> Tous les forums > Forum Sécurité
 Attention à Overlap WallpaperSujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
Balagan
  Posté le 19/08/2011 @ 17:10 
Aller en bas de la page 
Astucien

Bonjour aux Astuciennes (grandes et petites)
Bonjour aux Astuciens (grands et petits)
Avec une mention toute particulière aux membres du groupe sécurité qui se donnent un mal fou pour nous tirer d'affaire.

Ce logiciel Overlap Wallpaper a été proposé dans le bulletin de PCA à la fin juin. Dans l'analyse avant installation par Virus Total, seul Mc Affee (sur les 40 analyseurs) signalait un vague comportement anormal. J'ai été imprudent, j'aurais dû le soumettre aussi à Malware Bytes. L'image écran ci-dessous parle d'elle même. Équipe PCAstuces : si ce n'est déjà fait, il vaudrait mieux retirer ce prog de la collection de téléchargeables.


Bye ~~

Publicité
Esclapion
 Posté le 19/08/2011 à 17:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour Balagan,

je viens de le télécharger d'ICI, pour voir, et mbam ne détecte rien ....



Modifié par Esclapion le 19/08/2011 17:37
Balagan
 Posté le 19/08/2011 à 17:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour Esclapion C'est à n'y rien comprendre ! Je garde tous les "setup". Dans l'éventualité où le trojan se serait infiltré dans Overlap Wall Paper après installation, j'ai analysé le setup de ce prog dans Malware Bytes. L'image que je montre dans mon post provient d'une analyse générale de mon ordino mais l'analyse particulière du setup de Overlap Wall Paper montre le même malware.

Bye ~~



Modifié par Balagan le 19/08/2011 17:55
Anonyme
 Posté le 19/08/2011 à 18:06 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Bonjour Balagan, Esclapion,

Pareil pour moi (comme Balagan) à partir de la version portable prise sur le site de l'éditeur.

1 seule détection (par McAffee) sur VirusTotal

1 détection par MBAM à jour (j'avais fait un premier scan du fichier avec MBAM non à jour et il ne m'avait rien détecté).

Pour moi, MBAM n'étant pas infaillible (il ne m'a jamais trouvé que des faux positifs), je ferais davantage confiance en VirusTotal (suspiction de faux positif vu le peu de résultats). Mais comment savoir avec précision... ?

"Dans le doute, abstiens-toi"

Esclapion
 Posté le 19/08/2011 à 18:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

J'avais mbam à jour, y compris les définitions. Par contre, j'ai pris le logiciel de mon lien, c.a.d. celui de PCA.

En outre, je ne touche pas aux valeurs par défaut de mbam (version gratuite, donc non résidente).

Anonyme
 Posté le 19/08/2011 à 18:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Bonsoir

peut être faut il alors faire un feedback à l'editeur

procédure

http://forums.malwarebytes.org/index.php?showtopic=3228

@+

Fill
 Posté le 19/08/2011 à 19:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Salut,

Clique sur démarrer>Exécuter et tape ceci :

mbam.exe /developer

Relance le même examen malwarebyte's et édite le rapport.

As-tu le rapport virustotalou un lien pointant vers ce rapport ?

Fill

Anonyme
 Posté le 19/08/2011 à 19:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Denim, je m'y suis collé

http://forums.malwarebytes.org/index.php?showtopic=93043

Sorry Fill, je n'ai pas été avisé de ton post, mais ça devrait faire l'affaire avec le lien ci-dessus.



Modifié par Anonyme le 19/08/2011 19:44
Fill
 Posté le 19/08/2011 à 19:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

Oui, mais en cas de faux positif, ce rapport est demandé.

Fill

Publicité
Balagan
 Posté le 19/08/2011 à 19:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Merci Fill Je dois absolument sortir maintenant. Je ne pourrais probablement rien faire avant demain matin. Je compte me conformer très exactement à ce que tu recommandes. Une petite précision, si tu permets : après que Malware Bytes m'ait mis le trojan en quarantaine, j'ai rebooté (comme indiqué) ensuite j'ai fait repasser Malware Bytes en examen complet et il n'a plus rien trouvé. J'ai vidé la quarantaine et supprimé de mon disque le répertoire de Overlap Wall Paper et j'ai également détruit le setup.

Anonyme
 Posté le 19/08/2011 à 19:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Fill a écrit :

Re,

Oui, mais en cas de faux positif, ce rapport est demandé.

Fill

De quel rapport parles-tu ? celui de VirusTotal ? Au pire, j'en produirai un nouveau.

Fill
 Posté le 19/08/2011 à 19:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

Non, je parle du rapport réalisé en mode développeur pour MBAM. Il apporte des informations réclamées sur le forum MBAM en cas de faux positif.

Le rapport virustotal est également utile en effet.

Fill

Anonyme
 Posté le 19/08/2011 à 19:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Bon, ben sUBs a l'air de confirmer le statut de faux positif du fichier.

http://forums.malwarebytes.org/index.php?showtopic=93043&pid=467335&st=0&#entry467335

Balagan, tu pourras le re-télécharger sans crainte (du site de l'éditeur, c'est en tout cas celui que j'ai soumis).

Fill
 Posté le 19/08/2011 à 19:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Balagan a écrit :

Merci Fill Je dois absolument sortir maintenant. Je ne pourrais probablement rien faire avant demain matin. Je compte me conformer très exactement à ce que tu recommandes. Une petite précision, si tu permets : après que Malware Bytes m'ait mis le trojan en quarantaine, j'ai rebooté (comme indiqué) ensuite j'ai fait repasser Malware Bytes en examen complet et il n'a plus rien trouvé. J'ai vidé la quarantaine et supprimé de mon disque le répertoire de Overlap Wall Paper et j'ai également détruit le setup.

Re,

Je pense que si tu as vidé la quarantaine, c'est mort, à moins de recommencer l'installation.

Fill

Anonyme
 Posté le 19/08/2011 à 19:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Euhhh, c'est bon

Affaire classée.

Balagan
 Posté le 19/08/2011 à 22:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonsoir et merci Fill Oui ! J'ai vidé la quarantaine. Mais je voudrais quand même que tu voies quelque chose. D'après Malware Bytes, le Trojan était en mémoire. Est-ce possible s'il s'agit d'un faux positif ? Detcher11 nous dit : "affaire classée". Pas tout à fait. Si, sur l'expertise du groupe sécurité, ce prog contient vraiment un trojan il faut le retirer des propositions PCA de téléchargement. Ci-dessous le rapport de Malware Bytes.

Balagan pour Fill
Examen rapide, découverte du Trojan
--------------------------------------------------------
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7507

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

19/08/2011 15:46:37
mbam-log-2011-08-19 (15-46-37).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 187140
Temps écoulé: 2 minute(s), 20 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
c:\program files\overlap_wallpaper\overlap wallpaper.exe (Trojan.Backdoor) -> 3380 -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\program files\overlap_wallpaper\overlap wallpaper.exe (Trojan.Backdoor) -> Quarantined and deleted successfully.

--------------------------------------------------------

Bye ~~



Modifié par Balagan le 19/08/2011 22:27
Balagan
 Posté le 19/08/2011 à 22:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

@detcher11 °°Balagan, tu pourras le re-télécharger sans crainte°° {#} Hou ! Alors ça... Pas question. La peur est un sentiment qui ne se commande pas. {#}

Bye ~~



Modifié par Balagan le 19/08/2011 22:40
Publicité
Anonyme
 Posté le 19/08/2011 à 23:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Avec sa version 7512, MBAM ne détecte plus rien :

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7512

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

19/08/2011 22:58:57
mbam-log-2011-08-19 (22-58-57).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 1
Temps écoulé: 5 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

--

Esclapion
 Posté le 19/08/2011 à 23:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Avec sa version 7512, MBAM ne détecte plus rien :

Ben voilà, moi, on me croit jamais...

Anonyme
 Posté le 19/08/2011 à 23:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Tu dois être un privilégié pour avoir eu la version 7512 à 17h34, alors que nous autres en étions encore à la 7507. Çpa juste



Modifié par Anonyme le 19/08/2011 23:16
Esclapion
 Posté le 19/08/2011 à 23:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

On en est à la 7513, je te signale...

Je fais toujours une maj avant de lancer un scan. Voilà, voilà, voilà...



Modifié par Esclapion le 19/08/2011 23:26
Anonyme
 Posté le 19/08/2011 à 23:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Fill
 Posté le 20/08/2011 à 00:06 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Balagan a écrit :

Bonsoir et merci Fill Oui ! J'ai vidé la quarantaine. Mais je voudrais quand même que tu voies quelque chose. D'après Malware Bytes, le Trojan était en mémoire. Est-ce possible s'il s'agit d'un faux positif ? Detcher11 nous dit : "affaire classée". Pas tout à fait. Si, sur l'expertise du groupe sécurité, ce prog contient vraiment un trojan il faut le retirer des propositions PCA de téléchargement.

Salut,

C'est bien un faux positif. Le chargement en mémoire signifie que c'est un processus, qui a donc été tué par MBAM.

Aucun souci donc avec la mise à jour.

Fill

Balagan
 Posté le 20/08/2011 à 09:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour et merci Fill. Toujours en train de turbiner, à minuit ! Décidemment, ce groupe sécurité c'est un apostolat.

Bye ~~

Fill
 Posté le 20/08/2011 à 13:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Balagan a écrit :

Bonjour et merci Fill. Toujours en train de turbiner, à minuit ! Décidemment, ce groupe sécurité c'est un apostolat.

Bye ~~

Héhéhé !

Faut pas se fier à l'heure. Tout le monde n'est pas en métropole ou en France

Fill

Balagan
 Posté le 20/08/2011 à 15:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Fill a écrit :Héhéhé !

Faut pas se fier à l'heure. Tout le monde n'est pas en métropole ou en France

Fill

Entre la pointe du Raz et la presqu'ïle de Crozon

Pays :

Ça ne m'a pas l'air d'être à la Martinique, la Guadeloupe, Montreal, Rio de Janeiro ou San Francisco !

Bye ~~

France
Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
À l'attention de ceux qui utilisent le VPN "Hola"...
Appel de 00546-46-54-64 * Attention arnaque
zhpcleaner, attention danger.
Attention à Cameyo!
Attention Arnaque Impôts
Attention, un faux AdwCleaner.
*Attention Faille 0 Day avec IE*
Wi-Fi public : attention à vos données personnelles
Comptes bancaires en ligne : faites très attention à chaque détail....
Attention incompatibilité W 8.1 et Norton ISE
Plus de sujets relatifs à Attention à Overlap Wallpaper
 > Tous les forums > Forum Sécurité