Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

TR/Crypt.XPACK.Gen - Trojan

Pang

Par Pang
dans Sécurisation, prévention

 Partager

Messages recommandés

Pang Godlike Member

Pang

Posté(e)
Posté(e) (modifié)

Bonjour,

 

Avez vous de bons liens (en français ?) traitant de ce que certains antivirus nomment TR/Crypt.XPACK.Gen - Trojan

 

Antivir couine sur une série de dll que je n'imagine pas infectés.

 

J'ai uploadé les fameuses dll chez VirusTotal, et il n'y a que deux antivirus qui réagissent, McAfee (évidement) et Antivir :P

 

En lisant le descriptif sommaire d'Antivir :

A generic detection routine designed to detect common family characteristics shared in several variants.

This special detection routine was developed in order to detect unknown variants and will be enhanced continuously.

je me dis que ça pourrait bien être un bon gros faux positif.... mais bon !

 

Y-a-t'il moyen de savoir comment et où s'installerait ce 'Trojan' dans le système afin de vérifier sa réelle présence (hormis la dll en mémoire puisque je suis toujours à l'affut de ce qui se trame par mes cartes réseau) ?

Modifié par Pang

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Bonjour Pang,

 

si tu penses qu'il s'agit de faux positifs, tu peux en envoyer ici (même plusieurs fichiers dans un zip) :

http://analysis.avira.com/samples/index.php

Pour les FP, indique dans le champ prévu pour une petite description et l'origine des fichiers, pour accélérer le processus d'identification.

 

En cas de vrai positif, ils te le diront aussi, par mail.

 

TR/Crypt.XPACK.Gen - Trojan, c'est en effet un fourre tout, côté nom, donc ça ne renvoie pas à une seule bestiole, mais une famille ou un type, en somme.

Pang Godlike Member

Pang

Posté(e)
  • Auteur
Posté(e)

Connaissant l'origine des fichiers, j'imagine que c'est la méthode dont les dll montent en mémoire qui chatouille la détection.

 

Je vais envoyer le fichier là où tu dis, merci.

 

 

Sinon, TR/Crypt.XPACK.Gen - Trojan, il a tout de même une 'particularité reconnaissable' dans les logs d'infection que vous traitez ?

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)
Connaissant l'origine des fichiers, j'imagine que c'est la méthode dont les dll montent en mémoire qui chatouille la détection.
C'est tout à fait possible.

 

Sinon, TR/Crypt.XPACK.Gen - Trojan, il a tout de même une 'particularité reconnaissable' dans les logs d'infection que vous traitez ?
Pas spécialement, surtout sachant que c'est un nom générique (suffixe en .Gen). Avast il dit Win32:Trojan-gen (Other), c'est pareil.
Pang Godlike Member

Pang

Posté(e)
  • Auteur
Posté(e)

Oui, mais y-a rien à se mettre sous la dent (à part le nom du fichier :P) à moins que ce ne soit pas ce que tu voulais dire :

 

Exported events:

06/05/2009 18:44 [Guard] Malware found
  Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'
  detected in file 'C:\Program Files\VstPlugins\GRMToolsClassicVSTv1.6.52\GRM 
  BandPass.dll.
  Action performed: Allow access

Pang Godlike Member

Pang

Posté(e)
  • Auteur
Posté(e)

Pour donner suite.

J'ai envoyé le fichier hier soir en vous quittant. Ce matin j'ai eu la réponse par mail :

 

A listing of files alongside their results can be found below:

File ID Filename Size (Byte) Result

25340844 GRM Comb.dll 5.04 MB FALSE POSITIVE

 

Please find a detailed report concerning each individual sample below:

Filename Result

GRM Comb.dll FALSE POSITIVE

The file 'GRM Comb.dll' has been determined to be 'FALSE POSITIVE'. In particular this means that this file is not malicious but a false alarm. Detection will be removed from our virus definition file (VDF) with one of the next updates.

Me voila rassuré et par la même d'avantage renseigné sur la dénomination TR/Crypt.XPACK.Gen - Trojan.

 

-----

 

C'est bien d'avoir un lien à disposition pour une analyse approfondie de fichier. Tous les éditeurs d'antivirus proposent ce service ?

  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Bonjour :P

 

C'est bien d'avoir un lien à disposition pour une analyse approfondie de fichier. Tous les éditeurs d'antivirus proposent ce service ?
Oui, généralement tous les antivirus proposent une méthode de remontée de fichier déclarés infectieux, à tort ou à raison. Ça fait partie du service après vente, même dans le cas des gratuits, car cela permet de peaufiner le produit. :P

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...