui quitte un
laboratoire white ou black hat n'est certes plus "zoo" mais c'est
toujours du code. Et les mécanismes de détection de certains AVs offrent
un niveau optimal pour identifier du code malveillant.
Afin d'éviter d'être infecté par du code malveillant connu ou inconnu il
est indispensable de disposer d'un très bon moteur heuristique.
L'analyse des flux est aussi un bon moyen de détection.

Si sa diffusion ou son usage est "unique" alors on est dans ce que
j'appelle un outil d'attaque, test, espionnage économique/industriel.

Les virus se propagent, et il n'est pas impossible que ce virus voyage
en dehors du réseau qui constituait la cible d'origine.
Bien entendu tout est possible.

Un virus zoo c'est un virus de laboratoire inoffensif jusqu'au moment où
son/ses concepteur(s) le teste.

?
Oui.

Et qu'est-ce qui m'empêche de télécharger un virus
non-ITW sur les milliers de sites VX pour le propager ensuite?
Rien.

Ben voilà.
Voilà quoi Frédéric ? Où voulez-vous en venir ?

Travailler sur du code hostile/malveillant ou non n'est pas le problème.
Le problème c'est ceux qui le diffuse avec des intentions malveillantes.

Un petit djeunz en a pour 30 secondes à rendre sa liberté à
un virus zoo "inoffensif" et "impuissant" et je ne sais quoi encore.
Un SK ou n'importe quelle personne physique ou morale peut commettre un

délit. Simplement c'est un délit de diffuser des virus, tout comme de
s'introduire dans un système.

Frederic Bonroy wrote:

LaDDL wrote:

Ils ne sont pas sous-estimés par les acteurs concernés par ce type de
virus. Il est évident que cela touche une population restreinte tant
qu'il n'y a pas de large diffusion/propagation.

Les éditeurs de solutions antivirales sont des acteurs concernés par ce
type de virus puisqu'ils sont censés protéger leurs clients contre
*toutes* les éventualités.
Les "bons" éditeurs de solutions antivirales détectent du code

hostile/malveillant inconnu et assurent un bon niveau de protection.

Autrement Frédéric, qu'est-ce que vous voulez encore insinuer ici ?!

Vous ouvrez ce fil en citant Viguard et j'aimerai vous rappeler que les
dénigrements, manipulation, divulgation de fausses informations sur ce
NG ne marche pas avec moi. Autant vous le rappeler. Leur communiqué de
presse est juste et il n'y a rien à ajouter. Si ce n'est élargir la
discussion sur les virus zoo avec plaisir.
Ils ont fait de gros effort en matière de communication et dieu sait si
j'ai été en désaccord avec eux sur leur comportements ou méthodes de
communication/marketing. Mais ils évoluent et c'est tant mieux. Leur
solution est efficace mais adaptée seulement pour certains
environnements et utilisateurs individuels avertis/expérimentés.

"LaDDL" <alamaison-MOVEOUT@HIt-THE-DIRTnoos.fr> a écrit dans le message
news: 40d2ccfb$0$11423$79c14f64@nan-newsreader-07.noos.net

Un virus zoo est un virus comme tous les autres sauf qu'il n'est pas
considéré comme étant en liberté.
Ils ne sont pas comme tous les autres sinon ils ne seraient pas

classifiés "zoo".

pfffff... quel casse burnes

ils sont classés "zoo" parce qu'ils n'ont pas été détectés ITW par un nombre
X de participants
pourtant pas compliqué

[couic le reste des conneries]

@tchao

LaDDL wrote:

Les "bons" éditeurs de solutions antivirales détectent du code
hostile/malveillant inconnu

Même les "meilleurs" éditeurs ne détecteront jamais tout code inconnu.

et assurent un bon niveau de protection.

Et concrètement c'est quoi selon vous, un bon niveau de protection?

Vous ouvrez ce fil en citant Viguard et j'aimerai vous rappeler que les
dénigrements, manipulation, divulgation de fausses informations sur ce
NG ne marche pas avec moi. Autant vous le rappeler.

Vous voulez une tisane? Du calme! Si on n'a plus le droit de citer les
produits qui ont déjà fait l'objet de contentieux ici, alors on ferme la
porte de ce forum à clé et on balance cette dernière au fond de la fosse
des Mariannes. Je sais que Viguard est un cas spécial, mais de là à
piquer une crise dès que ce nom apparaît sur ce forum, faut quand-même
pas exagérer! A en croire que ce sujet est encore plus délicat que la
peine de mort, l'euthanasie et l'avortement réunis.

Leur communiqué de
presse est juste et il n'y a rien à ajouter.

C'est *votre* avis, ce n'est pas le mien est c'est pour cela que ce fil
existe.
Ils prétendent que les virus zoo sont "des projets pas terminés" et
ainsi de suite, ce qui est faux. Et j'en passe.

Leur
solution est efficace mais adaptée seulement pour certains
environnements et utilisateurs individuels avertis/expérimentés.

C'est bien ce que je disais déjà il y a un an:

http://groups.google.fr/groups?selm¿c26t%24d91m5%241%40ID-75150.news.uni-berlin.de

"Il me semble même avoir déjà affirmé ici que Viguard pouvait avoir son
utilité dans certaines situations. :-)"

LaDDL wrote:

Un virus zoo est un virus comme tous les autres sauf qu'il n'est pas
considéré comme étant en liberté.
Ils ne sont pas comme tous les autres sinon ils ne seraient pas

classifiés "zoo".

Si, ils sont comme tous les autres. Les termes "zoo" et "ITW" désignent
non pas les particularités techniques des virus mais l'état de leur
diffusion.

Ce n'est pas le seul.
Je ne vous dis pas que les virus zoo autrement dit les codes
malveillants ne fonctionnent pas. C'est tout le contraire.

Justement, pour des "projets pas terminés" ils fonctionnent même très
bien. En fait, je dirais même qu'il y a beaucoup de "projets pas
terminés" ITW, y a qu'à regarder les Magistr qui envoient des fichiers
propres.

Mais les virus classifiés zoo ne sont pas en "circulation".

Faux. Les virus classifiés zoo ne sont pas *considérés comme étant en
circulation*. La différence est gigantesque!
Un virus zoo devient *techniquement* ITW dès que je le lâche, mais
administrativement il ne devient ITW que lorsque sa diffusion est
constatée. Or lorsqu'on développe une solution de sécurité en
distinguant virus ITW et virus zoo, c'est bien ce critère administratif
qui compte puisqu'on ne peut pas savoir si un virus est techniquement
ITW à moins d'examiner tous les ordinateurs de la planète! Or ce critère
pose nombre de problèmes déjà rabâchés ici 36 fois.

A moins d'être diffusé sur des réseaux "exotique", on repère toujours du
code malveillant.

Repérer c'est bien joli mais il faut aussi le signaler.

Vous plaisantez ou quoi ???
Les "bons" éditeurs conçoivent leurs solutions antivirales pour lutter
contre tous les types de codes malveillants. Donc un "zoo" qui quitte un
laboratoire white ou black hat n'est certes plus "zoo" mais c'est
toujours du code. Et les mécanismes de détection de certains AVs offrent
un niveau optimal pour identifier du code malveillant.

Là n'est pas le problème. En ce qui concerne NOD32, leur problème était
que leur taux de détection des virus zoo était largement inférieur à
celui de la concurrence. Alors qu'ils aient un moteur de recherche à
tout casser c'est bien joli, mais les résultats n'y étaient pas.

Quant à ceux qui affirment que leur produit arrête tous les virus connus
et inconnus: avouez que dire cela est plutôt risqué vu l'évolution
rapide et imprévisible de l'informatique. Alors en casant certains virus
dans la catégorie "projets pas terminé" et "impuissants" on prend des
précautions!

Un virus zoo c'est un virus de laboratoire inoffensif jusqu'au moment où
son/ses concepteur(s) le teste.

?
Oui.

?

Et qu'est-ce qui m'empêche de télécharger un virus
non-ITW sur les milliers de sites VX pour le propager ensuite?
Rien.

Ben voilà.
Voilà quoi Frédéric ? Où voulez-vous en venir ?

Vous prenez la défense de deux produits qui se vantent de leurs
performances en matière de virus ITW, d'un autre côté vous minimisez la
dangerosité des virus zoo et ainsi l'importance des mesures visant à
contrer cette menace, tout en admettant qu'entre un virus zoo et un
virus ITW il n'y a qu'un double-clic. Ce n'est pas cohérent.

Frederic Bonroy wrote:

LaDDL wrote:

Je ne vois pas ce qu'il y a de surprenant dans ce communiqué. Ce qui y
est expliqué/relaté est juste, réaliste. Pour moi un virus zoo c'est un
"virus concept" inoffensif. Après le concept peut devenir un vrai
programme malveillant, un outil d'attaque.

???

Un virus zoo est un virus comme tous les autres sauf qu'il n'est pas
considéré comme étant en liberté.

Ils ne sont pas comme tous les autres sinon ils ne seraient pas
classifiés "zoo".

Ah ??????

Selon votre raisonnement le virus de la variole est un virus zoo => il
n'est pas comme les autres => aucune inquiétude à avoir.

Vous êtes un joyeux plaisantin, ici on essaie de parler sérieusement de
sécurité informatique.

Roland Garcia

j'aimerai vous rappeler que les
dénigrements, manipulation, divulgation de fausses informations sur ce
NG ne marche pas avec moi.

Tiens ? figurez vous que ça ne marche pas non plus avec nous, et à la
différence de vous on est crédible.

Roland Garcia

LaDDL wrote:

[couic]

Simplement c'est un délit de diffuser des virus

[/couic].

Tiens donc ! J'aimerai bien voir un texte de loi à ce sujet. Voyons-voir :

Article 323-1

Le fait d'accéder ou de se maintenir frauduleusement, dans tout ou partie d'
un système de traitement automatisé de données est puni d'un an d'
emprisonnement et de 100 000 F d'amende. Lorsqu'il en est résulté soit la
suppression ou la modification de données contenues dans le système, soit
une altération du fonctionnement de ce système, la peine est de deux ans d'
emprisonnement et de 200 000F d'amende.

Rien ici ne m'empêche de diffuser à mes amis un virus, allez, disons
inoffensif, ou un POC (simple exemple). Ni même de le publier.

Article 323-2

Le fait d'entraver ou de fausser le fonctionnement d'un système de
traitement automatisé de données est puni de trois ans d'emprisonnement et
de 300 000 F d'amende.

Ici non plus. En diffusant un virus à des amis, je n'entrave le
fonctionnement d'aucun système.


Article 323-3
Le fait d'introduire frauduleusement des données dans un système de
traitement automatisé ou de supprimer ou de modifier frauduleusement les
données qu'il contient est puni de trois ans d'emprisonnement et de 300 000
F d'amende.

Là non plus. Rien de frauduleux à diffuser un virus à des amis.

Article 323-4

La participation à un groupement formé ou à une entente établie en vue de la
préparation, caractérisée par un ou plusieurs faits matériels, d'une ou de
plusieurs des infractions prévues par les articles 323-1 à 323-3 est punie
des peines prévues pour l'infraction elle-même ou pour l'infraction la plus
sévèrement réprimée.

Toujours pas.

Alors ?

--
AMcD®

http://arnold.mcdonald.free.fr/

LaDDL wrote:

Simplement c'est un délit de diffuser des virus

Tiens donc ! J'aimerai bien voir un texte de loi à ce sujet. Voyons-voir :

[...]

Article 323-4

Toujours pas.

Alors ?

L'article Art. 323-3-1 mais il n'est pas encore en application.

Roland Garcia