MMANA, virus ou trojan ?

[F5JTM]

bonjour à tous
malwarebytes detecte un trojan ou virus sur la derniere version, avec l'option heuristique
idem pour la version russe
est ce le meme phénomène chez vous ?
je recherche donc la version précédente 3.5.3.50, si vous avez ça, je suis preneur

liondemer85 chez yahoo.com

cordialement

Sergio

https://gal--ana-de.translate.goog/basi ... ch=http#18

[F5PBG]

Bonjour,

logiciel sans doute téléchargé au mauvais endroit,
je viens de télécharger la version officielle, scannée
sans rien y trouver.

Je te vous la fait parvenir par courriel et je mets aussi
le lien où je place tous mes liens utiles.

[F4DBD]

Bonjour Ludovic,

Merci pour Sergio. Tu peux aussi, si tu le souhaites, déposer le lien dans ce sujet.

[F5JTM]

bonjour à tous
merci à tous les deux pour votre retour, la question etait surtout détection par méthode heuristique selon le parametrage ci dessous, derniere version malwarebytes 4.5.5
- rechercher les rookits
- rechercher les menaces avec intelligence artificielle
- rechercher à l'aide d'algorythmes puissants

chose que je conseille en ces temps surchauffés

j'ai installé le fichier transmis par PBG, idem, même problème
on m'a transmis la version .31, ras
donc si vous avez la version .50 je suis preneur

73's

[F6ITU]

Bonjour
La notion "d'antivirus euristique" fait partie des arlésiennes et des éléphants roses que tentent de nous vendre les marchands de soupe de la sécurité depuis plus de trente ans. Je crois que ça a commencé avec Kaspersky ou Victor Charly... c'est dire si ça date.

Quelques rappels, en ces temps de numérisation nécessaires à la pratique de l'émission-réception :

- Aucun antivirus ne fonctionne sans base de signature régulièrement mise à jour. Bloquez cette mise à jour, et tout "euristique" qu'il est, votre antivirus sera aussi efficace qu'un préservatif troué.
- Tout éditeur d'antivirus est moralement -et économiquement aussi, d'ailleurs- tenu de faire connaitre la découverte de nouvelles souches au membres de sa congrégation. Ce que détecte un Norton, un Bitdefender ou un Fsecure le détectera dans un délais inférieur à 12 H en général
-ergo, il n'y a pas de "meilleur antivirus"... il n'y a que des outils qui consomment plus ou moins de ressources CPU.
- "voui, mé pandan cé douzeurs je suis vulnérable".... c'est statistiquement vrai mais effectivement inexact. De toute manière, avant qu'un virus soit découvert, il se passe toujours une période durant laquelle le vecteur est actif et inconnu, et là, tous les antivirus sont sur un même pied d'égalité, c'est à dire totalement inutiles.
- Un antivirus EST consubstantiellement une vulnérabilité, puisqu'il fonctionne sur le principe d'une porte dérobée acceptant un fichier (de signature ... ou pas) provenant du monde extérieur. Même un fichier de signature "signé" peut être forgé. Un antivirus peut donc être un vecteur d'infection (j'ai deux exemples en mémoire, se reporter aux conférences Seb Raven sur ce sujet savoureux)
- Il existe effectivement des axes de recherche utilisant l'I.A. pour détecter des honeypot, des C&C, analyser le code d'un malware ou son empreinte dans un fichier. Ce sont des méthodes qui relèvent de la recherche ou de la veille technique, et qui s'accordent mal à l'intégration dans un produit "commercial" (sinon pour faire bien, c'est donc du véritable morceau de pur marketing sauvage)
- Un antivirus ne traite en général que les virus "à la mode". Pour des raisons de taille et de temps de réaction, les éditeurs font souvent l'impasse sur de vieille gamelles et des vulns de grand-mère. A son époque, le concours Iawacs a maintes fois prouvé que d'antiques failles étaient toujours efficaces, même sur des machines protégées par les dernières versions d"A.V.

La sécurité n'est pas une recette, un empilement de boites à pizza genre antivirus+firewall+antispyware. C'est avant tout une attitude, une attention permanente composée d'une foultitude de réflexes. Antivirus et firewall bien sur, mais également backups réguliers (et vérification), isolation et segmentation des réseaux locaux, usage intelligent des ressources distantes (dont cloud), surveillance de votre éventuelle DMZ, politique de mots de passe complexes et variés. Et méfiance extrême envers tous les "mots nouveaux" poussés sur le fumier du marketing du FUD -intelligence artificielle, euristiques, algorithmes, new generation etc

Amicalement
Marc

PS : lorsqu'un malware est détecté par un outil, il peut être intéressant de vérifier la possibilité d'un " faux positif", soit via Herd Protect, soit via Virus Total.

[F5JTM]

bonjour ITU
comme suggéré, j'ai fait une détection à l'aide de Virus Total
4 sites ont détecté un malware dans la version .50
cordialement
Sergio

[F4FUJ]

Bonjour Marc,
Post très intéressant et formateur comme toujours.
Mais ce putain de langage abscons auquel aucun bescherelle ne peut apporter d'aide.
Un exemple : tu parles de C&C. C&C invest : regroupement de crédit que vient-il faire ici ?
Honeypot au prix où est le pot de miel je comprends que l'on cherche à dénicher la bonne affaire.
DMZ ? Zone coréenne démilitarisée. Excuse moi ; en cherchant je vois DMZ informatique. "DMZ est un sous-réseau isolé à la fois du réseau local et de l'internet, c'est en quelque sorte une zone tampon"
ect...
Il faut posséder la pierre de Rosette informatique pour décrypter ton papyrus.

Dans des temps anciens j'employais des acronymes afin d'échanger rapidement avec les collègues mais seulement avec eux. Imagine un patient auquel on exprime un tel langage. Bonjour l'angoisse !
Alors pour les non hyper-spécialisés en informatique, please fais un effort.
En toute amitié.
Philippe.

[F6ITU]

oui, tout à fait d'accord Philippe.
J'ai fauté, étant pris par le temps lorsque j'ai rapidement jeté ces quelques notes.
Il faut aussi admettre que certaines notions "obscures" telles que celles citées le sont de moins en moins, la culture numérique ayant fait tout de même quelques progrès depuis ces 30 dernières années.

DMZ : bingo, c'est effectivement une zone démilitarisée, la même, dans un contexte numérique, que celle qui séparait les deux Allemagnes ou les actuelles Corées. C'est une zone entre "l'intérieur" et "l'extérieur" nécessaire à l'accès au reste du monde, mais susceptible de prendre quelques baffes virales et gnons numériques. En informatique grand public, c'est souvent un espace situé et géré par le routeur ADSL (mais ce peut être un véritable ordinateur, supportant par exemple un serveur Web ou ftp, dont la destruction sous les assauts des "vilains" n'aura pas de conséquence directe pour le réseau local)

Les C&C, ou Centre de commande et de contrôle, sont les "commandes à distance" des virus contemporains. Si l'on craint les virus, l'on doit connaitre au moins leurs grands principes de fonctionnement, et par conséquent le rôle des C&C.
L'époque n'est plus ou les virus étaient pondus pour "casser de la machine". De nos jours, ils servent à collecter de l'information, à infecter d'autres ordinateurs (entretient des "troupeaux de machines zombies"), et changer de fonction selon l'humeur du chef d'orchestre. Le C&C est la "télécommande" qui permet à la charge virale de changer de rôle ou de modifier son comportement. Un C&C, ce peut être une petite annonce sur Le Bon Coin, une page Web, un serveur ftp... n'importe quel service publié.

... et un pot de miel est... un attrape couillon. Le terme est plus distingué, la fonction est la même. Un leurre, un appât, une chêvre, un piège à con, n'importe quel service numérique qui fait croire qu'il est un service numérique et qui en fait est un autre service numérique orienté détection. Très utilisé dans la chasse aux malwares. On utilise ce terme dans les romans policier ou d'espionnage, en diplomatie, en jeux de rôle, c'est un terme courant qui s'adapte à tous les corps de métier ou l'on joue au chat et à la souris

Il est imho plus que nécessaire de maitriser les bases du jargon "sécu" informatique. Certes, c'est assez difficile à placer dans un repas mondain entre la poire et le fromage, mais nous utilisons tous un ordinateur, nous sommes tous des victimes potentielles, des cibles, et par conséquent en recherche de principes de protection.

Si nous ne souhaitons pas faire cet effort, nous devenons la proie des vendeurs de "solutions de sécurité".. terme qui ne veux absolument rien dire, si ce n'est "votre argent m'intéresse" et "gobez mon jargon à moi" (les fameux antivirus I.A., heuristiques etc). La sécurité numérique n'a pas de "solution" miracle, elle n'est que le fruit d'une attitude, d'un comportement, lequel comportement ne peut s'acquérir que par l'apprentissage "au moins" des menaces de base, de leurs principes de fonctionnement, de leurs parades les plus courantes et des attitudes quotidiennes qui permettent de vivre un peu plus longtemps dans ce monde binaire.

Pour en revenir à la remarque de Sergio

Il est également possible que ce soit "encore" un faux positif. J'ai longtemps utilisé, pour mes propres développements, un "packer" de fichiers exécutable qui a été très utilisé par des auteurs de virus. Du coup, chaque lancement se soldait par une bordée d'injures de la part de mon A.V. qui ne détectait pas une "charge" virale, mais un outil "significatif" d'une menace. C'est bien, le machin heuristique, ça part du principe qu'un délit de sale gueule est une certitude de menace.

Il y a trois moyens pour lever ce genre de doute.

- Expédier le fichier douteux à l'auteur du programme en lui signalant l'alarme ET la provenance du fichier (site de téléchargement ). L'auteur verra immédiatement si son oeuvre a été infectée ou si c'est un de ses outils qui provoque l'alarme.

- Envoyer le fichier à son éditeur d'A.V. favori, qui se fera une joie de vérifier la chose (et mettre à jours ses signatures s'il y a lieu),

- Se retrousser les manche et sortir le désassembleur des familles... et on perd 4 ou 5 jours de boulot sur une machine sacrificielle, isolée de tout réseau, en pestant contre Ida Pro, Ghidra etc. C'est un boulot de pro, long, compliqué, mais que ne ferait-on pas pour satisfaire son ubris :- D

73'

Marc