Scan VirusTotal Zip Etrange

[FightClub]

Bonjour.

Je viens à vous car hier j'ai telechargé un fichier zip venant d'un forum de musicien ou l'on partage nos creations. Ce fichier etant sur mediafire est indique comme etant sans virus par la collaboration entre Bitdefender-VirusTotal-Mediafire, j'ai derogé à la regle qui consiste a ne rien prendre d'une source inconnue. Revenant sur ma position, j'ai quand meme voulu par curiosité mettre le lien direct de download sur le site VirusTotal une nouvelle fois... et là probleme...

Il affiche en effet un ratio de detection de 0 sur 5X mais qu'il seait "Packed" pour rendre une detection plus difficile et une fois que je choisis l'onglet "Relation" il m'indique qu'un fichier serait present dans le zip. Je clique donc sur l'analyse de ce fichier qui est pour moi incomprehnsible. Cest la premiere fois que je vois une telle analyse.

Ce serait un fichier vide, selon certains inoffensif et selon d'autres dangereux.

Voici le lien de base du fichier Zip (Je le poste ici sans lien direct sachant que ce n'est qu'un lien mediafire evitant ainsi une eventuelle propagation. Si cela deroge a la regle du forum je le supprimerais. Desolé.

mediafire.com/file/aad1rlnip2tx261/PeteSnacks_Sub_Sampler_Vol._3.zip/file

Mon essai premium malware bytes n'a rien trouvé ainsi que RogueKiller et j'ai supprime le fichier avant de l'ouvrir.

Qu'en pensez vous ?
Merci pour l'aide que vous apportez avec ce forum.

[angelique]

Bonjour,

c'est un fichier zippé (packed in a zip file), mais dedans il n' y a que des .wav donc inoffensif

Code : Tout sélectionner

[email protected] ~/Téléchargements $ cd PeteSnacks\ Sub\ Sampler\ Vol.\ 3/
[email protected] ~/Téléchargements/PeteSnacks Sub Sampler Vol. 3 $ ls -a
.  ..  __MACOSX  PeteSnacks Sub Sampler Vol. 3
[email protected] ~/Téléchargements/PeteSnacks Sub Sampler Vol. 3 $ cd PeteSnacks\ Sub\ Sampler\ Vol.\ 3/
[email protected] ~/Téléchargements/PeteSnacks Sub Sampler Vol. 3/PeteSnacks Sub Sampler Vol. 3 $ ls -a
.  ..  .DS_Store  Kicks  Subs
[email protected] ~/Téléchargements/PeteSnacks Sub Sampler Vol. 3/PeteSnacks Sub Sampler Vol. 3 $ cd Kicks/
[email protected] ~/Téléchargements/PeteSnacks Sub Sampler Vol. 3/PeteSnacks Sub Sampler Vol. 3/Kicks $ ls -a
.                            PeteSnacks Boxed Kick F.wav   PeteSnacks Smash Kick E.wav
..                           PeteSnacks Coned Kick F#.wav  PeteSnacks Stock Kick A.wav
PeteSnacks Air Kick C.wav    PeteSnacks Init Kick D.wav    PeteSnacks The Point Kick A#.wav
Petesnacks Blunt Kick F.wav  PeteSnacks Knock Kick G.wav   PeteSnacks Trash Kick E.wav
[email protected] ~/Téléchargements/PeteSnacks Sub Sampler Vol. 3/PeteSnacks Sub Sampler Vol. 3/Kicks $ cd ..
[email protected] ~/Téléchargements/PeteSnacks Sub Sampler Vol. 3/PeteSnacks Sub Sampler Vol. 3 $ cd Subs/
[email protected] ~/Téléchargements/PeteSnacks Sub Sampler Vol. 3/PeteSnacks Sub Sampler Vol. 3/Subs $ ls -a
.                                   PeteSnacks Maxxed Long Sub E.wav     PeteSnacks Spaced Sub G.wav
..                                  PeteSnacks Raindrop Sub F.wav        PeteSnacks Stand Up Long Sub C.wav
PeteSnacks Chained Long Sub D#.wav  PeteSnacks React Long Sub C#.wav     PeteSnacks Talk It Sub D.wav
PeteSnacks Crowded Sub D.wav        PeteSnacks Shorty Sub F#.wav         PeteSnacks Triband Sub D.wav
PeteSnacks Froggy Sub E.wav         PeteSnacks Sign Here Long Sub D.wav  PeteSnacks While Long Sub F.wav
PeteSnacks Later Long Sub F#.wav    PeteSnacks Silent Sub D#.wav

[FightClub]

Merci d'avoir pris le temps. Ça me rassure.

Je viens de voir que sur tablette je n'ai pas la même page d'analyse virus total qu'hier. J'ai pu voir les fichiers present dans le zip.

- Il y'aurait un moyen que je puisse faire comme toi sur ordinateur avec des fichiers plus volumineux non pris en charge par virus total? Bac a sable ? Machine virtuelle ?

- Si je fais juste double clique sur le zip, je peux voir les fichiers sans risquer l'infection?

Sinon je crois avoir compris l'histoire du fichier que je pensais être un virus.
Voici l'analyse VT du dit fichier : virustotal.com/fr/file/e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855/analysis/

On peut voir que dans la rubrique commentaires, beaucoup se posent la question.
Apparement c'est au niveau du hachage. Un fichier vide aura le meme sha1/md5. Et dans le fichier Zip il y'a un repertoire vide avec le meme hachage. Je pense que ca vient juste de là.

[Parisien_entraide]

Bonsoir,

Tu peux le faire avec SandBoxie https://www.sandboxie.com/ C'est un shareware

Par contre il y a une limitation dans la version gratuite (et au bout de 30 jours tu as un écran qui propose la version payante mais le programme reste fonctionnel) mais tu peux tester

Version payante :

Two features:
• "Force" programs: Automatically run programs under Sandboxie even when they are not started directly through Sandboxie. Programs can be "forced" by name or by containing folder.
• Run programs in more than one sandbox at the same time. This causes error SBIE1303 in the free version. The paid version also offers Office365 support, Office 2016 support and Office 2013 (Click2Run) Support and will also include any premium features in the future.
______________________________________________________

Perso je teste un tas de cochonneries reçues en mail, (pdf infecté, injection pages web en lien etc) et tu peux faire la même chose avec un .zip ou .rar avec des fichiers réellement infectés.
Tout reste dans la sandbox, rien ne s'échappe

Accessoirement c' est idéal pour un vieux PC sous XP pour naviguer sur le net (même si cela devient de plus en plus difficile) et ce sans anti virus

Une fois qu'on a terminé de s'en servir, soit en laisse en l'état, soit on vide la sandbox

Ce qui est dommage, c'est que maintenant la version payante ne dure qu'un an et c'est $20

[angelique]

- Il y'aurait un moyen que je puisse faire comme toi sur ordinateur avec des fichiers plus volumineux non pris en charge par virus total?

Bah un fichier malicieux va généralement faire quelques Ko et non quelques Go.

Si tu as un zip/rar , extrait le d'abord (clic droit extraire vers "non du zip", tu ouvres le dossier et tu vois bien ce qu'il y'a dedans sans l'exécuter pour analyser sur VT.

Après si tu as un doute , tu demandes ici

[FightClub]

Bah un fichier malicieux va généralement faire quelques Ko et non quelques Go.

Si tu as un zip/rar , extrait le d'abord (clic droit extraire vers "non du zip", tu ouvres le dossier et tu vois bien ce qu'il y'a dedans sans l'exécuter pour analyser sur VT.

Après si tu as un doute , tu demandes ici

Ok. C'est que je pensais que l'extraction d'un .zip .rar etc.. pouvait executer un script ou quelquechose de malicieux.

Parisien_entraide : Ok je vais faire comme ça. Je vais lire le tuto du site pour Sandboxie.

Merci à vous tous

[Malekal_morte]

Une clé produit = une licence sauf pour le cas des licences par volume (enfin à vérifier, car comme dit, je connais pas trop)