> Tous les forums > Forum Sécurité
 Problèmes logiciels sécurité infectés ?
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
JGB33
  Posté le 30/01/2011 @ 06:53 
Aller en bas de la page 
Petit astucien

Bonjour à la communauté,

Cherchant à sécuriser un max ma machine (activité importante de mon processeur alors que le gestionnaire des tâches ne montre aucun processus le justifiant: rootkit ?), je me suis intéressé à un scan en ligne de Trend Micro. J'ai donc téléchargé HouseCallLauncher.exe dans ce but. Avant de l'exécuter, je l'ai soumis à Virus Total. Surprise, l'analyse a montré 2 menaces (Trojan/Hexzone.atc par Jiangmin et Trojan/Hexzone.jiu par TheHacker). Je suis donc perplexe sur le fait qu'un logiciel d'un éditeur reconnu dans la sécurité comporte des malwares. Quelqun pourrait-il m'éclairer et me dire à qui je dois faire confiance. A Trendmicro ou à VirusTotal ?

Par ailleurs, Combofix.exe, souvent recommandé pour des réparations de cochonneries, présente aussi des menaces sous Virus Total.

Je ne sais plus ce que je dois penser. Un autre exemple: DTlite 4402-0131.exe est déclaré Goodware par un participant du forum Virus Total alors que l'analyse le montre infecté par PUA.Packed.tElockl.Private (alias de DNAScan) par ClamAV.

Merci de m'éclairer de vos lumières avant que je n'exécute quoique ce soit.

Salut.

Publicité
Fill
 Posté le 30/01/2011 à 09:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Salut,

Je t'apporte la même réponse qu'ici.

Toutefois, je te déconseille formellement l'usage de Combofix, qui ne doit être "prescrit" que pour de bonne raisons par quelqu'un d'habilité à l'utiliser.

Fill

JGB33
 Posté le 01/02/2011 à 05:06 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour,

Ma question sur l'infection (détectée par Virus Total) de logiciels de sécurité a été verrouillée puis déverrouillée (suite à MP), ce qui explique le retard dans ma réponse.

Je n'ai pas dit que vous utilisiez des outils "vérolés", loin de moi cette idée, mais je cherche à comprendre et ne veut pas prendre le risque d'infecter mon PC en voulant me protéger.

D'ailleurs, depuis le post de mon message initial, j'ai détecté avec Virus Total la présence de "Win32.Corrupt.Ag" (par eSafe) dans l' exécutable HijackThis.exe (380 Ko) téléchargé directement, alors que l' exécutable HijackThis.exe (379 Ko) obtenu par installation du package d'installation téléchargé est sain pour Virus Total (téléchargements sur le site de Trend Micro).

Comment expliquer celà ? Ca pose tout de même question.

Sans parler de menaces repérées dans d'autres exe (DaemonToolsLite4402, Appupdater142, unlocker, PDFCreator120, Catchme, GPU-Z, etc..)

Peux t'on faire confiance à Virus Total (il semblerait que oui) et quelle stratégie adopter quant aux logiciels déclarés infectés ?

Je n'accuse pas; je cherche; car je n'ose plus exécuter les logiciels incriminés.

Merci de vos lumières.

A +

PS: je n'avais pas l'intention d'utiliser Combofix pour l'instant, mais je voulais l'avoir en "réserve" pour le cas où. Par contre, j'aimerais utiliser le scan en ligne Trend Micro mais les Trojans trouvés par VTdans HouseCallLauncher me dissuadent de l'installer.

Accessoirement, quelqu'un saurait'il comment faire scanner des logiciels > 20 Mb (limite de Virus Total).

Fill
 Posté le 01/02/2011 à 08:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Salut,

Je n'ai pas d'autres éléments à t'apporter. Ce sont des faux positifs, c'est à dire des détections qui sont faites mais non avérées.

PDFcreator lui par contre embarque un vrai adware, et unlocker une barre do'utils parasites qu'il faut décocher je crois à l'installation. Peut-être la même chosep our daemon, qui sous réserve de gratuité instalent parfois des adwares.

Les programmes de sécurités ou les fixes sont souvent classés en hacktools par leurs capacités à déplacer des fichiers ou à supprimer des clés ou des valeurs de registre. Ca en fait des programmes sensibles pour des personnes ne sachant pas les utiliser, ou les utilisant mal.

Fill



Modifié par Fill le 01/02/2011 08:19
JGB33
 Posté le 01/02/2011 à 19:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fill merci de ta réponse, mais je reste sur ma faim et j'insiste car je préfère prévenir que guérir.

Comment faire la part des choses et comment peut-on savoir si la menace est un faux positif ou une vraie "saloperie" ?

Par ailleurs comment expliquer le cas cité plus haut de HijackThis.exe, "vérolé" dans un cas et sain dans l'autre pour l'ensemble des analyseurs Virus Total.

Je remarque aussi que, dans la communauté VT, pour un logiciel avec menaces, certains participants le notent goodware alors que d'autres le notent malware. Comment ces participants s'y prennent-ils pour forger leur opinion ?

D'autres PC astuciens pourraient-ils témoigner de leurs retours d'expèriences.

A vos claviers. Merci.

fiche
 Posté le 01/02/2011 à 20:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonsoir,

En lisant ce sujet, je viens de découvrir que PDFCreator embarque un adaware alors que je pensais avoir affaire à un logiciel de confiance.

Dans ces conditions, pour quelle raison Virus total ne trouve rien d'anormal dans l'executable disponible sur le site de l'éditeur ?

Analyse Virus total ici : http://www.virustotal.com/file-scan/report.html?id=39566f293bec345908cd0f1dd633c297249d7f22e6ea5bbd2ba85df9acaed623-1296588386

Fill
 Posté le 01/02/2011 à 20:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

JGB33 a écrit :

Fill merci de ta réponse, mais je reste sur ma faim et j'insiste car je préfère prévenir que guérir.

Comment faire la part des choses et comment peut-on savoir si la menace est un faux positif ou une vraie "saloperie" ?

Par ailleurs comment expliquer le cas cité plus haut de HijackThis.exe, "vérolé" dans un cas et sain dans l'autre pour l'ensemble des analyseurs Virus Total.

Je remarque aussi que, dans la communauté VT, pour un logiciel avec menaces, certains participants le notent goodware alors que d'autres le notent malware. Comment ces participants s'y prennent-ils pour forger leur opinion ?

D'autres PC astuciens pourraient-ils témoigner de leurs retours d'expèriences.

A vos claviers. Merci.

Re,

Je t'ai expliqué, vainement semble-t-il, que certains programmes de nettoyages peuvent par leur comportement faire tilter des antivirus sur VT ou Jotti's. Ce n'est donc pas systématique.

Les éditeurs n'ont pas tous la même possibilité. Certains intègrent la recherche d'adwares et d'autres non. D'où les différences selon les éditeurs.

Je remonte souvent des fichiers infectieux à ces éditeurs. Pour un même fichier, leurs analyste me disent pour certains qu'il est sain alors que d'autres me les annoncent comme infectés.

Et certains éditeurs ne classent pas en adwares des freewares dans lesquels l'adaware est annoncé dans le CLUF.

Exemple : messengers plus qui intègre lop/swizzor. Si on accepte en installant le sponsor (installer>suivant>suivant>Terminer) =>Pan ! swizzor s'installe.

On peut râler tant qu'on veut, mais c'est tant pis : c'est annoncé dans le contrat qu'on a accepté sans broncher.

Pour pdf creator, il intègre je crois par défaut la toolbar dealio, qu'on peut quand même décocher à l'installation je crois.

Fill

Edition : http://www.pdfforge.fr/forum/help/5794-unable-uninstall-toolbar-adware-warning



Modifié par Fill le 01/02/2011 20:56
JGB33
 Posté le 02/02/2011 à 21:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Salut Fill (et merci de ton suivi)

J'ai bien compris qu'il existait des faux positifs et qu'une menace détectée n'était pas forcément avérée.

Mais justement, comment faire la part des choses quand on rencontre un fichier suspect ? Comment savoir s'il s'agit d'un faux positif ? Y-a-t'il une procédure à suivre pour être certain ?

Tu dis qu'il t'arrive de "remonter" des logiciels suspects vers les éditeurs d'antivirus.

Est-ce celà qu'il faut faire quand on rencontre une menace potentielle ?

Dans ce cas comment fait-on ?

Directement à l'éditeur (existence de supports pour ce type de questionnement ?) ? Ou par l'intermédiaire de PC Astuces ?

Merci de me renseigner sur la marche à suivre pour qu'un internaute moyen (comme moi) puisse se rassurer quant à l'innocuité des logiciels qu'il compte utiliser.

Au plaisir de te lire.

Fill
 Posté le 02/02/2011 à 21:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir,

Les éditeurs antivirus ont généralement des formulaires ou des adresses emails pour remonter les samples infectieux.

Les risques de vrais faux positifs ne sont pas très fréquent heureusement. Par contre, il faut bien lire les cluf quand on installe un soft et bien vérifier que les clauses n'imposent pas un adware, ou une toolbar pourrie à l'intallation, ou un nouveau moteur de recherche par défaut.

Ce sujet quoiqu'un peu ancien est une base d'information intéressante.

Fill

Publicité
JGB33
 Posté le 06/01/2012 à 02:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir Fill,

Ne postant pas souvent, je viens de m'apercevoir que j'avais laissé en suspens mon sujet et ne t'avais même pas répondu.

C'est complètement incorrect et je te prie de bien vouloir m'en excuser.

Mais, à l'époque, je m'étais donné un temps de réflexion, qui s'est éternisé............;

Depuis, j'ai pu lire ici et là certains avis qui incitent à ne considérer un avertissement comme sèrieux que s'il est détecté par plusieurs AV en même temps.

Si j'ai un doute, j'utilise Google ou je m'abstiens.

En tout cas, j'ai bien pris en compte tes bons conseils et, depuis, je lis attentivement les CLUF et surveille de près les "options" proposées lors des installations.

Par contre, puisque tu remontes souvent des fichiers "suspects", disposerait-tu d'une liste toute prête des coordonnées (et procédures associées pour soumettre un fichier) des divers éditeurs d'antivirus ?

Ou faut'il utiliser Google pour se connecter au site de l'éditeur ?

En te renouvelant mes excuses et en te remerciant encore pour ta disponibilité bienveillante.

A +

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
Logiciels de sécurité
compatibilité des logiciels de sécurité
Problemes installation/suppression de logiciels
sécurité des logiciels portables
topic : maj: logiciels de securite out ???
quels logiciels faut-il pour sa sécurite
Problèmes de connexion et de sécurité
gros problemes divers , equipe securite a l'aide
Demande de tutoriaux des logiciels de sécurité
Configurer Vista avec mes logiciels de sécurité
Plus de sujets relatifs à Problèmes logiciels sécurité infectés ?
 > Tous les forums > Forum Sécurité