16 replies to this topic

[tristan]

Ce message a été modifié par tristan - 05 mars 2009 - 22:00 .

[noisette]

Salut Tristan, et bienvenue sur infomars !


Concernant ton sujet: tu te proposes de le faire, ou tu demandes si quelqu'un peut le faire (je n'ai pas bien compris) ?

Je me permets aussi de signaler que si une méthodologie serait intéressante à lire, sans doute à faire aussi, pour qui le peut, elle serait au moins aussi compliquée et longue à mettre sur pied.
Le nombre et la diversité des malwares, de leurs effets et mode d'action, de leur mise en évidence, de leur désinfection, même par grande famille, c'est bien du travail.

Ce pourrait en revanche être un travail d'équipe.

[Neuromancien]

Bonjour,

la recherche "manuelle" de malware demande des connaissances très pointues sur le fonctionnement interne de Windows.
Certains outils de diagnostic utilisés par les "helpers" sont très complexes et demande une formation longue et difficile.
Par exemple, ici, où NickW semble s'occuper d'une infection de type Vundo et qui en réalité, n'était qu'un faux positif. Tu remarqueras que les rapports générés par l'outil de diagnostic (OTListIt2) qu'elle utilise sont quand même beaucoup complexes et complets que ceux de l'antique HijackThis.
Face aux infections qui deviennent de plus en plus difficiles a détecter et a éradiquer, il faut des gens correctement formés et motivés

[Neuromancien]

mais il ne faut pas y voir une entreprise impossible.

Bonsoir,

j'ai dit longue et difficile pas impossible!!!

En outre, je ne souhaite pas passer par ces programmes que tu cites ci-dessus. Les faux positifs sont trop nombreux comme tu le mets en exergue dans ton commentaire.

Tu as mal compris: Les programmes comme Antivir et spybot dans cet exemple ont générés un faux/positif, mais pas l'outil utilisé par NickW dont le rôle s'arrête a lister certains endroits. Mais l'analyse est uniquement le produit de l'expertise du helper (dans ce cas on pourrait dire "helpeuse").
L'éradication manuelle des infections est toujpours possible, mais longue et fastidueuse et c'est pour cette raison que certains ont créé des outils (comme Navilog1 de Il-Mafioso, SmitFraudFix de S!Ri ou ComboFix de sUBs pour le plus puissant et le plus dévastateur s'il est placé dans des mains inespérimentées) qui permettent d'automatiser la destruction de certaines infections spécifiques.
À propos de Combofix et de sa redoutable efficacité, voici une mise en garde de son auteur:

Ci-dessous se trouve une liste de forums où il y a des assistants compétents et autorisés qui comprennent et peuvent analyser des rapports ComboFix. Nous avons classé les forums en fonction de la langue car ComboFix est utilisé partout dans le monde

[Neuromancien]

d´une activité logicielle suspicieuse. Identification du programme, analyse (anatomie et physiologie du code), traçage, etc...

OK, mais cela demande des connaissances très pointues sur le fonctionnement de Windows et personnellement je suis très loin de les posséder.
J'ai eu l'occasion d'accéder à certaines explications sur des infections dont les variantes actuelles ( les suivantes seront peut être moins évidentes) sont maitrisées, et bien je peux te dire que même pour une infection aussi connue que LOP ce n'est pas du gâteau et que l'analyse du fonctionnement n'est pas si évidente que cela!!

[Neuromancien]

Je suis d´accord avec toi. Cependant, je pense qu´il est possible de proposer une approche originale et didactique pour le plus grand nombre.

Ok, mais tes propositions sont vagues, que proposes tu concrètement?
Par exemple sur LOP ou SmitFraud qui sont deux types d'infections très connues?
Un exemple: Voici ce que propose une infection comme SmitFraud: http://siri.urz.free...x/ChangeLog.php
Te sens tu capable de nettoyer ça manuellement et surtout de déterminer que ces différentes clés sont bien infectieuses?

C´est épuisant les copier/coller qui se perdent dans les méandres binaires.
D´une page à une autre, d´un forum à un autre, nous subissons tous la loi cut and paste

Je suis tellement d'accord avec toi que je privilégie la prévention et un surf responsable et prudent.
D'ailleurs, à part une ou deux infections pas très sérieuse car éliminées par Spybot S&D, je n'ai jamais été infecté.

[Neuromancien]

...et je ne parle même pas des infections multiples que l'on peut trouver chez certains!!

[Neuromancien]

J'ai trouvé la procédure manuelle de l'éradication de SmitFraud: http://assiste.com.f...smitfraud.c.php ou là: http://assiste.forum...opic.php?t=7231
C'était avant l'outil créé par S!Ri

[noisette]

Ce que tu dis est parfaitement vrai,

mais expliquer n'est alors pas forcément accessible à quiconque,

moi en tout cas j'en suis incapable.

[Neuromancien]

Ce que je regrette est l´absence d´informations sur la méthode ayant permis de déterminer la responsabilité de ces fichiers dans le dysfonctionnement du sytème.

En fait, pour déterminer la nocivité, il faut avoir une connaissance très intime de Windows et je suppose que ces infos sont connues des MVP.
Je précise aussi aussi qu'elles sont accessibles sur certains forums à accès très sélectifs.

[Thelwin Argon]

Je pense que le faire vraiment manuel, c'est trop dur, mais expliquer comment reconnaitre une infection, etc. à l'aide de logiciels comme IceSword et autre, j'imagie que ça plairait beaucoup à Txon... (envoie lui un MP, peut-être)

De toute façon, c'est bête d'éradiquer la chose à la main, ça prend trop de temps, le plus dur est d'être capable de repérer la chose en question, ensuite tu utilises des fixs, c'est plus efficace comme méthode et déjà très compliqué suivant quoi.


Je dis ça moi, je dis rien...

[Thelwin Argon]

Qui ne sont valable que pour ceux qui feront le dossier car c'est impossible de transmettre le tout aux lecteurs, à mon avis, ou alors il faut noter TOUT ce que vous faites, de A à Z avec en plus tout ce que vous pensez

Dur dur...
Par contre apprendre à analyser les log des différents analyseurs et un truc un peu plus simple, Txon connait bien, sauf erreur, et en plus c'est tout aussi pratique !
Puisqu'après tut sais où est le problème et généralement en quoi il consiste
Du coup tu peux le fixer !

[Thelwin Argon]

En fait non, ça ne m'intéresse pas spécialement.

Je me contente de déchiffrer les rapports et de pouvoir me faire une idée du problème, mais vu que c'est pas ma spécialité, je laisse à Txon le loisir de les interpréter

Je cracherais pas contre un tuto, mais bon, je suis capable d'éradiquer une bonne partie des bébêtes qu'on m'amène
(l'autre jour j'ai pas mal rigolé : un portable infecté sans anti-virus et avec un comportement à risque de l'utilisateur !!! C'était plein ^^' Mais pas trop compliqué comme bestioles, rien d'intéressant)

Et autrement, je me tiens à distance des ces histoires de sécurité, moi ^^'

Qu'aurais-tu souhaité comme réponse ?

PS : d'ailleurs c'est juste que j'ai pas envie de devoir participer à la création dudit dossier, du coup, je vous donne des conseils, mais sans m'avancer, car j'aime pas travailler en groupe et j'ai d'autres choses à faire tout seul

[Thelwin Argon]

Tant mieux alors, tu as vu le nouveau sous-forum auquel tu as accès ???
Va falloir le remplir...

[Thelwin Argon]

Les Tontons Flingueurs, sous-forum de la sécurité

C'est là qu'on met les trucs qu'on aimerait pas voir apparaitre sur google associés avec

Ok, je sors...

Mais c'est presque ça le principe. C'est que pour certain membre bien au fait de ces choses-là, dommage que Txon ne soit pas là, j'imagine que vous vous seriez apprécié...

[Thelwin Argon]

En effet, la sécurité est presque le seul forum qu'il visite
Non, mais c'est généralement lui le "spécialiste" du forum

Le gros problème étant qu'il n'y a sur le forum qu'une infime partie de son travail réel : il a écrit des tonnes d'articles pour un autre forum, jusqu'à ce qu'il parte, dégouté par la politique des admins... Et il n'a pas "pris" tous ces articles sur

M'enfin, Kyro et Noisette expliqueront cette histoire mieux que moi, ou même Txon, il passe de temps à autre.

[Thelwin Argon]

Je crois qu'il est loin pour un moment, mais faudrait demander à noisette pour des précisions ^^'