Assiste.Forums

[pierre]

Bonjour,

Des utilisateurs de ce produit discutent entre-eux à propos de la présence de RemoveIT Pro dans la crapthèque. Ils m'inscrivent dans la liste de diffusion de leur fil de discussion afin que je puisse suivre les débats. Ils demandent des explications à l'éditeur qui me demande de retirer son produit de cette liste.

Voici ma réponse ainsi que le petit mot inséré dans le fil de discussion

Cordialement

Bonjour à tous,

J'ai bien reçu les posts de votre fil de discussion. Merci de m’y avoir inscrit.

J'ai procédé à une analyse approfondie de la version "Free" de ce logiciel (fonctionnement - comportement).

Je souhaitais ajouter ma réponse ici mais le document est un peu long et susceptible de retouches
(en plus de sa mise en page qu'il m'aurait fallu refaire ici). Je l'ai donc mis sur notre forum à

RemoveIT Pro - Un "Remover" like !!!
viewtopic.php?p=106604#106604

La consultation est libre
Une intervention anonyme peut se faire en utilisant le login "Test" sans mot de passe (mais ce n'est pas courtois)

Pour l'instant le produit renforce sa position dans la crapthèque.

Merci de le critiquer et/ou d'apporter d'autres éléments constructifs.

Je n'ai pas reçu la demande de Damjan Irgolic InCode Solutions (probablement à cause de mon anti-spam à
test de Turing auquel Damjan Irgolic n'a pas réagit).

Cordialement

Pierre Pinard
Assiste.com

To Damjan Irgolic

Hello,

I regret to bring to your attention that, in the current state of my analysis of RemoveIT Pro,
this one does not comprise any criterion justifying its exit of "La Crapthèque".

Worse: the thorough analysis that I was brought to lead makes it possible to declare that
this product does not have at all its place among the security tools for computers and privacy on the Internet.

Thank you to inform me on the operation of "High-level protection technology (HLP)" Sincerely

Sincerely

Pierre Pinard
Assiste.com

Analyse de RemoveIT Pro

Bonjour à tous,

J'ai bien reçu les posts de votre fil de discussion. Merci de m’y avoir inscrit.

Comme vous avez pu le constater, je signale ce produit au vu du travail de Eric, chercheur en sécurité, MVPS et consultant chez Sunbelt (CounterSpy).

Ce produit figurait dans « The Spyware Warrior List of Rogue/Suspect Anti-Spyware Products & Web Sites - Eric L. Howes". »
http://www.spywarewarrior.com/rogue_anti-spyware.htm

Eric a dé-listé ce produit mais je l'ai laissé dans la crapthèque.
http://assiste.com.free.fr/p/craptheque ... t_pro.html

Je fais régulièrement des analyses des codes des logiciels par le service VirusTotal et DrWEB signalait encore RemoveIT Pro, le 10 avril 2007, en "downloader.trojan".



Suite à votre alerte, j’ai :

• ré-analysé le code du .zip de RemoveIT Pro téléchargé anciennement (version free) ainsi que le même téléchargé aujourd'hui. Plus rien n’est trouvé.
  
• analysé le code décompressé de l'exécutable de RemoveIT Pro, après son installation : 2 scanners (Fortinet et Sunbelt) le trouve suspect (mais ce n’est pas une preuve : la suspicion VIPRE de SunBelt n’apparaît que sur le service VirusTotal et n’existe pas dans le produit commercial CounterSpy – elle permet à Sunbelt d’ « accrocher » un code pour faire une analyse approfondie).
  
  
  
• téléchargé et analysé le code zippé de la version « entreprise » : un outil, DrWEB, le signale en downloader.trojan (insuffisant pour trancher et probable faux positif).
  
• Sous un compte administrateur et sous XP Pro SP2 totalement à jour :
  
  
  • J’ai procédé à une installation sous surveillance de Total Uninstall et n’ai rien remarqué d'anormal dans son déploiement.
    
  • J’ai procédé à un update de la base de signatures sous surveillance de Total Uninstall et n’ai rien remarqué (J'ai procédé ainsi, en deux étapes avec deux logs de surveillance distincts car une alerte sur le Net signalait le dépôt d'un virus par RemoveIT Pro non pas lors de son installation mais lors de sa première mise à jour - démenti depuis).
    
  • J’ai procédé à une analyse d’un système avec RemoveIT Pro et n’ai rien remarqué.

A la seule vue de ces résultats j'aurais pu dé-lister RemoveIT Pro mais je me suis attaché à observer son comportement :

Comportement de RemoveIT Pro:
Ce n’est pas un scanner de fichiers comme tous les scanners « traditionnels » - il ne calcule pas la signature (hash MD5 ou hash SHA1, par exemple) des fichiers pour la comparer à une base de signatures
Ce n’est pas un scanner d’emplacements privilégiés (l’archétype et initiateur de cette technique étant Spybot S&D)

Lorsque l’on observe la zone en bas à gauche de sa fenêtre, on voit défiler des noms de fichiers comme :

• Bkzecslk
  Unique référence sur tout le Web : http://www.incodesolutions.com/threats/ ... slkexe.php
  
• &0123456789
  Uniques références sur tout le Web :
  http://www.incodesolutions.com/threats/ ... 789exe.php
  http://www.incodesolutions.com/threats/ ... 789exe.php
  http://www.incodesolutions.com/threats/ ... 789exe.php
  http://www.incodesolutions.com/threats/ ... 789exe.php
  http://www.incodesolutions.com/threats/ ... 789exe.php
  http://www.incodesolutions.com/threats/ ... 789exe.php
  http://www.incodesolutions.com/threats/ ... 789exe.php
  http://www.incodesolutions.com/threats/ ... 789exe.php
  
• Hpxdfjax
  Deux références sur tout le Web
  http://www.incodesolutions.com/threats/ ... jaxdll.php
  et celle de Prex
  http://spywaredlls.prevx.com/RRGGJC3992 ... E.DLL.html
  
• etc. …

RemoveIT Pro cherche la présence de noms de fichiers à certains endroits.

La base de pseudo " signatures " de RemoveIT Pro est massivement constituée de noms de fichiers aléatoires tels que nous les évoquons dans la base de référence mondiale à http://assiste.com.free.fr/p/pacman/pac ... oires.html

Je procède donc, sous un compte admin et sous un XP Pro SP2 totalement à jour à la manipulation simple suivante :

• Création des fichiers vides suivants en utilisant le bloc-notes de Windows
  c:\bkzecslk.exe
  c:\Program Files\antivirus-golden\&0123456789.exe
  c:\windows\system32\hpxdfjax.dll
  
• Lancement de l’analyse par RemoveIT Pro version Free (base de signatures à jour)

L’analyse découvre 3 parasites !



Le scanner propose alors de faire une analyse de tous les fichiers
J'accepte et demande l'analyse de ma partition contenant un échantillon de parasites
RemoveIT Pro ressort les 3 "parasites ci-dessus" et ne voit strictement rien d'autre.

Je ne corrige pas et je recommence alors une analyse sous un compte limité
Il ne trouve plus que 2 parasites (quid du troisième ? Il ne voit plus &0123456789 qui se trouve dans un sous-répertoire de " Program Files" or ce répertoire n'est pas interdit de consultation par un compte limité !)

Par contre il me trouve un nouveau parasite dans les répertoires temporaires du compte limité.



Je fais donc immédiatement analyser ce fichier par le service VirusTotal et personne ne voit rien (Il s'agit donc d'un faux positif).



Je poursuis par l'analyse complète de tous les fichiers. Il ne voit toujours rien de ma collection de parasites, affiche toujours les 2 fichiers vides et le faux positif mais compte désormais 4 (quatre) dangereux fichiers (?).





L'analyse est évidemment ultra rapide puisque rien n'est analysé - seuls des noms des fichiers sont comparés, et encore... on ne sait pas comment puisque je fait la manipulation suivante :

J'ai, dans mon ordinateur, un autre disque système monté actuellement en disque secondaire. Je crée les mêmes fichiers avec les mêmes hiérarchies et lance l'analyse dessus. Incroyable mais rien n'est vu !

Conclusions

Ce produit (version Free) fait une analyse par enveloppe (par contenant) et non par contenu ! Nous avons déjà dénoncé avec force ce comportement irresponsable, scandaleux, primaire (et je mâche mes mots pour ne pas exprimer le fond de ma pensée). Il faut impérativement interdire ce type de comportement et il faut totalement interdire, tout particulièrement, RemoveIT Pro qui me rappelle furieusement « Le Remover » dont notre analyse avait lancé tant de débats : voir http://assiste.com.free.fr/p/craptheque/remover.html

Comment fonctionne RemoveIT Pro :
Dans la première phase il cherche la présence de noms de fichiers qu'il à en "base de signatures" à des emplacements où ils ont été vus.
Dans la seconde phase il fait l'inverse : il lit les noms des fichiers et les cherche dans sa base de signatures.
C'est tout ! Il n'y a aucune analyse !

En forme de gag
Pour se constituer une base de signatures impressionnante, on peut lui suggérer d'écrire une petite boucle génératrice de noms aléatoires avec toutes les combinaisons possibles des lettres, chiffres et signes spéciaux, retirer de cette liste tous les noms légitimes (connus de lui), et déclarer tout le reste en parasites ! C'est à peu près cet esprit infantile qui anime RemoveIT Pro.

C’est un bricolage d’un amateurisme le plus complet et c’est un danger pour les systèmes !

Regarder les pages d'ajouts de signatures dans RemoveIT Pro, par exemple http://www.incodesolutions.com/virl11.php
On y trouve des centaines de noms aléatoires ! Une hérésie !

Par exemple, voici quelques uns des noms de fichiers introduits le 24 décembre 2006 - combien sont totalement inconnus de la scène sécuritaire et de tout l'Internet ? Tous ! Ils ne sont connus que de RemoveIT (et pour 6 d'entre eux, sont donnés en exemple par PrevX ! Pourquoi ? Parce qu'un nom de fichier généré aléatoirement lors de son installation NE PEUT PAS ETRE CONNU D'AVANCE ! Soit il a déjà été utilisé et ne sert plus à rien car il n'y a quasiment aucune chance pour qu'il réapparaisse une seconde fois (c'est pour cela que les criminels du Net font des générateurs de noms aléatoires !) soit il est en gestation dans un algorithme d'un parasite et la seule manière de jouer au devin serait d'inscrire en signature toutes les combinaisons possibles utilisées par l'algorithme soit, pour un nom de fichier simple et court de 8 caractères utilisant uniquement les lettres et les chiffres (sans signes spéciaux), un nombre de combinaisons égal à 36 puissance 8 (36^8 soit 2.821.109.907.456 noms de fichiers possibles !).

Recherches Google

zqeenlkr.exe - 1 occurrence(s) sur tout Google !
zqbtletr.exe - 1 occurrence(s) sur tout Google !
zjtbreln.exe - 1 occurrence(s) sur tout Google !
zernlcnz.exe - 1 occurrence(s) sur tout Google !
xtztnert.exe - 1 occurrence(s) sur tout Google !
xrnelsxs.exe - 1 occurrence(s) sur tout Google !
xlxektlr.exe - 1 occurrence(s) sur tout Google !
xjjhlbqn.exe - 1 occurrence(s) sur tout Google !
xhzenqnj.exe - 1 occurrence(s) sur tout Google !
xblkenwj.exe - 1 occurrence(s) sur tout Google !
wtnkhhkh.exe - 1 occurrence(s) sur tout Google !
wrzbccjj.exe - 1 occurrence(s) sur tout Google !
wklnlclx.exe - 1 occurrence(s) sur tout Google !
whjtrhtz.exe - 2 occurrence(s) sur tout Google !
weebjtst.exe - 1 occurrence(s) sur tout Google !
vzlejkjs.exe - 1 occurrence(s) sur tout Google !
vwxrtsjj.exe - 1 occurrence(s) sur tout Google !
vskrsbet.exe - 1 occurrence(s) sur tout Google !
vlvsrwqn.exe - 1 occurrence(s) sur tout Google !
vhzvjwjh.exe - 1 occurrence(s) sur tout Google !
vbtxtxhj.exe - 1 occurrence(s) sur tout Google !
tzkbnljl.exe - 1 occurrence(s) sur tout Google !
txncjzjs.exe - 1 occurrence(s) sur tout Google !
tszwslkc.exe - 1 occurrence(s) sur tout Google !
tsnknrbt.exe - 1 occurrence(s) sur tout Google !
tsllknjl.exe - 1 occurrence(s) sur tout Google !
trzxbljk.exe - 1 occurrence(s) sur tout Google !
trscelkn.exe - 1 occurrence(s) sur tout Google !
trqtbbtn.exe - 1 occurrence(s) sur tout Google !
trjrkshn.exe - 1 occurrence(s) sur tout Google !
tqtnrbzt.exe - 1 occurrence(s) sur tout Google !
tlncslrk.exe - 1 occurrence(s) sur tout Google !
tkcknstb.exe - 1 occurrence(s) sur tout Google !
tjxbwjhk.exe - 1 occurrence(s) sur tout Google !
tjsbvskl.exe - 1 occurrence(s) sur tout Google !
thhkqqcz.exe - 1 occurrence(s) sur tout Google !
teswhnxv.exe - 1 occurrence(s) sur tout Google !
teqknsbv.exe - 1 occurrence(s) sur tout Google !
tbvezswl.exe - 1 occurrence(s) sur tout Google !
tbrejntt.exe - 1 occurrence(s) sur tout Google !
tbkhrwtk.exe - 1 occurrence(s) sur tout Google !
sxhqvlbl.exe - 1 occurrence(s) sur tout Google !
sxcnjbsj.exe - 1 occurrence(s) sur tout Google !
ssntejkt.exe - 1 occurrence(s) sur tout Google !
sslwbbne.exe - 1 occurrence(s) sur tout Google !
ssblhheq.exe - 1 occurrence(s) sur tout Google !
sqnxhnrr.exe - 2 occurrence(s) sur tout Google !
sqjwkrbj.exe - 1 occurrence(s) sur tout Google !
rvkbrkrn.exe - 1 occurrence(s) sur tout Google !
qlzeslns.exe - 1 occurrence(s) sur tout Google !
obhasb.exe - 1 occurrence(s) sur tout Google !
nztbkvbv.exe - 1 occurrence(s) sur tout Google !
lvtqexbz.exe - 1 occurrence(s) sur tout Google !
lnxkrwcx.exe - 1 occurrence(s) sur tout Google !
leeeczne.exe - 1 occurrence(s) sur tout Google !
klxvsjsj.exe - 1 occurrence(s) sur tout Google !
khvxnbcw.exe - 1 occurrence(s) sur tout Google !
khkekcnh.exe - 1 occurrence(s) sur tout Google !
jjxrntsb.exe - 1 occurrence(s) sur tout Google !
hlbtbjbs.exe - 2 occurrence(s) sur tout Google !
erbjwxjs.exe - 1 occurrence(s) sur tout Google !
bnlekerc.exe - 1 occurrence(s) sur tout Google !
bktzejjb.exe - 1 occurrence(s) sur tout Google !
bkrvbsks.exe - 1 occurrence(s) sur tout Google !
bewwnrrc.exe - 1 occurrence(s) sur tout Google !
belsrlnh.exe - 1 occurrence(s) sur tout Google !
behrnthe.exe - 1 occurrence(s) sur tout Google !
bebwtben.exe - 1 occurrence(s) sur tout Google !
bebkejzl.exe - 1 occurrence(s) sur tout Google !
bceqwcsw.exe - 2 occurrence(s) sur tout Google !
bbwlvvxt.exe - 1 occurrence(s) sur tout Google !
bbwkswvx.exe - 1 occurrence(s) sur tout Google !
bbthszks.exe - 2 occurrence(s) sur tout Google !
bbstlnhn.exe - 1 occurrence(s) sur tout Google !
bbslntkr.exe - 1 occurrence(s) sur tout Google !
bbsjtejb.exe - 2 occurrence(s) sur tout Google !
bbsbzkzx.exe - 1 occurrence(s) sur tout Google !

Ces noms peuvent tout aussi bien être des faux, des inventions pures et simples ! Rien ne permettrait de le confirmer ou de l'infirmer.

Incidemment on remarquera que RemoveIT Pro ne sait même pas de quel parasite il peut bien s’agir lorsqu’il propose de détruire un fichier. On est en plein univers des suppositions ! Par exemple, &0123456789.exe est donné pour être le parasite sys32.&0123456789.exe qui est un parasite imaginaire.

Dans sa base de signatures, le principe même d'incertitude est affiché : le fichier &0123456789 pourrait être (d'après lui mais cela n'a jamais été vérifié sur le Net) un composant de :
virusrescue
ou
virus-bursters
ou
pesttrap
ou
pcodec
ou
intcodec
ou
elitecode
etc. ...

En fait, il ne sait pas du tout ce que c'est et s'en fiche - il lance une alerte, c'est tout : "dangereux virus ou vers" sans plus. Il n'en sait rien strictement et lance une supposition que c'est dangereux et qu'il faut l'effacer parce que un jour, le parasite "on ne sait pas quoi" a fait comme ça ! Il ne sait même pas de quel type de parasites il parle et, en l'occurrence, pour &0123456789, pas de chance car les noms de parasites probables que l'on peut déduire à la lecture des noms des sous-répertoires ne sont ceux d'aucun vers ni virus mais de crapwares (appelés PUP par certains - Potentialy Unwanted Program) !

Lorsque l'on recherche un nom de fichier sur le site de RemoveIT Pro, ce dernier ne donne que, laconiquement et invariablement, la même réponse : "c’est un parasite connu de nous" ! C’est tout – on n’en saura jamais plus !

Le nom que RemoveIT Pro donne aux "parasites" est win32 ou sys32 etc. … suivi du nom du fichier ! Il y a gros à parier que son auteur n’y connaît absolument rien en parasites ni en convention de nommage et aligne des noms de fichiers aléatoires (qui, par essence, ne servent à rien puisqu’ils sont aléatoires) trouvés en écumant les bases de Prevx, Symantec etc. …, sites qui donnent quelques exemples de noms aléatoires (pour de vrais parasites) qui ont de fortes chances de ne plus jamais se re-présenter à nouveau.

Quand bien même les fichiers détruits sans analyse seraient ceux de parasites, je rappelle avec force que lors de la découverte d'un parasite, la conduite a tenir n'est que marginalement l'éradication du parasite ! Il faut se renseigner sur ce parasite pour savoir ce qui s'est passé en amont et imaginer ce qui va se passer en aval (qu'est-ce qui a été compromis, quelle faille a été utilisée qu'il convient de rechercher et corriger sinon cela va recommencer, quelles sont les conséquences de la compromission en matière de sécurité comme en matière de données compromises (risque industriel, commercial, juridique etc. ...). Lire impérativement :

Réactions face à la découverte d'un parasite
http://assiste.com.free.fr/p/abc/a/reac ... asite.html

RemoveIT Pro est incapable, par conception même, de donner le moindre nom de parasite - il est donc impossible d'agir : on efface des fichiers aveuglément et c'est tout ! C'est d'une imbécilité crasse !

Donc RemoveIT, toutes versions, est une dangerosité (et probablement une escroquerie pour la version payante que je n'ai pas testée) et sa position dans la crapthèque est renforcée.

La fiche RemoveIT Pro, dans la crapthèque, reprendra cette analyse ainsi qu’une lecture attentive des clauses EULA et Terms (conditions générales de vente), lecture qui, à elle toute seule, justifie l'introduction de ce produit dans la crapthèque.

Je vous convie à l'usage gratuit de RogueRemover pour éradiquer réellement les supputations "au petit bonheur la chance" de RemoveIT Pro.
http://assiste.com.free.fr/p/logitheque ... mover.html

L'auteur de RemoveIT Pro peut me contacter pour infirmer / démentir / corriger mon analyse et infléchir mon jugement et je ne manquerais pas d'y être attentif.

Cordialement

Pierre Pinard
Assiste.com

[pierre]

Réponse de l'éditeur de RemoveIT Pro

Thank you for your email!

This 3 detected threats are not false positives if you think that.

Win32.BKZECSLK or BKZECSLK.EXE is dangerous accorording to Prevx, see details
http://spywarefiles.prevx.com/RRGFAJ313 ... 2Eexe.html
Win32.hpxdfjax or hpxdfjax.dll is also dangerous accorording to Prevx, see details
http://spywarefiles.prevx.com/RRGHJB314 ... W.EXE.html

If you have different information about this files please let me know.
You can't threat some AV program like crapware because you think that some located threats are legitimate.
First you have to prove that this threats are false positives.
You dont know nothing about RemoveIT Pro and you cannot judge about some AV program because you are not experts in antivirus field and you dont know how viruses spread them selfs so please remove your review.
Please also note that fruther files from your forum are also dangerous with random filenames generated by trojans.
zqeenlkr.exe - 1 occurrence(s) sur tout Google !
zqbtletr.exe - 1 occurrence(s) sur tout Google !
zjtbreln.exe - 1 occurrence(s) sur tout Google !
zernlcnz.exe - 1 occurrence(s) sur tout Google !
xtztnert.exe - 1 occurrence(s) sur tout Google !
xrnelsxs.exe - 1 occurrence(s) sur tout Google !
xlxektlr.exe - 1 occurrence(s) sur tout Google !
xjjhlbqn.exe - 1 occurrence(s) sur tout Google !
xhzenqnj.exe - 1 occurrence(s) sur tout Google !
xblkenwj.exe - 1 occurrence(s) sur tout Google !
wtnkhhkh.exe - 1 occurrence(s) sur tout Google !
wrzbccjj.exe - 1 occurrence(s) sur tout Google !
wklnlclx.exe - 1 occurrence(s) sur tout Google !
whjtrhtz.exe - 2 occurrence(s) sur tout Google !
weebjtst.exe - 1 occurrence(s) sur tout Google !
vzlejkjs.exe - 1 occurrence(s) sur tout Google !
vwxrtsjj.exe - 1 occurrence(s) sur tout Google !
vskrsbet.exe - 1 occurrence(s) sur tout Google !
vlvsrwqn.exe - 1 occurrence(s) sur tout Google !
vhzvjwjh.exe - 1 occurrence(s) sur tout Google !
vbtxtxhj.exe - 1 occurrence(s) sur tout Google !
tzkbnljl.exe - 1 occurrence(s) sur tout Google !
txncjzjs.exe - 1 occurrence(s) sur tout Google !
tszwslkc.exe - 1 occurrence(s) sur tout Google !
tsnknrbt.exe - 1 occurrence(s) sur tout Google !
tsllknjl.exe - 1 occurrence(s) sur tout Google !
trzxbljk.exe - 1 occurrence(s) sur tout Google !
trscelkn.exe - 1 occurrence(s) sur tout Google !
trqtbbtn.exe - 1 occurrence(s) sur tout Google !
trjrkshn.exe - 1 occurrence(s) sur tout Google !
tqtnrbzt.exe - 1 occurrence(s) sur tout Google !
tlncslrk.exe - 1 occurrence(s) sur tout Google !
tkcknstb.exe - 1 occurrence(s) sur tout Google !
tjxbwjhk.exe - 1 occurrence(s) sur tout Google !
tjsbvskl.exe - 1 occurrence(s) sur tout Google !
thhkqqcz.exe - 1 occurrence(s) sur tout Google !
teswhnxv.exe - 1 occurrence(s) sur tout Google !
teqknsbv.exe - 1 occurrence(s) sur tout Google !
tbvezswl.exe - 1 occurrence(s) sur tout Google !
tbrejntt.exe - 1 occurrence(s) sur tout Google !
tbkhrwtk.exe - 1 occurrence(s) sur tout Google !
sxhqvlbl.exe - 1 occurrence(s) sur tout Google !
sxcnjbsj.exe - 1 occurrence(s) sur tout Google !
ssntejkt.exe - 1 occurrence(s) sur tout Google !
sslwbbne.exe - 1 occurrence(s) sur tout Google !
ssblhheq.exe - 1 occurrence(s) sur tout Google !
sqnxhnrr.exe - 2 occurrence(s) sur tout Google !
sqjwkrbj.exe - 1 occurrence(s) sur tout Google !
rvkbrkrn.exe - 1 occurrence(s) sur tout Google !
qlzeslns.exe - 1 occurrence(s) sur tout Google !
obhasb.exe - 1 occurrence(s) sur tout Google !
nztbkvbv.exe - 1 occurrence(s) sur tout Google !
lvtqexbz.exe - 1 occurrence(s) sur tout Google !
lnxkrwcx.exe - 1 occurrence(s) sur tout Google !
leeeczne.exe - 1 occurrence(s) sur tout Google !
klxvsjsj.exe - 1 occurrence(s) sur tout Google !
khvxnbcw.exe - 1 occurrence(s) sur tout Google !
khkekcnh.exe - 1 occurrence(s) sur tout Google !
jjxrntsb.exe - 1 occurrence(s) sur tout Google !
hlbtbjbs.exe - 2 occurrence(s) sur tout Google !
erbjwxjs.exe - 1 occurrence(s) sur tout Google !
bnlekerc.exe - 1 occurrence(s) sur tout Google !
bktzejjb.exe - 1 occurrence(s) sur tout Google !
bkrvbsks.exe - 1 occurrence(s) sur tout Google !
bewwnrrc.exe - 1 occurrence(s) sur tout Google !
belsrlnh.exe - 1 occurrence(s) sur tout Google !
behrnthe.exe - 1 occurrence(s) sur tout Google !
bebwtben.exe - 1 occurrence(s) sur tout Google !
bebkejzl.exe - 1 occurrence(s) sur tout Google !
bceqwcsw.exe - 2 occurrence(s) sur tout Google !
bbwlvvxt.exe - 1 occurrence(s) sur tout Google !
bbwkswvx.exe - 1 occurrence(s) sur tout Google !
bbthszks.exe - 2 occurrence(s) sur tout Google !
bbstlnhn.exe - 1 occurrence(s) sur tout Google !
bbslntkr.exe - 1 occurrence(s) sur tout Google !
bbsjtejb.exe - 2 occurrence(s) sur tout Google !
bbsbzkzx.exe - 1 occurrence(s) sur tout Google

Best regards!
Damjan

[pierre]

Ma réponse :

Bonjour,

Reproduit dans http://assiste.forum.free.fr/viewtopic.php?t=16896
Notez que j'inscrit Eric Howes dans la liste de diffusion de cette conversation.
Notez que l'intervention de Damjan Irgolic à laquelle je répond ici concerne mon analyse d'hier de son logiciel, analyse qui se trouve à http://assiste.forum.free.fr/viewtopic. ... 647#106647

Vous dites :

This 3 detected threats are not false positives if you think that.

Win32.BKZECSLK or BKZECSLK.EXE is dangerous accorording to Prevx, see details
http://spywarefiles.prevx.com/RRGFAJ313 ... 2Eexe.html
Win32.hpxdfjax or hpxdfjax.dll is also dangerous accorording to Prevx, see details
http://spywarefiles.prevx.com/RRGHJB314 ... W.EXE.html

Faux ! Vous avez tord dans votre raisonnement de base. Jamais un fichier n’est dangereux ! Seul le contenu d’un fichier, dont le nom importe peu, est plus ou moins dangereux ou pas du tout. Qu’un contenu dangereux ait été vu dans un fichier nommé « machin » à un instant de raison ne permet à aucun moment de déclarer que le fichier « machin » est définitivement dangereux : le nom d’un fichier est complètement sans intérêt et a fortiori s’il s’agit de noms aléatoires.

Vous dites

First you have to prove that this threats are false positives.

Oui ! Ce sont des faux positifs! J’ai créé ces 3 fichiers sur mon système et ils sont vides (0 caractère) or vous les déclarez en fichiers dangereux et me suggérez de les supprimer. Comment voulez-vous que je qualifie un programme qui me dit une pareille ineptie ?

Mais nous n'allons pas nous battre à propos de technologies antivirus si vous pensez que je ne suis pas compétent.

Il y a des années que nous dénonçons les tentatives de détection par enveloppes (apparences des choses). Toutes ont été stoppées. Aucun éditeur de logiciels ne l’utilise car il serait instantanément balayé de la scène.

La dernière tentative en date que je stoppais fût la gaminerie « The Remover » en juillet 2004. Voir http://assiste.com.free.fr/p/craptheque/remover.html

En janvier 2005 j’épinglais Spybot Search and Destroy à propos d’une détection par enveloppe (voir page 43 de mon Comparatif antivirus et anti-trojans à « Spybot détecte ConnomName » http://assiste.com.free.fr/p/dossiers/C ... ivirus.pdf )

La détection par enveloppe est une faute lourde. Aucun outil ayant de tels agissements ne sera jamais autorisé à citer. Cette démarche était déjà pathétique il y a 15 ou 20 ans alors que l’on savait déjà faire des signatures de contenus, même sommairement avec des crc16 ou 32. Aujourd’hui, même les md5 ou sha1 sont sur la sellette car des collisions seront probablement obtenues à la demande prochainement et les successeurs de ces algorithmes sont en développement.

Les noms aléatoires sont par nature innombrables et innommables.

La détection du code contenu est le strict minimum aujourd’hui. Nous n’en sommes d’ailleurs même plus là depuis longtemps avec le polymorphisme et les hooker (rootkit). L’analyse comportementale est nécessaire. La marche en avant est celle des sandbox et autres virtualisation à la Geswall. Ce n’est pas un hasard si le classement AV Comparative fait ressortir les multi-moteurs avec virtualisation (voir l’avant dernière colonne du tableau dans http://assiste.com.free.fr/p/presse_new ... ssine.html

Je vous ai demandé de m’éclairer de manière approfondie sur la technologie employée dans la version Entreprise de votre outil. Vous avez dédaigné mon ouverture. Vous devez comprendre qu’il m’est impossible de m’aligner sur une simple déclaration publicitaire de l’éditeur d’un logiciel. Le doute est le moteur du sens critique.

Cordialement

Pierre Pinard
Assiste.com

Suit la version anglaise de ce texte.

[pierre]

Bonjour

A-Squared classe RemoveIT Pro à
Spyware, Adware, HiJacker
http://www.hijackfree.com/fr/processdetails/?id=1400

Ceci me paraît être un erreur.

Il peut être classé en PUP (Potentially Unwanted Program) mais pas en spyware (je n'ai pas détecté d'activité en ce sens).

Cordialement

[pierre]

Bonjour

Réponse de l'éditeur de RemoveIT Pro
Il n'y manque pas un mot (sans salutation ...)

You can think what you want about RemoveIT Pro but I do know that RemoveIT Pro is helping many people to resolve viruses problem and it is succesful in many cases with threats.
RemoveIT Pro uses filename check to locate viruses, filename check is very effective if you like it or not because many trojans change source of its self and have different MD5 on each infection so filename are one of the ways thing that detect them.
Please also note that standard home user will not create file with trojan filename just to test RemoveIT Pro and it will not judge about some program if it has no experience in programs field. Like I said before you are not expert in antivirus field so please be so kind and remove your review.

Best regards!
Damjan

Je crois qu'il refuse de répondre à ma demande d'informations sur la technologie de la version "Entreprise" de RemoveIT Pro. Je pense donc que :

• soit elle n'existe pas
• soit il sait qu'elle n'est pas crédible.

Dans ces 2 cas, RemoveIT Pro renforce sa présence dans la Crapthèque.

You can think what you want

Heureusement !

RemoveIT Pro uses filename check to locate viruses

Nous l'avions compris ! Damjan Irgolic n'a donc rien à ajouter pour défendre au moins ce qu'il appelle "la version Entreprise" de son produit ? Serais-ce tout simplement parce qu'il n'y a rien de plus dedans ? Et il y aurait même une version serveur ?... Pourtant j'insiste lourdement pour qu'il m'en parle ! Tout se passe, dans ses propos, comme s'il n'y avait qu'une seule technologie, celle des noms de fichiers.

many trojans change source of its self and have different MD5 on each infection

Justement, c'est la raison pour laquelle je vous ai dit qu'il fallait utiliser les analyses comportementale, les sandbox, la virtualisation à la Geswall...

so filename are one of the ways

Non ! Ils changent aussi de nom de fichiers (noms aléatoires !). Il est vain et puéril de collectionner des noms de fichiers aléatoires d'autant qu'ils ne servent qu'une fois.

standard home user will not create file with trojan filename just to test RemoveIT Pro and it will not judge about some program if it has no experience in programs field

Ceci signe votre démarche : vous prenez les utilisateurs pour des crétins et vous vous croyez donc autorisé à leur vendre n'importe quoi car ils sont incompétents ! Belle mentalité ! Il y a plus de 10 ans que je communique sur le Net afin d'informer les utilisateurs et vous venez prôner l'obscurantisme et son exploitation commerciale ! Je ne le vous permettrais pas.

you are not expert in antivirus field

En effet, je n'ai que 35 ans de métier dans la théorie des systèmes, des langages et des compilateurs. Je n'ai même pas 30 ans d'expertise et de consultant en informatique et systèmes d'organisation. Je n'ai été concepteur et chef de projets et n'ai dirigé d'équipes de développement informatique que durant 30 ans uniquement pour tuer le temps devant la machine à café. Assiste.com est devenu la plus importante ressource francophone au monde en matière de sécurité des ordinateurs et protection de la vie privée uniquement parce que je ne sais pas de quoi je parle... La cooptation du site, du forum et de moi-même au sein de l’ASAP (Alliance of Security Analysis Professionals) s’est faite sans doute par des incompétents notoires (et accessoirement MVPs)

• Je me sent donc autorisé à porter un jugement sur votre produit et sur votre manque total d'expertise en matière de scanners antivirus et, plus généralement, en matière de sécurité des systèmes d'information
• Je me sent un devoir de communiquer ce jugement au plus grand nombre

please be so kind and remove your review

Nous allons briser là car il n'y a rien à attendre ni entendre de quelqu'un qui ne veux pas défendre son produit lorsqu'on lui en donne l'opportunité et le lui demande et qui n'a comme argument que de jeter à la figure de son interlocuteur un péremptoire et définitif "vous n'êtes pas un expert en antivirus" sans même savoir à qui il a à faire.

Cordialement

[pierre]

Bonsoir,

Analyse de la clause EULA et de la clause TERMS
http://www.incodesolutions.com/license.php

• Terms of Use & EULA (End User Licence Agreement)
  Une première fois : These Terms of Use shall be governed by the laws of Croatia. (On note qu'il est en Croatie et on découvre, après lecture attentive de tout le site, au détour d'une page, la mention de la ville de Rijeka).
  Une seconde fois : 10. Governing Law. This Agreement will be governed by and construed in accordance with the substantive laws in force in the United Kindom of Great Britain.
  
  Particulièrement suspect !
  
  
• Une EULA est un contrat et il le dit : YOU AGREE THAT THIS AGREEMENT IS ENFORCEABLE LIKE ANY WRITTEN NEGOTIATED AGREEMENT SIGNED BY YOU.
  Dans le cas présent on ne sait pas à qui on a à faire : on ne sait pas avec qui on signe !
  Forme de son activité (nom personnel, forme sociale...)
  Adresse exacte et complète
  Numéro d'enregistrement dans un registre similaire à nos registres des métiers ou du commerce
  Code TVA international
  Banque
  Surface financière
  
  Nota : les informations données par un Whois sur un nom de domaine n'ont aucune signification (elles sont souvent "bidons" par volonté de dissimulation et malveillance et, en tout état de cause, sont purement déclaratives par le registrant et sans aucune vérification de la part du registrar)
  
  
• You may view and download the materials at this Web Site only for your personal, non-commercial use. You may not modify, copy, distribute, transmit, display, perform, reproduce, publish, license, create derivative works from, transfer or sell any information, software, products or services available on the Web Site.
  
  Si je comprends bien, on peut le télécharger mais on n'a pas le droit de l'exécuter ?
  
  
• Contradiction :
  1. RESTRICTION ON USE
  The content and information displayed on this Web Site is the property of Damjan Irgolic, InCode Solutions.
  4. INTELLECTUAL PROPERTY RIGHTS
  This Web Site, all content on it, and all materials downloadable from this Web Site are owned by Damjan Irgolic, InCode Solutions and its licensors
  
  Il faudrait savoir !
  
  
• Je m'en lave les mains
  5. WARRANTIES AND LIMITATION OF LIABILITY; TERMINATION
  The Damjan Irgolic, InCode Solutions web sites and all content within them are provided on an "as is" and "as available" basis without any warranties of any kind... including... fitness for a particular purpose...
  Any material downloaded or otherwise obtained through this Web Site is done at your own risk and discretion and you will be solely responsible for any damage to your computer system or loss of data that results from the downloading or use of any such material.
  Damjan Irgolic, InCode Solutions shall not be liable for any damages or injury resulting from your access to, or inability to access, this Web Site, or from any virus, bugs, tampering, omission, interruption, deletion, defect, delay, computer line failure, or any other technical malfunction related to this Web Site.
  
  En substance, il dit : "C'est un antivirus mais si il vous implante un virus, lui ou mon site, c'est de votre faute !"
  
  
• Vie privée
  6. PRIVACY AND INFORMATION
  We believe the privacy of all our users is important. Please review our privacy policy relating to the collection and use of your personal information.
  
  Il n'y a pas de clause "vie privée" (privacy) bien que l'on vous dise que l'on collecte et utilise vos informations personnelles. Ceci justifie à lui tout seul le positionnement suspect de ce logiciel et de son site.
  
  
• Violation de Copyright
  7. NOTICES AND PROCEDURE FOR MAKING CLAIMS OF COPYRIGHT INFRINGEMENT
  
  Qu'est-ce que vient faire ce baratin dans une relation avec l'utilisateur final !
  
  
• Clauses d'utilisations
  Incroyable tissu d'imbécilités et d'inepties du genre, pour un freeware (un logiciel gratuit ! Mais il existe une sersion commerciale...) : vous ne pouvez faire des installations que dans la limite du nombre d'ordinateurs autorisés ! Il y a même 2 clauses pour vous encadrer si vous le faites fonctionner en mode serveur (sic). Vous ne pouvez pas l'utiliser sur 2 ordinateurs en même temps, l'un au domicile l'autre au bureau etc. ...
  
  Tout cela semble un patchwork de clauses diverses recopiées et mises bout à bout. L'ensemble, (site, logiciel, clauses contractuelles...) donne l'impression d'un grand amateurisme.

Cordialement

[pierre]

Bonsoir

L'auteur de RemoveIT Pro est un croate

Après avoir assemblé les pièces du puzzle on peut dire qu'il s'agit de

Damjan Irgolic
Site Internet InCode Solutions
Plus hosting
Bosket 14
Riijeka
CROATIA 51000

On ne sait pas s'il s'agit d'une société mais, compte tenu du niveau d'amateurisme je pense qu'il s'agit d'une personne physique travaillant seule (on n'est pas dans les réseaux maffieux des pays de l'Est - leurs crapwares sont beaucoup plus "pro"). Dans le Whois, il y a, dans l'adresse du registrant (donc de Damjan Irgolic), le nom de "Plus hosting" (est-ce le nom de sa société, ou de la société qui l'héberge ?).

Cordialement

[Falkra]

Extrêmement instructif. Un grand merci pour cette analyse.

[pierre]

Salut Falkra

[ipl]

Bonsoir Pierre, Falkra, bonsoir à tous,

Bravo pour ce dossier : c'est du grand Pierre !