Bases documentaires

[Mark]

Bonjour Laurent, Gérard, tout le monde (coucou Méga );

 

Je vais tenter de répondre à ta "toute simple question", du moins celle que j'ai perçue :

 

Tu vois un log avec infection "A" ; tu as trouvé - par recherches - que le tool "X" tue cette infection. Parfait, tu passes "X" et le visiteur est clean/heureux. Le lendemain, tu aides visiteur avec infection "A" présente ; Yes, tu sors "X" et puis quoi ? Marche pas.. C'est ici que les choses se compliquent. "X" ne marche pas parce que l'infection "B" est présente et bloque l'outil "X" - ce que tes recherches ne peuvent clairement t'indiquer. On complique un peu plus... l'infection "B" est présente mais pas visible dans les rapports générés par les outils courants (HijackThis!, Ad-Aware, SpyBot, antivirus, etc..). Zut. Comment faire pour l'identifier alors ? Demander des scans précis, avec outils peu courants, selon la présentation et les symptômes. D'où nous viennent les astuces ? De gens qui testent les infections quotidiennement.

 

Nous voyons beaucoup de bécanes infectées par "A", "B", "C" et "D". Tu trouveras - en recherche - des tools pour chacune, probablement, mais tu ne peux pas prescrire la bonne séquence à moins de bien connaître les infections...

 

En conclusion, et comme le dit Gérard, il n'y a pas de solution/réponse toute simple à ta question ! Tu pourrais me demander de regarder un log HijackThis! tout de suite, et je pourrais te dire : "Ok Laurent, y a Smitfraud + Look2Me + Qoologic + DollarRevenue >> voici la technique"... et demain, avec un autre visiteur qui semble infecté par les mêmes bestioles, ça sera autrement car l'infection "D" a muté et l'outil a été modifié, ou bien l'infection "W" est présente mais quasi invisible, et bouzille les outils.

 

J'espère que ces petites explications ont fait un peu de lumière sur toute la complexité de cette lutte...

 

@+

[ipl_001]

Laurent,

 

---édition : bonjour Qc001 ! Merci pour ton interventioon

 

Mes préambules étaient nécessaires pour bien expliquer l'environnement édition : (mieux expliqué par Qc001 en quelques lignes) !

 

Tu peux trouver les infos générales immédiatement (30 minutes) sur l'Internet...

 

Tu as besoin de passer par les centres de formation pour avoir des choses plus poussées et plus spécifiques et en particulier, les dernières avancées... mais alors, tu seras soumis à une certaine réserve.

 

Tes questions (malwares spécifiques) me semblent concerner les informations "plus poussées et plus spécifiques".

[Invité Laurent_62]

Bonjour Qc001, re ipl 001

 

Merci pour ces précisions

 

Je n'ai aucun doute sur la complexité de cette lutte antimalware sinon je ne serais pas là à poser des questions paraissant simples au premier abords mais qui, quand l'explication en est donnée, le paraisse beaucoup moins.

 

Ce genre d'infection "surinfectée" ne me semblent pas non plus être rencontrée tous les jours mais je suis conscient du problème et je ne demanderais pas non plus à ce que l'on me donne une réponse qui marche à tous les coups ou qui soit infaillible je sais parfaitement que cela serait totalement utopique et malheureusement irréalisable.

 

Une petite précision concernant cette certaine réserve, je suis militaire depuis 14 ans maintenant et j'ai pleinement conscience de ce que cela implique ne serait-ce du fait de ma spécialité qui en demande beaucoup à ce niveau.

 

En fait pour clarifier le sens de ma question et les motivations c'est que comme beaucoup je parviends à tirer des informations d'un log hijackthis (sans prétendre connaitre toutes les ficelles) et dans la majorité des cas à résoudre le problème (enfin je pense) mais parfois cela passe par x propositions, x essai etc ce qui ne fait que démotiver la personne en détresse ,et je me met à sa place, voila pourquoi une connaissance plus importante des outils et utilitaires me semble être très importante.

 

Je suis désolé que cette question ai demandé autant d'investissement mais je ne voyais là qu'une demande de précision concernant un point et pour être franc concernant les centres de formation je trouvais totalement contradictoire qu'un site, Un forum ou autre propose un tutorial d'interprétation et d'aide à l'analyse aussi bien fait alors que paradoxalement dès qu'une demande de complément soit faite il en soit répondue qu'il faut "presque" obligatoirement en passer par un centre de formation. ces deux points ne me semblais pas très en accord sinon pourquoi ne pas réserver ces tutos directement pour le dit centre.

 

Enfin cela dans le but d'expliquer un peu mon point de vue lors des précédents posts et ainsi clarifier la situation.

 

La situation étant beaucoup plus claire maintenant je vais de ce pas faire mon footing quotidien, ce qui me permettra de m'aérer un peu.

 

Merci encore à tous les intervenants.

 

Laurent

Modifié le 25 mai 2006 par Laurent_62

[ipl_001]

Bonsoir Laurent, Qc001, bonsoir à tous,

 

Merci à Qc001 d'avoir écrit les mots qui ont permis de nous comprendre !

 

Laurent, tu parles d'HijackThis... oui, tu le trouve encore dans chacune des discussions mais savoir détecter les lignes infectieuses dans un rapport HijackThis n'est qu'une petite partie de notre job !

 

Comme déjà exposé, les choses évoluent sans cesse...

 

Un point sur lequel nous n'avons pas insisté, c'est que s'il y a encore 1 an et demi, un rapport HijackThis était l'unique outil nécessaire, les pirates l'ont aussi bien étudié que nous et de nos jours, HijackThis n'est plus qu'une petite partie de la détection et d'autres outils d'analyse sont nécessaires pour déceler les malwares... Qc001 te parlait de malwares très, très difficiles à déceler (en gros, des malwares faits spécialement pour masquer les autres).

 

Détecter quelques éléments infectieux est une chose, les supprimer en est une autre !

 

Pour ce qui est des outils de nettoyage, s'il y a un an et demi HijackThis et quelques suppressions "faisaient le travail"... il y a un an, il y avait déjà besoin d'utilitaires spécialisés par malware... de nos jours, c'est bien pire, après une première suppresssion, on voit en apparaître d'autres qui étaient masquées et dans de nombreux cas, il y a mutation des malwares !

 

~~~~

 

Le nettoyage d'une infection aussi qu'une partie et notre intervention se poursuit par une formation à la prévention !

[Invité Kimberly]

Bonjour tout le monde,

 

Je me permets ajouter encore quelques détails à l'explication de Qc001.

 

Il ne suffit pas de chercher 30 minutes sur internet et recopier un fix trouvé sur un site pour aider une autre personne. Certains points d'une procédure ont été écrit spécialement pour la personne en question et ne convient absolument pas pour une autre personne. Comme Qc001 l'a souligné, la présence d'une autre infection ou un rootkit (non visible dans Hijackthis) peut entraver la bonne marche du fix A. Autre point très important et je m'excuse d'avance pour ces propos un peu cru ... Récupérer une procédure, un outil sans savoir ce que l'outil fait exactement, c'est de l'inconsience. On peut complètement mettre HS un PC si on utilise mal un outil ou une procédure. C'est entre autre pour cela qu'il y a des centres de formation au malware / spyware, pour apprendre à identifier correctement une infection, à lire et interpreter des logs, savoir ce qu'on peut faire dans tel cas ou tel cas, etc ... bref une formation pour comprendre ce qu'on fait afin d'éviter le pire à un internaute infecté.

[Invité Laurent_62]

Bonjour Kimberly, Boujour tout le monde.

 

En vous lisant quelques questions me viennent à l'esprit :

 

- Pourquoi ces tutos concernant l'analyse ou l'utilisation d'hijackthis sont si largement diffusé ici ou ailleurs si de toute façon, nous autodidacte, sommes trop idiots pour ne serait-ce avoir conscience qu'une mauvaise manipulation ou procédure pourrait s'avérer innéficace dans le meilleur des cas voir destructrice pour le pire ?

 

- Pourquoi m'avoir laissé répondre à des questions sans que personne ne m'informe de ces points ?

Je sais sous la surveillance de l'équipe sécurité mais si le membre récupère la procédure avant qu'un membre de l'equipe sécurité ai le temps d'intervenir.

 

- Si l'apport de procédure faîte des des personnes tel que moi n'ayant pas acces à un centre de formation x ou y et, de ce fait, inconscient du danger que représente l'emploi d'utilitaire ou d'outil pourquoi il n'ai pas tout simplement émis clairement quelques part cette réserve ?

 

Au passage ces questions ne sont pas le fruit d'une réaction à chaud car j'ai relu 5 fois ces propos dans un intervale de plusieurs heures pour être certain d'en avoir compris la teneur et le sens avant d'y répondre.

 

Maintenant aux vues de ce que les experts en pensent d'autres questions se rajoutent à celles plus haut.

 

- Les membres de l'équipe sécurité représentent plusieurs personnes issus de plusieurs forum Français ou étranger par conséquent pourriez-vous s'il vous plait publier cette liste quelques part afin de pouvoir orienter les demandeurs vers ces seules personnes de confiance.

 

 

Sur ce et si vous le permettez je vais en terminer avec les questions auquelles j'ai contribué pour ensuite laisser la primeur des réponses à ces seules personnes parfaitement conscientes des danger de l'action qu'elle demande.

 

Bien amicalement.

 

Laurent

[Invité Laurent_62]

Bonjour ou plustôt bonsoir à tous,

 

Suite à vos conseils éclairés j'ai donc avertis par Mail ou message les administrateurs des différents forum ou site ou j'interviend qui ne sont à ce jour pas doté d'une personne qualifiée (2) afin de les prévenir que par mesure de sécurité et en attente d'une formation autre que basée sur des méthodes autodidactes et pouvant être qualifiée par les "sages" de correcte, mes contributions concernant l'analyse de Log hijackthis ou autre idem pour ce qui concerne l'interprétation de symptomes ne seront plus assurées et se limiteront à une simple action de conseil.

Je terminerais les quelques cas en cours bien évidement et réorienterais toutes nouvelles demandes d'aide vers les personnes formées et duement déclarées apte à cet exercice.

 

En vous remerciant pour vos conseils et votre disponibilité.

 

Cordialement

 

Laurent

[O.Fournier]

B'Jour,

 

simplement ce n'est pas une question de personnes mais une question de "groupes de travail" et d'équipes comme savent mieux travailler les esprits Anglo-Saxons que les individualistes "latins".

 

Il faut que tu comprennes ça et ainsi tu pourras t'intégrer à un de ces équipes, qui ne refusent personne sauf celles qui croient (ou voudraient) détenir seules la vérité ...

Modifié le 27 mai 2006 par O.Fournier

[horus agressor]

Bonjour,

 

Je viens de rédiger un post, qui, s'il peut sembler assez éloigné du présent sujet, en est, en fait, assez proche, du moins ai-je la prétention de le penser...

 

Il faut évoluer parrèllement aux pirates et autres hackers, il faut avoir quelques réflexes, avec Windows XP en tout cas...

 

De Windows XP et de ses lacunes, Prise de conscience

http://forum.zebulon.fr/index.php?showtopi...=0entry747210

 

Amicalement.

[Invité Laurent_62]

B'Jour,

 

simplement ce n'est pas une question de personnes mais une question de "groupes de travail" et d'équipes comme savent mieux travailler les esprits Anglo-Saxons que les individualistes "latins".

 

Il faut que tu comprennes ça et ainsi tu pourras t'intégrer à un de ces équipes, qui ne refusent personne sauf celles qui croient (ou voudraient) détenir seules la vérité ...

 

 

Désolé que le petit bouzeux nordiste n'ai trouvé les mots pour s'adresser avec des mots que son excellentissime aurait pu comprendre car apperement vous arrivez là aves vos grand sabots sans avoir compris quoi que ce soit et juste faire des remarques à deux francs 4 sous (plutot devrai je dire 2 dollars) pour être compris vu que seul les anglo saxons ont la capacité d'avoir conscience de ce qu'elles font.

 

Déplorable.

 

Au fait vous êtes au courant que ce forum est censé être francophone ?

 

Alors si vous le permettez l'individualiste latin en retourne à ces occupations favorites et discuter avec ce pauvres incultes et bouzeux de Français.

 

 

Bonjour horus agressor,

 

Je m'en vais de ce pas lire ce post.

 

Cordialement