Bonjour noisette, Thelwin Argon,

Merci pour les messages ci-dessus !

Tout à fait d'accord avec vous pour, si c'est le désir du webmaster, garder au forum la taille et le pagerank qui font un de ces endroits conviviaux qui disparaissent.

Pour ce qui est du blocage de l'acès par MBAM, je confirme qu'il s'agit bien de la version complète (je n'ose pas dire commerciale parce que je l'ai eu gratuitement pour avoir participé aux tests).
J'avais bien lu la réponse de noisette disant que c'était du au serveur mutualisé.

J'ai posté pour dire qu'avec la version 1.42, on avait à présent, la possibilité d'établir une liste blanche et donc d'éviter le blocage (qui obligeait à désactiver la fonction).
Avec la 1.42, on peut donc inhiber l'IP mais, bien sûr, on perd la protection sur tous les domaines hébergés derrière cette IP et, effectivement, la meilleure démarche est d'essayer de voir avec l'hébergeur pour qu'il mette les sites douteux ailleurs

Pour mes tentatives de contacts avec Txon (l'inviter à participer sur un espace privé), c'était il y a une foultitude de minutes (j'utilise l'unité du Web - tout change si vite !) et rien ne presse.

Bonsoir VIRUS-T, noisette, Thelwin Argon, bonsoir à tous,

Quelques mots sur nos procédures...

La lecture des "critères" de D-AM montre que notre procédure de nettoyage des infections malwares va bien au dela de l'élimination des symptômes.

La description des dysfonctionnements d'une machine par son propriétaire n'est qu'un premier guide mais nous nous fions plutôt aux résultats donnés par les programmes de scan avec d'immenses rapports et, de manière simplifiée, une intervention c'est :

- examen de l'état du système et repérage de tous les éléments indésirables (en laissant de côté ce qui est optimisation du système -gain en rapidité, etc.) sans destruction de fichiers, pas même des fichiers temporaires
- élimination des symptômes signalés
- élimination des autres fichiers infectieux ou indésirables repérés
- éventuel traitement de la zone de restauration
- effacement de notre passage par désinstallation de nos outils
- éventuelle optimisation à la demande de l'utilisateur
- explications sur la cause de l'infection
- (re)mise en place des protections
- informations sur la protection
- récupération d'échantillons en particulier de variantes nouvelles ("mutations")
- remontée d'information et de fichiers à nos développeurs
- remontée d'information et de fichiers aux éditeurs et Microsoft

Comme vu ci-dessus, il y a bien plus que la désinfection.
Outre les intervenants sur les forums publics, il y a de nombreuses spécialités parmi nous, en "back office" : des développeurs, des membres qui sont en relation avec ces développeurs pour leur ramener des échantillons et leur signaler des choses à corriger ou améliorer (nos outils y compris MBAM), la même chose vis à vis des éditeurs professionnels (Microsoft, Avast, Antivir, AVG, Kaspersky et autres), des membres qui affinent les procédures, des analystes, des reverseurs, etc.

A côté de ces spécialités, il y en a d'autres dont je ne parle pas en public mais qui sont plus ciblées ou plus techniques.

On voit ci-dessus la récupération et le feedback publics ; il y a d'autres sources et d'autres canaux de remontées mais -désolé- je n'en écris pas plus ici (forum public)... juste que l'analyse de fichiers par VirusTotal, Jotti et autres aboutit à une fourniture d'échantillons aux développeurs et éditeurs.

Bonjour à tous,

Ne sachant pas trop où poster mon message et s'il va avoir de nombreux posts en réponse, c'est ici que je l'écris et je laisse le staff le déplacer.

Il y a eu des posts rapportant le blocage de l'IP d'InfoMars par MBAM-Malwarebytes' Anti-Malware.

La version 1.42 a été publiée par RubbeR DuckY et il y a possibilité d'établir des lsites blanches et donc de corriger le blocage !

-> http://www.malwareby...showtopic=32541

Bonjour VIRUS-T,

Je fais remonter ce sujet ancien qui m'intéresse...

Je ne lance aucune polémique (je veux dire que je ne viens ici pour me disputer avec toi ni pour troller et monter les membres d'InfoMars les uns contre les autres) mais je ne suis pas d'accord avec le résultat que tu affiches car c'est la méthode qui ne convient pas.
Je n'ai pas envie de lire celui-ci est mon préféré, etc.


Qui suis-je ?
Gérard Mélone alias ipl-001
Administrateur sécurité de Zebulon.fr -> http://forum.zebulon...showuser=138602
MS-MVP Consumer Security -> https://mvp.support....E8-D2202B77EA17

Autour de moi, il y a une équipe spécialisée dans le nettoyage de systèmes infectés par des malwares et nous déplorons qu'Avast arrive en première position dans de nombreux classements.
Avast est l'antivirus préféré des francophones, historiquement en français depuis longtemps mais Antivir l'est depuis plusieurs années maintenant.
De nombreuses machines parmi les plus infectées comportent hélas, Avast...

Ce que nous reprochons à ta méthode c'est que tu te bases sur "un échantillon de 25435 malwares:".

Que veux-tu faire avec de vieux échantillons d'il y a plusieurs années ???
Le vrai critère n'est pas de savoir combien de vieux trojans, virus, etc. il est capable de détecter et d'éradiquer mais bien de déterminer s'il détecte ceux qui sont sur l'Internet en ce moment, si l'équipe est réactive !

Une bonne mesure est de prendre une infection actuelle et par exemple, de regarder ce que dit VirusTotal ?
Quels sont les produits qui sont capables de la détecter ?
Un jour après (ou quelques heures), même test : quels sont les produits qui ont amélioré leur détection ?
Et on continue quelques heures plus tard jusqu'à ce que tous les programmes listés soient bons !

On détermine ainsi quelles sont les équipes qui travaillent rapidement et qui sont soucieuses de protéger leurs clients. La protection doit être apportée le plus rapidement possible et pas des jours et des semaines après ! C'est en ce moment que les internautes sont en danger...

Un autre test est de remonter un nouvel échantillon (récupéré sur la machine d'un internaute sur nos forums) à une équipe et de noter la reaction :
- a-t-on une réponse avec ajout dans les mises à jour en quelques heures, avec un message de remerciement et une proposition de contact privilégié pour améliorer le délai pour la fois suivante ?
- est-ce au contraire le silence complet et la correction plus d'une semaine plus tard ?


En outre, je voudrais insister sur les faux positifs et les dégâts causés récemment par Avast comme te le montre ce sujet sur DSLReports -> http://www.dslreport...t-or-is-it-real
Tu pourras trouver l'équivalent sur les forums francophones.
Regarde les dégâts, regarde combien d'heures a mis Avast pour corriger.

Bonjour Thelwin Argon, bonjour à tous,

>on ne fait rien pour avoir un meilleur ranking
Améliorer le ranking, optimiser le ranking, oui mais sûrement pas maximiser sinon, on arrive à la situation de CCM qui a été un excellent site et un excellent forum mais maintenant...

Tout depend des buts du webmaster : récupérer un maximum d'argent ou équilibrer les comptes tant bien que mal avec des conséquences au niveau de l'afflux, la participation de n'importe qui, la convivialité, le niveau technique.

InfoMars est connu et apprécié ! Pour ma part, je crois l'avoir repéré lors de l'arrivée de Txon (que je suivais sur OpenForum) : beaucoup d'internautes de mon domaine (Sécurité anti-malware) viennent lire ses articles de haute qualité !
J'avais essayé de contacter Txon pour qu'il rejoigne notre équipe sur Zebulon mais il m'a toujours snobé (je ne sais pas si j'ai écrit à la bonne adresse de messagerie).

> nous avons plusieurs membres à même d'analyser un rapport HijackThis
Un rapport HijackThis n'est plus très valable de nos jours...
Cette activité de nettoyage d'infection est passionnante mais extrêmement prenante et stressante car nous sommes en prise directe avec les black hats qui démolissent nos outils et il faut se tenir au courant jour après jour.
Certains spécialistes en sécurité ne sont pas intéressés par le nettoyage des infections.


>PS: A-t-on répondu sur le sujet de RkU ??? Thelwin Argon [/size]Thelwin Argon [size="2"]Non mais ça n'a pas grande importance.
Il me semble personnellement qu'un petit article faisant le point sur l'ambiguité de 2 programmes portant des noms semblables et tous les deux téléchargeables, mérite d'être posté mais je laisse Txon le faire s'il le juge utile : c'est lui le spécialiste francophone des rootkits.

Bonsoir Thelwin Argon,

Merci pour l'accueil réservé au projet D-AM de Falkra.

Tout d'abord, je dois rappeler que c'est un label destiné à distinguer les forums et les équipes d'intervention en matière de nettoyage d'infections malware.
Je suis inscrit sur InfoMars depuis 2007 et à l'époque je n'avais pas prévu ce projet

Si je suis sur le forum ces jours-ci, c'est parce que j'y ai été amené par mon moteur de recherche qui pointait sur les articles de Rootkit Unhooker et j'ai voulu poster en réponse à un point ambigu.
Ensuite, j'ai vu quelques mots sur D-AM.

Je ne suis pas ici pour examiner InfoMars... les évaluations sont faites uniquement à la demande d'un administrateur.
Notre but est de guider les internautes infectés à la recherche d'un forum auquel confier sa machine malade et distinguer les forums qui le méritent (et qui nous ont demandé).
Nous ne publions pas le nom des forums candidats mais seulement ceux qui ont obtenu un label, rien n'est publié si le résultat est négatif, mais une fiche d'évaluation est envoyée à l'admin demandeur expliquant les points qui ont achoppé, ceci dans le but de l'aider à améliorer la qualité et redemander un examen de son forum.

Que du positif !

Hélas, certains webmaster ne veulent pas comprendre qu'il n'y a pas de risque (soit ils ont un label soit personne d'autre qu'eux ne sait qu'il y a eu examen) et ne voient que le fait qu'ils ont déjà combiné une stratégie pour s'assurer un bon ranking sur les moteurs de recherche et n'ont pas très envie qu'on regarde de trop près ce qu'ils font et qu'on change les règles du jeu (le seul ranking comme critère de recherche).

Bonjour Neuromancien,Un peu seulement...

Je dois d'abord te préciser que je suis membre VIP de l'ASAP ( http://forums.maddok...p?showuser=6658 ).
Le forum Zebulon.fr dont je suis l'admin sécurité est un site agréé ASAP et à ce titre, j'examine l'attribution du label ASAP à des internautes individuels et/ou à des sites/forums.

D-AM est destiné à des sections sécurité, pas à des individus.
Le label ASAP a été mis en place vers 2003 et n'a pas bien été adapté depuis, si bien qu'il y a eu un grand clash en fin 2005-déb.2006 aboutissant à une séparation de très nombreux grands forums comme GeeksToGo, BleepingComputer, SpyWareWarrior et d'autres que je n'ai plus en tête (mais je peux trouver l'info si tu es intéressé).
Pour l'ASAP, la candidature et la réponse sont faites sur le forum public, pour D-AM, c'est par messagerie privée si bien que la non attribution du label n'est pas "la honte" mais au contraire donne lieu à envoi de conseils pour améliorer le forum examiné... le but n'est pas tant de pavoiser avec un label qu'au final, améliorer le niveau francophone (forums et équipes).

Il y a sans doute d'autres différences mais elles ne me viennent pas.

Bonsoir noisette,



Merci pour ta réponse !
Je laisse Txon organiser les choses en matière de RkU.

Je pense toutefois qu'un petit papier du genre de celui que j'ai écrit ci-dessus est utile car beaucoup ne comprennent pas bien... par exemple Rorschach112 :

CITATION

( http://spywarehammer...msg1717#msg1717 )

Certes, c'était en septembre 2008 mais Rorschach112 est un expert en sécurité, admin de plusieurs grands forums, prof sur GeeksToGo.

Lorsqu'on demande à Google, il donne des liens pour les deux versions y compris de quoi télécharger la dernière version RkU de EP_XOFF et si on ne connaît pas l'histoire, on peut télécharger une version de 2007 surtout si on se fie aux noms Microsoft/SysInternals.

(j'ai posté sur SpywareHammer mais dans une section privée)

Aussi bien Libellules qu'InfoMars font impression par leur excellente tenue.

Merci noisette !

Pour ma part, je suis un membre dormant depuis 2007.
J'imagine que Falkra est membre d'InfoMars car il n'arrête pas de me parler de toi !


~~ édition : eh non, Falkra n'est pas membre d'InfoMars !

Bonsoir noisette, bonsoir à tous,

Noisette , c'est par hasard que je lis ton post... ça tombe bien puisque Falkra m'a fait l'honneur de me prendre avec lui dans l'équipe d'évaluation.

Si vous avez des questions, Falkra ou moi pourrons apporter des précisions.

Bonsoir à tous,

C'est le seul sujet qui parle de RkU dans la première page de la section.

Je sais qu'il y a eu de nombreux articles sur le sujet par Txon mais je ne sais pas où poster... déplacez/supprimez mon message si souhaitable.

Je rebondis sur ces mots de Jerome49 pour signaler la publication de RkU-Rootkit Unhooker version 3.8 LE build 383/585 Service Release 1 build date 27.11.2009, par DiabloNova.
-> annonce Nov 26 2009 sur Rootkit.com, - http://www.rootkit.c....php?newsid=982
-> téléchargement - http://www.rootkit.c...3.8.383.585.rar



Encore une fois Txon a déjà expliqué la chose (lors de la sortie de la première version 3.8) mais je voudrais rappeler qu'il y a deux grandes familles de RkU-Rootkit Unhooker :

- la version RkU-Rootkit Unhooker développée principalement par EF_XOFF qui a été stoppée en 2007 et qui est actuellement connue sous le nom RkU-Rootkit Unhooker VX. (dernière version, la 3.7 même si EF_XOFF avait annoncé la v4)
Pour la petite histoire, Microsoft a acquis le programme et a embauché EF_XOFF et l'équipe de développement qui sont allés travailler chez MS-Deutschland.
. un papier de Txon sur InfoMars -> http://infomars.fr/f...p?showtopic=334
. l'annonce de la version 3.7 sur AntiRootkit.com avec téléchargement sur SysInternals -> http://www.antirootk...it-Unhooker.htm
. l'annonce sur le blog d'EP_XOFF de son départ chez MS -> http://www.rootkit.c...hp?user=EP_X0FF (admirez aussi son ton tout gentillet vis à vis de Gmer )

- la version RkU-Rootkit Unhooker développée principalement par DiabloNova qui a démarré en version 3.8 pour prendre la suite de celle du dessus.
Comme le code avait été acquis (plus ou moins) par MS, la version a été baptisée RkU-Rootkit Unhooker LE. (il y a eu remaniement important du code mais surtout des modes de détections).
La première version 3.8 est sortie -de mémoire- à la fin août 2008.
Il y a quelques jours, est sortie la dernière.
. un papier de Txon sur InfoMars -> http://infomars.fr/f...?showtopic=1904
. un deuxième papier de Txon -> http://infomars.fr/f...?showtopic=1906



Il n'est donc pas surprenant de trouver des téléchargements qui en sont encore à la 3.7 et qui ont une signature Microsoft.
Par contre, la "version 5.1.2600.3300", je ne sais pas...

Hope This Helps.