Malwares editeurs

[Sherlok]

Bonjour à tous,

 

J'ai pris connaissance du sujet de tesgaz sur le p2p (85544), excellent et vrai 90% des softs p2p sont infectés, pourris jusqu'à la moelle.

 

Mais que dire et que faire lorsque l'on télécharge du site de l'éditeur une version d'évaluation qui s'avère contenir un virus ou un spyware ?

 

Incroyable ?

Vous voulez quelques exemples ?

 

1) Site Aha, download IconLover 4, trial version 30 jours : contient le trojan TR/Delphi.Downloader.Gen

(non détecté au chargement mais se trouve dans le fichier \Iconlover\loader.exe, détecté à l'install par AntiVir)

 

2) VirtualDubMod, site de l'éditeur version fr, freeware, contient le trojan Trojan.Spy.Ransom qui demande une ranson à verser sur un compte type paradis fiscal sous peine de voir un fichier pris au hasard effacé toutes les 30mn ! (détecté par ewido)

 

3) Le même download, contient un autre trojan dans l'uninstall détecté par spyware doctor.

 

Je pourrais multiplier les exemples...

 

Alors quand tesgaz préconise l'utilisation de freewares, il à surement raison, mais il faut bien comprendre que rien n'est gratuit sur le net, même les freewares.

 

Que le PC mette 3 mn pour booter suite à un spyware, n'est pas dramatique en soi.

Mais que son numéro de carte bancaire soit capté au moment de la frappe et expédié en Russie où ailleurs, c'est plus embêtant !

 

Qu'en pensez-vous ?

Que peux-t-on faire pour éviter ça ?

Faut-il exclure tous les téléchargement d'où qu'ils viennent ?

Doit-on exclure l'exécution des softs non signés (ce qui est la majorité des cas)

[Sacles]

Bonjour,

 

1/ AntiVir n'est pas à l'abri d'une détection de faux-positif, surtout si la méthode heuristique est activée. Tu devrais soumettre le fichier chez VirusTotal ou chez Jotti.

Pendant des semaines, AntiVir m'a trouvé un faux-positif dans un fichier de SpyBlocker Pro.

 

2/ Spyware Doctor, sans être un rogue, a des appréciations très différentes. Je ne le recommanderais pas.

Modifié le 8 septembre 2006 par Sacles

[Sherlok]

Merci,

 

Bonne idée ce multi-scan, plus complet que le mien (seulement 7 anti-spy pour 27 chez virustotal), dont voici le résultat pour le 1er trojan :

--------------------------------------------------------------------------------

Server response

 

Results of a file scan

This is a report processed by VirusTotal on 09/08/2006 at 09:06:27 (CET) after scanning the file "loader.exe" file.

 

Antivirus Version Update Result

AntiVir 7.1.1.14 09.08.2006 TR/Delphi.Downloader.Gen

Authentium 4.93.8 09.08.2006 no virus found

Avast 4.7.844.0 09.07.2006 no virus found

AVG 386 09.07.2006 no virus found

BitDefender 7.2 09.08.2006 no virus found

CAT-QuickHeal 8.00 09.07.2006 no virus found

ClamAV devel-20060426 09.08.2006 no virus found

DrWeb 4.33 09.08.2006 no virus found

eTrust-InoculateIT 23.72.119 09.08.2006 no virus found

eTrust-Vet 30.3.3068 09.08.2006 no virus found

Ewido 4.0 09.05.2006 no virus found

Fortinet 2.77.0.0 09.07.2006 no virus found

F-Prot 3.16f 09.08.2006 no virus found

F-Prot4 4.2.1.29 09.07.2006 no virus found

Ikarus 0.2.65.0 09.08.2006 no virus found

Kaspersky 4.0.2.24 09.08.2006 no virus found

McAfee 4847 09.07.2006 no virus found

Microsoft 1.1560 09.08.2006 no virus found

NOD32v2 1.1744 09.08.2006 no virus found

Norman 5.90.23 09.07.2006 no virus found

Panda 9.0.0.4 09.07.2006 no virus found

Sophos 4.09.0 09.08.2006 no virus found

Symantec 8.0 09.08.2006 no virus found

TheHacker 5.9.8.207 09.07.2006 no virus found

UNA 1.83 09.07.2006 no virus found

VBA32 3.11.1 09.07.2006 no virus found

VirusBuster 4.3.7:9 09.07.2006 no virus found

 

--------------------------------------------------------------------------------

Quant au serveur jotti, il répond :

 

File: loader.exe

Status: POSSIBLY INFECTED/MALWARE

MD5 a7d06f2a4cecd7502bd51e08637c4cdf

 

Pour un scan avec 15 anti-spy

-------------------------------------------------------------------------------

Bien, cela prouve quoi ? sachant que certains malwares sont détectés par certains logiciels mais pas par d'autres et réciproquement.

 

Si l'on raisonne en terme de probabilité, en admettant que tous ces anti-spy se valent sur ce coup, il y a 1/27 chance (ou malchance !) que ce soit un trojan.

Mais si l'on raisonne en terme de risque, 1/27 ème de chance de voir son compte bancaire = 0, cela fait beaucoup je trouve.

Enfin, la non détection de malware par N anti-spy ne prouve absolument pas qu'il n'y en a pas, tout au plus que la probabilité qu'il y en ai un est (relativement) faible.

 

[Sacles]

Bonjour,

 

Enfin, la non détection de malware par N anti-spy ne prouve absolument pas qu'il n'y en a pas, tout au plus que la probabilité qu'il y en ai un est (relativement) faible.

Et si même après des scans approfondis, tous tes anti n'ont rien trouvé sur ta machnine, cela ne prouve pas qu'il n'y a rien de malsain.

 

La probabilité n'est donc jamais nulle d'avoir une bestiole.

 

Que fais-tu après cela? Une seule solution, pour une sécurité à 100% tu coupes ton ordinateur et tu vas faire tes transactions bancaires à ton agence (en espérant que leurs machines sont saines) et qu'on ne te voleras pas ta carte de banque sur le chemin

 

Amicalement.

Modifié le 8 septembre 2006 par Sacles