Cheval de Troie

[jibse]

Bonjour,

 

Depuis longtemps, de temps en temps, je passe Spybot et jusqu'à présent je n'avais trouvé que des cookies (une dizaine de cookies, toujours les mêmes, j'utilisais Chrome). Or, je viens de trouvez un cheval de Troie : 22ndStreetComputers.PS3_fraud et c'est la première fois que je passe Spybot depuis que j'ai adopté Maxthon. D'un autre côté, aucun cookie. Je n'incrimine pas Maxtthon a priori, mais pensez-vous qu'un navigateur puisse être responsable de ce genre d'infection ?

[lian]

Non, ce n'est pas le navigateur mais tes habitudes de surf. Allez sur des sites relous amène quelques risques. J'ignore quel antivirus tu utilises mais il faut aussi se pencher sur la question...

[jibse]

Je n'ai pas de mauvaises habitudes de surf, puisque c'est mon premier cheval de Troie depuis...22 ans, à peu près, mais, évidemment, on n'est jamais totalement à l'abri. J'utilise Avira.

[Ldfa]

Je n'incrimine pas Maxtthon a priori, mais pensez-vous qu'un navigateur puisse être responsable de ce genre d'infection ?

Le responsable, c'est plus souvent celui qui se trouve entre la chaise et le clavier.

[jibse]

Le responsable, c'est plus souvent celui qui se trouve entre la chaise et le clavier.

 

C'est un "bon mot", mais non, je n'ai rien à me reprocher. D'ailleurs, peux-tu jurer qu'en allant sur un site dit sûr par Maxthon ou un autre navigateur on ne risque absolument rien ?

[Ldfa]

Personnellement, je ne jure jamais et je ne suis pas responsable de Maxthon.

 

Par contre, le logiciel qui permet d'éviter de récupérer un cheval de Troie, c'est un antivirus et non pas un navigateur Web.

[Jimi]

Parfois pour différentes raison les antivirus detectent des virus qui n'en sont pas aussi.

Beaucoup d'excellent utilitaires de chez Nirsoft par exemple sont reconnus comme des programmes malfaisant alors qu'ils ne le sont pas.

Tout dépends de la personne qui utilise un programme puissant.

 

Un couteau est une chose tres utile dans une maison,( pour manger etc ) mais dans les mains d'un meurtrier cela devient une arme qui tue.

 

Il faut tester avec differents antivirus donc.

 

Pour ma part je n'ai aucun antivirus sur mon PC mais en cas de doute j'utilise des sites de detections qui eux utilisent tous les antivirus dans leur dernieres versions.

j'ai 2 sites que j'utilise en parrallelle :

http://virusscan.jotti.org/

et

http://www.virustotal.com/fr/

qui utilisent une vingtaine d'antivirus chacun.

Et ces sites ne viennent pas scanner sur ta machine ( ce que je n'aimerais pas du tout ) mais on envoie chez eux le fichier suspect.

[jibse]

Merci Jimi pour les liens. Mais j'imagine que ces super antivirus détectent tous les faux positifs des antivirus qu'ils utilisent ? Et puis ta pratique suppose que tu connais tes fichiers suspects. Sinon, si tu dois envoyer un gros dossier (Windows par exemple), ce doit être très long et pour la condidentialité...

[odyssee]

juste pour compléter l’information, il n'est pas nécessaire d'aller sur des sites réputés suspects pour se faire contaminer. une simple recherche google peut aboutir sur des sites que rien n'indique comme suspects a priori. Avira m'a bloqué à plusieurs reprises l'accès à certains sites et ce n'étaient pas des sites de cracks ni de téléchargement, juste des recherches sur des mots ou des infos....

[Raymond]

J'aurais tendance comme odyssee à suspecter plus les sites visités que le navigateur, qui n'a pas intérêt à introduire un code malveillant sous peine de ne plus être employé, Maxthon est un navigateur gratuit garanti par ses développeurs exempt de code malicieux.

 

J'utilise ce navigateur depuis ses premières versions 1.x sans avoir à ce jour rencontré le moindre problème avec ! :wacko2:

[jibse]

... que le navigateur, qui n'a pas intérêt à introduire un code malveillant sous peine de ne plus être employé...

 

Je n'imaginais pas du tout ça. Je pensais à quelque chose comme un WebGuard (celui d'Avira en l'occurrence) qui ne fonctionnerait pas avec Maxthon (mais odyssee me rassure là-dessus) ou à une faille de sécurité (après tout, c'est peut-être idiot de penser qu'un navigateur puisse jouer un rôle d'antivirus, mais on parle bien de sécurité à propos des navigateurs et un cheval de Troie ce n'est pas exactement un virus). Comme c'est mon premier cheval de Troie, juste après avoir adopté Maxthon...post hoc, ergo propter hoc ! Mais je garde Maxthon.

[Bracam]

Spybot m'a fait parfois des ennuis, et n'a plus si bonne presse qu'auparavant. Malwarebyte's serait supérieur, et sa version payante coûte vraiment peu de chose, offrant dans ce cas un scanner en temps réel. Je suis bien incapable de juger de la qualité de ces boucliers, mais ils peuvent aussi être victimes de faux positifs je suppose ; peut-être que l'envoi du fichier suspect chez les sites proposés par Jimi préciserait la question. A noter que ces scanners multi-moteurs en ligne limitent la taille des fichiers analysés à 20 Mo. Ce qui empêche trop souvent l'analyse d'un logiciel (libre par exemple).

 

 

 

 

 

 

 

 

(édit ortho)

[jibse]

... peut-être que l'envoi du fichier suspect chez les sites proposés par Jimmi préciserait la question...

 

Spybot ne m'a indiqué que deux clés de registre à supprimer. Aucun fichier. Je crois que Spybot avait raison, parce que mon ordi était un peu plus lent que d'habitude et Spybot a corrigé ça.

[Jimi]

Les virus ne peux etre que dans ders fichiers executable, générallement .exe ou .dll ( en gros une dll est juste une fichier exe avec une extension differente ..)

Pour le cas d'un programme tel que Max ce serait donc fastidieux d'envoyer tous les fichiers un par un ( les sites nommés n'accepetent pas des dossiers ... )

Mais ton antivirus doit bien te donner le nom du fichier suspect je pense.

 

Sinon j'aurait été curieux de voir ce contenu du registre supprimé pour en savoir plus sur sa provenance.

[jibse]

...Sinon j'aurait été curieux de voir ce contenu du registre supprimé pour en savoir plus sur sa provenance.

 

 

22ndStreetComputers.PS3_fraud: [sBI $80CC9F19] Réglages (Clé du Registre, fixed)

HKEY_CLASSES_ROOT\CLSID\{E8CFC029-8420-4EAE-ADEF-915BDC77E1DC}

 

22ndStreetComputers.PS3_fraud: [sBI $946FF287] Réglages (Clé du Registre, fixed)

HKEY_USERS\S-1-5-21-899781100-41132226-2523332849-1001\Software\Ada99

[Ldfa]

L'explication se trouve sur le site de Spybot et date du 11/2008.

 

Description:

Supposé être un document pour obtenir une PS 3. A la place, le fichier exe affiches des publicités et essaye de se connecter à Internet en arrière-plan. Le fichier exe a été modifié pour qu'il semble provenir d'un magasin d'ebook.

[Jimi]

Donc il semblerait que cette clef tente de lancer un programme "Ada99" , verifies que ce programme n'est pas sur ton PC

La clef indique que ce programme viendrait de la compagnie "22ndStreetComputers"

( http://22ndstreetcomputers-com.software.informer.com/ )

 

Mais gaffe , souvent les programmes malveillants usurpent un nom d'une vraie compagnie ....

 

Reste a savoir comment cette clef est arrivée ... mystere ...

Probablement par un site web comme indiqué plus haut ...

[jibse]

@Jimi

J'ai fait une recherche de ada99 sur mes disques durs et je trouve seulement ces deux fichiers :

C:\Windows\winsxs\FileMaps\program_files_windows_journal_ada99bf7bc9c9733.cdf-ms

C:\Windows\winsxs\Manifests\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_ada998b9936d7566.manifest

et ce dossier :

C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_ada998b9936d7566

 

@Ldfa

J'avais déjà lu ça, mais je ne comprends pas, car je n'ai jamais cherché à obtenir une PS3. Par contre, je suis allé sur des sites d'ebooks pour en télécharger, en toute légalité, mais j'ai scanné ces ebooks, ils ne sont pas infectés.

[jibse]

Je viens de faire une recherche sur internet. Il y a un site ada99.com. C'est un site arabe. Je n'étais pas allé sur ce site (j'ai vérifié dans l'historique), mais j'ai téléchargé 3 ouvrages en arabe (des pdf) pour un ami Mauritanien. Peut-être à partir d'un lien ayant un rapport avec ce site ? Ces trois fichiers n'ont pas de virus.

[Jimi]

dans les documents ( .pdf .. ) y a pas de virus , c'est plutot sur les sites ou tu les a pris , via un activeX

 

AntiVir par exemple surveille le cache du navigateur et alerte en temps reel si il detecte qqchose

mais ... pour IE ... et dans Max 3 le cache etant crypté , je ne sais pas si il peux les voir ....

 

Si ton antivirus le fait , il faudrait y aller avec IE donc ...

[jibse]

AntiVir par exemple surveille le cache du navigateur et alerte en temps reel si il detecte qqchose

mais ... pour IE ... et dans Max 3 le cache etant crypté , je ne sais pas si il peux les voir ....

 

Si ton antivirus le fait , il faudrait y aller avec IE donc ...

 

Je ne comprends pas bien. Tu dis que le cache de IE et de Max 3 est crypté, mais pourquoi faudrait-il y aller (je suppose sur les sites suspects) avec IE ? Quand tu dis "Si ton antivirus le fait", tu veux dire "surveille le cache" ? Mon antivirus, c'est bien Anvira Antivir Premium, mais je n'active pas la protection en temps réel, seulement le WebGuard.

 

Question à propos du forum : je constate que le délai d'enregistrement des réponses s'est sensiblement rallongé. Je me demande si ça vient du forum ou de ma machine (je n'ai pourtant pas de problème avec internet).

[jibse]

J'ai installé Malwarebytes (recommandé par Bracam) en résident et j'ai rouvert les sites suspects. Malwarebytes m'a bloqué ce site : just-download.com

[Jimi]

j'avais merdouillé avec les points et la tournure de phrase et c'etait confus

mais ... pour IE ... et dans Max 3 ==> Pour IE ... mais dans Max 3 ?

 

 

Le cache de IE n'est pas crypté.

Le cache de Maxthon 3 est crypté.