Aller au contenu


ipl_001

Inscrit(e) : 11 oct. 2007
Hors-ligne Dernière activité : 03 janv. 2010 17:21

Messages que j'ai posté

Dans le sujet : Bar des N'antis !

08 décembre 2009 - 11:18

Bonjour noisette, Thelwin Argon,

Merci pour les messages ci-dessus ! byebye.gif

Tout à fait d'accord avec vous pour, si c'est le désir du webmaster, garder au forum la taille et le pagerank qui font un de ces endroits conviviaux qui disparaissent. oui.gif

Pour ce qui est du blocage de l'acès par MBAM, je confirme qu'il s'agit bien de la version complète (je n'ose pas dire commerciale parce que je l'ai eu gratuitement pour avoir participé aux tests).
J'avais bien lu la réponse de noisette disant que c'était du au serveur mutualisé.

J'ai posté pour dire qu'avec la version 1.42, on avait à présent, la possibilité d'établir une liste blanche et donc d'éviter le blocage (qui obligeait à désactiver la fonction).
Avec la 1.42, on peut donc inhiber l'IP mais, bien sûr, on perd la protection sur tous les domaines hébergés derrière cette IP et, effectivement, la meilleure démarche est d'essayer de voir avec l'hébergeur pour qu'il mette les sites douteux ailleurs clindoeil.gif

Pour mes tentatives de contacts avec Txon (l'inviter à participer sur un espace privé), c'était il y a une foultitude de minutes (j'utilise l'unité du Web - tout change si vite !) et rien ne presse.

Dans le sujet : Test antivirus gratuits

06 décembre 2009 - 00:51

Bonsoir VIRUS-T, noisette, Thelwin Argon, bonsoir à tous,

Quelques mots sur nos procédures...

La lecture des "critères" de D-AM montre que notre procédure de nettoyage des infections malwares va bien au dela de l'élimination des symptômes.

La description des dysfonctionnements d'une machine par son propriétaire n'est qu'un premier guide mais nous nous fions plutôt aux résultats donnés par les programmes de scan avec d'immenses rapports et, de manière simplifiée, une intervention c'est :

- examen de l'état du système et repérage de tous les éléments indésirables (en laissant de côté ce qui est optimisation du système -gain en rapidité, etc.) sans destruction de fichiers, pas même des fichiers temporaires
- élimination des symptômes signalés
- élimination des autres fichiers infectieux ou indésirables repérés
- éventuel traitement de la zone de restauration
- effacement de notre passage par désinstallation de nos outils
- éventuelle optimisation à la demande de l'utilisateur
- explications sur la cause de l'infection
- (re)mise en place des protections
- informations sur la protection
- récupération d'échantillons en particulier de variantes nouvelles ("mutations")
- remontée d'information et de fichiers à nos développeurs
- remontée d'information et de fichiers aux éditeurs et Microsoft

Comme vu ci-dessus, il y a bien plus que la désinfection.
Outre les intervenants sur les forums publics, il y a de nombreuses spécialités parmi nous, en "back office" : des développeurs, des membres qui sont en relation avec ces développeurs pour leur ramener des échantillons et leur signaler des choses à corriger ou améliorer (nos outils y compris MBAM), la même chose vis à vis des éditeurs professionnels (Microsoft, Avast, Antivir, AVG, Kaspersky et autres), des membres qui affinent les procédures, des analystes, des reverseurs, etc.

A côté de ces spécialités, il y en a d'autres dont je ne parle pas en public mais qui sont plus ciblées ou plus techniques.

On voit ci-dessus la récupération et le feedback publics ; il y a d'autres sources et d'autres canaux de remontées mais -désolé- je n'en écris pas plus ici (forum public)... juste que l'analyse de fichiers par VirusTotal, Jotti et autres aboutit à une fourniture d'échantillons aux développeurs et éditeurs.

Dans le sujet : Bar des N'antis !

05 décembre 2009 - 17:29

Bonjour à tous,

Ne sachant pas trop où poster mon message et s'il va avoir de nombreux posts en réponse, c'est ici que je l'écris et je laisse le staff le déplacer.

Il y a eu des posts rapportant le blocage de l'IP d'InfoMars par MBAM-Malwarebytes' Anti-Malware.

La version 1.42 a été publiée par RubbeR DuckY et il y a possibilité d'établir des lsites blanches et donc de corriger le blocage !

-> http://www.malwareby...showtopic=32541

Dans le sujet : Test antivirus gratuits

05 décembre 2009 - 17:24

Bonjour VIRUS-T,

Je fais remonter ce sujet ancien qui m'intéresse...

Je ne lance aucune polémique (je veux dire que je ne viens ici pour me disputer avec toi ni pour troller et monter les membres d'InfoMars les uns contre les autres) mais je ne suis pas d'accord avec le résultat que tu affiches car c'est la méthode qui ne convient pas.
Je n'ai pas envie de lire celui-ci est mon préféré, etc.


Qui suis-je ?
Gérard Mélone alias ipl-001
Administrateur sécurité de Zebulon.fr -> http://forum.zebulon...showuser=138602
MS-MVP Consumer Security -> https://mvp.support....E8-D2202B77EA17

Autour de moi, il y a une équipe spécialisée dans le nettoyage de systèmes infectés par des malwares et nous déplorons qu'Avast arrive en première position dans de nombreux classements.
Avast est l'antivirus préféré des francophones, historiquement en français depuis longtemps mais Antivir l'est depuis plusieurs années maintenant.
De nombreuses machines parmi les plus infectées comportent hélas, Avast... keskidit.gif

Ce que nous reprochons à ta méthode c'est que tu te bases sur "un échantillon de 25435 malwares:".

Que veux-tu faire avec de vieux échantillons d'il y a plusieurs années ???
Le vrai critère n'est pas de savoir combien de vieux trojans, virus, etc. il est capable de détecter et d'éradiquer mais bien de déterminer s'il détecte ceux qui sont sur l'Internet en ce moment, si l'équipe est réactive !

Une bonne mesure est de prendre une infection actuelle et par exemple, de regarder ce que dit VirusTotal ?
Quels sont les produits qui sont capables de la détecter ?
Un jour après (ou quelques heures), même test : quels sont les produits qui ont amélioré leur détection ?
Et on continue quelques heures plus tard jusqu'à ce que tous les programmes listés soient bons !

On détermine ainsi quelles sont les équipes qui travaillent rapidement et qui sont soucieuses de protéger leurs clients. La protection doit être apportée le plus rapidement possible et pas des jours et des semaines après ! C'est en ce moment que les internautes sont en danger...

Un autre test est de remonter un nouvel échantillon (récupéré sur la machine d'un internaute sur nos forums) à une équipe et de noter la reaction :
- a-t-on une réponse avec ajout dans les mises à jour en quelques heures, avec un message de remerciement et une proposition de contact privilégié pour améliorer le délai pour la fois suivante ?
- est-ce au contraire le silence complet et la correction plus d'une semaine plus tard ?


En outre, je voudrais insister sur les faux positifs et les dégâts causés récemment par Avast comme te le montre ce sujet sur DSLReports -> http://www.dslreport...t-or-is-it-real
Tu pourras trouver l'équivalent sur les forums francophones.
Regarde les dégâts, regarde combien d'heures a mis Avast pour corriger.

kimouss.gif

Dans le sujet : Bar des N'antis !

05 décembre 2009 - 16:54

Bonjour Thelwin Argon, bonjour à tous,

>on ne fait rien pour avoir un meilleur ranking
Améliorer le ranking, optimiser le ranking, oui mais sûrement pas maximiser sinon, on arrive à la situation de CCM qui a été un excellent site et un excellent forum mais maintenant... pleure.gif

Tout depend des buts du webmaster : récupérer un maximum d'argent ou équilibrer les comptes tant bien que mal avec des conséquences au niveau de l'afflux, la participation de n'importe qui, la convivialité, le niveau technique.

InfoMars est connu et apprécié ! Pour ma part, je crois l'avoir repéré lors de l'arrivée de Txon (que je suivais sur OpenForum) : beaucoup d'internautes de mon domaine (Sécurité anti-malware) viennent lire ses articles de haute qualité !
J'avais essayé de contacter Txon pour qu'il rejoigne notre équipe sur Zebulon mais il m'a toujours snobé clindoeil.gif (je ne sais pas si j'ai écrit à la bonne adresse de messagerie).

> nous avons plusieurs membres à même d'analyser un rapport HijackThis
Un rapport HijackThis n'est plus très valable de nos jours...
Cette activité de nettoyage d'infection est passionnante mais extrêmement prenante et stressante car nous sommes en prise directe avec les black hats qui démolissent nos outils et il faut se tenir au courant jour après jour.
Certains spécialistes en sécurité ne sont pas intéressés par le nettoyage des infections.


>PS: A-t-on répondu sur le sujet de RkU ??? Thelwin Argon [/size]Thelwin Argon [size="2"]Non mais ça n'a pas grande importance.
Il me semble personnellement qu'un petit article faisant le point sur l'ambiguité de 2 programmes portant des noms semblables et tous les deux téléchargeables, mérite d'être posté mais je laisse Txon le faire s'il le juge utile : c'est lui le spécialiste francophone des rootkits.