Quid de l'extension :KAVICHS ?

[Dylav]

Bonjour à tou[te]s,

Lors d'un récent scan MBAM, je regardais par moment défiler les fichiers analysés. C'est là que j'ai vu passer des extensions bizarres, comme par exemple fichier.m4a:KAVICHS (m4a est un format audio Apple) ou fichier.jpg:KAVICHS (image).

Intrigué – voire inquiet – j'ai fait des recherches sur le Net, et n'ai rien trouvé qui m'éclaire... On parle beaucoup de :KAVICHS:$DATA, qui serait une signature ajoutée par Kaspersky sur les fichiers scannés sains. Mais je n'ai plus Kaspersky depuis belle lurette, et en outre c'était sur un PC précédent. J'en ai certes transféré les données sur mon PC actuel (via un DDE). Mais j'ai justement lu que, en cas de changement de support, cette signature disparaissait. En outre, je n'ai pas vu passer le :$DATA lors de mon scan MBAM.

On parle aussi de rootkit KAVICHS... Néanmoins, comme la recherche de rootkits de MBAM ne m'a rien signalé, je ne suis pas trop stressé.

Cependant, je suis dans l'incapacité de retrouver lesdits fichiers. L'attribut :KAVICHS semble ne pas apparaître dans Windows Explorer. En tout cas, une recherche de la chaîne KAVICHS ne rend aucun élément.

Qui saurait m'expliquer le phénomène ? Et quelle incidence sur la qualité et l'utilisation des fichiers concernés (je pense par exemple à un programme qui défilerait les fichiers images : retiendrait-il les jpg:KAVICHS) ?

[Pierre13]

Re,

 

Il s'agit d'un truc assez bizarre fait par Kaspersky et réglé depuis longtemps.

C'est lié à l'utilisation des disques formatés en NTFS et le scan de l'anti virus...paraît-il pour faciliter la recherche.

Tu peux les virer avec cet outil Kaspersky.

 

Source info forum Kaspersky

[Dylav]

Bonjour Pierre,

 

Est-ce à dire que, à côté d'une image MonImage.jpg, se trouverait un autre fichier MonImage.jpg:KAVICHS que l'outil KLStreamRemover va effacer, ou que l'outil va juste supprimer le « complément » d'extension ?

 

C'est que je ne voudrais pas perdre des images, moi ! Ni des fichiers audio...

[Pierre13]

Ben, a vrai dire, je ne sais pas...

A fait, c'est pas un S à la fin de KAVICH, mais un $

Cela donne KAVICH$

Essaie de faire une recherche en affichant les fichiers/dossiers cachés et taper dans la recherche : *.KAVICH$

 

On verra bien ce que ça donne...

[Dylav]

Alors, je crois que j'en sais un peu plus grâce à l'article « Les Alternate Data Streams (ADS) », trouvé sur le site HSC.fr (Hervé Schauer Consultants) : un ADS est un fichier caché associé à un fichier normal, et contenant des données complémentaires. Les ADS ont été créés dans Windows (depuis W 3.1), dans le système de fichiers NTFS, en particulier pour assurer une compatibilité avec le système de fichiers Macintosh HFS.

 

Ce type de fichier peut être assimilé à un rootkit, et ainsi être détecté comme tel par certains logiciels (comme RootKitRevealer). Ce qui ne semble pas être le cas de MBAM.

 

Ainsi, les :KAVICH$ sont des ADS de Kaspersky. Compte tenu de ce que j'ai pu lire, je suis surpris d'en trouver sur mon PC actuel. De toute manière, je vais faire passer l'outil Klstreamremover.exe que tu me conseilles, et advienne que pourra (d'une part mes données sont sauvegardées, et d'autre part si c'est sans effet je pourrai vivre avec, vu que j'en ignorais l'existence il y a deux jours) !

 

Voilà le résultat de son application au répertoire Documents de ma-session.

 

C:\Users\ma-session\Documents>KLStreamRemover /?

KAV Stream Management Tool v1.01 Aug 12 2004 13:12:01 [FOR INTERNAL USE ONLY]
Usage: StreamRemover <switch> <path|filename>
-h this help
-r remove KAV stream from specified file
-i gather info
or from all files in specified folder and its subfolders

C:\Users\ma-session\Documents>KLStreamRemover -r

[...] Énumération de tous les répertoires de l'arborescence Documents

Total streams found 2073, w/o stream 3

C:\Users\ma-session\Documents>KLStreamRemover -i

\\?\C:\Users\ma-session\Documents\KLStreamRemover.exe
\\?\C:\Users\ma-session\Documents\RaccourcisDorigine\Choix de navigateurá.lnk
\\?\C:\Users\ma-session\Documents\S*******\Logiciels\Ma-Config.com.lnk

Total streams found 2075, w/o stream 3

C:\Users\ma-session\Documents>

 

Cela ne semble pas très probant... en tout cas, pas vraiment parlant !

 

J'ai également lu ceci...

 

Il semble que ce logiciel n'enlève le flux alternatif que sur un fichier à la fois.

Et comme tu ne mets aucun paramètre après -r, il ne fait rien.

 

[Pierre13]

Ok...Merci pour ces infos

 

Je n'ai jamais eu ce cas...alors, pour savoir si l'outil enlève l'extension ou le fichier entier..?

Ce truc date depuis pas mal de temps...(on peut voir Windows 3.1 !!!)

Si quelqu'un parmi les membres a déjà eu ce cas, ce serait bien qu'il nous en dise plus..

[Dylav]

Je laisse ce sujet en attente d'éventuelles autres informations...