gratifiant > comp.* > comp.securite.virus

Stephane Faure (20/12/2006, 21h49)
Bonjour,

Moi qui ne m'étais jamais fait avoir par le moindre virus, voilà qui est
fait ! Et pour cause : AVG ne détecte pas ce Kapucen-B, alias Puce,
alias ECup. Mais il est loin, très loin d'être le seul ! Même Kaspersky,
TrendMicro ou encore Norton n'y ont vu que du feu, du moins dans leur
version en ligne :

436423cd57439e92708505da32cfdda7
Pour TrendMicro, j'ai testé sur leur site et aussi en m'envoyant le
fichier par Hotmail. Pour Norton, sur leur site également mais aussi
avec une version 2004 installée sur un poste.

Ce qui m'a mis sur la piste, c'est que je ne parvenais plus à supprimer
les dossiers programme d'eMule : ils étaient utilisés par un faux
svchost.exe qui se trouvait dans mon répertoire temporaire (merci à
Process Explorer !). L'autre ennui qu'il me causait n'était pas bien
méchant : j'avais 1 ou 2 messages d'erreur me signalant qu'il n'y avait
pas de CD dans mon lecteur.

Les seuls à le détecter d'après VirusTotal.com sont : Antivir, Avast,
BitDefender, NOD32v2, Panda et "Microsoft" (?). Bref, dans l'ensemble,
plutôt des antivirus pour particuliers. Serait-ce parce que le virus ne
se propage que par p2p qu'il est à ce point ignoré des grands noms ? Ou
parce qu'il ne fait pas grand mal ? Pourtant il date quand même de
juillet 2006 : <http://www.avast.com/fre/win32-kapucen-b.html>.

Pour ceux qui veulent tester, je le mets en ligne sur mon site :
<http://mysterion.free.fr/Virus_Win32.Kapucen-B.zip>.
Mot de passe : abc
Stephane Faure (20/12/2006, 21h56)
Stephane Faure, in <MPG.1ff3b245ca17e331989749> :

> L'autre ennui qu'il me causait n'était pas bien
> méchant : j'avais 1 ou 2 messages d'erreur me signalant qu'il n'y avait
> pas de CD dans mon lecteur.


Manque un bout de la phrase : "à chaque ouverture de session, autrement
dit à chaque fois qu'il se lançait."
Frederic Bonroy (20/12/2006, 22h02)
Stephane Faure a écrit :

> Pour ceux qui veulent tester, je le mets en ligne sur mon site :
> [...]


Raaaaaaah! Ayez la gentillesse de virer ça tout de suite. Pas la peine
de distribuer un virus à n'importe qui. Je vois déjà un tas de guignols
se précipiter sur ce fichier pour jouer un tour à leur voisin.

Au fait:

Article 46, I.
Stephane Faure (20/12/2006, 22h23)
Frederic Bonroy, in <458996ef$0$22888$426a74cc> :

> Raaaaaaah! Ayez la gentillesse de virer ça tout de suite. Pas la peine
> de distribuer un virus à n'importe qui. Je vois déjà un tas de guignols
> se précipiter sur ce fichier pour jouer un tour à leur voisin.


Arf ! Comme si les virus étaient une denrée rare, et qu'il faille
attendre que j'en mette en ligne pour en trouver...

> Au fait:
>
> Article 46, I.


"Le fait, sans motif légitime, [...]"
Pas la peine d'aller plus loin.
Frederic Bonroy (20/12/2006, 23h25)
Stephane Faure a écrit :

> Arf ! Comme si les virus étaient une denrée rare, et qu'il faille
> attendre que j'en mette en ligne pour en trouver...


Ouais, facilitez leur encore la tache... prenez les apprentis vandales
par la main, soyez complice.

> "Le fait, sans motif légitime, [...]"
> Pas la peine d'aller plus loin.


C'est quoi votre motif légitime?
Roland Garcia (20/12/2006, 23h33)
Frederic Bonroy a écrit :
> Stephane Faure a écrit :
> Raaaaaaah! Ayez la gentillesse de virer ça tout de suite. Pas la peine
> de distribuer un virus à n'importe qui. Je vois déjà un tas de guignols
> se précipiter sur ce fichier pour jouer un tour à leur voisin.
> Au fait:
>
> Article 46, I.


mais encore:



Air fcsv connu, le Canard n'aurait pas testé la bonne version (latine),
rosa rosae rosas rosarum rosis ?
X (20/12/2006, 23h46)
On Wed, 20 Dec 2006 20:49:50 +0100, Stephane Faure
<mysterion> wrote:

[..]
>Pour ceux qui veulent tester, je le mets en ligne sur mon site :
><http://mysterion.free.fr/Virus_Win32.Kapucen-B.zip>.
>Mot de passe : abc


EH... avant même de le télécharger pour y voir plus clair mon
Kaspersky 6 AV réglé sur le mode parano le détecte même protégé par
mot de passe - il est 22:40, bases actualisées ce jour vers 17 h

(

Il refuse même de le copier! Bref par paresse je ne suis pas allé
vérifier depuis quand il est détecté mais bon on attendra pour prendre
Kaspersky sur le fait - ce qui est déjà arrivé je le reconnais hélas
:(

Sur l'encyclopédie je lis pour ma part :

"P2P-Worm.Win32.Kapucen.b
Date de détection 27 mai 2006
Date de la mise à jour 03 jui 2006 10:14 GMT
Comportement P2P-Worm, ver de réseau d'échange de fichiers

Pour le moment aucune description n'est disponible.

Etant donné que de nombreux virus et vers sont des modifications de
versions antérieures, la consultation de descriptions de programmes
similaires peut vous aider. Si ces descriptions sont disponibles,
elles apparaitront en haut de cette page.

Nos analystes viraux travaillent sans relâche pour assurer que les
descriptions des programmes les plus dangereux soient à la disposition
des internautes. L'Encyclopédie Virus est mise à jour de façon
régulière.

Si vous n'arrivez pas à trouver la description que vous cherchez,
merci de vérifier ultérieurement, ou contactez-nous
webmaster"
X (20/12/2006, 23h50)
On Wed, 20 Dec 2006 20:49:50 +0100, Stephane Faure
<mysterion> wrote:

[..]
>se propage que par p2p qu'il est à ce point ignoré des grands noms ? Ou
>parce qu'il ne fait pas grand mal ? Pourtant il date quand même de
>juillet 2006 : <http://www.avast.com/fre/win32-kapucen-b.html>.


Il "date" de bien plus tôt ( la version b est détectée depuis mai 06)
>Pour ceux qui veulent tester,


ET certes messieurs Bonroy & Garcia ont raison de rappeler que la mise
à dipsosition de fichiers malveillants est interdite. Bon...il ne faut
pas le refaire quoi, d'accord?

Cdlt et bonnes fêtes à tous
Stephane Faure (21/12/2006, 00h13)
Frederic Bonroy, in <4589aa36$0$24732$426a74cc> :

> Ouais, facilitez leur encore la tache... prenez les apprentis vandales
> par la main, soyez complice.


Bla bla...
Et l'émission de M6 où des voleurs montrent leurs techniques à des
millions de téléspectateurs ?

> > "Le fait, sans motif légitime, [...]"
> > Pas la peine d'aller plus loin.

> C'est quoi votre motif légitime?


Vous n'avez pas lu mon article ? Permettre à des spécialistes de faire
des tests. Et d'en donner le résultat : je trouve intéressant de savoir
par exemple que les bases antivirales de Kaspersky ne sont pas du tout
les mêmes avec l'outil disponible sur leur site qu'avec leur véritable
logiciel. Pas vous ?
Stephane Faure (21/12/2006, 00h14)
Roland Garcia, in <4589AC13.9050400> :

> mais encore:
>
>
> Air fcsv connu, le Canard n'aurait pas testé la bonne version (latine),
> rosa rosae rosas rosarum rosis ?
>


Et ? Ce que je vois, ce sont des journaux qui donnent au public le
détail des failles d'un SI et les moyens de les exploiter. C'est légal
ça ?
Roland Garcia (21/12/2006, 00h21)
Stephane Faure a écrit :
> Roland Garcia, in <4589AC13.9050400> :
> Et ? Ce que je vois, ce sont des journaux qui donnent au public le
> détail des failles d'un SI et les moyens de les exploiter.


Vous voyez mal et inversez la réalité, ces failles étaient exposées au
public et ce sont les journaux qui les ont fait boucher.

> C'est légal ça ?


On ne peut plus, ce qui est illégal est de ne pas protéger des données
personnelles.
Stephane Faure (21/12/2006, 00h21)
X <>, in <rbbjo21irp4n80m4e9kfb144q2k1bhajm2> :

> EH... avant même de le télécharger pour y voir plus clair mon
> Kaspersky 6 AV réglé sur le mode parano le détecte même protégé par
> mot de passe - il est 22:40, bases actualisées ce jour vers 17 h


Impressionnant ! Donc ce mode parano est capable de détourner les mots
de passe des archives... Mais y a-t-il réellement un intérêt ? On ne
protège pas son virus par un mot de passe, quand on veut le répandre !

Ca m'étonne que Kaspersky ne mette pas en ligne sur son site un outil
digne de ce nom, plutôt qu'un pseudo-analyseur qui risque plus
d'entâcher leur réputation qu'autre chose...

> ET certes messieurs Bonroy & Garcia ont raison de rappeler que la mise
> à dipsosition de fichiers malveillants est interdite. Bon...il ne faut
> pas le refaire quoi, d'accord?


Non, pas d'accord.

Mais merci pour votre retour sur Kaspersky, et bonnes fêtes !
Roland Garcia (21/12/2006, 00h25)
X a écrit :

> ET certes messieurs Bonroy & Garcia ont raison de rappeler que la mise
> à dipsosition de fichiers malveillants est interdite.


je n'ai jamais dit ça, la mise à disposition de fichiers malveillants
n'est pas forcément interdite .
Stephane Faure (21/12/2006, 00h55)
Roland Garcia, in <4589B777.6030207> :

> > >

> > Et ? Ce que je vois, ce sont des journaux qui donnent au public le
> > détail des failles d'un SI et les moyens de les exploiter.

> Vous voyez mal et inversez la réalité, ces failles étaient exposées au
> public et ce sont les journaux qui les ont fait boucher.


Quand ils ont publié, la faille était-elle corrigée ?

Dans le cas qui me concerne, le virus dont j'ai été victime est déjà
exposé au public, et je ne fais qu'alerter et tenter de prouver qu'il
est mal détecté, ce qui pourrait conduire à terme les éditeurs
d'antivirus à résoudre le problème. Même si ça reste très hypothétique,
c'est l'esprit de la chose.

> > C'est légal ça ?

> On ne peut plus, ce qui est illégal est de ne pas protéger des données
> personnelles.


Ce qui n'a rien à voir avec la mise à disposition balisée d'un virus
protégé par mot de passe à des fins de tests.
X (21/12/2006, 01h01)
On Wed, 20 Dec 2006 23:25:42 +0100, Roland Garcia
<roland-garcia> wrote:

>X a écrit :
>> ET certes messieurs Bonroy & Garcia ont raison de rappeler que la mise
>> à dipsosition de fichiers malveillants est interdite.

>je n'ai jamais dit ça, la mise à disposition de fichiers malveillants
>n'est pas forcément interdite .

Oui plus exactement é-ven-tu-el-le-ment soumise à conditions TRES
réglementées, dans des situations précises etc.

....Merci de me corriger.

Cdlt

Discussions similaires