Medicat 21.03 truffé de virus

[SATS]

Bonjour.
Je viens de télécharger les fichiers zip de la version 21.03 de medicat sur le site de Google drive.
A la décompression, Microsoft Defender a trouvé plus de 5 trojan.

Connaissez-vous un site où télécharger Medicat sans virus ?
Merci.

[Malekal_morte]

Salut,

Ce n'est parce que tu as des détections de Windows Defender, qu'il y a réellement des "virus".
Medicat comporte des outils qui peuvent certainement être détecté en hacktool

A lire : Menace détectée par Windows Defender de Windows 10 : que faire ?.

[SATS]

MD a détecté des trojans (Trojan:Win32/Woreflint.A!cl par exemple)

Je viens de tenter la version précédente, la 20.09, pareil, truffée de virus. Est-ce MD qui fait des faux positifs ou ce soft est "pourri" ?

[angelique]

Salut

Aucun intérêt ! Medicat est un ISO donc c'est un système bootable sur clef USB, le chargement se fait en RAM donc Hors Windows, les détections sont d'aucun intérêt vu que tu n'es plus sous un environnement Windows .

Il va se charger ou à ton avis le Trojan:Win32/Woreflint.A!cl !!!!!!!

Comme a dit Malekal : "Medicat comporte des outils qui peuvent certainement être détecté en hacktool"

[Parisien_entraide]

Bonsoir,


Relis ce que dit Malekal...

C'est Windows Defender qui est trop agressif et fait des faux positifs pour la simple raison que pour la plupart des programmes les auteurs n'ont pas les moyens de payer 300 ou 400 euros pour un certificat (signature numérique) , et de contacter tous les éditeurs d'anti virus ensuite

En plus il faut savoir que certains compresseurs pour programmes (packers) jouent sur des astuces de programmation, communes à certains virus.
Une de ces compressions (sur fichier sain) peut générer une chaîne de caractères associée à une infection. Idem pour certains setups, qui en utilisent.

Et il n'y a pas que cela car certains programmes par essence (réparation etc) vont dans des zones que Microsoft n'aime pas voir fouiller (comme les malwares)

https://www.malekal.com/faux-positifs-antivirus/

En plus ca contient des ISO...

Edit : Grillé par Angélique :-)

[SATS]

Ok pour les faux positifs mais par contre, medicat n'est pas un iso, tout au moins là où je l'ai téléchargé. Il est dispo sous forme de plusieurs zip qui une fois décompressés donne une arborescence de répertoires. Facile dans ce cas de modifier une fichier.

[Malekal_morte]

Il faut que tu donnes les fichiers détectés et éventuellement les soumettre à VirusTotal en donnant le lien ici.

[SATS]

Il faut que tu donnes les fichiers détectés et éventuellement les soumettre à VirusTotal en donnant le lien ici.

Bonjour. Je ne vais pas pouvoir le faire, j'ai supprimé tous les fichiers de médicat. Je n'ai plus confiance dans ce liveCD. Je vais plutôt voir le tiens. C'est à titre de précaution, pour le cas où.

[Parisien_entraide]

J'ai la nouvelle version en téléchargement.. Je verrais ce soir ce qu pose problème, mais de toutes les façons c'est du même genre que d'autres resssources de ce type, et programmes

Par ex si tu prends https://www.malekal.com/windows-system- ... lications/

et que tu y colles les outils sysinternals, Nirsoft, MiTec, et autres, déjà ca rame au lancement car l'AV pense identifier des menaces, et c'est encore pire lors de l'installation ou des mises à jours car l' AV voit des trojan partout
Même en exclusion le lancement, le scan pour les maj etc reste lent
Et encore ça c'est pour les AV majeurs.
Les autres vont tout placer en quarantaine par défaut

Seule solution tout mettre en exclusion ce qui n'est pas très safe dans l'absolu (se rappeler l'affaire CCleaner par ex)

[SATS]

Après essai de celui de Malekal, une seule alerte : G:\Programs\ProduKey_NirSoft_x64\ProduKey.exe
MD l'a mise en quarantaine, je ne pense pas que ce soit un soft indispensable au liveCD.

[Parisien_entraide]

Pour les outils Nirsoft c'est normal
Et pour ProducKey , il est là pour lire ton numéro de licence, donc "pouvant être exploité par un individu mal intentionné"


Après téléchargement de la nouvelle version
L'archive medicat fait : 24 Go

Dont 18 196 fichiers dans 4515 dossiers

Cela fait un total de 173 327 analysés (dont dans les fichiers compactés et les images .iso)


Analyse avec Kaspersky Internet Security en mettant tous les paramètres à fond pour l'occasion

- Analyse au décompactage (rien de malveillant n'est installé)
- A la demande : Analyse recursive des fichiers compactés (y a du .7z par ex) ou en ISO en pronfondeur max


RESULTATS :

Définis par Kaspersky comme : "Programme légitime pouvant être exploité par un individu mal intentionné afin de nuire à l'ordinateur ou aux données de l'utilisateur"



Des outils nirsort (en version 32 et 64 bits) :

BulletyPassvies.exe
ChromePasse.exe
iepv.exe
lsasecretsDump.exe
mailpv.exe
mspass.exe
pstpassword.exe
wirelessKeyDump.exe

Avec leur interface NirLauncher.exe



Autres hors Nirsoft:

Programme légitime pouvant être exploité par un individu mal intentionné afin de nuire à l'ordinateur ou aux données de l'utilisateur

ProcessHacker not-a-virus:HEUR:RiskTool.Win32.ProcHack.gen
UEFIpart.exe not-a-virus:UDS:RiskTool.Win32.Agent
Advanced-Ip.scanner.exe not-a-virus:RemoteAdmin.Win32.AdvancedIPScanner.bk





VIrus détectés :

Nom de l'objet : PDF Analysis & Repair
Chemin de l'objet : D:\MEOICAT\Programs\PDF Analysis & Repair
MD5 : AF4302ECD88E74EBC1A47965E062C330
Type : Cheval de Troie
Nom : VHO:Trojan.Win32.Fsysna.gen
Exactitude : Analyse heuristique
Raison : Protection Cloud



Nom de l'objet : AOMEI Partition Assistant
Chemin de l'objet : D:\MEOICAT\PortableApps\AOMEI Partition Assistant Technician 9.1 (x64)
MD5 : 03C5AC350CF527571185C2EA985DCEA7
Raison : Machine learning
Type : Cheval de Troie
Nom : HEUR:Trojan.Win32.Inject.vho
Exactitude : Analyse heuristique



Nom de l'objet : FileRecovery.exe
Chemin de l'objet : D:\MEOICAT\Programs\[email protected] File Recovery 18
MD5 : B8705B79CA9767A5B9800C9D82F663EC
Type : Cheval de Troie
Nom : Trojan-Spy.Win32.Xegumumune.gtf (aurait des fonctions de keylogger)
Exactitude : Exactement
Niveau de menace : Élevé
Type d'objet : Fichier
Raison : Bases




Détections virusTotal


PDF Analysis & Repair

https://www.virustotal.com/gui/file/593 ... /detection


AOMEI Partition Assistant Technician
https://www.virustotal.com/gui/file/14b ... /detection



[email protected] File Recovery 18
https://www.virustotal.com/gui/file/ed1 ... /detection



HYBRID ANALYSIS (voir le Falcon Sandbox Reports)

PDF Analysis & Repair
https://www.hybrid-analysis.com/sample/ ... 00d38c8831


AOMEI Partition Assistant Technician
https://www.hybrid-analysis.com/sample/ ... 52f4e74caa



[email protected] File Recovery 18
https://www.hybrid-analysis.com/sample/ ... 432e1baf7f


Sinon sur divers forums on peut lire que les utilisateurs détectent AUSSI quelques fichiers, mais ce ne sont pas les memes au fil des mois (alors que j'ai noté des versions identiques) et que les AV ne détectent pas la même chose

[Parisien_entraide]

Au passage... Attention avec l'antivirus, si on veut récup l'intégralité des archives, il a de fortes chances que celui ci mette en quarantaine la partition 001
aux vues de ce qui précède
D'autres n'agiront que lors de l'utilisation des programmes concernés

2021-04-03_134321.jpg