Virus CIH - Win32:CIH-Monaa détecté sur un vieux CD

[RedNux]

Hello,

De retour à nouveau ! J'espère que vous passez de bonnes fêtes.

--

Bon, c'est pas vraiment récent ni une réelle menace pour les PC actuels, mais juste une petite curiosité que je pensais partager avec vous.

Étant un grand fan de Half-Life et des jeux de Valve en général (et les possédant tous sur Steam maintenant depuis longtemps), j'ai malgré tout gardé mes vieux CD de la version WON de ce jeu, dont les CD "Half-Life générations" en vf.
Par nostalgie et pour retrouver un truc, j'ai décidé de réinsérer ce disque après toutes ces années. Et là, sans trop comprendre, mon AV couine (j'ai Dr.Web pour LInux). Je me souviens que quand j'étais petit il y a une dizaine d'années, à l'époque déjà ce CD faisait couiner mon Avast 4 (il détectait un Win32:CIH-Monaa) ainsi que mon Kaspersky que j'ai eu ensuite et d'autres... À l'époque où je l'utilisais à la place de Steam

En creusant, j'ai trouvé le fichier incriminé: ar40fra.exe , à savoir... Le fichier d'installation de Adobe Reader 4 en français. Pas hyper important me direz-vous, mais tout de même.
Réflexe virus total: https://www.virustotal.com/gui/file/e8c ... ?nocache=1

Ad-Aware Win95.CIH.Rest.Gen
Arcabit Win95.CIH.Rest.Gen
Avast Win32:CIH-C
AVG Win32:CIH-C
BitDefender Win95.CIH.Rest.Gen
CAT-QuickHeal W32.CIH.TI1
ClamAV Win.Trojan.Agent-777267
Comodo Suspicious@#3d975torxjwjj
Cybereason Malicious.841775
Cylance Unsafe
Emsisoft Win95.CIH.Rest.Gen (B)
eScan Win95.CIH.Rest.Gen
FireEye Win95.CIH.Rest.Gen
Fortinet W32/Cih.DAM
GData Win95.CIH.Rest.Gen
Kaspersky Virus.Win9x.CIH.dam
Lionic Virus.Win9x.CIH.lO4k
MAX Malware (ai Score=81)
MaxSecure Virus.W9X.CIH
McAfee W95/CIH.c.remnants
McAfee-GW-Edition W95/CIH.c.remnants
Microsoft Virus:Win95/CIH.remnants
Rising Virus.CIH_Body!1.9B6A (CLASSIC)
SecureAge APEX Malicious
Sophos Mal/Generic-S
Symantec W95.CIH.damaged
TrendMicro PE_CIH.DAM
TrendMicro-HouseCall PE_CIH.DAMVIPRE Trojan.Win32.Generic!BT
Zillya Virus.CIH.Win32.7

Je pense que ça n'est donc pas un faux positif (on remarque qu'Avast le nomme différemment aujourd'hui).

Une recherche Google montre que je ne suis pas le seul dans ce cas, quelques exemples:

https://steamcommunity.com/app/70/discu ... l=schinese
https://forum.tomsguide.fr/threads/win9 ... fe.160525/ (l'orthographe pique ici... bon...)
viewtopic.php?t=12015 (oui, même un ici sur malekal)
et bien d'autres.

Étant curieux, j'ai tenté de lancer le fichier sur une VM Win95 (en mettant la date au 26 avril), pas réussi à obtenir de payload. Quid d'un CIH bugué ? Juste un reste ?
--

Bon, quoi qu'il en soit, j'ai quand même une question: comment ce truc a t-il pu se retrouver sur nombre de CDs pourtant officiels ? Je ne sais pas quelles étaient les normes qualité de l'époque, mais laisser sur des CDs normalement testés et en lecture seule les traces d'un des virus les plus violents de l'époque... ouch.

Si jamais vous êtes intéressés par le fichier, n'hésitez pas. Comme dit, je doute qu'il soit d'un quelconque danger pour les PC actuels.

[Malekal_morte]

Salut,

Difficile de dire si c'est un faux positif mais ça fait beaucoup de détections.
Si ce n'est pas un faux positif, faut croire que l'éditeur a distribué des versions vérolés.

Quoiqu'il en soit, si ce n'est pas dans le setup du jeu mais dans un annexe (Adobe), suffit de ne pas de le lancer.
Par contre, tu risques de ne pas pouvoir faire tourner le jeu sur un Windows récent.

Pour savoir s'il s'agit vraiment d'un virus, en effet une VM, tu lances le setup.
Et tu vois avec des analyses s'il infecte d'autres exécutables.

[RedNux]

Hello,

En effet, je n'espérais pas faire tourner la version WON (cd) du jeu sur une machine récente et encore moins sur mon Linux, j'ai Steam pour ça. C'était juste pour récupérer un vieux manuel dessus.

--

Bon, j'ai réinstallé pour l'occasion une VM Windows 98 SE non patché (et en français s'il vous plaît !) avec un ClamWin dessus pour pouvoir scanner.
J'ai mis le fichier sur la VM.
Au scan de celui-ci, ClamWin le détecte comme un cheval de troie, même variante que celle trouvée sur VTotal (voir PJ1)
J'ai lancé l'installation qui s'est bien terminée et lancé adobe qui semble être... fonctionnel (PJ2)

Une fois fait, j'ai lancé calc.exe, iexplore.exe et d'autres exécutables un peu partout, puis j'ai lancé un scan du système avec Clam (uniquement des *.exe), sans changer la date ni m'occuper du payload dans un premier temps, et...
Aucun autre .exe infecté détecté.

J'ai enfin tenté de bidouiller la date pour la mettre au 26 avril (puis au 25 et au 27 pour prendre en compte les variantes) avant de relancer le fichier plusieurs fois et... rien. Pas de payload.

J'ai plusieurs hypothèses à ce stade:

• Soit il s'agit d'un faux positif, mais quand même, un sacré faux positif vu le nombre de détections...

• Soit le malware ne fonctionne pas dans la VM car il le sait => hautement improbable pour un virus aussi vieux

• Soit le malware ne fonctionne pas dans la VM à cause d'une quelconque limitation technique, mais laquelle ? L'émulation sur VMWare est quand même très authentique

• Soit, et c'est sans doute le plus plausible, il y a effectivement une signature vérolée sur ce fichier, mais le virus n'est pas/plus fonctionnel car il ne s'agit que d'un fragment (Symantec l'appelle "CIH Damaged", d'autres dans le rapport VT l'appellent "Rest/remnant").

Mystère.

Si vous avez une idée

[Malekal_morte]

Non le malware doit fonctionner dans la VM, s'ils ne touchent pas d'autres exécutables, c'est un faux positif.
Faudrait relancer de temps en temps le setup et retester... mais ça semble être des erreurs de détections des antivirus.