Torpig le retour ?

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Contact75

Torpig le retour ?

par Contact75 »

Interessant lien où l'on apprend que ce rootkit s'est très amélioré et le pourquoi du "on ne détecte pas son activité"

http://www.trustdefender.com/blog/2009/ ... than-ever/

(en anglais)
SkyTech

Re: Torpig le retour ?

par SkyTech »

Salut,

Dans le même genre : http://www2.gmer.net/mbr/
Malekal_morte
Messages : 110979
Inscription : 10 sept. 2005 13:57

Re: Torpig le retour ?

par Malekal_morte »

Je vois pas ce qui est nouveau !?!
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Contact75

Re: Torpig le retour ?

par Contact75 »

Malekal_morte a écrit :Je vois pas ce qui est nouveau !?!
Ben déja ses mécanismes d'auto protection et non detection

J'en ai eu un entre les mains (l'ancienne version) et Bitdefender le détectait. Là... rien de rien (ce n'est pas un banal changement de signature)

http://www.virustotal.com/analisis/fe95 ... f1ead6bcec
Malekal_morte
Messages : 110979
Inscription : 10 sept. 2005 13:57

Re: Torpig le retour ?

par Malekal_morte »

Quand tu dis BitDefender détectait, tu as installé le MBR rk sur une machine et BitDefender détectait ?
ou tu parles du dropper ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Contact75

Re: Torpig le retour ?

par Contact75 »

Malekal_morte a écrit :Quand tu dis BitDefender détectait, tu as installé le MBR rk sur une machine et BitDefender détectait ?
ou tu parles du dropper ?
Oh je n'ai pas une confiance absolue dans Bitdefender et ne suis pas allé jusque là :-)

C'était juste le dropper.
Mais niveau utilisateur cela suffit pour savoir qu'il était bloqué, et qu'il n'attirerait pas le payload ensuite suite à l'install du dropper
(Par contre c'était la version 2008 de Bitdefender)

Par contre je ne me souviens plus si j'avais eu le payload en stand alone également (c'est à dire l'exe seul sans etre passé par le dropper)
Malekal_morte
Messages : 110979
Inscription : 10 sept. 2005 13:57

Re: Torpig le retour ?

par Malekal_morte »

Ca veut rien dire le dropper.
C'est pas parcequ'il est pas détecté que c'est une nouvelle variante à l'arrivée qui ne fonctionne pas de la même manière que celui 3 jours avant.
Tous les jours je post de nouveaux droppers qui installent les mêmes familles d'infections qui fonctionnent de la même manière à quelques différences près : http://forum.malekal.com/viewforum.php?f=62

Donc je continue, dans la description donnée et dans le fonctionnement expliqué, je vois pas ce qu'il y a de nouveaux par rapport au premier MBR.Rootkit qui était en liberté.
Si c'est une question de détection.... bha les AV qui détecte cette infection se comptait déjà sur les doigts d'une main d'un russe qui a pas payé son dû au mafieu du coin...

Dans ton post, ça donne l'impression qu'il y a un MBR.Rootkit V2 next generation.
Ca ne semble pas être le cas. Après je dis pas qu'il évolue pas, il y a surement des différences mais le squelette et l'esprit reste le même. Comme les autres familles font de temps en temps.

Ce que j'aime pas, c'est que "hOoOoOo AV Machin le détecte pas OalALalLLA mais notre soft yaHoOO il l'a", ça peux le grosse pub.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Contact75

Re: Torpig le retour ?

par Contact75 »

Malekal_morte a écrit :Ca veut rien dire le dropper.
C'est pour ca que j'ai du avoir le payload à l'époque avec (ca ne pouvait etre que via un site car je n'en reçois pas par mail) et ce qui est certain c'est que je ne l'ai pas installé puisque à cette période je n'avais plus mon deuxième PC pour tests
Malekal_morte a écrit :C'est pas parcequ'il est pas détecté que c'est une nouvelle variante à l'arrivée qui ne fonctionne pas de la même manière que celui 3 jours avant.
Tous les jours je post de nouveaux droppers qui installent les mêmes familles d'infections qui fonctionnent de la même manière à quelques différences près : http://forum.malekal.com/viewforum.php?f=62
Vi vi je suis d'accord et ca je connais

Malekal_morte a écrit : Donc je continue, dans la description donnée et dans le fonctionnement expliqué, je vois pas ce qu'il y a de nouveaux par rapport au premier MBR.Rootkit qui était en liberté.
Ce n'est pas la version Vista en tous les cas
Malekal_morte a écrit : Si c'est une question de détection.... bha les AV qui détecte cette infection se comptait déjà sur les doigts d'une main d'un russe qui a pas payé son dû au mafieu du coin...

Dans ton post, ça donne l'impression qu'il y a un MBR.Rootkit V2 next generation.
Ca ne semble pas être le cas. Après je dis pas qu'il évolue pas, il y a surement des différences mais le squelette et l'esprit reste le même. Comme les autres familles font de temps en temps.
Oui surement, mais peut etre que mon impression a été confortée à la fois par l'article et ce graphique que j'avais déniché je ne sais plus où qui était en deux partie et dont la deuxième partie que je n'arrive pas à retrouver indiquait un pic pour novembre et décembre 2008 (d'ou la vague des 500 0000 comptes bancaires compromis)
Mais l'illusion peut etre causée par le dropper effectivement et non pas par une évolution de la bestiole et ou tout simplement un nombre plus important de failles dans les programmes et qui n'ont pas été mis à jour courant novembre

Sa dernière véritable évolution est datée de mars 2008

Image

Mais bon ... le RBN n'est pas à court d'imagination et de moyens, donc évolution il y aura meme si ce n'est pas pour ce coup ci :-)
Malekal_morte a écrit : Ce que j'aime pas, c'est que "hOoOoOo AV Machin le détecte pas OalALalLLA mais notre soft yaHoOO il l'a", ça peux le grosse pub.
Mheuu non ils ne sont pas comme ca :-)
Malekal_morte
Messages : 110979
Inscription : 10 sept. 2005 13:57

Re: Torpig le retour ?

par Malekal_morte »

Perso j'ai pas entendu parler d'évolution majeure pour MBR.Rootkit
juste l'évolution "normale" des choses.

Pour le vol de données, Trojan.Zbot doit faire mal aussi.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 110979
Inscription : 10 sept. 2005 13:57

Re: Torpig le retour ?

par Malekal_morte »

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Revenir à « Actualité & News Informatique »