Malekal's forum

de **bab78** » 24 Oct 2007 13:52

Entierement d'accord avec toi, j'ai précisé que la version 7.2 est capable de traiter environ 70% des définitions de virus du dernier fichier de signatures, on peut faire des tests sur quelques souches sans que les résultats plaident en ma faveur, si on tombe sur des souches exploitables par cet version de produit.

Ce qui est dommage concernant BD, comme je le dis plus haut, c'est que c'est juste la version d'aprés, la 8 qu'il serait judicieux d'utiliser sur le site Virus Total ! Le moteur de cette version 8 est quasiment le meme que celui qui tourne sur les versions actuelles, et donc le moteur 8.xx est lui capable de lire et traiter l'intégralité du fichier de signature.

Par contre je ne pense pas qu'il soit necessaire d'enlever BD de la liste, faut juste savoir ce qui tourne et comment ca tourne derriere, je postais juste ici pour vous informer de tout cela !

Je vais faire passer un mail sur cette adresse info@virustotal.com en leur explicant tout cela, si dans les semaines qui suivent vous voyez que la version qu'ils utilisent est plus récente, mon intervention aura été utile ;)

@ ++

de **Malekal_morte** » 24 Oct 2007 14:01

Le truc c'est qu'on sait pas comment VirusTotal fonctionne (moi non plus).
Je peux demander a un gars, mais je suis une brèle en anglais.
On peut imaginer que le service utilise un genre de scan en ligne comme celui du site BitDefender... ou ...... ou ....
Je veux dire par là, je pense pas que le service, c'est un simple antivirus comme monsieur tout le monde a sur son PC et qui scanne avec et retourne le résultat oui, c'est bon, oui pas.

Au vu de ce que je vois et des résultats qui sont ici, je pense pas qu'on tourne avec seulement 70% de la bd, car le score est meilleur que celui de Kaspersky.
Je pense que si BitDefender avait été handicapé par les résultats de scan, je l'aurai vu comme je l'ai vu pour Avast!

Je ne rien démontrer, mais ca reste mon avis.

Faudrait connaître le contenu des 30% qui marche pas sur la 7.2 et à ce moment là que je rammène un malware contenu dans ces 30% et tester sur VT, 7.2 et une version 10.

de **bab78** » 24 Oct 2007 14:07

Je vais te fournir un exemple concret en début de semaine prochaine, la personne en interne capable de me transmettre ce type d'informations est en déplacement cette fin de semaine, dés son retour, je te communique précisement un malware référencé dans le fichier de signature actuel, detectable et éradicable avec une 11, et pourtant non exploitable avec une 7.2 à jour !

Je passe quand meme un mail à virustotal dés que j'ai 5 mn

de **Malekal_morte** » 24 Oct 2007 14:16

OK on sera fixé.
merci!

de **Diamond** » 24 Oct 2007 18:35

Malekal_morte a écrit:
Diamond a écrit:Bien sûr, mais l'analyse comportementale analyse le système et son comportement, comme son nom l'indique.
Comment veux-tu qu'il soit possible de déterminer de façon comportementale (j'avais envie de dire comportementalement mais ça existe pas ) si un fichier est infectieux sans l'avoir vu se comporter.

A partir d'évènements.
Style installation d'un driver, ça peut potentiellement être un rootkit kernel
Hook sur tous les processus... ça peut être un keylogger selon quel Hook
Terminer des processus d'un antivirus etc..

Oui donc c'est bien ce que je disais, VirusTotal n'a aucun intérêt à avoir le moteur d'analyse comportementale.
Après bien sûr on revient à ce qu'a dit Bab, cela dépendra de la façon de gérer le contenu du fichier.
J'aime bien cette discussion, elle est constructive!
P.S VirusKeeper, que j'ai désinstallé en ayant marre de ses alertes pour n'importe quoi, est un HIPS en fait, à peu de choses près, :mrgreen:

mais incomplet...

de **Malekal_morte** » 24 Oct 2007 18:43

J'ai ces deux fichiers, si tu veux..
sachant que je dois pouvoir en avoir d'autres qui sont mal détectés..
Chuis tombé sur un nid

Fichier zymogen.exe reçu le 2007.10.24 18:29:41 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 6/32 (18.75%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.10.25.0 2007.10.24 -
AntiVir 7.6.0.27 2007.10.24 BDS/Agent.bxs.1
Authentium 4.93.8 2007.10.23 -
Avast 4.7.1074.0 2007.10.23 Win32:Agent-MFC
AVG 7.5.0.488 2007.10.24 -
BitDefender 7.2 2007.10.24 -
CAT-QuickHeal 9.00 2007.10.23 -
ClamAV 0.91.2 2007.10.24 -
DrWeb 4.44.0.09170 2007.10.24 -
eSafe 7.0.15.0 2007.10.22 -
eTrust-Vet 31.2.5237 2007.10.24 -
Ewido 4.0 2007.10.24 -
FileAdvisor 1 2007.10.24 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.10.23 -
F-Secure 6.70.13030.0 2007.10.24 -
Ikarus T3.1.1.12 2007.10.24 -
Kaspersky 7.0.0.125 2007.10.24 -
McAfee 5147 2007.10.23 -
Microsoft 1.2908 2007.10.24 -
NOD32v2 2614 2007.10.24 -
Norman 5.80.02 2007.10.24 -
Panda 9.0.0.4 2007.10.23 Suspicious file
Prevx1 V2 2007.10.24 Heuristic: Suspicious Self Modifying File
Rising 19.46.22.00 2007.10.24 -
Sophos 4.22.0 2007.10.24 Mal/Behav-001
Sunbelt 2.2.907.0 2007.10.24 -
Symantec 10 2007.10.24 -
TheHacker 6.2.9.106 2007.10.24 -
VBA32 3.12.2.4 2007.10.24 -
VirusBuster 4.3.26:9 2007.10.24 -
Webwasher-Gateway 6.6.1 2007.10.24 Trojan.Agent.bxs.1
Information additionnelle
File size: 185856 bytes
MD5: cb733b67a60e7bfd61744825dd40777f
SHA1: dd962dfc39d4417ed1dd99771181825f8dc331e5

Fichier syster32.exe reçu le 2007.10.24 17:49:16 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 2/31 (6.46%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.10.25.0 2007.10.24 -
AntiVir 7.6.0.27 2007.10.24 TR/Crypt.XDR.Gen
Authentium 4.93.8 2007.10.23 -
Avast 4.7.1074.0 2007.10.23 -
AVG 7.5.0.488 2007.10.24 -
BitDefender 7.2 2007.10.24 -
CAT-QuickHeal 9.00 2007.10.23 -
ClamAV 0.91.2 2007.10.24 -
DrWeb 4.44.0.09170 2007.10.24 -
eSafe 7.0.15.0 2007.10.22 -
eTrust-Vet 31.2.5237 2007.10.24 -
Ewido 4.0 2007.10.24 -
FileAdvisor 1 2007.10.24 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.10.23 -
F-Secure 6.70.13030.0 2007.10.24 -
Ikarus T3.1.1.12 2007.10.24 -
Kaspersky 7.0.0.125 2007.10.24 -
McAfee 5147 2007.10.23 -
Microsoft 1.2908 2007.10.24 -
NOD32v2 2614 2007.10.24 -
Norman 5.80.02 2007.10.24 -
Panda 9.0.0.4 2007.10.23 Suspicious file
Prevx1 V2 2007.10.24 -
Rising 19.46.22.00 2007.10.24 -
Sophos 4.22.0 2007.10.24 -
Sunbelt 2.2.907.0 2007.10.24 -
Symantec 10 2007.10.24 -
TheHacker 6.2.9.106 2007.10.24 -
VBA32 3.12.2.4 2007.10.24 -
VirusBuster 4.3.26:9 2007.10.24 -
Information additionnelle
File size: 100352 bytes
MD5: 9543335cb112dba4e1c347c27b0b891b
SHA1: 49748c3004bca8d088e4ac986c4e94f5d140add7
packers: Aspack
packers: ASPack

de **VertigO** » 24 Oct 2007 18:45

Tiens, rien à voir, ou presque:

Avast 4.7.1074.0 2007.10.23 Win32:Agent-MFC

Cà c'est bizarre... PDT_006

de **Malekal_morte** » 24 Oct 2007 18:58

Bha... look lui

Ca droppe un rk ça. Un assez méchant.

Fichier glass214.exe reçu le 2007.10.24 18:47:20 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 5/32 (15.63%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.10.25.0 2007.10.24 -
AntiVir 7.6.0.27 2007.10.24 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2007.10.23 -
Avast 4.7.1074.0 2007.10.23 Win32:Agent-MET
AVG 7.5.0.488 2007.10.24 -
BitDefender 7.2 2007.10.24 Trojan.Srizbi.T
CAT-QuickHeal 9.00 2007.10.23 -
ClamAV 0.91.2 2007.10.24 -
DrWeb 4.44.0.09170 2007.10.24 -
eSafe 7.0.15.0 2007.10.22 suspicious Trojan/Worm
eTrust-Vet 31.2.5237 2007.10.24 -
Ewido 4.0 2007.10.24 -
FileAdvisor 1 2007.10.24 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.10.23 -
F-Secure 6.70.13030.0 2007.10.24 -
Ikarus T3.1.1.12 2007.10.24 -
Kaspersky 7.0.0.125 2007.10.24 -
McAfee 5147 2007.10.23 -
Microsoft 1.2908 2007.10.24 -
NOD32v2 2614 2007.10.24 -
Norman 5.80.02 2007.10.24 -
Panda 9.0.0.4 2007.10.23 -
Prevx1 V2 2007.10.24 -
Rising 19.46.22.00 2007.10.24 -
Sophos 4.22.0 2007.10.24 -
Sunbelt 2.2.907.0 2007.10.24 -
Symantec 10 2007.10.24 -
TheHacker 6.2.9.106 2007.10.24 -
VBA32 3.12.2.4 2007.10.24 -
VirusBuster 4.3.26:9 2007.10.24 -
Webwasher-Gateway 6.6.1 2007.10.24 Trojan.Crypt.XPACK.Gen
Information additionnelle
File size: 115200 bytes
MD5: 0f58141b149bfa009ed6b25948aa2dba
SHA1: 560c05ac9dbb2f4a043375600523d600ec631150
packers: UPX
packers: UPX
packers: PE_Patch.UPX, UPX

de **Diamond** » 24 Oct 2007 19:00

Avast! est encore présent !
Est-ce que ce genre de fichiers infectieux s'ils sont seuls peuvent affecter un ordinateur ou est-ce qu'il leur faut des amis répandus un peu partout ?

de **Malekal_morte** » 24 Oct 2007 19:09

Il installent en général quelque chose dans le système. Le dernier installe le rootkit.
Mais tu as un point de départ qui va chercher le tout sur des sites WEB.

user32.dll est patché... ça pue :(

Fichier user32.dll reçu le 2007.10.24 18:51:55 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 2/31 (6.46%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.10.25.0 2007.10.24 -
AntiVir 7.6.0.27 2007.10.24 -
Authentium 4.93.8 2007.10.23 -
Avast 4.7.1074.0 2007.10.23 -
AVG 7.5.0.488 2007.10.24 -
BitDefender 7.2 2007.10.24 -
CAT-QuickHeal 9.00 2007.10.23 -
ClamAV 0.91.2 2007.10.24 -
DrWeb 4.44.0.09170 2007.10.24 -
eSafe 7.0.15.0 2007.10.22 -
eTrust-Vet 31.2.5237 2007.10.24 -
Ewido 4.0 2007.10.24 -
FileAdvisor 1 2007.10.24 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.10.23 -
F-Secure 6.70.13030.0 2007.10.24 Trojan.Win32.Patched.bb
Ikarus T3.1.1.12 2007.10.24 -
Kaspersky 7.0.0.125 2007.10.24 Trojan.Win32.Patched.bb
McAfee 5147 2007.10.23 -
Microsoft 1.2908 2007.10.24 -
NOD32v2 2614 2007.10.24 -
Norman 5.80.02 2007.10.24 -
Panda 9.0.0.4 2007.10.23 -
Prevx1 V2 2007.10.24 -
Rising 19.46.22.00 2007.10.24 -
Sophos 4.22.0 2007.10.24 -
Sunbelt 2.2.907.0 2007.10.24 -
Symantec 10 2007.10.24 -
TheHacker 6.2.9.106 2007.10.24 -
VBA32 3.12.2.4 2007.10.24 -
VirusBuster 4.3.26:9 2007.10.24 -
Information additionnelle
File size: 577024 bytes
MD5: 7778e8ce163b919df8898d2d2b24dfb1
SHA1: 9f8fff28c1ff62c58488bc07f00910d236cf835c

de **Malekal_morte** » 24 Oct 2007 19:11

Bon je dois avoir 5-10 fichiers pas détectés par BitDefender sur VT.

de **Benito** » 26 Oct 2007 21:12

Salut j'ai utilisé clean et le rapport donne ca

26/10/2007 a 20:29:28,48

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\STEM~1\ FOUND

*** Recherche des fichiers dans C:\Program Files
C:\WINDOWS\MANTEC~1\ FOUND
C:\PROGRA~1\STEM~1\ FOUND
C:\PROGRA~1\YSTEM~1\ FOUND
C:\PROGRA~1\WNSXS~1\ FOUND
"C:\Program Files\BitDownload" FOUND
"C:\Program Files\Everest Poker\" FOUND
"C:\Program Files\Outerinfo" FOUND
"C:\Program Files\STEM~1\" FOUND

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !

Que dois je faire pour supprimer ces maudites fenetre CID !!

de **VertigO** » 26 Oct 2007 21:15

Salut,

Poste ton message dans la catégorie VIRUS ici: viewforum.php?f=3
Explique ton problème clairement !

de **Mamado** » 28 Oct 2007 11:25

Bonjour,
Vous ne cessez pas de réclamer:
***Avast!, c'est pas top ! Choisissez Antivir !***
Il doit y avoir une forte raison pour celà:
1- Est-ce seulement parceque avec votre méthode de test vous trouviez qu'Antivir détecte mieux (6 %), tout en admettant que chaque méthode de test donnerait un résultat différent, donc Avast pourrait bien être meilleur ailleurs.
2- Pourquoi Antivir est meilleur qu'Avast seulement. Dois-je comprendre que les deux sont meilleurs que tous les autres et que Antivir se distingue (6 %)?
3- Si Avast n'est pas le top, pourquoi je choisirai Antivir? C'est bizarre! Pourqoui pas un autre?
4- Ou doit-on trouver l'expliquation dans l'annonce suivante qu'on trouve sur le forum:
***Aidez Malekal.com en faisant un don !***
***Avast!, c'est pas top ! Choisissez Antivir !***
Car je ne crois pas beaucoup au hazard?

de **Antivirus** » 28 Oct 2007 11:51

Bonjour,
Vous ne cessez pas de réclamer:
***Avast!, c'est pas top ! Choisissez Antivir !***
Il doit y avoir une forte raison pour celà:
1- Est-ce seulement parceque avec votre méthode de test vous trouviez qu'Antivir détecte mieux (6 %), tout en admettant que chaque méthode de test donnerait un résultat différent, donc Avast pourrait bien être meilleur ailleurs.
2- Pourquoi Antivir est meilleur qu'Avast seulement. Dois-je comprendre que les deux sont meilleurs que tous les autres et que Antivir se distingue (6 %)?
3- Si Avast n'est pas le top, pourquoi je choisirai Antivir? C'est bizarre! Pourqoui pas un autre?
4- Ou doit-on trouver l'expliquation dans l'annonce suivante qu'on trouve sur le forum:
***Aidez Malekal.com en faisant un don !***
***Avast!, c'est pas top ! Choisissez Antivir !***
Car je ne crois pas beaucoup au hazard?

Personne t'oblige à passer à Antivir...