15 replies to this topic

[Txon]

Salut !

La compagnie "Online Solution" de St. Petersbourg (Russie) a pour raison d'être le « développement de solutions de sécurité globale (pour des systèmes d'information comme les ordinateurs, les postes de travail et les réseaux d'entreprise), destinés à la protection de menaces existantes: l'accès non autorisé à l'information, sa modification ou sa destruction ».
Parmi les produits disponibles, on peut citer :

• "OSAM", un contrôleur des applications automatiquement lancées dans l'ordinateur.
• "OSSS" un logiciel de protection qui comprend une nouvelle génération de système de défense proactive, "OSPD", et un puissant pare-feu, "OSPF". Il offre une protection complète de l'ordinateur contre les attaques les plus récentes des hackers, les codes malveillants et les rootkits.
• "OSHE", un éditeur qui permet d'afficher et de modifier efficacement le contenu de vos fichiers hôtes.
• "OSPC" un « nettoyeur » destiné à supprimer les informations confidentielles et éliminer toutes traces d'activités de l'utilisateur dans le système.

OSAM a fait l'objet d'une brève présentation par PegHorse en décembre 2009. C'est toujours la version 5.0 qui est présentée ici, mais « portable ». Sous cette forme surtout, il est un complément efficace à des ARKs comme RkUnhooker ou RootRepeal dont le principal défaut est de ne pas s'occuper du Registre Windows. Il fonctionne aussi bien avec Windows XP que Seven.

Il existe tellement d'emplacements de démarrage de modules logiciels dans Windows qu'il est difficile de se rappeler de tous au moment opportun. En outre, beaucoup de maliciels récents bloquent ou faussent les résultats des outils tels que regedit, msconfig et autres qui pourraient vous renseigner.

OSAM (Online Solution Autorun Manager) est un outil gratuit, puissant et fiable de contrôle de la "propreté" de tout ce qui est automatiquement chargé dans votre PC avec ou sans votre consentement. Il sait analyser pratiquement toutes les méthodes connues de chargement automatique que ce soit par le biais du Registre Windows ou de dossiers spéciaux.

Entre autres caractéristiques, OSAM intègre un système de contrôle de maliciels. Il est capable de trouver aussi bien des fichiers camouflés que des entrées cachées du Registre Windows. Il est en mesure de vérifier si les fichiers de démarrage sont malveillants ou non (« trusted ») par recoupement avec la base de connaissance en ligne de Online Solution. Si certains fichiers ne sont pas immédiatement reconnus par la base de données, vous pouvez facilement soumettre les fichiers à OSAM pour une analyse (très rapide).

OSAM permet en outre d'établir deux types de fichiers de rapport (texte et HTML) avec toutes les informations sur les « autoload ». Si vous aidez quelqu'un à résoudre un problème informatique qui est causée par un maliciel ou un logiciel défectueux, vous pouvez lui demander d'exécuter OSAM, enregistrer le rapport et vous l'envoyer pour analyse.

Vous constaterez la très faible consommation de mémoire. Par ailleurs, OSAM ne crochète pas les éléments essentiels du système (la SSDT en particulier).

Une -> détection du maliciel Conficker <- qui a tant fait parler de lui.
Un -> rapport <- établi par OSAM.

... / ...

[Txon]

... \ ...

L'essai ci dessous n'avait pas vraiment comme objectif la recherche de maliciels, le système étant réputé « sain », mais plutôt le contrôle de l'immixtion de Comodo Internet Security (C.I.S) V4 dans le Registre Windows d'un PC sous Windows XP SP3 à jour.

Et pour commencer, c'est C.I.S qui se manifeste dès le lancement d'OSAM.

La « sandbox » de Comodo a bien joué son rôle. OSAM se trouve exécuté en « mode utilisateur » avec donc des droits et des possibilités limitées.


Après avoir intégré OSAM à la liste des « fichiers sûrs » de C.I.S, il peut fonctionner normalement, ici avec les paramètres d'origine (n'hésitez pas à cocher la case [ Show Debug Log button ] en cas de besoin et à poser les questions qui vous trottent par la tête).

Le scan est rapide et aussi complet que souhaitable.

Dés la fin du balayage, OSAM affiche clairement une liste des éléments déjà connus et, plus important, de ceux qu'il n'a pas pu vérifier (« not checked »). Pour bien voir où se trouvent les fichiers responsables des entrées, cochez la case [ Show full file path ].

Il suffit de cliquer sur [ Next ] pour qu'OSAM effectue un contrôle « dans le nuage ».

Rien à redire en ce qui concerne Comodo qui se retrouve complètement « trusted » à l'exception de sa HopSurf Toolbar qui, pour autant, n'est pas plus mal considérée que les modules de Java.

Il ne vous reste plus qu'à vérifier le détail des entrées secteur par secteur.

Vu par OSAM, C.I.S est sain.

Si vous avez besoin d'aide, veuillez nous décrire le contexte (version de Windows etc.). N'hésitez pas à nous communiquer le fichier « log » établi par le scan et, au besoin les copies d'écran correspondant à vos soucis.

@+

[dedejess]

Salut

OSSS(Online Solutions Security Suite) nouveau venu chez Matousec, c'est placé directement a la 2em place hier.

Mais je crois qui n'est pas gratuit.

Voici le lien:http://www.matousec.com/projects/proactive-security-challenge/results.php

a+

Ce message a été modifié par dedejess - 24 mai 2010 - 21:13 .

[Txon]

OSAM est "a completely free application", selon les termes employés par Online Solutions, c'est à dire complètement gratuit.
Il y a un gros doute sur OSSS et les autres applications. Aucune mention n'est faite et aucun prix indiqué. Par ailleurs, Online Soution cherche des partenaires pour la distribution de ses produits ...

Je vais leur envoyer un message. Nous verrons bien.

@+

[Txon]

Réponse de Alexey (Online Solutions)

OSAM is a completely free product that is so, probably will remain.
OSSS is a paid product.
Prices on our site:
- 24.95 USD / 1 year (1 PC)
- 19.95 EUR / 1 year (1 PC)

OSSS est donc malheureusement payant mais il y a moyen d'avoir une licence gratuite. Vois ce que noisette a trouvé -> ICI.

@+

[vigen]

Quelqu'un a-t'il tester le pare-feu seul?

Est-il gratuit?



Ooops un ptit édit apparement la pare-feu ne peux se télécharger séparement si j'ai bien vu....

Ce message a été modifié par vigen - 27 mai 2010 - 06:37 .

[vigen]

En tous cas OSSS (117 ? oui je sais elle était facile^^), ne va pas etre simple a tester sur machine virtuelle....

[vigen]

Bonne nouvelle tous ça !!! Je teste la bete, mais ça rame terriblement sur machine virtuelle..

[Thelwin Argon]

J'avais exploité OSAM dans l'analyse du système de démarrage retarder de Glary's utilities...
Je vous recherche ça pour en montrer un exemple d'utilisation.

[Thelwin Argon]

Bon, je vous mets ça en citation, mais je ne suis pas sûr de l'utilité de cet exemple, vu que je n'exploite pas vraiment OSAM à fond ^^'

Ceci est une analyse du système de démarrage retardé de Glary's Utilities, appuyée par OSAM :

J'ai aussi testé de mon côté : effectivement, Glary fait disparaitre les entrées différées, tout comme Startup Delayer

Et il se fait lancer au démarrage... C'est toute la subtilité. Avec le planificateur de tâches windows d'ailleurs.

Je ferais donc remarquer qu'il faut que la fameuse commande "interactive" doit être activée...
Ce qui n'est pas toujours le cas lorsque l'on sait que c'est l'un des meilleurs moyens de compromettre un système XP !

Après un petit test de lancement manuel, je confirme qu'il est bien responsable des applications retardées :
il commence par lancer les applications que je lui ai dit de lancer,

puis après les avoir lancée,

il disparait...

D'ailleurs, il arrive à cacher le fait qu'il lance des applications même au célèbre Autoruns, pourtant des plus complets !
Tout cela grâce à sa manière vicieuse de faire, via le planificateur de tâches

Maintenant, je vais étudier ce petit "initialize.exe" ...

Hypothèse : j'imagine que Glary se content de retirer les entrées qu'on lui donne du démarrage et de les stocker dans une bête liste qui dirige vers les exécutables, ainsi il n'a plus qu'à faire chronomètre et quand il arrive à "l'heure dite", il lance le premier "lien" et donc le premier exécutable, ensuite il va continuer à chronométrer jusqu'au second, qu'il lance, etc.

C'est tout bête, mais ça remplace des gros exécutables qui ralentissait le système au démarrage par un tout petit riquiqui qui va les lancer plus tard, quand le système peut "respirer"

Analyse de initialize.exe :
je peux déjà vous dire que c'est écrit en Borland Delphi 6.0 - 7.0...

Je l'ai donc un peu mal mené afin de voir dans ces entrailles :

Et là, on trouve plusieurs occurrences à un dossier du registre...
Je vais voir et je trouve...

Eh oui, les applications que j'ai retardées précédemment !!!

Donc il écrit simplement dans le registre des clés avec les chemins vers les exécutables et tout devant, les temps à appliquer avant démarrage !!!

CQFD, j'avais pas tord
C'est bon, ça vous suffit ?

Par contre, pour la désinstallations, je sais pas, j'ai pas envie de le désinstaller et j'ai pas envie de m'attaquer à l'uninstaller ^^'
Après une rapide recherche Google :

there also is an uninstall routine in place now that will take you back to the list of startup processes you had specified before using the application.

Il nous suffisait donc de jeter un œil aux updates pour le savoir...
Donc oui, les applications devraient revenir après uninstallation ^^

[vigen]

Bon je viens d'allouer un peu plus de ram a la machine virtuelle et ça va beaucoup mieux, une des rares suite de sécurité réussissant les leaktest comodo avec les règlages de base (score 320/320).

je sais bien que les leaktest de comodo ne sont pas paroles d'évangile, mais cela donne un aperçu des capacités.

[Thelwin Argon]

C'est effectivement bon signe, prometteur même.

[Txon]

Un "truc" que j'avais "zappé" !
How to remove the Vundo Trojan (also known as Virtumonde, Virtumondo, Virtumundo, Monder, Monderb, MS Juan) in 3 minutes using the OSAM Autorun Manager.
@+

[Thelwin Argon]

C'est très exagéré: ma machine fait plus de 8 minutes à redémarrer... Du coup les 3 minutes promises...
Autrement, c'est simple et surement très efficace, bref : bon à savoir

PS : comme la majorité de tes posts en fait, je viens de réaliser ça à l'instant : ce que tu dis es généralement bon à savoir, Txon !
Bravo donc !