1499 replies to this topic

[Neuromancien]

SpywareBlaster, le premier scanne et désinfecte, le second sert de bouclier en temps réel.

En fait, Spywareblaster agit comme la vaccination de Spybot S&D, ce n'est ni un scanner ni un bouclier en temps réel (il échouera donc à tous les tests), voici quelques explications en anglais: http://www.javacools...areblaster.html
Pour résumer, tu vaccines et tu peux désinstaller le logiciel et la protection sera toujours là!
Note bien que tu peux rajouter des éléments à la liste d'origine, et qu'il y a même des liens avec des listes complètes que tu peux rajouter. Je rechercherais demain lez lien le plus connu.
Pour spywareguard, je ne l'ai pas essayé.

[Neuromancien]

Voilà la liste dont je parlais: http://koti.mbnet.fi...tomblocking.txt

[noisette]

Je vais suivre les liens .

[Neuromancien]

Bonjour,

un peu plus de précisions:
Spywareblaster vous permet de rajouter votre propre liste de CLSID.
Pour en rajouter seulement quelques uns, il suffit d'exécuter SB et de cliquer sur "Tools":

 SB01.jpg   76,27 Ko   17 Nombre de téléchargements 


et de sélectionner "Custom Blocking":

 SB02.jpg   80,45 Ko   21 Nombre de téléchargements 

Cliquez sur "add item":

 SB03.jpg   115,88 Ko   17 Nombre de téléchargements 

Une fenêtre apparaît dans laquelle vous pouvez donner un nom à votre entrée et faire OK :

 SB04.jpg   21,12 Ko   18 Nombre de téléchargements 

il suffit maintenant de rentrer le numéro de CLSID et de faire OK:

 SB05.jpg   25,37 Ko   16 Nombre de téléchargements 

Votre entrée apparaîtra en rouge dans la liste:

 SB06.jpg   257,11 Ko   19 Nombre de téléchargements 

Cochez le et cliquez sur "Protect against checked items":

 SB06.jpg   121,96 Ko   18 Nombre de téléchargements 

Et c'est tout, la protection est active.

[noisette]

C'est vraiment très bien expliqué .

Pour ceux qui ne le savent pas:

Un GUID (abréviation de l'anglais Globally Unique IDentifier) sert habituellement d'identifiant unique pour un composant logiciel, par exemple un plugin. Sa taille est de 16 octets, soit 128 bits, décomposés en (exemple : {3F2504E0-4F89-11D3-9A0C-0305E82C3301})

http://fr.wikipedia....ique_Identifier


Une question: où, ou à quelles occasions, mettre la main sur des GUID indésirables ?

[Neuromancien]

Merci pour la précision.

Une question: où, ou à quelles occasions, mettre la main sur des GUID indésirables ?

En fait, je fais confiance à des listes toutes faites comme celle-ci: http://customblockin...com/04list.html ou celle-là: http://koti.mbnet.fi...tomblocking.txt et que tu peux rajouter comme ceci:

Copier/coller une des deux listes et enregistrez la sous la forme d'un fichier .txt dans le dossier de spywareblaster sous le nom "customblocking". Spywareblaster se trouve habituellement en C:\Program Files\SpywareBlaster
Ouvrez Spywareblaster et rendez vous dans Custom blocking comme montré dans mon message précédent.
Faites un clic droit dans la liste et sélectionnez "Select all", enfin cliquez sur le bouton "Protect against ckecked items".
Cette liste est prise en compte.

Edit: Comme les lignes 016 de HJT listent les activex pour IE, je pense que que l'on rajouter ce que l'on y trouve, si c'est infectieux bien sûr, mais c'est a vérifier

[noisette]

Merci de ces précisions.



Cela me fait penser au fichier host, avec des abonnements à des listes de protection.

Ce sont des mesures simples, ça n'est pas pour me déplaire.

En revanche, l'automatisation (mise à jour automatique des listes indiquées par url) n'est pas au programme, c'est un peu dommage, ce serait encore mieux.

[Neuromancien]

Comme dans la plupart des logiciels gratuits il existe des versions payantes offrant plus d'options, dont la mise à jour automatique: http://www.javacools...autoupdate.html

J'oubliais: La vaccination de Spybot S&D et celle de Spywareblaster sont complémentaires.

[Neuromancien]

Pour ce qui est de SpywareGuard, je pense qu'il est dépassé avec les infections actuelles et l'éditeur explique qu'il faudrait complètement réécrire le programme pour une efficacité optimale:
https://www.javacool...n...23&nav=0,12
D'ailleurs, à priori, il n'a pas été testé avec Vista.

[noisette]

Pinaise, tu as fait le tour ...

inutile d'insister pour l'instant sur cet outil, donc. Dommage.

[Neuromancien]

À propos des mises à jour, voici un calendrier qui peut être utile: http://www.calendaro...hp?act=calendar
Mais je suppose que vous connaissiez déjà.

[Tchim]

Oui je connais d'ailleurs je l'avais déjà mentionné dans un autre post :
http://infomars.fr/f...p...ost&p=44528

[noisette]

ça m'avais donc échappé

[Thelwin Argon]

Je trouve qu'il faudrait fait un dossier avec les messages de Neuromancien sur Spywareblaster... Car il y a là tout ce qu'il faut, même des images !
Qu'en pensez-vous ?
On déplace ?

[noisette]

A Neuromancien de décider .

Je m'étais dit la même chose, pour ma part.

[Neuromancien]

Voyons Noisette...
Je t'avais dit déjà dit que si l'équipe d'administration estimait qu'une chose était bonne pour Infomars, je ne m'y opposerais en aucun cas.
Tu as donc mon accord pour ces quelques messages ainsi que pour mes futures contributions.

[noisette]

http://www.pcinpact....roie-espion.htm


Le sujet "Skype" est opaque, difficile à mettre en perspective.

[Tchim]

Salut,

EBAY viendrait juste de vendre Skype à des investisseurs privés...
http://www.silicon.f...ait_vendu_skype

Un autre lien sur l'écoute possible des conversations, sur le logiciel de VoIP Skype :
http://www.silicon.f...kype_sur_ecoute

[Thelwin Argon]

Et on a toujours pas fait de dossier avec les messages de Neuromancien

[cochontetram]

Nouveau test chez virus.gr ::

http://www.virus.gr/...st-05-september

[noisette]

Merci, j'ai sorti ça en niouze

[Neuromancien]

Bonjour,


--Stoned Bootkit est une preuve de concept modulaire permettant de contourner le chiffrement TrueCrypt d'un disque dur et cela notamment à partir du moment où l'on a un accès physique à l'ordinateur ciblé. La version 2.0, disponible au téléchargement, est placée sous une licence Open Source,.

La suite ici: http://www.secuobs.c...t.shtml#contenu


--Le code source du cheval de Troie Peskyspy pour Skype vient d'être publié sous licence GPL, il permet d'enregistrer les conversations Skype vers des fichiers MP3 qui seront chiffrés avant d'être transférés vers un serveur distant pour écoute.

La suite ici: http://www.secuobs.c...r.shtml#contenu

[noisette]

Il semble que des bastions tombent en ce moment ...

concernant la première niouze, je n'ai pas bien saisi comment le rootkit agit pour être en mesure de lire une partition Truecrypt.

En revanche, je ne suis pas surpris (maintenant que c'est fait ^^) de voir que le chiffrement est rendu inopérant pour crypter les données si les données entrantes sont interceptées après déchiffrement, et les entrantes avant. Ai-je bien compris néanmoins ?

[Neuromancien]

Il semble que des bastions tombent en ce moment ...

concernant la première niouze, je n'ai pas bien saisi comment le rootkit agit pour être en mesure de lire une partition Truecrypt.

Je dois avouer que malgré plusieurs relectures et visionnage de la vidéo, je n'ai pas bien saisi le processus.

[Thelwin Argon]

Je puis peut-être vous aidez en citant une partie clé :

Le MBR, en cas de FDE, n'est jamais chiffré vu qu'il est en charge du code responsable du déchiffrement du disque et cela avant même le chargement du système d'exploitation. Il existe dès lors deux scénarios possibles qui dépendent du fait que la partition système soit la seule qui soit chiffrée, ou que ce soit l'ensemble du disque dur qui le soit. Dans le premier cas, le stockage des données additionnelles (modules, MBR d'origine, ...) peut être réalisé en dehors de l'espace réservé au MBR, mais pas dans le second.

Eh oui, si vous chiffrez un disque complet avec TrueCrypt, entièrement s'entend (FDE= Full Disk Encryption), il faut bien que ce disque continue à "exister" pour le système...
Le MBR, comme vous le savez, c'est la zone d'amorçage, le 1er secteur d'un HDD adressable par le BIOS pour lire entre autre la table des partitions et c'est aussi le secteur d’amorce de la partition active chargeant le système d'exploitation, le boot loader autrement dit...

Donc lorsque vous cryptez un HDD système, il doit être logiquement décrypter pour faire tourner le système au démarrage... Cela est effectué par le MBR, dans le cadre du Boot Loader : TrueCrypt y installant une routine de déchiffrement...
Il s'en suit également que puisque cela boot de là, c'est la partie la plus profonde jusqu'à laquelle on puisse aller et elle ne peut pas être chiffrée (Ou alors, il faudrait un BIOS spécial, avec flash sur la CM, etc. Donc il est possible d'aller plus loin, mais matériellement hors d'atteinte pour l'instant...).

Un Bootkit va se planter dans le MBR et donc être lancé par le BIOS en même temps que le système, même avant lui !
Tout comme le déchiffrage de la partition système. Il peut donc "contourner" TrueCrypt !
Vu comme cela, on pourrait se demander si ce ne pourrait pas être une faiblesse physique exploitée de manière soft...
Bin non : seules les partitions "Intel" ont un MBR... le FAT et le NTFS, mais pas les Mac, donc ces derniers sont toujours à l'abri de ce genre de virus ^^'

Autant dire qu'il ne "lit" pas une partition TrueCrypt comme tu sembles le croire, Noisette, mais qu'il se la fait lire par les modules de déchiffrage de TrueCrypt !!!



Alors, c'est mieux comme ça ???

[noisette]

A première vue, nettement, mais il me faudra sans doute une seconde lecture pour être certain de ne rien rater ^^.

[Thelwin Argon]

De rien, je suis étonné que Neuro n'ait pas noté cela tous seul, après tout ce n'est jamais que la fonction de base d'un bootkit qui est exploitée ici spécialement pour contourner TrueCrypt, tout simplement
Et je pensais que Neuro était au clair avec les bootkits, mais faut dire qu'on parle pas souvent de ces derniers, les rootkits ayant plus la côte auprès de Txon

[VIRUS-T]

Bonsoir ,

Je viens de découvrir que Iobit aurait volé la base de donnée de Malwarebytes ! C'est fort quand même!

C'est par ici >> http://www.malwareby...showtopic=29681







Source: VSM LE FORUM

Ce message a été modifié par VIRUS-T - 03 novembre 2009 - 02:20 .

[noisette]

Bonsoir ,

Je viens de découvrir que Iobit aurait volé la base de donnée de Malwarebytes ! C'est fort quand même!

C'est par ici >> http://www.malwareby...showtopic=29681







Source: VSM LE FORUM

A voir ... en tout cas MBAM est remonté, et je les comprends ... d'autant que Iobot n'est pas gratuit ...

Une autre source de l'info: http://www.libellule...-base-de-donnee

[Neuromancien]

Bonjour,


j'allais justement poster le sujet, tu m'as devancé.

Plus d'infos sur le blog de MBAM: http://malwarebytes....ctual-property/ .
Voici le fil originel qui a attiré les soupçons et qui a été bien sur effacé sur le forum de Iobit en version cache: http://74.125.95.132.../showthread.php
Ironie de l'histoire le rapport montrait des faux positifs, qui en réalité, listaient les cracks et keygens destinés a fournir de faux numéros de licence MBAM.